Gibt es einen Unterschied im Bandbreitenverbrauch zwischen einem RODC und einem RWDC?

8

Meine Organisation hat 2008 RODCs auf mehreren Seeplattformen bereitgestellt. Die Idee war, unsere Landdomäne auf unsere Schiffe auszudehnen, um die Sicherheitsrichtlinien besser kontrollieren zu können. RODCs wurden mit der Annahme ausgewählt, dass sie weniger Bandbreite verbrauchen würden. Es gab auch Sicherheitsbedenken, die jedoch zweitrangig waren.

Die Internetverbindung auf See wird über eine sehr teure Satellitenverbindung bereitgestellt. Die Geschwindigkeiten reichen von langsam bis nicht vorhanden. Das Verwalten von Benutzer-, Computer-, Gruppen- und Berechtigungsänderungen sowie GPO-Updates ist äußerst langsam.

Ich fange an zu glauben, dass wir Tunnelblick in Bezug auf RODCs entwickelt haben und dass ein beschreibbarer Domänencontroller eine bessere Alternative sein könnte. Ich denke an ein RWDC und ein RODC pro Schiff für Redundanz. Es ist eine kleine Benutzerbasis, aber Redundanz ist wichtig.

Es gibt noch viel mehr, aber ich kann es nicht mit Kürze zusammenfassen. Ich bin gespannt, ob jemals jemand den Unterschied im Bandbreitenverbrauch zwischen einem RODC und einem RWDC getestet hat. Würde das Ersetzen eines der RODCs durch ein RWDC den Bandbreitenverbrauch erheblich erhöhen? Ich würde den RODC umleiten, um ihn vom RWDC zu replizieren. Dies würde bedeuten, dass ein Domänencontroller eine Verbindung zum Ufer herstellt.

Da die Dinge gerade sitzen, kann es Stunden dauern, Dinge zu tun, die normalerweise Minuten dauern würden. Admins an Bord der Schiffe zu haben, die an einem RWDC arbeiten, würde das Leben viel besser machen. Die Angst ist, dass RWDC-Geschwätz das Rohr füllen würde.

Hat jemand jemals den Unterschied getestet?

active-directory replication rodc Dante M. DeAngelis
quelle

Antworten:

7

Nein, ich habe noch nie den Unterschied im Bandbreitenverbrauch zwischen einem RODC und einem RWDC getestet, aber ich möchte trotzdem einige Beobachtungen machen:

Wenn die Sicherheit in Ihren Überlegungen das "geringste Problem" darstellt und die Netzwerkkonnektivität von größter Bedeutung ist, sind RODCs möglicherweise eine wirklich schlechte Wahl.

Denken Sie daran, dass alle Vorgänge, bei denen Daten im Verzeichnis aktualisiert werden müssen (einschließlich Kontosperrungen, Authentifizierungsfehler usw.), nur schreibgeschützt sind , da sie nur auf einen beschreibbaren Domänencontroller abzielen und die Bandbreite bidirektional verbrauchen (Originate Write Offsite +) auf RODC replizieren).

Mit 2 RWDCs und einem eigenen Standort pro Schiff / Plattform sind Sie wahrscheinlich besser dran.

Stellen Sie sicher, dass Sie den Site Link zwischen den Offshore-Standorten und dem Onshore-Hub mit den folgenden Merkmalen konfigurieren:

  • Konfigurieren Sie einen Replikationszeitplan , der die Replikation nur zu Zeiten des Tages / der Woche / des Monats zulässt, zu denen die Verbindungsgeschwindigkeit als am besten angenommen wird (und die Einwahlpreise niedrig sind, wenn sie schwanken).
  • Konfigurieren Sie ein ziemlich hohes Replikationsintervall , um zu verhindern, dass der Site-Bridgehead während seines Zeitplans alle 15 Minuten abruft
  • Aktivieren Sie die bidirektionale Synchronisierung (auch als "Reziproke Replikation" bezeichnet ), um dieselbe zugrunde liegende Verbindung bidirektional wiederzuverwenden
  • Ändern Sie den in GPMC verwendeten Domänencontroller in einen am lokalen Offshore-Standort, wenn Sie vor Ort arbeiten (andernfalls wird standardmäßig der PDC-Emulator verwendet, der sich hoffentlich an Ihrem Hub-Standort befindet).
  • Behalten Sie die Standardeinstellungen für die standortinterne Replikation als Standard bei (15 Sekunden verspätete Änderungsbenachrichtigung), um Datenverlust zu vermeiden, falls Sie einen DC an einem Offshore-Standort verlieren
Mathias R. Jessen
quelle
1
Ich würde Operationen zählen, die RSO (Replizieren eines einzelnen Objekts) verwenden, wie dynamische DNS-Updates, Kennwortsynchronisierung usw. Daher denke ich, dass RODCs im Allgemeinen mehr Verkehr verursachen.
iPath
@iPath Auf jeden Fall ist die Liste in meiner Antwort nicht vollständig. RSO oder Partitionssynchronisation spielt keine Rolle. Jeder von einem Client auf der Plattform initiierte Schreibvorgang führt zu einer Verbindung und anschließend zur Replikation auf dem RODC
Mathias R. Jessen
2

RODCs sind eine SCHRECKLICHE Option für entfernte Standorte mit einem zweifelhaften Netzwerk.

Außerdem sollten RODCs NICHT an einem Standort mit einem RWDC bereitgestellt werden.

Der einzige Grund, warum ein RODC weniger Bandbreite verbraucht, besteht darin, dass keine ausgehenden Änderungen repliziert werden (keine ausgehenden Replikationspartner).

Sie können Objekte nicht mithilfe eines RODC mit Anwendungen wie AD-Benutzern und -Computern oder der Gruppenrichtlinien-Verwaltungskonsole bearbeiten / verwalten. Sie müssen eine Verbindung zu einem beschreibbaren Domänencontroller herstellen. Es überrascht nicht, dass dies für Sie langsam ist, da Sie über eine langsame WAN-Verbindung eine Verbindung zu einem RWDC herstellen müssen.

Greg Askew
quelle
RODCs sind eine schreckliche Option, wenn Sie eine Verwaltung durchführen müssen (dh beschreibbare Operationen). RODCs sind eine gute Option.
iPath
RODCs sind eine gute Option, wenn Sie den Business Case für sie haben und wenn Sie eine gute Netzwerkkonnektivität haben. Wenn Sie keine gute Netzwerkverbindung haben, treten zusätzliche Probleme auf. Eine rote Fahne, um festzustellen, ob sie den Business Case haben, besteht darin, ein RWDC an derselben Site zu platzieren. Wenn ja, hatten sie NIE einen legitimen Business Case für einen RODC. Ich habe gesehen, dass Organisationen RODCs so oft falsch implementieren, dass es tragisch ist, authentifizierte Benutzer oder Domänenbenutzer in die Kennwortreplikationsrichtlinie oder die zulässige RODC-Kennwortreplikationsgruppe aufzunehmen.
Greg Askew