远程站点有我们 50 名员工中的大约 25 名。他们目前有自己的 AD 域(2003 年),但我想考虑将他们纳入同一个全局域,以方便访问/管理。远程站点有 VPN 链接,但线路速度非常差。
我已经知道 ADMT 之类的工具,并且过去做过几次迁移(NT/2003 域),但这是我第一次有机会设计这个域的组织方式。所以我正在寻找有关良好 AD 设计的提示;远程站点是否更适合用作子域?这会减少流量吗?我目前只关注 2003,因为只会使用现有的机器。
编辑 - 希望有人能对此给出一些建议?
答案1
Active Directory 站点2003 年的设计相当完善,允许在远程站点使用同一个域 - 您只需将所有复制设置在下班后进行以节省带宽,并且 AD 足够聪明,可以立即复制高优先级事件,如禁用帐户、更改密码等,任何未涵盖的内容都可以轻松地手动复制。
由于 AD 站点从等式中消除了慢速连接,您可以自由地按照标准实践设计您的森林。
请记住,域(至少自 2003 年起)是组织的主要安全边界,因此,如果它们属于同一组织,那么当然可以将它们添加到主域中。如果它们是一个单独的实体,那么保留一个单独的域并将其与信任链接起来可能是正确的方法。
可能您高估了 AD 复制造成的流量,我们这里谈论的是 56k 条租用线路吗?
答案2
只要您在远程站点放置(至少)一个域控制器并在 AD 站点和服务中正确定义站点、子网和链接,您的环境就会很乐意支持使用具有相同域的两个站点。
您的选择应该与管理有关:这些用户是否属于同一家公司?他们是否由同一组管理员管理?他们是否共享相同的网络资源?
拥有多个域名通常弊大于利,特别是在用户群非常小的情况下;我会选择一个域名和两个站点,但这当然意味着将用户从他们当前的域名迁移到您的域名。
如果您希望减少麻烦并允许他们自行管理域名,那么您只需建立信任并接受这一点即可。