我的公司经营 SaaS 产品。我负责我们的企业环境,即用户、计算机和公司办公室的数据中心。我计划升级我们当前的 Active Directory 结构。我有大约 65 个用户,其中 60 个在我们的公司办公室工作,另外 5 个在各自的总部工作。我有五个数据中心,它们在地理上分散,有自己的 AD 林。我想把所有东西都放在一个林下。这里的最佳做法是什么?它们应该是自己的独立林,还是应该是父林下的域。请记住,对其他数据中心的所有访问都是从公司办公室访问的。
另外,对于我来说,通过升级来升级我当前的 Active Directory 环境是否更好,还是从头开始? 这两种方式的优缺点是什么?
答案1
通常,一旦您进入 AD,您就会想要升级,而不是迁移。这样您就不必进行计算机帐户迁移等。是否要成为独立的林(甚至域)的问题更多地取决于您的运作方式,而不是其他任何事情。需要考虑的一些事项:
- 域不是安全边界。林才是。如果您需要无法通过委派权限处理的安全边界,则应使用多个林。否则,一个林就可以了。
- 您是否需要多个域?或者,使用 OU 并在 OU 级别委派权限是否能为您提供更好的服务?
- 如果您担心 WAN 上的身份验证流量等问题,您应该已经在 AD 中设置了物理站点。这将确保人们最初使用最近的域控制器。
- 如果有 5 个用户地理上分散在多个站点,您是否需要为他们部署 DC(网络连接如何、中断等)?如果不需要,那么就有更多理由退回到单林、单域配置。即使他们确实存在网络连接问题,您仍然可以为站点部署单个 DC。如果您要使用 2008,这甚至可以是只读 DC。
答案2
您的问题的关键听起来是:我想要多森林基础设施还是单森林基础设施?
当你需要组织之间的安全边界时,你需要多林。域是不是安全边界。
回答了这个问题,剩下的就简单了。您需要尽可能少的森林来满足您的安全边界要求。您需要尽可能少的域来满足您的复制边界要求。
答案3
我的理解有点过时,但新版本的 AD 可以更好地处理这种情况。我认为在这种情况下,空根是个好主意。您的林顶部有一个域(例如... dir.organisation.org),它仅用于 DNS 和全局目录。然后,您创建子域(tx.dir.organisation.org、ca.dir.organisation.org 等)作为空根的子域。然后为每个地理分散的数据中心配置站点。全局目录数据仍必须在您的 WAN 链接上复制,DNS 更新在某种程度上也是如此。无论这对您的环境是否合理,您都必须自己决定。但如果您有这方面的基础设施,我推荐它。这将提供内置信任和统一帐户数据库,这是 AD 的主要优势之一。
至于升级,我们倾向于提升域的功能级别,然后使用 dcpromo 将 DC 降级为成员服务器,使用新操作系统版本重新格式化它,然后使用 dcpromo 将其再次设为 DC。对每个 DC 进行清洗、冲洗、重复,直到所有 DC 都升级完毕。然后,一旦您确信兼容性问题已得到解决,就将功能级别提升到新操作系统的级别。