У нас около 1600 активных узлов и 6000 студентов в нашей сети, и у нас есть отличная магистраль Cisco, у нас есть 8 факультетов (у них есть сайты и точки беспроводного доступа) и 10 центров, таких как больница.
Нам нужно организовать нашу сеть с помощью MS AD, на первом этапе наличие корневого AD с мощным сервером может быть нашим решением, но для нашего исследования я думаю, что нам нужна иерархическая AD, у нас должен быть лес (shahed.ac.ir) и 18 деревьев для подцентров (например: eng.shaed.ac.ir).
Также мы собираемся использовать сервер squid для кеширования и его пулы задержки для совместного использования Интернета (40 МБ) и аутентификации NTLM.
Что вы думаете об этом плане? Подходит ли это решение для нашей сети? Нам нужен LOM для этого решения (AD), что является наиболее важным для этого плана (процессор, оперативная память, жесткий… серверов)? (Собираемся купить HP DL380)
Пожалуйста, помогите мне.
Вы не хотите и, вероятно, не нуждаетесь в нескольких доменах Active Directory для управления. По сути, вы всегда хотите избегать развертывания AD с несколькими доменами, если можете. (А ты действительно хотите избежать развертывания в нескольких лесах ...)
В Windows 2000 или Windows 2003 Active Directory использовалось несколько доменов, когда разные группы пользователей нуждались в разных политиках паролей. Windows 2008 Active Directory может иметь детализированные политики паролей, что устраняет эту необходимость.
В Windows 2000–2008 Active Directory использование нескольких доменов для разделения базы данных AD на более мелкие единицы репликации также является веской причиной. Active Directory с менее чем 10 000 пользователей на самом деле не так уж и велика. Вероятно, вам не нужно использовать несколько доменов для разделения репликации.
Определенное чтение имен пользователей (например, user@shahed.ac.ir вместо user@eng.shaed.ac.ir) может быть выполнено в одном домене с альтернативными суффиксами основного имени пользователя (UPN) и не является уважительной причиной для развертывание многодоменной инфраструктуры.
Использование Squid и NTLM-аутентификации - прекрасное решение для аутентификации доступа в Интернет. Определение размера ваших серверов Squid и компьютеров контроллеров домена Active Directory - это не то, что Server Fault может разумно сделать с информацией, которую вы дали выше. Microsoft имеет Инструмент определения размера Active Directory, но он не обновлялся несколько лет (либо для обновленных версий Windows, либо для обновленных спецификаций серверного оборудования).
В такой обстановке вам действительно нужно думать об управлении идентификацией гораздо больше, чем о самом механизме каталогов пользователей. Все они легко масштабируются до этого размера.
Вам следует спросить себя о жизненных циклах учетных записей и бизнес-правилах, касающихся подготовки учетных записей и ролей в вашей организации. Как будут создаваться, изменяться и удаляться учетные записи? Вы же не планируете делать это вручную, не так ли?
Что касается вашей границы, я фанат freebsd; Я бы, вероятно, использовал простую пару брандмауэров pf с carp для переключения при отказе и прозрачный прокси-сервер для максимального сокращения использования сети.