Количество Контроллеров домена необходимо?
Одно решение могло бы состоять в том, чтобы установить порты для стека Windows TCP при помощи netsh.
По умолчанию, Windows использует порт 49152>> 65636 (или независимо от того, что upperlimit), Таким образом, Вы очень в безопасности использовать AMT. Можно установить диапазон портов с netsh. Например, я всегда использую приблизительно 1 000 портов для машин периметра.
, Кроме того, Intel снимает изоляцию с команд AMT и передает весь другой трафик в тех портах (16991-16995 на самом деле!) к ОС (Если ОС присутствует). Таким образом, если у Вас было бы приложение, которое открыло порт в диапазоне AMT, трафик все еще пройдет через ОС к приложению, потому что как я сказал, Intel только полосы команд управления AMT. Его маловероятное Ваше приложение отправляет команды AMT.
Один DC должен быть в состоянии справиться с нагрузкой аутентификации, исходящей от него, без проблем. Если весь трафик аутентификации централизован в одном месте, я бы начал всего с двух и сделал оба глобальных каталога (для избыточности) и добавил бы только в случае необходимости.
Вам нужен только один DC, но намного предпочтительнее иметь как минимум два DC для резервирования. Достаточно одного или двух контроллеров домена на географическое положение.
С современным оборудованием 3000 пользователей не должны перегружать контроллер домена. (Хотя Exchange, безусловно, может поразить DC с неоднозначным разрешением имен.) Поскольку вы хорошо подключены к своим удаленным сайтам, вы можете разместить все контроллеры домена в одном месте, но я все же рекомендую DC в удаленных местах на случай, если сетевое соединение обрывается. (Вы можете использовать контроллеры домена только для чтения в удаленных местах, тогда вы станете настоящим ИТ-специалистом!)
(Хотя Exchange, безусловно, может поразить DC с неоднозначным разрешением имен.) Поскольку вы хорошо подключены к своим удаленным сайтам, вы можете разместить все контроллеры домена в одном месте, но я все же рекомендую DC в удаленных местах на случай, если сетевое соединение обрывается. (Вы можете использовать контроллеры домена только для чтения в удаленных местах, тогда вы станете настоящим ИТ-специалистом!) (Хотя Exchange, безусловно, может поразить DC с неоднозначным разрешением имен.) Поскольку вы хорошо подключены к своим удаленным сайтам, вы можете разместить все контроллеры домена в одном месте, но я все же рекомендую DC в удаленных местах на случай, если сетевое соединение обрывается. (Вы можете использовать контроллеры домена только для чтения в удаленных местах, тогда вы станете настоящим ИТ-специалистом!)Прежде чем вы слишком увлечетесь тем, сколько контроллеров домена необходимо и нужны ли они в удаленных местах, взгляните на общую картину:
Есть ли локальные ресурсы ( Обмен, файл, печать и т. Д.) В каждом удаленном месте, которое пользователям необходимо пройти аутентификацию в домене для доступа?
Если ответ положительный, то вам следует разместить хотя бы один DC в каждом удаленном месте, чтобы в случае, если сетевое соединение не работает, пользователи по-прежнему смогут пройти аутентификацию в домене и получить доступ к этим локальным ресурсам.
Если ответ отрицательный, то иметь DC в каждом удаленном месте бессмысленно, поскольку пользователи не будут иметь доступ к ресурсам главного офиса, если сеть не работает. Возможность войти в домен через локальный контроллер домена не приносит им пользы. Пользователи смогут войти в систему с кэшированными учетными данными домена, возможно, просматривать Интернет (в зависимости от характера сетевой проблемы и на какой стороне она возникает), но это все. Так что хорошего в наличии местного DC?