Design do Active Directory - Domínios por site ou Unidades Organizacionais por site

Navegue suas respostas
3

Eu trabalho para um estabelecimento educacional que atualmente tem três escolas geograficamente separadas, e prestes a abrir uma quarta. Cada escola tem mais de 600 computadores e mais de 1.000 usuários.

No momento, nosso Active Directory está configurado para dividir as escolas em três domínios.

  • escola1.internal
  • school2.school1.internal
  • school3.school1.internal

Cada escola é praticamente independente uma da outra, com muito poucos usuários que precisam atravessar. Existe um grupo de servidores do Exchange, mas com um servidor em cada escola.

O diretor da rede decidiu que ele quer que o Exchange seja gerenciado externamente, já que "School1" mexeu tanto com o deles que não funciona mais corretamente.

A empresa que está fazendo essa terceirização sugeriu que talvez seja melhor ter um domínio com unidades organizacionais separadas para cada site. Meus pensamentos são que eles querem fazer isso, pois é mais fácil para eles.

A maneira como temos corrido nos serviu muito bem, com muito pouco sendo capaz de causar problemas com as outras escolas quando alguém tem um problema, eu preferiria não mudar, já que essa mudança, sem dúvida, pelo menos no começo, introduza alguma instabilidade.

Os três sites estão atualmente conectados por links de 2Mbit, quando a 4ª escola abre, então as escolas serão movidas para um link de 100mbit (este é um projeto separado e mais relacionado a um novo VLE do que como um problema de rede)

Quais seriam os argumentos a favor e contra uma configuração de vários domínios ou uma configuração baseada em UO de localização?

    
por Tubs 08.06.2009 / 11:15

3 respostas

3

Como há poucos requisitos de cruzamento, eu recomendaria configurá-los como sugerido, um domínio com OUs apropriadas abaixo deles.

Se configurar com os "sites" relevantes com pelo menos um controlador de domínio em cada e com pelo menos um Catálogo Global em cada site (nenhuma razão para não ter cada CD como GC)

Depois que você migrar para a WAN de 100 MB / s, mesmo transferências de DFS de alto volume representariam pouco problema.

Mantê-lo como um domínio com vários sites e UOs apropriadas para permissões, instalações, segurança de grupo, etc. significa que todos os controladores de domínio em um site falharão, todas as máquinas, com exceção das máquinas que são especificamente instruídas a examinar um controlador de domínio para autenticação, por exemplo um aplicativo que está consultando um controlador de domínio para serviços LDAP ainda deve ser capaz de fazer logon e usar recursos de rede.

Em um link de 2Mb / s, isso seria abaixo do ideal, mas deveria ser um cenário de ponta, ou seja, a sala do servidor queima, mas a área de comunicação está ok, etc. Em um link de 100Mb / s, como isso é diferente de uma configuração de domínio normal?

    
por 08.06.2009 / 12:04
1

Em termos gerais, eles estão corretos que, quando você cria o AD, deve usar o menor número de domínios possível. Com uma atualização pendente para links de 100Mb, não há nenhuma razão técnica para não fazer isso.

No entanto, você não está criando uma nova floresta, como você bem sabe, então a questão é: existe alguma razão real para que você precise recolher um desenho com o qual você esteja supostamente feliz e que funcione bem, e eu digo não - eu talvez não tivesse desenhado dessa maneira para começar, mas eu não poderia justificar a mudança de mudar isso. Parece que há muito trabalho e o melhor que se pode esperar é que o sistema atualmente em funcionamento continue funcionando. (Eu estou pensando sobre a perspectiva de seus alunos e professores aqui, se a redução seria grande ou suficiente nos custos de suporte ao fazer isso é outra consideração, em separado).

O Exchange pode funcionar muito bem com usuários de vários domínios na mesma floresta, por isso não tenho certeza de por que as pessoas para as quais você está terceirizando o gerenciamento do Exchange estão perguntando sobre isso. Talvez alguém devesse perguntar a eles sua justificativa para pedir que uma grande mudança seja feita em uma configuração que atualmente funciona bem. E se eles disserem que o Exchange precisa, demiti-los, eles não sabem do que estão falando.

    
por 08.06.2009 / 12:06
0

Algumas coisas a considerar (e isso leva em consideração a largura de banda atualizada entre sites):

  • O domínio não é um limite de segurança. Portanto, do ponto de vista da segurança, se eles são administradores de domínio de seus domínios (e não de outros), você chega a uma situação mais segura usando UOs e direitos delegados. Os administradores de domínio podem escalar para invadir a floresta, o que significa que podem ganhar o controle de qualquer outro domínio na floresta.
  • Ao acessar um único domínio, você pode confiar nos DCs de outros sites caso problemas se desenvolvam com os DCs no site. Embora isso seja menos que ideal, eliminaria o requisito de colocar DCs adicionais em outros sites para cada domínio.
  • Há muito a ser dito sobre a manutenção do status quo, pois reduz seu risco e seu trabalho inicialmente. No entanto, considere que, reduzindo-se a um único domínio, muito trabalho fica reduzido a longo prazo, especialmente ao considerar uma atualização do AD para cada domínio. Você estaria olhando para a atualização de 4 domínios no modelo atual. Ao encolher para um domínio, você está fazendo esse upgrade uma vez.
por 11.06.2009 / 15:47

Tags

software de monitoramento do windows server 2003 combinando o monitoramento do SQL Server com as estatísticas CPU-IO O Histórico da Web do Google mostra