Нужно ли настраивать сайты Active Directory, если у нас высокоскоростной WAN?

13

Я работаю в организации с 15 физическими сайтами. У корпоративного штаба есть два DC, которые выполняют все роли FSMO между ними. Каждый удаленный сайт имеет один DC-сайт.

Когда я начал работать здесь, сайты AD не были настроены. Мой вопрос заключается в том, что получается при их настройке, если у нас есть высокоскоростные каналы глобальной сети между всеми сайтами (более 10 МБ). Я знаю, что скорость входа в систему может улучшиться. Но когда канал WAN не работает, клиенты все равно должны быть в состоянии найти локальный DC, правильно?

active-directory 
woodsbw
источник
1
Вы уверены, что у вас есть 10 Мбит / с между любыми двумя сайтами? Вы также должны учитывать чистую доступную пропускную способность и задержку. 10 Мбит / с мало помогают, если скорость соединения почти равна или задержка составляет> nnn мс.
Грег Аскью

Ответы:

14

Весьма возможно иметь архитектуру Active Directory, настроенную на несколько физических мест на одном сайте. Как правило, это не «хорошая вещь» и идет вразрез с большинством лучших практик.

Если вы когда-нибудь захотите контролировать / настраивать / оптимизировать свой трафик репликации, вам придется настраивать сайты. Если вы когда-нибудь захотите сделать кеш ветки разумным способом, вам нужно настроить сайты. Если вы хотите выполнить репликацию DFS и настроить таргетинг на локальные папки, вам, вероятно, потребуется определить сайты. Если вы хотите обеспечить лучший пользовательский вход в систему, вам нужно определить сайты. Если вы хотите продвигать принтеры по сайтам, используя GPO / GPP, вы, вероятно, захотите определить сайты.

Список можно продолжать. Итак, технический ответ: нет, вам не нужно. Реальный ответ заключается в том, что вы действительно хотите определить их как сайты, чтобы вы могли использовать Active Directory для предоставления услуг, для которых он предназначен, и предоставлять их наилучшим образом.

Изменить: чтобы конкретно ответить на вопрос о том, смогут ли они по-прежнему проходить проверку подлинности при сбое соединения: да, при условии, что они имеют локальный DC как один, если их DNS-серверы. Однако их аутентификация для чего-либо может быть медленнее, в зависимости от того, какой DC был изначально кэширован.

Rex
источник
1
+1 - не говоря уже о многосайтовых развертываниях Exchange. Хорошей практикой является настройка ADS & S для ваших сайтов и подсетей, независимо от того, считаете ли вы, что они вам нужны.
Joeqwerty
13

10 Мб это не быстро. Идите вперед и создайте сайты. За этим последует ряд улучшений управляемости. Сайты связаны с подсетями, и я предполагаю, что у вас уже есть отдельные подсети для каждого сайта, поскольку вы подразумеваете, что все они связаны с одной глобальной сетью. Если это так, реализация сайтов не занимает много времени.

Quinten
источник
7

Есть много вещей, которые используют сайты и службы, кроме просто процесса входа в систему и трафика репликации DC-to-DC.

  • Exchange использует его для глобального каталога

  • DFS-N использует его для назначения рефералов

  • DFS-R использует его для выбора партнера по репликации

  • Вы можете использовать основанные на сайте объекты групповой политики

Если вы не хотите ждать репликации между сайтами не менее 15 минут, просто включите уведомление об изменениях по ссылкам вашего сайта. Тем не менее, вы все равно должны создавать сайты.

MDMarra
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.