Czy muszę skonfigurować witryny usługi Active Directory, jeśli mamy szybką sieć WAN?

13

Pracuję w organizacji z 15 fizycznymi lokalizacjami. Centrala firmy ma dwa DC, które pełnią między nimi wszystkie role FSMO. Każda zdalna strona ma jeden DC na miejscu.

Kiedy zacząłem tu pracować, witryny AD nie zostały skonfigurowane. Moje pytanie brzmi: co zyskuje się, konfigurując je, jeśli mamy szybkie łącza WAN między wszystkimi stronami (ponad 10 MB). Wiem, że prędkość logowania może się poprawić. Ale kiedy łącze WAN nie działa, klienci powinni nadal być w stanie znaleźć lokalny kontroler domeny, prawda?

active-directory 
woodsbw
źródło
1
Czy na pewno masz 10 Mb / s między dowolnymi dwiema stronami? Należy również wziąć pod uwagę dostępną przepustowość netto i opóźnienie. 10 Mb / s niewiele pomaga, jeśli połączenie jest bliskie przepustowości lub opóźnienie wynosi> nnn ms.
Greg Askew

Odpowiedzi:

14

Całkiem możliwe jest skonfigurowanie architektury Active Directory w wielu fizycznych lokalizacjach w jednej lokacji. Zasadniczo nie jest to „dobra rzecz” i jest sprzeczne z większością najlepszych praktyk.

Jeśli kiedykolwiek chcesz kontrolować / konfigurować / optymalizować ruch związany z replikacją, musisz skonfigurować witryny. Jeśli kiedykolwiek zechcesz zrobić pamięć podręczną oddziału w rozsądny sposób, musisz skonfigurować witryny. Jeśli chcesz wykonać replikację systemu plików DFS i targetowanie folderów lokalnych, prawdopodobnie musisz zdefiniować witryny. Jeśli chcesz zapewnić najlepszą jakość logowania użytkownika, musisz zdefiniować witryny. Jeśli chcesz przesyłać drukarki według witryny przy użyciu GPO / GPP, prawdopodobnie będziesz chciał zdefiniować witryny.

Możnaby wymieniać dalej ... Techniczna odpowiedź brzmi: nie - nie musisz. Prawdziwą odpowiedzią jest to, że naprawdę chcesz zdefiniować je jako witryny, abyś mógł wykorzystać usługę Active Directory do świadczenia usług, które ma zapewnić w najlepszy możliwy sposób.

Edycja: Aby dokładnie odpowiedzieć na pytanie, czy nadal będą mogli uwierzytelnić się w przypadku awarii łącza: tak, pod warunkiem, że mają lokalnego kontrolera domeny jako jednego, jeśli ich serwery DNS. Jednak ich uwierzytelnianie dla czegokolwiek może być wolniejsze w zależności od tego, które DC zostało początkowo buforowane.

Rex
źródło
1
+1 - nie wspominając o wdrożeniach Exchange w wielu lokalizacjach. Dobrą praktyką jest konfigurowanie ADS & S w swoich witrynach i podsieciach, niezależnie od tego, czy ich potrzebujesz.
joeqwerty
13

10 Mb nie jest szybkie. Śmiało i skonfiguruj witryny. Nastąpi szereg ulepszeń zarządzania. Witryny są powiązane z podsieciami i zakładam, że masz już osobne podsieci dla każdej witryny, ponieważ sugerujesz, że wszystkie są powiązane z jedną siecią WAN. Jeśli tak, wdrożenie witryn nie jest czasochłonne.

Quinten
źródło
7

Istnieje wiele rzeczy, które korzystają z Witryn i Usług, oprócz samego procesu logowania i ruchu replikacji DC-to-DC.

  • Exchange używa go do lokalizacji katalogu globalnego

  • DFS-N używa go do zamawiania celu odesłania

  • DFS-R używa go do wyboru partnera replikacji

  • Możesz wykorzystać GPO oparte na witrynie

Jeśli nie chcesz czekać co najmniej 15 minut na replikację między witrynami, po prostu włącz powiadomienia o zmianach w łączach witryny. Powinieneś jednak absolutnie skonfigurować strony.

MDMarra
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.