locked
AD網域架構規劃之考量因素 RRS feed

  • 一般討論

  • 請教各位先進:

    簡述目前環境如下:
    1.僅有台灣與大陸2個點有配置IT人員
    2.台灣與大陸2個點的users皆超過200人
    3.其它全球約還有10個點,每個點的users人數約超過10-30人

    對於AD網域架構的規劃,採用單一網域架構或同樹系之多重網域架構的評估,
    除了管理權責.複雜度.AD複寫流量.建置成本與地域性考量外,是否還有其它考量因素?
    該選擇單一網域還是同樹系之多重網域呢?微軟官方有其建議嗎?有文件可以參考嗎?
    以上,請在多指導,謝謝。

    • 已變更類型 Molly Mao 2016年1月14日 上午 07:29
    2015年12月7日 上午 05:31

所有回覆

  • 您好,

    建議您採用單一網域架構,每個點若不超過50人的話,只要將用戶端加入網域就可以了,

    假如在不同的點,超過50人以上的話,您可以在這站台放一台RODC or GC即可.

    此架構簡化您的網域管理權責,佈署複雜度,AD複寫流量等等,

    最後,此架構在未來管理維護及升級時,都能很快地快速佈署ActiveDirectory.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2015年12月7日 上午 08:51
  • 你好, 在決定要用Single Domain或是miltiple domain的時候, 微軟有提供幾個要點作為準則

    1. 各部門或地域有沒有不同的密碼原則吸網域規則

    2. AD物件的數量

    3. 網絡架構 (AD DNS, DHCP, RMS, Network Policy等等包含在內) 有沒有需要作地域性分工及仔細微調

    4. 域覆寫架構的微調控制

    對以上的東西需要的控制越多, 就越需要做到多網域的架構

    反之如果整個公司都只有單一政策, IT作業人員也集中在某一個地區, 那樣單網域是最簡單的選擇, 

    單網域也能提供某程度上的控制, 例如Windows 2008後已經可以對某個OU推行另外的密碼原則

    微軟的參考文件可以看看:

    https://technet.microsoft.com/en-us/library/cc780856%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396


    邊幫助, 邊鍛鍊

    2015年12月8日 上午 06:26
  • 依照基本描述,依據小弟的經驗會做以下建議
    1.
    由於僅有台灣與中國有配置 IT 人員,
    所以會建議這兩個位置必須存在並使用網域環境

    其他在全球的點,由於沒有 IT 人員,
    且不確定其他點是否有建 Site to Site VPN (會增加營運及管理維護成本),
    所以我大都不建議加入網域,
    若要存取企業內部資源,可改由使用者撥入VPN 或系統提供 Web 登入

    2.
    是否要多重網域,一般我都會先問是否政治及管理上的狀況存在,
    譬如位於中國的點是否幾近獨立營運,
    所以企業管理及 IT 人員的配置都不受台灣總部的管控,
    如果沒有上述狀況,則建議單一網域即可,
    但務必對 AD 環境進行切站台的動作,
    避免中國使用者登入網域時,還透過 VPN 走回台灣找驗證


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已編輯 AskaSu 2015年12月8日 下午 02:53
    2015年12月8日 下午 02:45