我有一个在一个城市有总部(约150个用户)的组织,在不同的城市有16个分支(高中,每个300-400个用户)。
我必须做的是在公司networking中创build一个AD域。
我被build议做以下事情:
我的问题是
我曾经说过会造成更多的头痛,更多的依赖于组织的逻辑结构而不是物理的。 Howerver,我想听听它的优缺点,在什么情况下更合适。
不,几乎肯定不是。 除非您有一位pipe理员有效访问所有内容的政治压力,否则请坚持一个域名。 有关于使用相同的DNS名称空间的争论,这可能不适合多品牌的跨国公司,但听起来像这不是你的问题。 再次,这是所有bollotics。 在可扩展性方面,AD现在规模非常好。 复制也可以很好地控制。 自Windows 2000 Server以来,事情已经发生了。
一头雾进,多个域增加了运营开销(从日常的用户/组pipe理,审计,安全的AD备份,certificate恢复,等等),但也引入了跨域的configuration不一致的可能性。
单一领域…前进的道路。
在DC发行方面,不要因为每个网站的模式而把微软的两个DC放在一起。 看看你的广域网链接,更具体地说,三angular网站。 如果您有冗余链接,并且这些链接上的MTBF很高,那么不要过度devise。 我不知道你的学校有多大/多less。 但是,如果链路上的延迟很高,则可能需要现场DC。 这整个论点归结为您的广域网为您提供的服务级别。 您可以随时添加额外的DC如果需要的话。 把它们拿走并不是那么直截了当(经验vs理论)。
此外,不要忘记只读域控制器(RODC),它在服务器核心上运行得非常好。 这可能与你无关,因为听起来你的学校是相当自主的,但是如果你的学校比较小,没有/不能做自己的用户pipe理,那么RODC会是太棒了。
总之,让你的bollotics钉,然后得到一个广域网调查sorting。
一般来说,你应该总是尽可能平坦的域结构,最好是单一的域。 分区域应该有明确的业务驱动因素,因为以这种方式“构build”Active Directory系统的技术原因很less。 发生问题时,多个域会造成复杂性,令人望而生畏。 域名有信任,可以打破,并在几乎所有的事情上造成严重破坏。
一些决策标准可能是由政治驱动的。 可能有实体需要控制安全边界; 一个办法就是给他们提供自己的领域。 美国政府就是一个例子,一个部门拥有自己的森林的情况并不less见,各个组织机构都有自己的领域。 除政治之外,其技术理由并不总是令人信服。 在Windows 2008之前,一些诸如密码策略之类的事情可能需要他们自己的域名。 一个技术驱动程序可能是另一个域想要使用Active Directoryfunction域级别,如果它们合并到单个域中,则当前不可用。
有些人认为,某些types的业务部门是独立的领域的候选人,如全资子公司,其战略最终将分拆成一个单独的公司。 或者,如果监pipe要求规定了一个关注点的分离,例如有一个业务部门受到严格的监pipe或财务控制,或者一个业务部门是一个非盈利基金会。