ブランチオフィスの新しいドメインコントローラー:新しいADサイトを作成する方が良いですか?
最近成長したブランチサイトに新しいDCをインストールします。ActiveDirectoryサイトとサービスで新しいサイトを作成するためのベストプラクティスであり、相対IPリンクコストと関連するパラメータ。
ただし、本社とこの支社の両方に強力なインターネット接続(100 Mb/sファイバー)が装備されているため、両方を1つのサイトに残す方がよいのではないかと思います(つまり、サイト内ポリシーに従って複製の待ち時間を非常に短くします)。
いくつかのよく知られたリソースで、10 Mb/sを超えるものはすべて単一のサイトと見なされるべきであると読みました。ただし、各物理サイトをADサイトにマップするようにアドバイスする人もいます。
確立されたベストプラクティスは何ですか?
これらのサイト間にISPがあることを考慮して、次の2つの理由から、その新しいブランチ専用のADサイトを作成します。
- サブネットごとにユーザー認証を分離します。これらのサイト間の接続が何らかの理由で失敗した場合、そのような影響はありません。
- 組織-あなたの会社が大きく成長し始め、Active Directoryがあなたの物理的構造を反映している場合、組織は非常に役立ちます。私を信じてください!組織化されていないADは、メンテナンスとトラブルシューティングを行うことを困難にし始めます。
コストに関係なく、それを望んでいたクライアントの「フルクラウド」移行を完了しました。これには、FoxPassに移行したADが含まれていました。問題のクライアントには、3つのサイトすべてに100Mbのリンクがあり、以前はこれらの各サイトの単一のADサーバーを介して実行されていました。会社全体で約75人のアクティブユーザーがいます。
RADIUS over RadSecとLDAPSを備えたFoxPassシステムは、すべてのクラウドリソースのIDシステム、およびワークステーションとサイトごとのファイアウォールを結び付けます。これらがそうではないことも注目に値しません。オンプレミスであり、ADは事実上追放されました。欠点は、かなり高価なことです。広範囲のユースケースに相当するオンプレミスADを実際に提供する安価なIDaaS製品は見つかりませんでした。
ただし、IDサービスを単一のローカルでホストされているサイトに分離することは、要件によっては十分に堅牢ではない場合があります。すでに大規模なHAクラウドソリューションを利用することなく、サイトごとに少なくとも1つのADサーバーを利用することが最善の策だと思います。