Muss ich Active Directory-Standorte konfigurieren, wenn wir über ein Hochgeschwindigkeits-WAN verfügen?

13

Ich arbeite in einer Organisation mit 15 Standorten. In der Unternehmenszentrale gibt es zwei DCs, die alle FSMO-Funktionen zwischen sich ausüben. Jeder Remote-Standort verfügt über einen DC vor Ort.

Als ich anfing, hier zu arbeiten, wurden AD-Sites nicht konfiguriert. Meine Frage ist, was durch die Konfiguration gewonnen wird, wenn wir Hochgeschwindigkeits-WAN-Verbindungen zwischen allen Standorten (über 10 MB) haben. Ich bin mir bewusst, dass sich die Anmeldegeschwindigkeit verbessern könnte. Aber wenn die WAN-Verbindung unterbrochen ist, sollten Clients den lokalen Domänencontroller trotzdem finden können, richtig?

active-directory woodsbw
quelle
1
Sind Sie sicher, dass Sie 10 Mbit / s zwischen zwei Standorten haben? Sie müssen auch die verfügbare Nettobandbreite und die Latenz berücksichtigen. 10 Mbit / s helfen nicht viel, wenn die Verbindung fast ausgelastet ist oder die Verzögerung> nnn ms beträgt.
Greg Askew

Antworten:

14

Es ist durchaus möglich, eine Active Directory-Architektur an mehreren physischen Standorten an einem einzigen Standort zu konfigurieren. Es ist im Allgemeinen keine "gute Sache" und widerspricht den meisten Best Practices.

Wenn Sie jemals Ihren Replikationsdatenverkehr steuern / konfigurieren / optimieren möchten, müssen Sie Sites einrichten. Wenn Sie jemals einen Zweig-Cache auf vernünftige Weise ausführen möchten, müssen Sie Sites einrichten. Wenn Sie die DFS-Replikation und das lokale Ordner-Targeting durchführen möchten, müssen Sie wahrscheinlich die Sites definieren. Wenn Sie die bestmögliche Benutzeranmeldung sicherstellen möchten, müssen Sie die Sites definieren. Wenn Sie Drucker mithilfe von GPO / GPP nach Standort verschieben möchten, möchten Sie wahrscheinlich die Standorte definieren.

Die Liste könnte weitergehen. Die technische Antwort lautet also: Nein, das müssen Sie nicht. Die eigentliche Antwort lautet, dass Sie sie wirklich als Standorte definieren möchten, damit Sie Active Directory nutzen können, um die Dienste, für die sie entwickelt wurden, optimal bereitzustellen.

Bearbeiten: Um die Frage zu beantworten, ob sie sich bei einem Verbindungsfehler immer noch authentifizieren können: Ja, vorausgesetzt, sie haben den lokalen Domänencontroller als einen der DNS-Server. Die Authentifizierung für alle Elemente ist jedoch möglicherweise langsamer, je nachdem, welcher Domänencontroller ursprünglich zwischengespeichert wurde.

Rex
quelle
1
+1 - Ganz zu schweigen von Exchange-Bereitstellungen mit mehreren Standorten. Es ist nur eine gute Praxis, ADS & S mit Ihren Standorten und Subnetzen einzurichten, unabhängig davon, ob Sie glauben, dass Sie sie benötigen oder nicht.
Joeqwerty
13

10 Mb ist nicht schnell. Gehen Sie voran und richten Sie Sites ein. Eine Reihe von Verbesserungen der Verwaltbarkeit werden folgen. Standorte sind mit Subnetzen verknüpft, und ich gehe davon aus, dass Sie für jeden Standort bereits separate Subnetze haben, da Sie implizieren, dass sie alle einem WAN zugeordnet sind. In diesem Fall ist die Implementierung von Websites nicht zeitaufwändig.

Quinten
quelle
7

Neben dem Anmeldevorgang und dem DC-zu-DC-Replikationsverkehr gibt es eine Vielzahl von Funktionen, die Sites und Dienste verwenden.

  • Exchange verwendet es für den globalen Katalogspeicherort

  • DFS-N verwendet es für die Bestellung von Empfehlungszielen

  • DFS-R verwendet es zur Auswahl des Replikationspartners

  • Sie können standortbasierte Gruppenrichtlinienobjekte nutzen

Wenn Sie nicht mindestens 15 Minuten auf die Replikation zwischen Standorten warten möchten, aktivieren Sie einfach die Änderungsbenachrichtigung über Ihre Standortverknüpfungen. Sie sollten jedoch unbedingt noch Sites einrichten.

MDMarra
quelle