服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用数千个子网pipe理Active Directory环境
Intereting Posts
Apache 2.4 + PHP-FPM + mod_fastcgi(设置PHP-FPM的问题) Postfix qmgr进程导致邮件服务器过载 Kubernetes节点度量标准端点返回401 LDAP + TLS – 两台机器上的不同行为 是否有可能编写一个htpasswd文件,将某些用户redirect到某些目录? 如何在Ubuntu 12.04中configuration和使用qemu-guest-agent? 我的主要目标是从主机获取访客虚拟机的IP地址 亚马逊ec2实例中的出站stream量不工作 proftpd对debian:超级用户和简单的用户与他们的文件夹 如何破解机场极端,支持USB 3G调制解调器? 用户无法删除文件夹/文件“正在由其他用户使用的文件”Server 2003 Apache:从http.conf移动到apache2.conf Windows 2008 R2任务计划程序由于未知原因触发了一个事件 Linux的diff命令选项 它无法确定来自目标计算机wsman的HTTP响应的内容types libvirt qemu / kvm迁移问题

使用数千个子网pipe理Active Directory环境

我们大多数人都知道我们需要创build子网对象并将它们关联到Active Directory中的站点对象。 这使站点A中的客户端对站点A中的域控制器进行身份validation,获得正确的DFS引用等。

如何在具有数千个子网的环境中pipe理这个问题? 从字面上看, 数千个不断发展的子网被添加和移走。

理想情况下,答案不应该是“雇用50名pipe理员”。

您不需要为networking人员创build的每个第3层子网创build一个新的子网 。 而应创build与整个站点的IP地址分配相对应的子网。

这是一个简单的例子。

假设你有两个网站。 我们称之为“纽约”和“山景”。 纽约的全部IP分配是10.187.128.0/22。 山景有10.187.132.0/22,但在10.244.0.0/16还有一些旧的泥土。

networking人员将把所有这些地址划分成小/ 29的小子网,其中将会有成千上万的子网,但是它们都包含在这些超网中。

在AD中,纽约站点只需要定义一个子网,Mountain View站点只需要定义两个子网。 它们涵盖了各自块内的所有可能的IP地址。

假设你实际上“需要”这些子网,并且不能像@MichaleHampton在他的出色答案中所build议的那样。

如果您不喜欢雇用50位ADpipe理员的想法,那么您就可以用最近的硬性钝器打你的networkingpipe理员,直到他们停止做出如此糟糕的devise决策。

真的,我可以想象成千上万个真正的子网没有任何理由。除了看到你在实验室或testing环境中可以弄出多大的混乱,以及任何人这种方法认为[“真正的”]子网数量庞大,市值超过大多数国家的国内生产总值,或者是一个庞大的国家/跨国ISP /托pipe服务提供商。 在这两种情况下,他们确实有几十个员工来保持一定的sorting。

否则就没有办法能够处理这个问题。 要么雇用几十个人把它整理出来,要么把networkingdevise改变为……less吸收,甚至可以通过不到一排的系统pipe理员来进行远程pipe理。

老实说,甚至不要尝试。 它写满了“失败”,“倦怠”和“可怕的想法”。 尝试就像在泰坦尼克号撞上冰山之后重新安排躺椅。 任何你能做到的改进,都将很快被几千英尺的冰冷的水所覆盖,所以你的时间可能会更好,躺在躺椅上,抓起酒和烟,享受最后的时光在你被某种死亡吞没之前。 (我不知道我有没有隐喻,FWIW,我知道有3个人在这种精神错乱之前曾经有35次心脏病发作。)

当然,如果你不能改变你的上司或networking团队的意见,那么你不能在我所知道的任何一个国家与公司结婚,所以你最好的select就是离开。 30年代初,没有工作值得心脏病发作。

* 脚注:

通过“真正的”子网,我的意思是说实际上使用的子网。 我已经在成千上万的客户的托pipe服务环境中,每个客户都得到一个简单的,平坦的子网,这个子网并没有被托pipe服务提供商实际pipe理或更改,但是这绝对不像是您的使用案例。 如果是这样,让我知道,我可以调整我的答案,因为这是相当容易处理一个* AMP数据库(或* AMP类产品)。

“学习脚本”是一个很好的答案。 据推测,有人正在做一个计划,这是事先创build的这些东西? 根据他们的计划,同时在AD中创build/修改这些网站和子网。

还有一些想法 – 如果这是“不断发展的”,是否包括这些子网中的用户桌面? 如果没有,那么你甚至不需要这样做。 如果是这样,是否有人已经在处理不断变化的IP地址,DHCP范围等? 也许你可以委托给他们。

另一个想法是,如果这些子网并不总是通过WAN链路(即可以超级链接在一起的子网与高速LAN连接良好连接),那么只需使网站和子网与超网相匹配,而不必担心这些在子网级别的东西。 (编辑 – 迈克尔汉普顿在他的回答和链接中是这样说的。)

除了迈克尔汉普顿提供的答案之外,我还想补充一下:

在configurationADS&S时,您需要考虑如何使身份validation和资源访问能够正常工作,然后您需要相应地configurationADS&S。 举一个例子,假设我有三个地理位置分散的地点:

总部:克利夫兰 – 192.168.1.0/24 – 高速以太网连接到卫星办公室,有两个DC。 与DR站点的低速广域网连接。

DR站点:Akron – 192.168.2.0/24 – 与主办公室和卫星办公室的低速WAN连接,并且有两个DC。 AD复制被限制在非工作时间。

卫星办公室:Canton – 192.168.3.0/24 – 到主办公室的高速以太网连接 – 没有DC。 与DR站点的低速广域网连接。

现在,如果我为每个具有DC的位置创build一个站点,并且只将那些子网与这些站点相关联,那么默认情况下,卫星办公室中的客户端将尝试build立与DR站点中的DC的关联和authentication并访问利用ADS&S信息(如DFS),这是因为DR站点是距离这些客户端最近的AD站点(从第3层angular度来看),这不是我想要的,因为低速WAN连接和AD复制只发生在几个小时之后,主办公室和灾难恢复站点之间的AD可能不一致(触发紧急复制的那些更改除外)。

所以我会做的是创build和关联192.168.3.0/24子网与主办公室的网站。 这使得卫星办公室的客户端可以通过高速以太网连接与DCbuild立关系并进行身份validation,并访问总部站点的资源,这正是我想要的。