Revisione dei modelli di dominio
I fattori seguenti influiscono sul modello di progettazione del dominio selezionato:
Quantità di capacità disponibile nella rete che si è disposti ad allocare ad Active Directory Domain Services (AD DS). L'obiettivo è selezionare un modello che fornisce una replica efficiente delle informazioni con un impatto minimo sulla larghezza di banda di rete disponibile.
Numero di utenti dell'organizzazione. Se l'organizzazione include un numero elevato di utenti, la distribuzione di più domini consente di partizionare i dati e offre maggiore controllo sulla quantità di traffico di replica che passerà attraverso una determinata connessione di rete. In questo modo è possibile controllare dove vengono replicati i dati e ridurre il carico creato dal traffico di replica su collegamenti lenti nella rete.
La progettazione del dominio più semplice è un singolo dominio. In una progettazione di un singolo dominio tutte le informazioni vengono replicate in tutti i controller di dominio. Se necessario, tuttavia, è possibile distribuire domini regionali aggiuntivi. Ciò può verificarsi se parti dell'infrastruttura di rete sono connesse da collegamenti lenti e il proprietario della foresta vuole assicurarsi che il traffico di replica non superi la capacità allocata ad Active Directory Domain Services.
È consigliabile ridurre al minimo il numero di domini distribuiti nella foresta. Ciò riduce la complessità totale della distribuzione e, di conseguenza, riduce il costo totale di proprietà. Nella tabella seguente sono elencati i costi amministrativi associati all'aggiunta di domini regionali.
| Costo | Implicazioni |
|---|---|
| Gestione di più gruppi di amministratori del servizio | Ogni dominio ha i propri gruppi di amministratori del servizio che devono essere gestiti in modo indipendente. L'appartenenza a questi gruppi di amministratori del servizio deve essere controllata attentamente. |
| Mantenimento della coerenza tra le impostazioni di Criteri di gruppo comuni a più domini | Le impostazioni di Criteri di gruppo che devono essere applicate a livello di foresta devono essere applicate separatamente a ogni singolo dominio della foresta. |
| Mantenere la coerenza tra le impostazioni di controllo e controllo di accesso comuni a più domini | Le impostazioni di controllo e controllo di accesso che devono essere applicate all'interno della foresta vanno applicate separatamente a ogni singolo dominio nella foresta. |
| Maggiore probabilità di spostamento di oggetti tra domini | Maggiore è il numero di domini, maggiore è la probabilità che gli utenti debbano passare da un dominio a un altro. Questo spostamento può influire potenzialmente sugli utenti finali. |
Nota
I criteri di blocco degli account e delle password con granularità fine di Windows Server possono influire anche sul modello di progettazione del dominio selezionato. Prima di questa versione di Windows Server 2008, era possibile applicare un solo criterio di blocco della password e dell'account, specificato nel criterio di dominio predefinito del dominio, a tutti gli utenti del dominio. Di conseguenza, se si desideravano impostazioni di blocco di password e account diverse per diversi set di utenti, era necessario creare un filtro password o distribuire più domini. È ora possibile usare criteri password con granularità fine per specificare più criteri password e applicare restrizioni e criteri di blocco dell'account diversi a diversi set di utenti all'interno di un singolo dominio. Per altre informazioni sui criteri di blocco degli account e delle password con granularità fine, vedere l'articolo Password granulare di Active Directory Domain Services e guida dettagliata ai criteri di blocco dell'account.
Modello di dominio singolo
Un singolo modello di dominio è il più semplice da amministrare e il meno costoso da gestire. È costituito da una foresta che contiene un singolo dominio. Questo dominio è il dominio radice della foresta e contiene tutti gli account utente e di gruppo nella foresta.
Un modello di foresta a dominio singolo riduce la complessità amministrativa offrendo i vantaggi seguenti:
Qualsiasi controller di dominio può autenticare qualsiasi utente nella foresta.
Tutti i controller di dominio possono essere cataloghi globali, pertanto non è necessario pianificare il posizionamento globale del server di catalogo.
In una singola foresta di domini, tutti i dati della directory vengono replicati in tutte le posizioni geografiche che ospitano controller di dominio. Anche se questo modello è il più semplice da gestire, crea anche il maggior traffico di replica dei due modelli di dominio. Il partizionamento della directory in più domini limita la replica di oggetti a aree geografiche specifiche, ma comporta un sovraccarico amministrativo maggiore.
Modello di dominio regionale
Tutti i dati oggetto all'interno di un dominio vengono replicati in tutti i controller di dominio in tale dominio. Per questo motivo, se la foresta include un numero elevato di utenti distribuiti in posizioni geografiche diverse connesse da una rete WAN (Wide Area Network), potrebbe essere necessario distribuire domini regionali per ridurre il traffico di replica sui collegamenti WAN. I domini regionali basati su aree geografiche possono essere organizzati in base alla connettività WAN di rete.
Il modello di dominio a livello di area consente di mantenere un ambiente stabile nel tempo. Basare le aree usate per definire i domini nel modello su elementi stabili, ad esempio i limiti continentali. I domini basati su altri fattori, ad esempio i gruppi all'interno dell'organizzazione, possono cambiare frequentemente e potrebbero richiedere la ristrutturazione dell'ambiente.
Il modello di dominio a livello di area è costituito da un dominio radice della foresta e da uno o più domini regionali. La creazione di una progettazione del modello di dominio a livello di area implica l'identificazione del dominio radice della foresta e la determinazione del numero di domini aggiuntivi necessari per soddisfare i requisiti di replica. Se l'organizzazione include gruppi che richiedono l'isolamento dei dati o l'isolamento del servizio da altri gruppi dell'organizzazione, creare una foresta separata per questi gruppi. I domini non forniscono l'isolamento dei dati o l'isolamento del servizio.