Планирование размещения регионального контроллера домена

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Чтобы обеспечить экономичность, запланируйте размещение как можно меньше региональных контроллеров домена. Сначала просмотрите лист "Географические расположения и связи связи" (DSSTOPO_1.doc), используемый в сборе сведений о сети, чтобы определить, является ли расположение концентратором.

Запланируйте размещение региональных контроллеров домена для каждого домена, представленного в каждом расположении концентратора. После размещения региональных контроллеров домена во всех расположениях концентраторов оцените необходимость размещения региональных контроллеров домена в спутниковых расположениях. Устранение ненужных региональных контроллеров домена из вспомогательных расположений снижает затраты на поддержку, необходимые для поддержания инфраструктуры удаленного сервера.

Кроме того, обеспечьте физическую безопасность контроллеров домена в центрах и спутниковых расположениях, чтобы неавторизованный персонал не смог получить к ним доступ. Не размещайте записываемые контроллеры домена в центральных и вспомогательных расположениях, в которых не удается гарантировать физическую безопасность контроллера домена. Пользователь, имеющий физический доступ к записываемому контроллеру домена, может атаковать систему следующими способами:

• Доступ к физическим дискам путем запуска альтернативной операционной системы на контроллере домена.
• Удаление физических дисков (и, возможно, замена) на контроллере домена.
• Получение и управление копией резервной копии состояния системы контроллера домена.

Добавьте доступные для записи региональные контроллеры домена только в расположения, в которых можно гарантировать физическую безопасность.

В расположениях с недостаточной физической безопасностью развертывание контроллера домена только для чтения (RODC) рекомендуется. За исключением паролей учетных записей, RODC содержит все объекты и атрибуты Active Directory, которые содержит контроллер домена, доступный для записи. Однако изменения нельзя вносить в базу данных, хранящуюся в RODC. Изменения необходимо вносить на контроллере домена, который можно записать, а затем реплика обратно в RODC.

Для проверки подлинности входа клиента и доступа к локальным файловых серверам большинство организаций размещают региональные контроллеры домена для всех региональных доменов, представленных в определенном расположении. Однако необходимо учитывать множество переменных при оценке того, требуется ли расположение для бизнеса наличие локальной проверки подлинности или клиенты могут полагаться на проверку подлинности и запросы по всей сети (глобальной сети). На следующем рисунке показано, как определить, следует ли размещать контроллеры домена в спутниковых расположениях.

Доступность технических знаний на сайте

Контроллеры домена должны постоянно управляться по различным причинам. Поместите региональный контроллер домена только в расположениях, включающих персонал, который может администрировать контроллер домена, или убедитесь, что контроллер домена можно управлять удаленно.

В средах филиалов с обычно плохой физической безопасностью и персоналом с небольшими знаниями в области информационных технологий развертывание RODC часто является рекомендуемым решением. Локальные административные разрешения для RODC можно делегировать любому пользователю домена, не предоставляя пользователю права пользователя для домена или других контроллеров домена. Это позволяет пользователю локальной ветви войти в RODC и выполнить обслуживание на сервере, например обновление драйвера. Однако пользователь ветви не может войти в любой другой контроллер домена или выполнить любую другую административную задачу в домене. Таким образом, пользователь ветви может делегировать возможность эффективно управлять RODC в филиале без ущерба для безопасности остальной части домена или леса.

Доступность канала глобальной сети

Связи глобальной сети с частыми сбоями могут привести к значительной потере производительности пользователям, если расположение не включает контроллер домена, который может пройти проверку подлинности пользователей. Если доступность канала глобальной сети не составляет 100 процентов, а удаленные сайты не могут терпеть сбой службы, поместите региональный контроллер домена в местах, где пользователям требуется возможность входа на сервер или exchange server при отключении канала глобальной сети.

Доступность проверки подлинности

Для некоторых организаций, таких как банки, требуется, чтобы пользователи выполняли проверку подлинности в любое время. Поместите региональный контроллер домена в расположение, где доступность канала глобальной сети не составляет 100 процентов, но пользователям требуется проверка подлинности в любое время.

Производительность входа по ссылкам глобальной сети

Если доступность канала глобальной сети очень надежна, размещение контроллера домена в расположении зависит от требований к производительности входа по каналу глобальной сети. Факторы, влияющие на производительность входа в глобальную сеть, включают скорость связи и доступную пропускную способность, количество пользователей и профилей использования, а также объем сетевого трафика входа в систему и трафик реплика.

Скорость подключения глобальной сети и использование пропускной способности

Действия одного пользователя могут замедлить связь с глобальной сетью. Поместите контроллер домена в расположение, если производительность входа по каналу глобальной сети неприемлема.

Средний процент использования пропускной способности указывает, как перегружена сетевая связь. Если сетевой канал имеет среднее значение пропускной способности, превышающее допустимое значение, поместите контроллер домена в этом расположении.

Количество пользователей и профилей использования

Количество пользователей и профилей их использования в заданном расположении может помочь определить, нужно ли размещать региональные контроллеры домена в этом расположении. Чтобы избежать потери производительности при сбое канала глобальной сети, разместите региональный контроллер домена в расположении с 100 или более пользователями.

Профили использования указывают, как пользователи используют сетевые ресурсы. Вам не нужно размещать контроллер домена в расположении, которое содержит только нескольких пользователей, которые не часто обращаются к сетевым ресурсам.

Сетевой трафик входа в систему и трафик реплика tion

Если контроллер домена недоступен в том же расположении, что и клиент Active Directory, клиент создает трафик входа в сеть. Объем сетевого трафика входа, созданного в физической сети, зависит от нескольких факторов, включая членство в группах; число и размер объектов групповой политики (ГОП); Скрипты входа; и такие функции, как автономные папки, перенаправление папок и перемещаемые профили.

С другой стороны, контроллер домена, размещенный в заданном расположении, создает трафик реплика tion в сети. Частота и количество обновлений, внесенных в секции, размещенные на контроллерах домена, влияют на объем трафика реплика tion, созданного в сети. Различные типы обновлений, которые можно сделать на секциях, размещенных на контроллерах домена, включают добавление или изменение пользователей и атрибутов пользователей, изменение паролей и добавление или изменение глобальных групп, принтеров или томов.

Чтобы определить, нужно ли разместить региональный контроллер домена в расположении, сравните стоимость трафика входа, созданного с помощью контроллера домена, и затраты на трафик реплика, созданный путем размещения контроллера домена в расположении.

Например, рассмотрим сеть с филиалами, подключенными через медленные связи с штаб-квартирой и в которой можно легко добавлять контроллеры домена. Если ежедневный вход в систему и трафик подстановки каталога нескольких удаленных пользователей сайта приводит к большему сетевому трафику, чем реплика для всех корпоративных данных в ветвь, рассмотрите возможность добавления контроллера домена в ветвь.

Если снижение затрат на обслуживание контроллеров домена является более важным, чем сетевой трафик, централизация контроллеров домена для этого домена и не помещает в расположение региональные контроллеры домена или рассмотрите возможность размещения контроллеров домена в расположении.

Лист поможет вам документировать размещение региональных контроллеров домена и количество пользователей для каждого домена, представленного в каждом расположении, см. в разделе "Комплект развертывания Для Windows Server 2003", скачивание Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip и открытие "Размещение контроллера домена" (DSSTOPO_4.doc).

Вам потребуется обратиться к сведениям о расположениях, в которых необходимо разместить региональные контроллеры домена при развертывании региональных доменов. Дополнительные сведения о развертывании региональных доменов см. в разделе "Развертывание региональных доменов Windows Server 2008".