我在澳大利亚各地有 6 个站点。所有 6 个站点都通过网状 VPN 网络连接,可以互相看到。
现在,总部的一个域上有 2 台 AD 服务器(1 台备份)。其他所有服务器都在各自的域上拥有自己的服务器。
例子 :
总部 - 2008R2 域 - office1.local(30 个用户)分支机构 1 - 2008R2 域 - office2.local(10 个用户)分支机构 2 - 2008R2 域 - office3.,local(10 个用户)等等
每个分支机构的每台服务器都拥有大量的文件存储空间,并且工作人员希望快速访问这些文件,因此服务器必须驻留在每个分支机构本地。
由于我即将更换所有分支机构(服务器和台式机)的所有硬件,因此我有能力进行一些改变,希望使其变得更好。
问题。
就域设置而言,最佳方案是什么?我应该将它们全部保留在单独的域中吗?我应该将分支服务器设置为总部主服务器的辅助 AD 服务器吗?我应该将所有 PC 放在总部域中并从那里进行复制吗?
这样的域网络的最佳实践是什么?
期待您的帮助。
答案1
最佳做法是拥有满足您需求的最少域名数量。听起来您可以拥有一个。
什么是 Active Directory 域服务以及它如何工作?
您需要认真阅读一些有关 AD 的资料,因为当您说您有一个“备份” DC 并且您可能需要“辅助” DC 时,您的术语是错误的。
在每个办公室放置一个本地 DC,作为您单个域的一部分;该 DC 也可以是文件服务器。或者放置 Hyper-V 并拥有 DC 客户端和文件服务器客户端 - 这样更安全一些。
答案2
我曾经遇到过类似的情况,有 15 个办事处和一个 CoLo 设施。我们用 MPLS 网络替换了 VPN 网状网络,并整合到一个域中。我们总共为大约 250 名用户提供服务,我们的系统运行得更好。通过合并目录部署设置,并通过组策略一次性部署设置,我们在用户和工作站设置和管理上节省了大量时间。
我个人建议不要使用单独的域,除非您要管理单独的站点,每个站点有 250 个以上的用户,并且您已委派管理员来管理每个站点,并且您对这种安全性有要求。Active Directory 可扩展到数十万个对象,然后您才真正需要担心扩展问题。
您还需要担心的另一件事是站点之间的连接性,并确保站点能够根据您的墓碑设置每 30-60 天至少复制一次。
答案3
这完全取决于您的域有多大,以及 VPN 连接有多快。如果连接速度很慢,单个域中发生太多更改可能会导致复制延迟。如果您的连接良好,并且帐户/更改数量相对较少,请始终选择单个域以降低管理开销。