具有多个分支的 Active Directory 设置

具有多个分支的 Active Directory 设置

我希望开始使用 AD,之前只简单使用过一次。

我们的业务目前完全不使用 AD,但是,我们正在考虑设置它。我们有一个总部分支机构,然后大约有 8 个分支机构,将来可能会更多(最多约 20 个左右)...

只是想知道在其上运行 AD 的 Windows 服务器的最佳设置方法是什么。我见过一些人说站点,一些人说森林,还有一些人说只使用站点到站点 VPN。最有效的方法是什么?此外,如果我确实使用站点并且每个站点都有一个 DC,我是否需要为每个 DC 支付许可费用?

答案1

解决方案可以涵盖所有方面,从单个 DC 和站点到站点 VPN,到每个站点的冗余 DC。如果您还不是 AD 的重度用户,我会研究 Azure AD,看看它是否适合您的需求。您不必许可、安装或维护任何硬件。Azure AD 包含在 E3 或 E5 中(针对围绕 Office 365 构建业务流程的中型和大型企业的热门计划)。我强烈建议您与当地顾问或 MSP(托管服务提供商)讨论您的具体情况(FD:我在 MSP 工作)。

答案2

我支持前面的回应,直接跳过它。原因如下:

  1. 您实际上会将 AD 用于什么用途?如果是一家成熟的企业,您显然没有本地 Exchange,可能也没有文件/打印功能。也许有一些支持 AD 的业务线应用程序/数据库,但不支持 Azure,并且会受益于集中式身份验证。但如果 AD 没有用例,请不要使用它。

  2. 您显然对 AD 了解不多。仅从您提到的一句话中可以得出 AD 设计选择的部分列表:每个 AD 实例都由一个林和至少一个域组成(如今通常只有一个域);AD 站点实际上与物理位置无关;如果您在连接良好的位置拥有多个 DC,则可以将它们全部放在同一个默认“站点”中(客户端使用 DC 进行身份验证所需的所有端口都是 DC <-> DC 通信所需的);但是,为企业运行单个 DC 充其量是有风险的。因此,如果您至少有两个位置,则应该使用它们来传播您的 DC。这甚至没有触及设计 AD 站点拓扑的表面,更不用说创建/管理 AD 林及其用户所涉及的任何其他问题了。
    (还有一个问题 - 您在这些地方有服务器机房吗?或者您是否将服务器放在办公室文具柜中,在那里它们可能会过热,被清洁工或正在给手机充电的人关闭,或者被任何路人偷走 - 包括所有安全信息,如帐户 ID 和密码?)

  3. 它引入了许可等方面的复杂性——AD 服务器操作系统将如何获得许可?虽然 Office 的 E3/E5 许可证并不便宜,而且无论哪种许可证都涵盖 Windows(和 Defender?),但如果您使用的是 Office 产品(包括 Exchange Online 和/或 Sharepoint Online/Teams),您可能会发现走这条路并使用 365 许可更经济。如果您只是在 AzureAD 中“加入”您的 Windows 设备并在那里管理它们和用户,则不需要 AD。如果您不想要 365 服务,您需要“客户端访问许可证”(CAL)来允许您的用户(和 Windows 计算机)使用 Active Directory。我认为您可以使用一个 Windows Server 许可证获得 10 个开箱即用的 CAL。每个用户必须至少有一个 CAL。如果您使用的是本地 Exchange 或 SQL 等产品,则需要额外的每个产品 CAL。

  4. 还有很多其他考虑因素,主要取决于为什么你绝对会想要它。

过去几年,我建立了一个全新的 AD,目的是从具有本地服务的现有 eDirectory 环境迁移到支持与 365 服务(包括 EXO/Teams/SPO 等)集成的环境。诸如此类的事情,或者创建一个以本地为主的环境,其中包含与 AD 集成的文件/打印/应用程序服务,几乎是我现在建议建立新 AD 的唯一原因。尤其是对于小型企业,如果没有内部专业知识,更是如此。

相关内容