Просмотр моделей домена
Следующие факторы влияют на выбранную модель разработки домена:
Объем доступной емкости в сети, которую вы готовы выделить для служб домен Active Directory (AD DS). Цель — выбрать модель, которая обеспечивает эффективную репликацию информации с минимальным воздействием на доступную пропускную способность сети.
Количество пользователей в организации. Если ваша организация включает большое количество пользователей, развертывание нескольких доменов позволяет секционировать данные и обеспечивает более контроль над объемом трафика репликации, который будет проходить через заданное сетевое подключение. Это позволяет контролировать, где реплицируются данные и уменьшать нагрузку, созданную трафиком репликации при медленных каналах в сети.
Самый простой дизайн домена — это один домен. В одной структуре домена все сведения реплицируются ко всем контроллерам домена. Однако при необходимости можно развернуть дополнительные региональные домены. Это может произойти, если части сетевой инфраструктуры подключены медленными ссылками, и владелец леса хочет убедиться, что трафик репликации не превышает емкость, выделенную AD DS.
Рекомендуется свести к минимуму количество доменов, развернутых в лесу. Это снижает общую сложность развертывания и, как следствие, снижает общую стоимость владения. В следующей таблице перечислены административные затраты, связанные с добавлением региональных доменов.
| Себестоимость | Последствия |
|---|---|
| Управление несколькими группами администраторов служб | Каждый домен имеет собственные группы администраторов служб, которым необходимо управлять независимо. Необходимо тщательно контролировать членство в этих группах администраторов служб. |
| Поддержание согласованности между параметрами групповой политики, общими для нескольких доменов | Параметры групповой политики, которые должны применяться в пределах леса, должны применяться отдельно к каждому отдельному домену в лесу. |
| Обеспечение согласованности между параметрами контроля доступа и аудита, общими для нескольких доменов | Параметры управления доступом и аудита, которые необходимо применить в лесу, должны применяться отдельно к каждому отдельному домену в лесу. |
| Повышенная вероятность перемещения объектов между доменами | Чем больше количество доменов, тем больше вероятность того, что пользователям потребуется переместиться из одного домена в другой. Это перемещение может повлиять на конечных пользователей. |
Примечание.
Политики блокировки паролей и учетных записей Windows Server также могут повлиять на выбранную модель разработки домена. До этого выпуска Windows Server 2008 можно применить только одну политику блокировки паролей и учетных записей, которая указана в политике домена по умолчанию для всех пользователей в домене. В результате, если вам нужны разные параметры блокировки паролей и учетных записей для разных наборов пользователей, необходимо либо создать фильтр паролей, либо развернуть несколько доменов. Теперь можно использовать детализированные политики паролей для указания нескольких политик паролей и применения различных ограничений паролей и политик блокировки учетных записей к разным наборам пользователей в одном домене. Дополнительные сведения о более подробных политиках блокировки паролей и учетных записей см. в статье ad DS Fine-Grained Password and Account Lockout Policy Пошаговое руководство.
Модель одного домена
Одна модель домена является самым простым для администрирования и наименее дорогостоящим для обслуживания. Он состоит из леса, содержащего один домен. Этот домен является корневым доменом леса и содержит все учетные записи пользователей и групп в лесу.
Модель единого леса домена снижает административную сложность, предоставляя следующие преимущества:
Любой контроллер домена может пройти проверку подлинности любого пользователя в лесу.
Все контроллеры домена могут быть глобальными каталогами, поэтому вам не нужно планировать размещение сервера глобального каталога.
В одном лесу домена все данные каталога реплицируются во все географические расположения, в которых размещаются контроллеры домена. Хотя эта модель является самой простой для управления, она также создает большую часть трафика репликации двух моделей домена. Секционирование каталога на несколько доменов ограничивает репликацию объектов в определенные географические регионы, но приводит к дополнительным административным издержкам.
Модель регионального домена
Все данные объектов в домене реплицируются ко всем контроллерам домена в этом домене. По этой причине, если лес включает в себя большое количество пользователей, распределенных по разным географическим расположениям, подключенным к широкой сети (глобальной сети), может потребоваться развернуть региональные домены для уменьшения трафика репликации через каналы глобальной сети. Географические региональные домены можно упорядочивать в соответствии с сетевым подключением к глобальной сети.
Модель регионального домена позволяет поддерживать стабильную среду с течением времени. Базируйте регионы, используемые для определения доменов в модели на стабильных элементах, таких как континентальные границы. Домены, основанные на других факторах, таких как группы в организации, могут часто изменяться и могут потребовать от вас реструктурировать среду.
Модель регионального домена состоит из корневого домена леса и одного или нескольких региональных доменов. Создание модели регионального домена включает определение домена корневого домена леса и определение количества дополнительных доменов, необходимых для выполнения требований репликации. Если ваша организация включает группы, требующие изоляции данных или изоляции службы от других групп в организации, создайте отдельный лес для этих групп. Домены не предоставляют изоляцию данных или изоляцию служб.