Нужны ли мне дочерние домены в AD?

Нужны ли мне дочерние домены в AD?

У меня есть организация, имеющая головной офис (около 150 пользователей) в одном городе и 16 филиалов (средние школы, по 300-400 пользователей в каждом), каждый в другом городе.

Мне нужно создать домен(ы) в AD для корпоративной сети.

Мне предложили сделать следующее:

  • создать организационное подразделение для каждой школы и делегировать административный контроль местному администратору.
  • создать сайт для каждой школы и контролировать репликации (например, репликацию ночью).
  • иметь 1 рабочий ЦОД и 1 дублирующий (резервный) ЦОД для избыточности в каждом месте (школе)

Мой вопрос:

  • Нужно ли мне создавать дочерний домен для каждого местоположения, например city1.school.org, city2.school.org и т. д. И какая от этого польза?

Мне сказали, что это создаст больше головной боли и больше зависит от логической структуры организации, чем от физической. Однако я хотел бы услышать плюсы и минусы этого и в каких случаях это больше подходит.

решение1

Нет, почти наверняка нет. Если только у вас нет политического давления в плане того, чтобы один администратор фактически имел доступ ко всему, тогда придерживайтесь одного домена. Существуют аргументы относительно использования одного и того же пространства имен DNS, что может не подойти многонациональной компании с несколькими брендами, но, похоже, для вас это не проблема. Опять же, это все ерунда. С точки зрения масштабируемости AD теперь масштабируется очень хорошо. Репликацию тоже можно контролировать довольно хорошо. Со времен Windows 2000 Server дела пошли дальше.

Перевернув вопрос с ног на голову, можно сказать, что наличие нескольких доменов увеличивает операционные издержки (повседневное управление пользователями/группами, аудит, обеспечение безопасности резервных копий AD, подтверждение восстановления и т. д.), а также повышает вероятность несоответствий конфигураций между доменами.

Единый домен... путь вперед.

Что касается размещения ЦОД, не слишком увлекайтесь моделью Microsoft с двумя ЦОД на сайт. Посмотрите на свои каналы WAN, а точнее, на триангуляцию в сайты. Если у вас есть избыточные каналы, и MTBF на этих каналах высокое, то не переусердствуйте с проектированием без необходимости. Я не знаю, насколько велики/автономны ваши школы. Однако, если задержка на ваших каналах высокая, то, возможно, понадобятся локальные ЦОД. Весь этот аргумент сводится к уровню обслуживания, который предоставляет вам ваш WAN. Вы всегда можете добавить дополнительные ЦОД, если потребуется. Убрать их не так просто (опыт против теории).

Также не забывайте о контроллерах домена только для чтения (RODC), которые прекрасно работают на ядре сервера. Это может быть неактуально для вас, так как ваши школы, похоже, довольно автономны, но если у вас, например, небольшая школа, которая не могла/не могла управлять пользователями самостоятельно, то RODC был бы фантастическим решением.

Подводя итог, разберитесь с вашими боллотиками, а затем займитесь опросом WAN.

решение2

Вообще говоря, вы всегда должны стараться иметь как можно более плоскую структуру домена, желательно один домен. Разделение на домены должно иметь четкие бизнес-драйверы, так как существует немного технических причин для "архитектуры" системы Active Directory таким образом. Несколько доменов создают сложность, которая может быть пугающей, когда возникают проблемы. Домены имеют доверительные отношения, которые могут быть нарушены, и это сеет хаос практически во всем.

Некоторые критерии принятия решений могут быть обусловлены политикой. Могут быть субъекты, которым требуется контроль над границей безопасности; один из способов сделать это — предоставить им собственный домен. Одним из примеров может служить правительство США, где нередко бывает так, что департамент имеет свой собственный лес, а входящие в него агентства имеют свой собственный домен. Помимо политики, техническое обоснование этого не всегда убедительно. До Windows 2008 некоторые вещи, такие как политики паролей, могли требовать своего собственного домена. Одним из технических драйверов может быть то, что другой домен хочет использовать функциональный уровень домена Active Directory, который в настоящее время недоступен, если бы они были объединены в один домен.

Некоторые люди придерживаются мнения, что некоторые типы бизнес-единиц являются кандидатами на отдельные домены, например, дочерние компании, находящиеся в полной собственности, где стратегия заключается в том, чтобы в конечном итоге выделить их в отдельную компанию. Или если нормативные требования предусматривают разделение интересов, например, если бы существовало бизнес-единица, подлежащая строгому нормативному или финансовому контролю, или если бы бизнес-единица была некоммерческим фондом.

Связанный контент