Два сайта по два АД на каждом. Уровень леса 2012 R2. Между сайтами IPSec канал.

Ломается постоянно репликация, отваливается ДНС и т.д.
После перезагрузки всех DC оживает, но через какое-то время снова падает.

По результату обсуждения здесь и не только - толщины канала за глаза под существующий трафик репликации..

Нужно не останавливая работу инфраструктуры (не снося существующий домен) привести все это в божеский вид.

ADFS с доступом к Web приложениям, это не безопасно

Есть разница между установить виндовс и завести 5 пользователей и организацией работы 300 пользователей в 5 разных зданиях со всеми плюшками

здания подключены между собой ?

Пользователей миниальное для такой инфраструктуры количество. Фактически она используется только для обеспечения работы ПО, предоставляемого по схеме, условно SaaS

Сайты - офис в Иркутске и облако vCloud, арендуемое у провайдера

🤖 GBRYN Gogi...connecting to «IT Lobby Irkutsk». Вошёл, за своё aйти пояснил. Программист, инженер, робототехник, сис.админ или каким-то образом связан с IT и технологиями, то расскажи о себе и своей деятельности. Также прочти инфо по чату.

Приглашая друзей ты помогаешь развивать наше IT сообщество🤗

Kerberos полноценно работать не будет

Почему?

для полной его поддержки требуется членство веб-сервера в домене AD

настрой VPN между офисами, так будет безопаснее и не придется городить огород

зачем тебе эти "костыли"

Выше, в исходных данных было написано - между расположениями - IPSec VPN site-to-site. ПОддерживается с одной стороны EdgeRouter vSphere, с другой - маршрутизатором в офисе.

Сайты - физически удаленные сегменты леса  AD, а не некие веб-сайты

Так что оно как раз должно работать без костылей

подними службы ADFS и WAP

Я не планирую ничего поднимать. Моих поверхностных знаний хватает чтобы понять что проблема есть, и что в текущих условиях она решаема.  Человек, который пытался решить ее до этого момента не может с этим справиться достаточно долгое время.

Есть мнение, что будь у меня достаточно свободного времени, я бы смог разобраться с ситуацией, но времени, как обычно нет.

Я ищу того, кто согласится ее решить за деньги. Варианты и условия предлагаю обсудить лично. В переписке, по телефону, при встрече - как удобно.

Вся инфраструктура бэкапится Veeam, есть свободные ресурсы для того чтобы развернуть необходимое количество DC при "ремонтных" работах.

Вы не понимаете похоже, о чем речь.

Условная "цель" - отсутствие ошибок в работе Active Directory

Возможно, если я правильно понимаю, нужна прозрачная авторизация пользователей AD через интернет

Нет