我有一個組織,其總部(大約 150 個用戶)位於一個城市,並在不同的城市設有 16 個分支機構(高中,每個分支機構 300-400 個用戶)。
我要做的是在 AD 中為公司網路建立一個網域。
建議我執行以下操作:
- 為每所學校建立 OU,並將管理控制權委託給本地管理員。
- 為每個學校創建站點並控制複製(例如晚上複製)。
- 每個地點(學校)有 1 個工作 DC 和 1 個重複(備用)DC 以實現冗餘
我的問題是
- 我是否需要為每個位置(例如 city1.school.org、city2.school.org 等)建立子網域?這樣做有什麼好處?
有人說這會造成更多頭痛,而且取決於組織的邏輯結構而不是物理結構。但是,我想聽聽它的優點和缺點以及在什麼情況下它更合適。
答案1
不,幾乎可以肯定不是。除非您面臨政治壓力,要求一名管理員有效存取所有內容,否則請堅持使用一個網域。對於使用相同的 DNS 命名空間存在爭議,這可能不適合多品牌跨國公司,但聽起來這對您來說不是問題。再說一次,這都是胡言亂語。在可擴展性方面,AD現在的擴展性非常好。複製也可以很好地控制。自 Windows 2000 Server 以來,情況發生了變化。
反過來說,多個網域會增加營運開銷(日常使用者/群組管理、稽核、保護 AD 備份、證明復原等),但也可能導致跨網域配置不一致。
單一域...前進的方向。
在 DC 放置方面,不要太迷戀 Microsoft 的每個網站兩個 DC 模型。查看您的 WAN 鏈接,更具體地說,請查看站點的三角測量。如果您有冗餘鏈路,並且這些鏈路上的 MTBF 很高,則不要進行不必要的過度設計。我不知道你們的學校有多大/自治程度。但是,如果鏈路延遲很高,則可能需要現場 DC。整個論點歸結為您的 WAN 為您提供的服務等級。如果需要,您可以隨時新增其他 DC。把它們拿走並不是那麼簡單(經驗與理論)。
另外,不要忘記只讀網域控制站(RODC),它在伺服器核心上運作得很好。這可能與您無關,因為聽起來您的學校非常自治,但如果您有一所較小的學校,沒有/無法進行自己的用戶管理,那麼 RODC 會很棒。
總之,先確定您的議論,然後進行 WAN 調查。
答案2
一般來說,您應該始終嘗試擁有盡可能平坦的網域結構,最好是單一網域。域劃分應該有明確的業務驅動因素,因為以這種方式「建構」Active Directory 系統幾乎沒有技術原因。多個域會帶來複雜性,當問題發生時,這種複雜性可能會令人望而生畏。域中的信任可能會被破壞,這對幾乎所有事物造成嚴重破壞。
一些決策標準可能是由政治驅動的。可能存在需要控制安全邊界的實體;一種方法是為他們提供自己的網域。一個例子是美國政府,一個部門擁有自己的森林,而組成機構擁有自己的領域,這種情況並不少見。除了政治之外,其技術原理並不總是令人信服。在 Windows 2008 之前,某些內容(例如密碼原則)可能需要有自己的網域。一個技術驅動因素可能是另一個網域想要使用 Active Directory 功能域級別,如果將它們合併到單一網域中,則目前不可用。
有些人認為,某些類型的業務單位適合單獨領域,例如全資子公司,其策略是最終將其分拆為單獨的公司。或者,如果監管要求指定了關注點分離,例如是否有一個業務部門受到嚴格的監管或財務控制,或者如果一個業務部門是一個非營利基金會。