管理具有数千个子网的 Active Directory 环境

Question 1

您不需要为网络人员创建的每个第 3 层子网都创建一个新子网而是创建与整个站点的 IP 地址分配相对应的子网。

这是一个简单的例子。

假设您有两个站点。我们称它们为“纽约”和“山景城”。纽约的整个 IP 分配是 10.187.128.0/22。山景城有 10.187.132.0/22，但它也有一些旧的垃圾在 10.244.0.0/16 中徘徊。

网络人员会将所有这些地址划分为小至 /29 的微小子网，这些子网将有数千个，但它们都包含在这些超网块内。

但在 AD 中，纽约站点只需要定义一个子网，而山景城站点只需要定义两个子网。它们覆盖各自块内所有可能的 IP 地址。

Answer

您不需要为网络人员创建的每个第 3 层子网都创建一个新子网而是创建与整个站点的 IP 地址分配相对应的子网。

这是一个简单的例子。

假设您有两个站点。我们称它们为“纽约”和“山景城”。纽约的整个 IP 分配是 10.187.128.0/22。山景城有 10.187.132.0/22，但它也有一些旧的垃圾在 10.244.0.0/16 中徘徊。

网络人员会将所有这些地址划分为小至 /29 的微小子网，这些子网将有数千个，但它们都包含在这些超网块内。

但在 AD 中，纽约站点只需要定义一个子网，而山景城站点只需要定义两个子网。它们覆盖各自块内所有可能的 IP 地址。

Question 2

假设您确实“需要”这些子网并且不能按照@MichaleHampton 在他的出色回答中所建议的那样做......

如果您不喜欢雇用 50 名 AD 管理员的想法，您可以用最近的坚硬钝器打击您的网络管理员，直到他们停止做出这种从根本上糟糕的设计决策。

真的，除了好奇地想看看在实验室或测试环境中你能把某样东西弄得有多乱之外，我实在想不出有理由设置数千个 [“真实”] 子网^{*参见“脚注”}，任何接近这个 [“真实”] 子网数量的人都是大型跨国公司，其市值超过大多数国家的 GDP，或者是一家大型国家/跨国 ISP/托管服务提供商。在这两种情况下，他们确实都有几十名员工来保持一定程度的秩序。

否则，你根本无法解决这个问题。要么雇佣几十个人来解决这个问题，要么改变网络设计......让问题更少......甚至只需要不到一队系统管理员就能进行远程管理。

老实说，根本就不要尝试。它到处都写着“失败”、“倦怠”和“糟糕的想法”。尝试就像在泰坦尼克号撞上冰山后重新摆放甲板椅一样。你所能取得的任何进步很快就会被沉入几千英尺的冰水中所掩盖和破坏，所以你最好把时间花在躺在甲板椅上，拿点酒和烟，享受你被死亡吞噬前的最后时刻。（我不知道我是不是在打比方，顺便说一句，我认识 3 个 IT 行业的人，他们在 35 岁之前就因为这种疯狂而心脏病发作。）

当然，如果你无法改变上级或网络团队的想法，那么，据我所知，在任何国家，你都无法与公司联姻，所以你最好的选择可能是离开。没有一份工作值得你在 30 岁出头时心脏病发作。

^*脚注：

所谓“真实”子网，我指的是实际使用的子网。我曾身处拥有数千名客户的托管服务环境中，每个客户都会获得一个简单的平面子网，托管服务提供商实际上不会管理或更改该子网，但这听起来绝对不是您的用例。如果是，请告诉我，我可以调整我的答案，因为使用 *AMP 数据库（或 *AMP 类产品）可以轻松处理。

Answer

假设您确实“需要”这些子网并且不能按照@MichaleHampton 在他的出色回答中所建议的那样做......

如果您不喜欢雇用 50 名 AD 管理员的想法，您可以用最近的坚硬钝器打击您的网络管理员，直到他们停止做出这种从根本上糟糕的设计决策。

真的，除了好奇地想看看在实验室或测试环境中你能把某样东西弄得有多乱之外，我实在想不出有理由设置数千个 [“真实”] 子网^{*参见“脚注”}，任何接近这个 [“真实”] 子网数量的人都是大型跨国公司，其市值超过大多数国家的 GDP，或者是一家大型国家/跨国 ISP/托管服务提供商。在这两种情况下，他们确实都有几十名员工来保持一定程度的秩序。

否则，你根本无法解决这个问题。要么雇佣几十个人来解决这个问题，要么改变网络设计......让问题更少......甚至只需要不到一队系统管理员就能进行远程管理。

老实说，根本就不要尝试。它到处都写着“失败”、“倦怠”和“糟糕的想法”。尝试就像在泰坦尼克号撞上冰山后重新摆放甲板椅一样。你所能取得的任何进步很快就会被沉入几千英尺的冰水中所掩盖和破坏，所以你最好把时间花在躺在甲板椅上，拿点酒和烟，享受你被死亡吞噬前的最后时刻。（我不知道我是不是在打比方，顺便说一句，我认识 3 个 IT 行业的人，他们在 35 岁之前就因为这种疯狂而心脏病发作。）

当然，如果你无法改变上级或网络团队的想法，那么，据我所知，在任何国家，你都无法与公司联姻，所以你最好的选择可能是离开。没有一份工作值得你在 30 岁出头时心脏病发作。

^*脚注：

所谓“真实”子网，我指的是实际使用的子网。我曾身处拥有数千名客户的托管服务环境中，每个客户都会获得一个简单的平面子网，托管服务提供商实际上不会管理或更改该子网，但这听起来绝对不是您的用例。如果是，请告诉我，我可以调整我的答案，因为使用 *AMP 数据库（或 *AMP 类产品）可以轻松处理。

Question 3

“学习编写脚本”是一个很好的答案。想必有人在做这些事情时会提前制定计划？根据他们的计划同时在 AD 中创建/修改/等这些站点和子网。

再想想——如果这是“不断发展的”，那么这是否包括这些子网中的用户桌面？如果没有，那么您甚至不需要这样做。如果有，是否有人已经在处理 IP 地址、DHCP 范围等的不断变化？也许您可以委托给他们。

另一个想法 - 如果这些子网并不总是跨 WAN 链接（即，可以超网络化在一起的子网与高速 LAN 连接良好连接），那么只需让站点和子网与超网匹配，不要担心子网级别的这些事情。（编辑 - 这是迈克尔汉普顿在他的回答和链接中所说的同样的事情。）

Answer

“学习编写脚本”是一个很好的答案。想必有人在做这些事情时会提前制定计划？根据他们的计划同时在 AD 中创建/修改/等这些站点和子网。

再想想——如果这是“不断发展的”，那么这是否包括这些子网中的用户桌面？如果没有，那么您甚至不需要这样做。如果有，是否有人已经在处理 IP 地址、DHCP 范围等的不断变化？也许您可以委托给他们。

另一个想法 - 如果这些子网并不总是跨 WAN 链接（即，可以超网络化在一起的子网与高速 LAN 连接良好连接），那么只需让站点和子网与超网匹配，不要担心子网级别的这些事情。（编辑 - 这是迈克尔汉普顿在他的回答和链接中所说的同样的事情。）

Question 4

除了迈克尔·汉普顿提供的答案之外，我想补充以下内容：

在某些情况下，您需要在配置 ADS&S 时考虑如何进行身份验证和资源访问，然后需要相应地配置 ADS&S。例如，假设我有三个地理分散的位置，如下所示：

主办公室：克利夫兰 - 192.168.1.0/24 - 高速以太网连接到卫星办公室，并有两个 DC。低速 WAN 连接到 DR 站点。

DR 站点：阿克伦 - 192.168.2.0/24 - 低速 WAN 连接到主办公室和卫星办公室，并有两个 DC。AD 复制仅限于非工作时间。

卫星办公室：Canton - 192.168.3.0/24 - 高速以太网连接到总部 - 没有 DC。低速 WAN 连接到 DR 站点。

现在，如果我为每个具有 DC 的位置创建一个站点，并仅将这些子网与这些站点关联，那么默认情况下，卫星办公室中的客户端将尝试与 DR 站点中的 DC 建立亲和性并对其进行身份验证，并访问利用 ADS&S 信息的资源（如 DFS），因为 DR 站点是离这些客户端最近的 AD 站点（从第 3 层角度来看），但这不是我想要的，因为 WAN 连接速度低，而且 AD 复制仅在下班后发生，并且主办公室和 DR 站点之间的 AD 可能不一致（触发紧急复制的更改除外）。

因此，我要做的是创建 192.168.3.0/24 子网并将其与总部站点关联。这样，卫星办公室中的客户端就可以与 DC 建立亲和性并对其进行身份验证，然后通过高速以太网连接访问总部站点中的资源，这正是我想要的。

Answer