У меня есть организация, имеющая головной офис (около 150 пользователей) в одном городе и 16 филиалов (средние школы, по 300-400 пользователей в каждом) в каждом городе.
Что мне нужно сделать, так это создать домен (ы) в AD для корпоративной сети.
Мне предложили сделать следующее:
У меня вопрос
Мне сказали, что это вызовет больше головной боли и больше зависит от логической структуры организации, чем от физической. Howerver, хотелось бы услышать плюсы и минусы этого, и в каких случаях он более подходит.
Нет, почти наверняка нет. Если у вас нет политического давления с точки зрения того, что один администратор фактически имеет доступ ко всему, придерживайтесь одного домена. Существуют аргументы относительно использования одного и того же пространства имен DNS, которое может не подходить для мультибрендовой транснациональной компании, но похоже, что это не проблема для вас. Опять же, это все болотное дело. Что касается масштабируемости, AD теперь очень хорошо масштабируется. Репликацией тоже можно довольно хорошо управлять. После Windows 2000 Server все изменилось.
Если перевернуть вопрос с ног на голову, то несколько доменов увеличивают операционные издержки (от повседневного управления пользователями / группами, аудита, защиты резервных копий AD, подтверждения восстановления и т. Д.), Но также создают возможность несогласованности конфигурации между доменами.
Единый домен ... путь вперед.
Что касается размещения DC, не слишком увлекайтесь моделью Microsoft с двумя DC на сайт. Посмотрите на свои WAN-ссылки и, в частности, на триангуляцию по сайтам. Если у вас есть избыточные ссылки, и среднее время безотказной работы на этих каналах велико, не переусердствуйте без необходимости. Я не знаю, насколько велики / автономны ваши школы. Однако, если задержка на ваших ссылках высока, возможно, потребуются локальные контроллеры домена. Весь этот аргумент сводится к уровню обслуживания, который предоставляет вам ваша глобальная сеть. При необходимости вы всегда можете добавить дополнительные контроллеры домена. Убрать их не так просто (опыт против теории).
Также не забывайте о контроллерах домена только для чтения (RODC), которые прекрасно работают в ядре сервера. Это может быть не актуально для вас, так как кажется, что ваши школы довольно автономны, но если у вас, например, была небольшая школа, которая не / не могла самостоятельно управлять пользователями, тогда RODC был бы фантастическим. .
Подводя итог, сделайте все возможное, чтобы получить результаты опроса WAN.
В общем, вы всегда должны стараться иметь как можно более плоскую доменную структуру, предпочтительно один домен. Разделение на домены должно иметь четкие бизнес-драйверы, поскольку существует несколько технических причин для «создания архитектуры» системы Active Directory таким образом. Несколько доменов создают сложность, которая может устрашать при возникновении проблем. У доменов есть доверительные отношения, которые могут сломаться, и это наносит ущерб практически всему.
Некоторые критерии принятия решения могут быть обусловлены политикой. Могут существовать объекты, которым требуется контроль над границей безопасности; один из способов сделать это - предоставить им собственный домен. Одним из примеров может служить правительство США, где нередко департамент имеет собственный лес, а входящие в его состав агентства имеют свой собственный домен. Помимо политики, техническое обоснование этого не всегда убедительно. До Windows 2008 для некоторых вещей, например политик паролей, мог требоваться собственный домен. Одним из технических факторов может быть то, что другой домен хочет использовать уровень функционального домена Active Directory, который в настоящее время недоступен, если они были объединены в одном домене.
Некоторые люди придерживаются мнения, что некоторые типы бизнес-единиц являются кандидатами на отдельные домены, например, дочерние компании, находящиеся в полной собственности, где стратегия состоит в том, чтобы в конечном итоге выделить их в отдельную компанию. Или если нормативные требования предусматривают разделение ответственности, например, если существует бизнес-единица, которая подлежит строгому нормативному или финансовому контролю, или если бизнес-единица является некоммерческой организацией.