gra*_*ace 5 active-directory read-only
紧要关头:客户需要测试启用 Active Directory 的 CRM 系统,该系统由 SQL 2008 Server 和 Windows 2008 Standard Server(应用程序服务器)组成。据我所知,最终用户身份验证和应用程序到 SQL 身份验证需要 Active Directory。
我们需要将这两个服务器从它们当前的域环境中拉出来,并在具有 Internet 连接但不在域 ( foo.local) 或与此相关的任何域中的测试设施中进行设置;目前,它们只是工作组中的一堆工作站。
我最初的想法是设置一个 IPSec 隧道到客户端的位置到/从测试设施,但我想知道 LAN 子网重叠是否会很麻烦(这里是 pfSense 防火墙)来管理和/或更改 IP 地址将两个服务器(FOOAPP和FOOSQL)连接到不同的子网以避免重叠会在 AD 领域引起一些麻烦(即域控制器不会“知道”这些服务器是谁)。
我的另一个想法是设置只读域控制器并将其带到现场测试设施,但从我粗略阅读 technet 文档来看,听起来它需要能够与客户端位置域控制器进行通信)。
最后,我知道您可以使用缓存的凭据对工作站进行离线身份验证:这可以与成员服务器一起使用吗?我假设不是发生在两者之间的 SQL 身份验证,FOOAPP并且FOOSQL可能根本不使用缓存,但如果没有,请启发我。
还有其他选择吗?
澄清
这些服务器目前没有用于生产。当他们加入客户的域时,其中没有数据,也没有人使用它;他们目前只是闲置的成员服务器。SQL 数据库将加载测试数据,然后用于培训,但在用户接受/最终用户培训期结束后,我们会将它们放回客户位置,从而投入生产(删除测试数据) .
我们无法在现场进行测试/培训,因为这对客户办公室的干扰太大,而且他们没有大的会议室来容纳测试/培训小组。
编辑
我想这都可以归结为两个问题:
当(只读 | 可写)域控制器与其他域控制器隔离时,它会发生什么?
Active Directory 是否“关心” IP 地址?即也许我可以将这两个服务器暂时放在不同的子网上并设置 IPSec 隧道,以便测试设施中的这些服务器和工作站可以与客户办公室的域进行通信。
Active Directory 默认情况下以多主复制模式运行,其中每个域控制器对其管理的域具有独立的权威。因此,即使在断开连接时,测试 DC 仍然能够处理登录并接收更新(密码更改等)。随着时间的推移,两组 DC(实时 DC 和测试站点中的 DC)会慢慢发散,但如果您打算稍后将它们聚合,那么这只是一个问题。
这是我处理这种情况的建议:
| 归档时间: |
|
| 查看次数: |
2804 次 |
| 最近记录: |