Tengo una organización que tiene una sede (alrededor de 150 usuarios) en una ciudad y 16 sucursales (escuelas secundarias, entre 300 y 400 usuarios cada una) cada una en una ciudad diferente.
Lo que tengo que hacer es crear uno o más dominios en AD para la red corporativa.
Me sugirieron hacer lo siguiente:
- cree una unidad organizativa para cada escuela y delegue el control administrativo al administrador local.
- crear un sitio para cada escuela y controlar las replicaciones (por ejemplo, replicar por la noche).
- tener 1 DC en funcionamiento y 1 DC duplicado (de respaldo) para redundancia en cada ubicación (escuela)
Mi pregunta es
- ¿Necesito crear un dominio secundario para cada ubicación como city1.school.org, city2.school.org, etc.? ¿Y cuál sería el beneficio de ello?
Me dijeron que crearía más dolores de cabeza y que depende más de la estructura lógica de la organización que de la física. Sin embargo, me gustaría conocer sus ventajas y desventajas y en qué casos es más adecuado.
Respuesta1
No, casi seguro que no. A menos que tenga presión política en términos de que un administrador tenga acceso efectivo a todo, entonces limítese a un dominio. Hay argumentos con respecto al uso del mismo espacio de nombres DNS, lo que podría no ser adecuado para una multinacional multimarca, pero parece que esto no es un problema para usted. Una vez más, todo esto son tonterías. En términos de escalabilidad, AD ahora escala muy bien. La replicación también se puede controlar bastante bien. Las cosas han cambiado desde Windows 2000 Server.
Dando la vuelta a la pregunta, múltiples dominios aumentan los gastos operativos (desde la administración diaria de usuarios/grupos, auditorías, seguridad de copias de seguridad de AD, prueba de recuperación, etc.), pero también introducen la posibilidad de inconsistencias en la configuración entre dominios.
Dominio único... el camino a seguir.
En términos de ubicación de DC, no se deje llevar demasiado por el modelo de dos DC por sitio de Microsoft. Mire sus enlaces WAN y, más específicamente, la triangulación en sitios. Si tiene enlaces redundantes y el MTBF de esos enlaces es alto, no realice demasiada ingeniería innecesariamente. No sé qué tan grandes/autónomas sean sus escuelas. Sin embargo, si la latencia en sus enlaces es alta, entonces quizás sean necesarios los DC en el sitio. Todo este argumento se reduce al nivel de servicio que le brinda su WAN. Siempre puede agregar DC adicionales si es necesario. Eliminarlos no es tan sencillo (experiencia versus teoría).
Además, no se olvide de los controladores de dominio de solo lectura (RODC), que funcionan perfectamente en el núcleo del servidor. Puede que esto no sea relevante para usted, ya que parece que sus escuelas son bastante autónomas, pero si, por ejemplo, tuviera una escuela más pequeña que no pudiera o no pudiera hacer su propia gestión de usuarios, entonces un RODC sería fantástico. .
En resumen, aclare sus ideas y luego ordene una encuesta WAN.
Respuesta2
En términos generales, siempre debes intentar tener una estructura de dominio lo más plana posible, preferiblemente un dominio único. La partición en dominios debe tener impulsores comerciales claros, ya que existen pocas razones técnicas para "diseñar" un sistema Active Directory de esta manera. Múltiples dominios crean una complejidad que puede resultar abrumadora cuando surgen problemas. Los dominios tienen fideicomisos que pueden romperse y eso causa estragos en casi todo.
Algunos de los criterios de decisión pueden estar impulsados por la política. Puede haber entidades que requieran control sobre un límite de seguridad; una forma de hacerlo es proporcionarles su propio dominio. Un ejemplo sería el gobierno de Estados Unidos, donde no es raro que un departamento tenga su propio bosque y las agencias constituyentes tengan su propio dominio. Aparte de la política, la justificación técnica para esto no siempre es convincente. Antes de Windows 2008, algunas cosas, como las políticas de contraseñas, podían requerir su propio dominio. Un factor técnico puede ser que otro dominio quiera utilizar un nivel de dominio funcional de Active Directory que actualmente no está disponible si estuviera consolidado en un solo dominio.
Algunas personas opinan que algunos tipos de unidades de negocios son candidatos para dominios separados, como las subsidiarias de propiedad absoluta, donde la estrategia es eventualmente escindirlas en una empresa separada. O si los requisitos regulatorios especificaban una separación de preocupaciones, como si hubiera una unidad de negocios sujeta a estrictos controles regulatorios o financieros, o si una unidad de negocios fuera una fundación sin fines de lucro.