Quando outro domínio do AD deve ser criado apenas para reduzir o tráfego de replicação

Navegue suas respostas
2

Estou passando por alguns cenários hipotéticos de design do AD para fins de aprendizado.

Digamos que eu tenha um domínio e dois locais físicos, sites e DCs. Os sites são conectados através de um link de WAN de largura de banda limitada (digamos 1mbps ou como um único T1).

Agora, digamos que eu tenha milhares de usuários em cada local. O tráfego de replicação seria reduzido se eu tivesse 2 domínios em vez de apenas 2 sites. Mas quantos milhares de usuários seriam necessários para que essa fosse uma solução eficiente (supondo que ainda haja apenas um departamento de TI e não haja necessidades políticas / operacionais para a separação)?

Estou realmente tentando criar um cenário em que você deseje criar um domínio adicional apenas para reduzir o tráfego de replicação. Isso tudo acontece com o IRL? A Microsoft recomenda um único domínio do AD sempre que possível devido à sobrecarga administrativa adicionada. Também não tenho certeza se meu cenário se sustenta devido ao fato de que uma empresa com milhares de usuários provavelmente tem bastante dinheiro para comprar apenas um tubo mais gordo e manter a infraestrutura de domínio único.

edit: Desculpe pela pergunta hipotética que eu provavelmente deveria ter perguntado "eu precisaria de outro domínio se não tivesse limites políticos ou de segurança para me preocupar". Eu acho que o que o Ryan disse sobre o Mestre de Infraestrutura cair em obsolescência é interessante. Embora o antigo "porque não é o domínio X na floresta multi-domínio da Contoso sendo atualizado" é uma questão menos do exame de brinde.

    
por red888 10.09.2014 / 19:27

2 respostas

8

Baseada principalmente em opiniões? Eu acho que existem muitos fatores e variáveis para realmente poder responder definitivamente a isso. E as respostas normalmente seriam baseadas em anedotas.

Não, quase nunca acontece IRL.

Sim, você deve se ater a uma única floresta de domínio, a menos que tenha uma boa razão para não fazer isso.

10-15 anos atrás, estava na moda criar um "domínio raiz da floresta vazia" que essencialmente não continha nada, e então um subdomínio da raiz da floresta que realmente continha as contas de usuário do funcionário etc. No entanto, não vejo que o design em novas implementações é muito mais importante, e quando vejo esse design é um ambiente legado que os administradores não desejavam que fosse projetado dessa maneira. A Microsoft também parou de recomendar esse design. Esse design não foi projetado para controlar a largura de banda de replicação, mas meu ponto é que florestas de domínio único são o caminho do futuro.

Honestamente, eu não ficaria surpreso se o FSMO da Infrastructure Master eventualmente desaparecer como uma função vestigial no Active Directory ... como um dedo mindinho.

Sim, o tráfego de replicação entre domínios diferentes normalmente será menor que a replicação dentro do domínio. Mas exatamente quanto depende de muitas variáveis.

Exatamente quanto tráfego de replicação você gera se baseia não apenas em quantos usuários e computadores você tem, mas com que frequência as atualizações estão sendo feitas nesses objetos. Especialmente nas versões recentes do Active Directory que usam replicação de valores vinculados, a replicação do AD é geralmente entre os consumidores de largura de banda mais baixos da sua rede.

    
por 10.09.2014 / 19:37
5

Eu diria "nunca". Supondo que eles estivessem na mesma floresta, você ainda teria a replicação do GC e tenho certeza de outras coisas. Você sempre pode ajustar sua replicação entre sites para reduzir o impacto da replicação.

O único cenário em que eu conseguia pensar era se eles estivessem totalmente desconectados, o que obviamente seria uma ocorrência rara na vida real (laboratório, lacuna de segurança) e você projetaria isso.

    
por 10.09.2014 / 19:37

Tags

Evitar o fechamento do encaminhamento de porta local SSH duas máquinas com o mesmo endereço IP público mas diferentes máscaras de sub-rede [duplicado]