我们公司是一间跨国中小企业,总部在新加坡,在台湾、中国、马来西亚、欧洲、美国都有分公司,不过员工分布不均,新加坡、台湾、中国占了90%,而马来西亚、欧洲、美国只占10%左右。
为了安全起见,我们公司打算实施 AD。由于我对 AD 还很陌生,目前有几个问题需要您解答:
我目前的设计是创建一个森林和多个域控制器,每个域控制器对应一个分支。但是,有些分支,比如马来西亚和欧洲的分支,只有少数员工。那么我还应该为这些分支创建一个专用的域控制器吗?我们打算只在新加坡设置 AD 服务器,而不在其他地方设置,这种设计会给海外用户带来延迟吗?在什么情况下我也应该在其他分支设置 AD 服务器?哪种方法适合我们的公司?海外员工使用总部的 AD 服务(例如身份验证)和交换服务是否需要 VPN?提前致谢。
答案1
如果不知道公司站点和网络的确切物理和逻辑布局,就很难具体说明,但一般来说,每个 AD 站点应该至少有一个(如果不是两个)域控制器,这应该包含一个或多个地理位置接近的安装。
关于 VPN,您不应公开暴露您的 AD 基础设施,因此站点将通过 VPN 隧道或租用线路(MPLS 等)连接。远程工作人员可以根据需要使用基于客户端的 VPN 访问网络。
这个问题可能有点太过局限在你的具体情况中了。你真正应该问的更广泛问题是“在设计国际、多站点 AD 拓扑时,我应该考虑哪些因素?”
答案2
我当前的设计是创建一个林和多个域控制器,每个域控制器对应一个分支
首先阅读文档。域控制器就是域控制器 - 除非您在林中创建多个域(这可能是个好主意,也可能不是 - 管理开销很大),否则除了具有特殊角色的域外,它们是相同的)。因为每个 DC 都存储所有数据。它们是否是 GC(全局目录)。
那么我还应该为这样的分支创建一个专用的域控制器吗?
好吧,你永远都不应该只为任何东西设置一个域控制器——如果那台机器坏了怎么办?两个是最低要求,对于非小型操作则需要三个。双重冗余。将此视为初级管理员思维的一个教训。
也就是说,如果需要虚拟化的话,我会在每个位置放置 2-3 个 DC。
我们打算只在新加坡设立 AD 服务器,不在其他地方设立,这样的设计会不会对海外用户造成延迟?
是的。它会。如果互联网因某种原因中断,它还会对其他位置造成破坏,并且它会失败。微软最近推出了 RODC(只读域控制器),以充当远程办公室的本地缓存。
一台小型计算机并不昂贵,可以充当本地缓存和文件服务器、打印服务器等。
海外员工使用总部AD服务(如认证)和Exchange服务是否需要VPN?
不,这不是必要的。你可以把所有机器放在公共互联网上,这样他们就可以在没有 VPN 的情况下使用它。这会带来严重的安全(负面)影响,在许多公司中,这都是一种可被解雇的罪行。
否则,是的,使用 VPN 设置连接办公室是标准做法,这通常由办公室的路由器处理,因此对用户来说完全透明(与 AD 等完全无关)。
鉴于这些都是非常基本的问题,我建议聘请更有经验的人来帮助您规划和实施此环境 - 您将遇到很多麻烦,并会根据自己的知识水平做出一些令人质疑的决定。与经验丰富的专业人士合作将让您学会正确的做事方式,而不会在此过程中给您的公司带来麻烦。
答案3
您应该连续阅读 Active Directory 的 IPD(基础架构规划和设计)指南,它将回答您的所有问题。您可以在此处找到它: