Como analisar os modelos de domínio
Os seguintes fatores afetam o modelo de design de domínio selecionado:
Funcionalidade disponível na rede que você deseja alocar para o AD DS (Active Directory Domain Services). A meta é selecionar um modelo que forneça uma replicação eficiente de informações com impacto mínimo na largura de banda de rede disponível.
Número de usuários em sua organização. Se sua organização incluir um grande número de usuários, a implantação de mais de um domínio permitirá particionar seus dados e fornecerá mais controle sobre a quantidade de tráfego de replicação que passará por uma determinada conexão de rede. Isso possibilita controlar onde os dados são replicados e reduzir a carga criada pelo tráfego de replicação em links lentos em sua rede.
O design de domínio mais simples é um único domínio. Em um único design de domínio, todas as informações são replicadas para todos os controladores de domínio. No entanto, se necessário, você pode implantar domínios regionais adicionais. Isso pode ocorrer se partes da infraestrutura de rede estiverem conectadas por links lentos e o proprietário da floresta quiser ter certeza de que o tráfego de replicação não excede a capacidade alocada ao AD DS.
É recomendável minimizar o número de domínios implantados em sua floresta. Isso reduz a complexidade geral da implantação e, como resultado, reduz o custo total de propriedade. A tabela a seguir lista os custos administrativos associados à adição de domínios regionais.
Custo | Implicações |
---|---|
Gerenciamento de vários grupos de administradores de serviços | Cada domínio tem seus próprios grupos de administradores de serviços que precisam ser gerenciados de forma independente. A associação desses grupos de administradores de serviços deve ser cuidadosamente controlada. |
Manter a consistência das configurações da Política de Grupo comuns a vários domínios | As configurações da Política de Grupo que precisam ser aplicadas em toda a floresta devem ser aplicadas separadamente a cada domínio individual na floresta. |
Manter a consistência das configurações de controle de acesso e auditoria comuns a vários domínios | As configurações da controle de acesso e auditoria que precisam ser aplicadas em toda a floresta devem ser aplicadas separadamente a cada domínio individual na floresta. |
Maior probabilidade dos objetos se moverem entre domínios | Quanto maior o número de domínios, maior a probabilidade dos usuários precisarem mudar de um domínio para outro. Essa movimentação pode afetar potencialmente os usuários finais. |
Observação
As políticas de bloqueio de conta e senha refinadas do Windows Server também podem afetar o modelo de design de domínio selecionado. Antes desta versão do Windows Server 2008, você poderia aplicar apenas uma senha e uma política de bloqueio de conta, que é especificada na Política de Domínio Padrão do domínio, a todos os usuários no domínio. Como resultado, se você quisesse diferentes configurações de senha e de bloqueio de conta para diferentes conjuntos de usuários, você teria que criar um filtro de senha ou implantar vários domínios. Agora é possível usar políticas de senha refinada para especificar várias políticas de senha, bem como aplicar diferentes restrições de senha e políticas de bloqueio de conta a diferentes conjuntos de usuários em um único domínio. Para obter mais informações sobre as políticas de bloqueio de conta e de senha refinada, confira o artigo Guia passo a passo da política de bloqueio de conta e de senha refinada do AD DS.
Modelo de domínio único
É mais fácil administrar e mais barato manter um único modelo de domínio. Ele consiste em uma floresta que contém um único domínio. Esse é o domínio raiz da floresta e contém todas as contas de usuário e grupo na floresta.
Um modelo de floresta de domínio único reduz a complexidade administrativa fornecendo as seguintes vantagens:
Qualquer controlador de domínio pode autenticar qualquer usuário na floresta.
Todos os controladores de domínio podem ser catálogos globais, portanto, você não precisa planejar o posicionamento do servidor de catálogo global.
Em uma única floresta de domínio, todos os dados do diretório são replicados para todas as localizações geográficas que hospedam controladores de domínio. Embora esse modelo seja o mais fácil de ser gerenciado, ele também cria o tráfego de replicação de ambos modelos de domínio. A partição do diretório em vários domínios limita a replicação de objetos a regiões geográficas específicas, mas resulta em mais sobrecarga administrativa.
Modelo de domínio regional
Todos os dados de objeto em um domínio são replicados para todos os controladores de domínio nesse domínio. Por esse motivo, se a floresta incluir um grande número de usuários distribuídos em diferentes locais geográficos conectados por uma WAN (rede de longa distância), talvez seja necessário implantar domínios regionais para reduzir o tráfego de replicação nos links WAN. Domínios regionais geograficamente baseados podem ser organizados de acordo com a conectividade WAN de rede.
O modelo de domínio regional permite que você mantenha um ambiente estável ao longo do tempo. Baseie as regiões usadas para definir domínios no modelo em elementos estáveis, como limites continentais. Domínios baseados em outros fatores, como grupos na organização, podem mudar com frequência e podem exigir que você reestruture seu ambiente.
O modelo de domínio regional consiste em um domínio raiz da floresta e um ou mais domínios regionais. A criação de um design de modelo de domínio regional envolve identificar qual é o domínio raiz da floresta e determinar o número de domínios adicionais necessários para atender aos seus requisitos de replicação. Se sua organização incluir grupos que exigem isolamento de dados ou isolamento de serviço de outros grupos na organização, crie uma floresta separada para esses grupos. Os domínios não fornecem isolamento de dados ou de serviço.