Наша компания - это МСП с глобальным присутствием. Штаб-квартира находится в Сингапуре, с филиалами в Тайване, Китае, Малайзии, Европе и США. Однако распределение посохов в этих местах неравномерное. На Сингапур, Тайвань и Китай приходится 90% от общей численности персонала, тогда как на Малайзию, Европу и США приходится только около 10%.
В целях безопасности наша компания намеревалась внедрить AD. Поскольку я новичок в AD, в настоящее время я застрял на нескольких вопросах, ожидая вашего разъяснения:
В моем текущем проекте создается один лес и несколько контроллеров домена, причем каждый контроллер домена соответствует одной ветви. однако в некоторых филиалах, например, в Малайзии и Европе, всего несколько сотрудников. Стоит ли мне создавать один выделенный контроллер домена для такой ветви? Мы намерены установить сервер AD только в Сингапуре, но не в другом месте, вызовет ли такая конструкция задержку для зарубежных пользователей? В какой ситуации мне следует установить сервер AD и в других ветках? Какой подход рекомендуется нашей компании? Требуется ли VPN для зарубежных сотрудников для использования службы AD (например, аутентификации) и службы обмена в штаб-квартире? Заранее спасибо.
В моем текущем проекте создается один лес и несколько контроллеров домена, причем каждый контроллер домена соответствует одной ветви.
Начните с чтения документации. Контроллер домена - это контроллер домена - если вы не сделаете несколько доменов в лесу (может быть хорошей идеей, может быть, нет - серьезные административные издержки), они идентичны, за исключением тех, которые имеют особые роли). Так как в каждом DC хранятся все данные. Они GC (глобальные каталоги) или нет.
Стоит ли мне создавать один выделенный контроллер домена для такой ветви?
Что ж, вам НИКОГДА не нужно иметь один контроллер домена для чего-либо - что, если эта машина умрет? ДВА - минимум, 3 - для немалой операции. Двойное резервирование. Считайте это уроком мышления начинающего администратора.
Тем не менее, я бы разместил 2-3 DC в каждом месте - если нужно, виртуализированный.
Мы намерены установить сервер AD только в Сингапуре, но не в другом месте, вызовет ли такая конструкция задержку для зарубежных пользователей?
Да. Так и будет. Это также нанесет хаос в других местах, если Интернет по какой-то причине отключится, и он БУДЕТ терпеть неудачу. Microsoft недавно представила RODC (контроллеры домена только для чтения), которые действуют как локальные кэши в удаленных офисах.
Маленький компьютер не такой уж и дорогой, может выступать в роли локального кеш-сервера и файлового сервера, сервера печати и т. Д.
Требуется ли VPN для зарубежных сотрудников для использования службы AD (например, аутентификации) и службы обмена в штаб-квартире?
Нет, НЕ ОБЯЗАТЕЛЬНО. Вы можете разместить все машины в общедоступном Интернете, и они смогут использовать его без VPN. Это имеет серьезные (негативные) последствия для безопасности и может стать правонарушением для многих компаний.
В противном случае да, стандартно подключать офисы с помощью настройки VPN, которая часто выполняется маршрутизаторами офисов, поэтому она полностью прозрачна для пользователя (и совершенно не имеет отношения к AD и т. Д.)
Учитывая, что это довольно простые вопросы, я бы посоветовал нанять кого-то с большим опытом, чтобы помочь вам с планированием и реализацией этой среды - вы столкнетесь с множеством проблем и примете некоторые сомнительные решения с вашим уровнем знаний. Работа с опытным профессионалом позволит вам узнать, как правильно делать вещи, не создавая при этом проблем для вашей компании.
Трудно быть конкретным, не зная точного физического и логического макета сайтов и сетей вашей компании, но в целом у вас должен быть хотя бы один, если не два контроллера домена на каждом сайте AD, который должен охватывать одну или несколько географически близких установок. .
Что касается VPN, вам не следует публично раскрывать свою инфраструктуру AD, поэтому сайты будут подключаться через VPN-туннели или выделенные линии (MPLS и т. Д.). Удаленные сотрудники могут использовать клиентскую VPN для доступа к сети по мере необходимости.
Этот вопрос, вероятно, слишком привязан к вашей конкретной ситуации. Более широкий вопрос, который вам действительно следует задать, - это «Какие факторы следует учитывать при разработке международной многосайтовой топологии AD?»
Вам следует прочитать руководство IPD (Infrastructure Planning and Design) для Active Directory подряд, оно ответит на все ваши вопросы. Вы можете найти это здесь: