Gerenciando um ambiente do Active Directory com milhares de sub-redes

Você não precisa criar uma nova sub-rede para cada sub-rede da camada 3 que as pessoas da rede criar . Em vez disso, crie sub-redes correspondentes às alocações de endereços IP de todo o site.

Aqui está um exemplo rápido.

Digamos que você tenha dois sites. Vamos chamá-los de "Nova York" e "Mountain View". Toda a alocação de IP de Nova York é 10.187.128.0/22. O Mountain View tem o número 10.187.132.0/22, mas também tem algumas coisas antigas em 10.244.0.0/16.

Os caras da rede dividirão todos esses endereços em minúsculas sub-redes tão pequenas quanto / 29, haverá milhares deles, mas todos eles estão contidos nesses blocos de super-redes.

No entanto, no AD, o site de Nova York precisa apenas da sub-rede definida e o site do Mountain View precisa apenas das duas sub-redes definidas. Eles cobrem todos os endereços IP possíveis dentro de seus respectivos blocos.

Supondo que você realmente "precise" dessas sub-redes e não possa fazer o que @MichaleHampton sugere em sua excelente resposta ...

Se você não gosta da ideia de contratar 50 administradores do AD, você ataca os administradores da rede com o objeto mais duro e contuso até que eles parem de tomar decisões de design tão horríveis.

Não há como você conseguir lidar com isso de outra forma. Ou contratar dezenas de pessoas para resolver isso, ou alterar o design da rede para ... sugar menos ... e ser ainda gerenciável remotamente por menos de um pelotão de administradores de sistema.

Honestamente, nem tente. Tem "falha" e "burnout" e "idéia horrível" escrita por toda parte. Tentando é como reorganizar as cadeiras no Titanic depois que ele atingiu o iceberg. Quaisquer melhorias que você for capaz de realizar em breve serão ofuscadas e desfeitas afundando por vários milhares de pés de água gelada, então seu tempo é provavelmente melhor gasto reclinado nas espreguiçadeiras, pegando um pouco de bebida e fumaça, e aproveitando esses últimos momentos. antes de você ser engolido pela morte certa. (E eu não posso dizer se estou sendo metafórico lá ou não, FWIW, eu conheço 3 caras na área de TI que tiveram ataques cardíacos antes dos 35 anos com esse tipo de insanidade).

E, é claro, se você não pode mudar a mentalidade de seus superiores ou da equipe de rede, bem, você não pode se casar com uma empresa em qualquer país que eu conheça, então a melhor opção é ir embora. Nenhum trabalho vale a pena ter um ataque cardíaco no início dos 30 anos.

^* Nota de rodapé:

Por sub-redes "reais", quero dizer sub-redes que são realmente usadas como tal. Eu estive em ambientes de serviço hospedados com milhares de clientes, onde cada cliente obtém uma sub-rede simples e plana que na verdade não é gerenciada ou alterada pelo provedor de serviços hospedado, mas definitivamente não parece que é o seu caso de uso. Se for, avise-me e posso ajustar minha resposta, porque isso é facilmente manipulado com um banco de dados * AMP (ou * produto semelhante a AMP).

"Aprenda a escrever" é uma boa resposta. Presumivelmente, alguém está fazendo essas coisas com um plano, que é criado com antecedência? Trabalhe a partir do seu plano para criar / modificar / etc esses sites e sub-redes no AD ao mesmo tempo.

Algumas outras reflexões - se isso é "sempre em evolução", isso inclui os desktops dos usuários nessas sub-redes? Se isso não acontecer, você nem precisa fazer isso. Em caso afirmativo, alguém já está lidando com a constante mudança de endereços IP, escopos DHCP, etc? Talvez você possa delegar para eles.

Outro pensamento - se essas sub-redes não estiverem sempre em links WAN (ou seja, as sub-redes que podem ser super-conectadas estiverem bem conectadas a conexões LAN de alta velocidade), faça os sites e sub-redes corresponderem às supernets preocupe-se com essas coisas no nível da sub-rede. (edit - esta é a mesma coisa que Michael Hampton está dizendo em sua resposta e link.)

Além da resposta fornecida por Michael Hampton, gostaria de acrescentar o seguinte:

Há cenários em que você precisa pensar sobre como deseja que o acesso a autenticação e recursos funcione quando você está configurando o ADS & S e, em seguida, precisa configurar o ADS & S de acordo. Por exemplo, digamos que eu tenha três locais geograficamente dispersos como:

Escritório principal: Cleveland - 192.168.1.0/24 - Conexão Ethernet de alta velocidade ao escritório satélite e possui dois DC's. Conexão WAN de baixa velocidade para o site de DR.

DR Site: Akron - 192.168.2.0/24 - conexões WAN de baixa velocidade para a sede e escritório satélite e possui dois DC's. A replicação do AD é restrita a horas de folga.

Satellite Office: Canton - 192.168.3.0/24 - Conexão Ethernet de alta velocidade com o escritório principal - Não possui DC's. Conexão WAN de baixa velocidade para o site de DR.

Agora, se eu criar um site para cada local que tenha DCs e associar apenas as sub-redes a esses sites, por padrão, os clientes no escritório satélite tentarão estabelecer afinidade e autenticar os DCs no site de DR e acessar recursos que utilizam informações de ADS e S (como DFS) em virtude do fato de que o site de DR é o site AD mais próximo a esses clientes (do ponto de vista da camada 3), que não é o que eu quero por causa da conexão WAN de baixa velocidade e o fato de que a replicação do AD só ocorre depois do horário comercial e do AD provavelmente é inconsistente entre o escritório principal e o site de recuperação de desastres (exceto para as alterações que acionam a replicação urgente).

Então, o que eu faria é criar e associar a sub-rede 192.168.3.0/24 ao site do escritório principal. Isso permite que os clientes no escritório do Satellite estabeleçam afinidade e autenticação aos DCs e acessem recursos no site do escritório principal por meio da conexão Ethernet de alta velocidade, que é o que eu quero.