出于学习目的,我正在研究一些假设的 AD 设计场景。
假设我有一个域和两个物理位置、站点和 DC。站点通过有限带宽 WAN 链路连接(例如 1mbps 或单个 T1)。
现在假设我在每个位置都有数千名用户。如果我有 2 个域而不是只有 2 个站点,复制流量就会减少。但是,需要多少千名用户才能使其成为有效的解决方案(假设仍然只有一个 IT 部门,并且没有政治/运营分离需求)?
我只是想设想一种场景,即您想要创建一个额外的域,目的只是为了减少复制流量。这在现实生活中是否会发生?由于增加了管理开销,Microsoft 建议尽可能使用单个 AD 域。此外,我不确定我的场景是否可行,因为拥有数千名用户的公司可能有足够的资金购买更大的管道并保留单个域基础设施。
编辑:抱歉,我问了一个假设性问题,我可能应该问“如果我没有任何政治或安全边界需要担心,我是否需要另一个域”。我认为 Ryan 所说的基础设施主控过时了,这很有趣。不过,老问题“为什么 Contoso 的多域林中的域 X 没有更新”已经不是免费考试问题了。
答案1
主要基于观点?我认为有太多因素和变量,无法真正客观地回答这个问题。答案通常是基于轶事的。
不,这种事在现实生活中几乎不会发生。
是的,您应该坚持使用单一域林,除非您有非常充分的理由不这样做。
10-15 年前,创建一个“空的林根域”是一种时尚,它基本上什么都不做,然后创建一个实际上保存员工用户帐户的林根子域等。但是,我再也看不到这种设计在新的实施中了,当我看到这种设计时,它是一种遗留环境,管理员不希望它被设计成那样。微软也不再推荐这种设计。这种设计并不是为了控制复制带宽,但我的观点是,单域林是未来的发展方向。
老实说,如果基础设施主控 FSMO 最终作为 Active Directory 中的残留角色而消失,我不会感到惊讶......就像小指一样。
是的,不同域之间的复制流量通常会小于域内复制。但具体减少多少取决于很多变量。
您产生的复制流量的确切数量不仅取决于您拥有的用户和计算机数量,还取决于对这些对象的更新频率。特别是在使用链接值复制的最新版本的 Active Directory 中,AD 复制是通常您网络上带宽消耗最少的人之一。
答案2
我会说“永远不会”。假设它们位于同一个林中,您仍然会有 GC 复制,而且我确信还有其他东西。您始终可以调整站点之间的复制以减少复制的影响。
我能想到的唯一情况是它们完全断开连接,这在现实生活中显然很少见(实验室,安全的气隙),你会为此进行设计。