Дизайн AD для малого и среднего бизнеса с зарубежным филиалом [закрыто]
Наша компания является малым и средним предприятием с глобальным присутствием. Штаб-квартира находится в Сингапуре, а филиалы - на Тайване, в Китае, Малайзии, Европе и США. Однако распределение персонала в этих местах неравномерно. На Сингапур, Тайвань и Китай приходится 90% от общей численности персонала, в то время как на Малайзию, Европу и США - только около 10%.
В целях безопасности наша компания намерена внедрить AD. Поскольку я совсем новичок в AD, я сейчас застрял на нескольких вопросах и жду ваших разъяснений:
Мой текущий проект - это создание одного леса и множества контроллеров домена, причем каждый контроллер домена соответствует одному филиалу. Однако в некоторых филиалах, например, в Малайзии и Европе, работает всего несколько сотрудников. Так нужно ли создавать один выделенный контроллер домена для такого филиала? Мы собираемся установить AD-сервер только в Сингапуре, но не в других местах, не вызовет ли такая конструкция задержку для зарубежных пользователей? В какой ситуации мне следует установить AD-сервер и в других филиалах? Какой подход рекомендуется для нашей компании? Необходим ли VPN для зарубежных сотрудников, чтобы использовать службу AD (например, аутентификацию) и службу exchange в штаб-квартире? Заранее спасибо.
В моем текущем проекте создается один лес и несколько контроллеров домена с каждым доменом. контроллеру соответствует одна ветка
Начните с чтения документации. Контроллер домена - это контроллер домена - если вы не сделаете несколько доменов в лесу (может быть хорошей идеей, может быть, нет - серьезные административные накладные расходы), они идентичны, за исключением тех, которые имеют особые роли). Так как в каждом DC хранятся все данные. Это глобальные каталоги (GC) или нет.
Должен ли я создать один выделенный контроллер домена для такой ветви?
Что ж, вам НИКОГДА не нужно иметь один контроллер домена для чего-либо - что, если эта машина умрет? ДВА - минимум, 3 - для немалой операции. Двойное резервирование. Считайте это уроком мышления для начинающих администраторов.
Тем не менее, я бы поставил 2-3 DC в каждом месте - при необходимости виртуализированный.
Мы намерены установить сервер AD только в Сингапуре, но не в другом месте, будет этот дизайн вызывать задержку у зарубежных пользователей?
Да. Будет. Это также нанесет хаос в других местах, если Интернет по какой-то причине отключится, и он БУДЕТ терпеть неудачу. Microsoft представила недавно RODC (контроллеры домена только для чтения), которые действуют как локальные кэши в удаленных офисах.
Небольшой компьютер не так уж и дорог, может действовать как локальный кэш-сервер и файловый сервер, сервер печати и т. Д.
Требуется ли VPN для зарубежных сотрудников для использования службы AD (например, аутентификации) и обмена обслуживание в штаб-квартире?
Нет, НЕ ОБЯЗАТЕЛЬНО. Вы можете разместить все машины в общедоступном Интернете, и они смогут использовать его без VPN. Это имеет серьезные (негативные) последствия для безопасности и может стать нарушением во многих компаниях.
В противном случае, да, стандартным является подключение офисов с помощью настройки VPN, которая часто выполняется маршрутизаторами офисов, поэтому это полностью прозрачен для пользователя (и совершенно не имеет отношения к AD и т. д.)
Учитывая, что это довольно простые вопросы, я бы посоветовал нанять кого-нибудь с большим опытом, чтобы помочь вам с планированием и реализацией этой среды - вы попадете во многие проблемы и принимать некоторые сомнительные решения с вашим уровнем знаний. Работа с опытным профессионалом позволит вам узнать, как правильно делать вещи, не создавая при этом проблем для вашей компании.
Вы должны прочитать руководство IPD (Infrastructure Planning and Design) для Active Directory подряд, оно ответит на все ваши вопросы. Вы можете найти его здесь:
Трудно говорить конкретно, не зная точного физического и логического макета сайтов и сетей вашей компании, но в целом у вас должен быть хотя бы один, если не два контроллера домена на каждом сайте AD, который должен охватывать одну или несколько географически близких установок.
Что касается VPN, вы не должны публично раскрывать свою инфраструктуру AD, так как сайты будут подключены через VPN-туннели или выделенные линии (MPLS и т. Д.). Удаленные сотрудники могут использовать клиентскую VPN для доступа к сети по мере необходимости.
Этот вопрос, вероятно, слишком локализован для вашей конкретной ситуации. Более широкий вопрос, который вам действительно следует задать: «Какие факторы мне следует учитывать при разработке международной многосайтовой топологии AD?»