我的公司使用SaaS产品。 我的收费是我们的公司环境,即用户,计算机和公司办公室的数据中心。 我打算升级我们当前的Active Directory结构。 我有大约65个用户,其中60个来自我们公司的办公室,另外5个来自其各自的国内办事处。 我有五个数据中心在地理上分散在自己的AD Forest中。 我想把一切都放在一个单一的森林里。 这里最好的做法是什么? 他们应该是他们自己的独立森林还是他们应该是父母森林下的领土。 请记住,从公司办公室访问其他数据中心的所有访问权限。
另外,通过提升或从头开始,升级当前的Active Directory环境会更好吗? 两者的优点和缺点是什么?
通常情况下,一旦你到达AD,你想要推广,而不是迁移。 这样你就不必进行计算机账户迁移等等。是否要成为单独的森林(甚至是域)的问题更多地取决于你如何运作。 有些事情要考虑:
问题的关键是:我想要一个多森林基础设施还是一个单一的森林基础设施?
当您需要组织之间的安全边界时,您需要多森林。 域不是安全边界。
回答这个问题,其余的应该很容易。 您希望尽可能less的森林来满足您的安全边界要求。 您希望尽可能less的域来满足您的复制边界要求。
我的理解有点过时,但AD的新版本处理这种情况好一点。 我认为这是一个空的根是一个好主意的情况。 您在森林顶部有一个域(例如… dir.organisation.org),只有DNS和全局目录存在。 然后创build子域(tx.dir.organisation.org,ca.dir.organisation.org等)作为空根的子域。 然后为每个地理上分散的数据中心configuration站点。 全局编录数据将仍然需要在您的WAN链接上进行复制,DNS也会在一定程度上进行更新。 无论这是否适合您的环境,您都必须自己决定。 但是,如果你有这个基础设施,这是我的build议。 这将提供内置的信托和统一账户数据库,这是AD的主要优势之一。
至于升级,我们是提升域function级别的粉丝,然后用DCPROMO将DC降级到成员服务器,用新的操作系统版本重新格式化,然后用DCPROMO重新设置DC。 清洗,冲洗,重复每个DC,直到所有升级。 然后一旦你感到舒服,你的兼容性问题解决了,提高到新的操作系统的function水平。