我们公司是一家有全球影响力的中小企业。 总部位于新加坡,在台湾,中国,马来西亚,欧洲和美国设有分公司。 但是,这些地方的人员分配是不平衡的。 新加坡,台湾和中国占总人数的90%,而马来西亚,欧洲和美国仅占10%左右。
为了安全起见,我们公司打算实施广告。 由于我对AD很新,所以我现在还在等待你的澄清。
我目前的devise是创build一个森林和许多域控制器,每个域控制器对应一个分支。 但是像马来西亚和欧洲的一些分支只有几名员工。 那么我还应该为这样的分支创build一个专用的域控制器吗? 我们打算只在新加坡build立AD服务器而不是其他地方,这种devise会给海外用户造成延迟吗? 我应该在什么情况下在其他分支机构设置AD服务器? 我们公司推荐哪种方法? 海外员工在总部使用AD服务(如authentication)和交换服务需要VPN吗? 提前致谢。
如果不知道公司站点和networking的确切物理和逻辑布局,则很难具体说明,但是一般而言,每个AD站点中至less应有一个(如果不是两个)域控制器,它应包含一个或多个地理位置相近的安装。
对于VPN,您不应公开您的AD基础设施,因此站点将通过VPN隧道或租用线路(MPLS等)连接。 远程工作人员可以根据需要使用基于客户端的VPN访问networking。
这个问题可能有点局限于你的特定情况。 您应该问的更广泛的问题是:“在devise国际化多站点AD拓扑结构时,应该考虑哪些因素?
我目前的devise是创build一个森林和许多域控制器,每个域控制器对应一个分支
从阅读文档开始。 一个域控制器是一个域控制器 – 除非你在一个森林中创build多个域(可能是一个好主意,可能不是 – 严重的pipe理开销),除了那些具有特殊angular色的angular色以外,它们是相同的)。 在每个DC中存储所有的数据。 他们是GC(全球目录)或不是。
那么我还应该为这样的分支创build一个专用的域控制器吗?
那么,你永远不应该有一个域控制器的东西 – 如果该机器死亡? TWO是最小值,3是非小型操作。 双重冗余。 将此视为初学者pipe理员思考的一个教训。
也就是说,如果需要虚拟化,我会在每个位置放置2-3个DC。
我们打算只在新加坡build立AD服务器而不是其他地方,这种devise会给海外用户造成延迟吗?
是。 它会。 如果因为某种原因networking出现故障,它也会在其他地方发出恶作剧,而且会失败。 微软最近引入了RODC(只读域控制器)作为远程办公室的本地caching。
一台小型电脑不是那么贵,可以充当本地caching和文件服务器,打印服务器等。
海外员工在总部使用AD服务(如authentication)和交换服务需要VPN吗?
不,这不是必要的。 你可以把所有的机器放在公共networking上,并且可以在没有VPN的情况下使用它。 这具有严重的安全(负面)影响,并且在许多公司中将是可燃的进攻。
否则,是连接办公室与VPN设置,这通常是由办公室的路由器处理,所以它是完全透明的用户(和AD等完全无关)是标准的。
鉴于这些都是非常基本的问题,我build议雇用一些具有丰富经验的人来帮助您规划和实施这个环境 – 您将在知识水平上陷入困境并做出一些可疑的决定。 与经验丰富的专业人士一起工作,可以让您学习正确的做法,而不会给您的公司带来任何问题。
您应该阅读Active Directory的IPD(基础架构规划和devise)指南,它将回答您的所有问题。 你可以在这里find它: