我有一个组织,其总部(约 150 个用户)在一个城市,另外 16 个分支机构(高中,每个分支机构 300-400 个用户)在不同的城市。
我要做的是在 AD 中为企业网络创建一个或多个域。
有人建议我做以下事情:
- 为每个学校创建 OU,并将管理控制权委托给当地管理员。
- 为每个学校创建站点并控制复制(例如在晚上复制)。
- 在每个地点(学校)配备 1 个工作 DC 和 1 个重复(备份)DC,以实现冗余
我的问题是
- 我是否需要为每个位置创建一个子域,如 city1.school.org、city2.school.org 等等?这样做有什么好处?
有人说这会带来更多麻烦,而且它更多地取决于组织的逻辑结构而不是物理结构。然而,我想听听它的利弊,以及在什么情况下它更合适。
答案1
不,几乎肯定不是。除非您面临政治压力,要求一位管理员有效访问所有内容,否则请坚持使用一个域。关于使用相同的 DNS 命名空间存在争议,这可能不适合多品牌跨国公司,但这听起来对您来说不是问题。再说一遍,这都是胡说八道。在可扩展性方面,AD 现在扩展得很好。复制也可以很好地控制。自 Windows 2000 Server 以来,事情已经发生了变化。
反过来说,多个域会增加运营开销(从日常用户/组管理、审计、保护 AD 备份、证明恢复等),但也会引入跨域配置不一致的可能性。
单一领域...前进的道路。
在 DC 放置方面,不要太过沉迷于 Microsoft 的每个站点两个 DC 的模型。查看您的 WAN 链接,更具体地说,查看站点的三角测量。如果您有冗余链接,并且这些链接上的 MTBF 很高,则不要不必要地过度设计。我不知道您的学校有多大/自主。但是,如果您的链接上的延迟很高,那么可能需要现场 DC。整个争论都归结为您的 WAN 为您提供的服务级别。如果需要,您可以随时添加额外的 DC。取消它们并不那么简单(经验与理论)。
另外,不要忘记只读域控制器 (RODC),它在服务器核心上运行良好。这可能与您无关,因为听起来您的学校非常自治,但是如果您有一所较小的学校,没有/无法进行自己的用户管理,那么 RODC 将是极好的。
总而言之,先搞定你的问题,然后进行 WAN 调查。
答案2
一般来说,您应始终尝试尽可能地使域结构扁平化,最好是单个域。划分域应该有明确的业务驱动因素,因为以这种方式“构建” Active Directory 系统几乎没有技术原因。多个域会产生复杂性,当出现问题时,这可能会令人望而生畏。域中的信任可能会破裂,这会对几乎所有事情造成严重破坏。
一些决策标准可能受政治因素驱动。可能有些实体需要控制安全边界;实现这一点的一种方法是向他们提供自己的域。美国政府就是一个例子,一个部门拥有自己的森林,而组成机构拥有自己的域的情况并不少见。除了政治因素之外,这样做的技术原理并不总是令人信服的。在 Windows 2008 之前,密码策略等某些东西可能需要自己的域。一个技术驱动因素可能是另一个域想要使用 Active Directory 功能域级别,如果它们合并到一个域中,则当前不可用。
有些人认为,某些类型的业务部门适合单独设立,例如全资子公司,其战略是最终将其分拆为一家独立公司。或者,如果监管要求指定了关注点分离,例如,如果某个业务部门受到严格的监管或财务控制,或者某个业务部门是非营利基金会。