我正在考虑接pipe公司基础设施pipe理的询价。 我对细节很模糊(正准备发邮件给他们澄清一些事情),但是这听起来像是他们想要办公室里的所有硬件。 他们运行的东西是相对标准的(AD,Exchange,SQL Server,SharePoint)。
我的问题是围绕着一个远程AD控制器。 我知道有很多情况下,你有分支机构通过站点到站点的VPN使用家庭办公室的AD控制器。 它只是感觉有点…将整个堆栈重新定位到远程站点(无论是我们的办公室,还是更可能的是本地托pipe设施)。 显然必须要有某种设备,至less可以做DHCP,因为它们当前的AD服务器处理所有的DHCP和DNS责任。
这个configuration看起来是否合法?
简短的回答:这可能是一个可怕的想法,取决于广域网链接(谢谢你们)。
更长的答案:您将通过VPN发送(几乎)所有身份validationstream量。 这不仅是不必要的开销,如果他们拥有远程端托pipe的漫游configuration文件,这可能是完全站不住脚的。 Exchange和SharePoint都可以涉及SSO的SPN,因此Kerberosstream量是另一个考虑因素。
他们无法绕过现场使用某种硬件,无论是大型VPN盒还是AD盒。 他们都是一个单一的失败点,所以为什么不拥有你真正需要的SPOF?
您可以托pipe另一个DC及其Exchange / Sharepoint设置。 我强烈build议在现场至less配备一个带有DNS和DHCP的DC(您可能不希望DHCP在您身边)。 根据他们如何使用SQL Server,这可能也必须居住在客户端。
如果你有一个可靠的VPN端点,可以做到,但是更好的select是保持至less一个本地盒子,并在链路故障的情况下在本地虚拟化DC和DHCP服务器。