Active Directory 设计 - 每个站点的域或每个站点的组织单位

Active Directory 设计 - 每个站点的域或每个站点的组织单位

我所在的教育机构目前拥有三所地理位置分散的学校,并且即将开设第四所。每所学校都有 600 多台计算机和 1000 多名用户。

目前,我们的 Active Directory 设置为将学校分为三个域。

  • 学校1.内部
  • 学校2.学校1.内部
  • 学校3.学校1.内部

各个学校之间基本独立,需要交叉的用户很少。有一个 Exchange 服务器组,但每个学校有一台服务器。

网络主管决定将 Exchange 进行外部管理,因为“School1”对其系统进行了太多的干扰,以致其无法再正常工作。

从事此项外包的公司建议,最好为每个站点设立一个具有单独组织单位的域名,我的想法是他们想这样做,因为这对他们来说更容易。

我们的运作方式一直很顺利,当一所学校出现问题时,很少会给其他学校带来任何问题,我宁愿不去改变,因为这种改变无疑至少在开始的时候会带来一些不稳定。

这三个站点目前通过 2Mbit 链路连接,当第四所学校开学时,学校将转移到 100mbit 链路(这是一个单独的项目,与新的 VLE 有关,而不是网络问题)

支持和反对多域设置或基于位置 OU 的设置的论点是什么?

答案1

由于交叉要求很少,我建议按照建议进行设置,一个域下有适当的 OU。

如果设置了相关的“站点”,每个站点至少有一个域控制器,并且每个站点至少有一个全局目录(没有理由不让每个 DC 成为 GC)

一旦迁移到 100MB/s WAN,即使是大容量 DFS 传输也不会造成太大问题。

将其作为具有多个站点和适当的 OU 的一个域进行维护,以获得权限、安装、组安全等,这意味着如果一个站点中的所有域控制器都发生故障,所有机器(专门指示查看一个域控制器进行身份验证的机器除外,例如,正在查询域控制器以获取 LDAP 服务的应用程序)仍然应该能够登录并使用网络资源。

对于 2Mb/s 的链路来说,这可能是次优的,但应该是边缘情况,即服务器机房烧毁但通信室没事等。对于 100Mb/s 的链路来说,这与普通域配置有何不同?

答案2

总体而言,他们的观点是正确的,即在设计 AD 时应使用尽可能少的域。随着即将升级到 100Mb 链接,可以说没有技术的不这样做的理由。

但是,正如您所知,您并不是在创建新的森林,因此问题变成了,您是否有真正的理由需要放弃一个您可能满意且运行良好的设计,而我的答案是“不”——我可能一开始就不会这样设计,但我无法证明改变它的动荡是合理的。这似乎需要做很多工作,而您所能期望的最好结果是当前工作的系统将继续工作。(我正在考虑您学生和教职员工的观点,这样做是否会大幅减少支持成本是另一个单独的考虑因素)。

Exchange 可以与来自同一林中多个域的用户愉快地协作,所以我真的不知道为什么您将 Exchange 管理外包给的人会问这个问题。也许有人应该问问他们要求对目前运行良好的设置进行重大更改的理由。如果他们说 Exchange 需要它,就解雇他们,他们不知道自己在说什么。

答案3

需要考虑的一些事项(考虑到站点之间的升级带宽):

  • 域不是安全边界。因此从安全角度来看,如果他们是其域(而不是其他域)的域管理员,则可以使用 OU 和委派权限来获得更安全的情况。域管理员可以升级以接管林,这意味着他们可以控制林中的任何其他域。
  • 通过转到单个域,如果站点上的 DC 出现问题,您可以依赖其他站点上的 DC。虽然这不是最理想的,但它可以消除为每个域在其他站点放置额外 DC 的要求。
  • 维持现状有很多好处,因为它可以减少您的风险和工作量。但是,请考虑一下,通过缩减为单个域,从长远来看,很多工作量会减少,尤其是当您考虑为每个域进行 AD 升级时。在当前模式下,您需要升级 4 个域。通过缩减为 1 个域,您只需进行一次升级。

相关内容