我们每个办公室都有多个 AD 站点 (5),它们通过 WAN 连接。大多数办公室都有 2 个虚拟化的 DC。DC 的完美设置是什么?目前每个 DC 都是一个全局目录服务器。这是必要的吗?每个站点只能有一个 DC 作为 GC 吗?
该域名以 2012 模式运行。
答案1
除非您有明确的好理由不这样做,否则每个 DC 都应该是 GC。任何其他配置要么是传统建议,要么是奇怪的东西,例如带有卫星上行链路和 SMTP 站点链接的游轮上的 DC。
如果你遇到了“正常”的情况,就像听起来的那样,只需将所有内容都变成 GC 并完成它即可。
答案2
这是一个棘手的问题,它取决于许多因素,例如:
- 每个网站有多少用户
- 您对远程站点的安全有任何顾虑吗?
- 远程站点上是否有管理员?
- 每个站点的 WAN 速度有多快?
- 您在每个站点之间复制 AD 的频率是多少,复制本身有多大?
这些问题应该可以帮助您设计强大的 AD 网络,对于初学者,我建议遵循以下准则:
- 如果远程站点存在安全问题,则仅使用 RODC,而不是完全可写的 DC
- 如果远程站点的登录时间很慢,则使用通用组成员身份缓存
- 如果你在远程站点有管理员,则将管理委托给他们
- 如果 WAN 网络速度较慢,请尝试将复制拓扑更改为在工作时间之后进行
- 如果您的两个虚拟 DC 都托管在同一物理主机上,那么我建议更改这种情况,因为如果主机出现故障,远程站点上的整个 AD 网络也会出现故障。
还有很多东西需要写,但这些只是我刚刚想到的东西。
编辑:每个站点上有一个 GC 是可以的,这里有关于它的进一步阅读:http://technet.microsoft.com/en-us/library/cc728188(v=ws.10).aspx
希望这可以帮助。