我公司正在考虑实施Active Directory和Windows Server来pipe理我们的本地networking和工作站。 寻求的主要好处是机器的集中pipe理,安全策略和漫游configuration文件。
当使用Windows Server用于这些目的时,从云(即Rackspace)运行Windows Server是否有意义,还是必须始终在本地运行?
漫游用户configuration文件将是痛苦的通过互联网使用。 文件夹中的任何大量文件(AppData文件夹是臭名昭着的)将在login和注销期间导致configuration文件同步中令人痛苦的延迟。 由于configuration文件被复制的方式(文件的文件)延迟会影响到这一点,但只要您使用SMBv2,延迟将不会像在SMBv1客户端上那样产生如此大的影响。
如果您的计算机与域控制器之间的延迟时间很长,您也将看到与组策略应用程序相关的潜在的长时间启动和login时间。 在组策略申请过程中有很多往返。 延迟将成为这个杀手,而不是带宽。
最近login的最后几个用户即使没有Internet连接也可以login到客户端计算机(只要在客户端中保留默认的caching凭据设置)。 如果用户在计算机之间移动或试图login到以前从未使用的计算机(“热桌面”环境,比计算机等用户多),则可能会在域控制器计算机不正常login时看到问题不可达。
我最近从网上的人那里得到了很多请求,让我帮助他们,坦率地说,我不明白收益,因为你已经把PC连接到局域网了。 (我可能可能会看到一家公司在完全地理分布的“分支”方面获得回报,但这是完全不同的咆哮。)
小型服务器计算机和Windows许可证的摊销成本(比方说,3年的生命周期)应远远低于在同一时间段内在“云”中托pipe服务器的总费用总和。 在任何情况下,您都需要为“Active Directory”和“服务器pipe理”支付“云”提供商,承包商或员工的费用,因此“云”不会神奇地使这笔费用消失。
还有备份和灾难恢复担心。 仅仅因为服务器在“云端”并不意味着它被备份,如果是的话,这并不意味着这些备份在地理上是分布式的,并且是离线存储的。 最后,将您的Active Directory放置在防火墙之外的整个安全问题与您可能没有对networking过滤策略的细粒度控制,以及拒绝服务攻击的可能性相当大有关。
就个人而言,我宁愿有一个低成本的服务器计算机坐在我的局域网和一个VPN(DirectAccess,最好)为客户端使用,而不是离开现场服务器。 我觉得在本地存储合理数量的数据要比在“云”(使用“云”进行备份,而不是主存储,这里不是我在这里讨论的)要舒适得多。
为了比较起见,我预计戴尔1U低端机架式服务器将配备一对或小型(250-500GB)SATA或近线SAS驱动器,并采用RAID-1configuration,并具有3年下一工作日的保修期,运行Windows小企业服务器Essentials 2011,花费在$ 2,250.00到$ 2,500.00附近。
在$ 3,000.00(build立一个小小的“模糊因素”),每月支付83.33美元的费用来购买机器和软件,并在保修期内运行。
编辑:
用“云”这个简单的词作为一种“魔法小精灵”似乎让人忘记了与托pipe服务器计算机相关的复杂性。 当你将合理简单的小型办公室服务器外包给“云服务提供商”时,你会让简单的小型办公室服务器变得更为复杂(假设托pipe服务提供商正在利用规模经济并利用其硬件和networking连接整个客户群)。 将服务器外包给“云”时,您的需求将保持不变,但提供商承担制造比小型办公室服务器更复杂的系统的负担,以满足您的需求。 您将获得小型办公室服务器的所有优势,并结合大型分布式系统的所有风险!
每当我在市场营销文学中读到“云”,我就用这些词replace一个词组。 例如,当我读到“在云中托pipe我们的电子邮件”时,我确实看到“在我无法控制的物理环境中,托pipe我们的电子邮件服务器可通过networking以不可预知的延迟和带宽访问,并且不能保证连接。质量未知的硬件或维护的硬件,可能随时根据他人的意愿而变得无法访问。“
你可以做到这一点。 如果我是你,我只会这样做,如果:
我没有看到任何问题,但你应该在每个站点都有一个对等DC。 在VPS上安装PDC可能会有很大的意义(比本地托pipe的服务器更好的SLA)。 我想你会想把所有东西都放在一个安全的通道上,某种IPSEC VPN。 确保您考虑AD站点configuration。
将DFS用于漫游configuration文件和/或复制常用文件。
完成上述操作后,不需要快速的互联网链接。