Используется следующая схема с главным офисом в Берлине и филиалом в Дрездене. Сети соединены с помощью OpenVPN site-to-site, реализованном на PFSense 2.1. Пропускная способность стабильного интернет канала для VPN 2 Мбит\сек в обе стороны.

 Прежде чем добавлять новый сервер в домен и устанавливать на нём роль AD DS необходимо создать новый сайт (только для филиалов, в пределах одной локальной сети сайт создавать не нужно!) и определить сеть для него. Сайт (site) - одна или несколько сетей TCP\IP имеющих высокоскоростное соединение. Как правило, сайты являются географически распределёнными. При наличии современных подключений к интернету, например FTTX, и небольших объёмах репликации необходимость нескольких сайтов может не понадобиться. Новый сайт создаётся в оснастке AD Sites and Services (сайты и службы):

 После создания сайта в той же оснастке AD SS необходимо определить IP сеть для сайта. В любой момент можно поменять принадлежность сети к сайту.

 После создания сайта автоматически создаётся связь сайтов (Site link), в которой можно менять членство сайтов, стоимость связи, интервал репликации и другие свойства:

 Сетевые настройки нового сервера в филиале со статическим адресом:

 Проверка разрешения имени сервера в главном офисе и его доступность (Firewall должен разрешать ICMP). Так как у нового сервера не назначен DNS-суффикс, то разрешение имени сервера по его NetBios имени было неуспешным. Необходимо проверять полное имя сервера - FQDN. Так же с помощью трассировки можно убедиться, что соединение идёт через VPN:

 Вводим компьютер в домен:

 Проверяем, что учётная запись компьютера появилась в AD UC:

 После перезагрузки и входа в систему под доменной учётной записью, проверяем сервер авторизации (сервер в Берлине):

 Устанавливаем роль AD DS:

 В отличие от установки первого контроллера домена, необходимо выбрать "добавить контроллер домена в существующий домен":

 Выбираем сайт, в котором расположен новый контроллер домена (в локальной сети будет один сайт, выбирать будет нечего):

 Можно выбрать источник репликации. Если интернет канал совсем уж медленный, а база данных AD большая - можно установить с предворительного подготовленного носителя (например CD), который можно отправить по почте, а лучше по другой наиболее безопасной связи.

 Во время установки я решил понаблюдать за нагрузкой интернет канала - 3-4 скачка до 2 Мбит\сек в течении 3-4 секунд. Тестовая доменная инфраструктура чистая. База данных AD всего несколько MB.

 После установки роли AD DS и её настройки и перезагрузки сервера, проверяем сервер авторизации. Теперь это новый контроллер домена в Дрездене. При этом, что первичный DNS сервер указан берлинский:

 Добавляем в ДНС самого себя и устанавливаем на первое место:

 После установки AD DS в новом сайте ещё не созданны настройки репликации для нового сервера:

 Выбираем автоматически созданное соединение репликации у первого DC и выбираем "Реплицировать сейчас". На этом настройка дополнительного контроллера домена в филиале с отдельным сайтом завершена. Повторю: если установка проводится в одном офисе, в одной локальной сети, то создавать отдельный сайт нет необходимости.

 Подключения для репликации между сайтами значительно отличаются от подключений внутри одного сайта. Хотя их можно так же настроить как и для внутрисайтовых репликаций. Репликацию легко проверить: создайте в главном офисе учётную запись, и дождитесь её появления в филиале. По умолчанию интервал репликации между сайтами - три часа. Внутри сайта - практически мгновенно.

 Предположим, что офис в Дрездене переезжает в Берлин. В этом случае необходимо переместить второй контроллер домена в один сайт с первым контроллером домена и потом перенастроить подключения репликации.

 Самый простой способ перенастроить подключения репкликации - это удалить их и создать в автоматическом режиме. Для этого необходимо войти на каждый сервер, удалить связи. Затем выбрать NTDS Settings сервера на который вошли - все задачи - проверить топологию репликации. Т.е. на втором сервере DRE-DC вырать именного его NTDS Settings, а заголинившись на первом контроллере BER-DC вырать его NTDS Settings.

 Проверить, на правильном ли сервере вы проверяете топологию сети можно просто: на неверном сервере меню во "Все задачи" будет выглядеть по другому (+2 меню репликации):

 На этом всё. Перенос контроллера домена в один сайт завершён.

25.04.2014