规划区域性域控制器放置

项目
05/26/2023

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

为了确保成本效益，请计划放置尽可能少的区域域控制器。首先，查看收集网络信息中使用的“地理位置和通信链接”(DSSTOPO_1.doc) 工作表，以确定某个位置是否为中心。

计划为在每个中心位置存在代表的每个域放置区域域控制器。在所有中心位置放置区域域控制器后，评估是否需要将区域域控制器放置在附属位置。从附属位置消除不必要的区域域控制器可降低维护远程服务器基础结构所需的支持成本。

此外，请确保中心位置和附属位置中的域控制器的物理安全性，使未经授权的人员无法访问它们。不要将可写域控制器放置在无法保证域控制器物理安全的中心位置和附属位置。对可写域控制器具有物理访问权限的人员可能会通过以下方式攻击系统：

通过在域控制器上启动备用操作系统来访问物理磁盘。
移除（并在可能情况下更换）域控制器上的物理磁盘。
获取和操作域控制器系统状态备份的副本。

仅将可写区域域控制器添加到可以保证其物理安全的位置。

在物理安全性不足的位置，部署只读域控制器 (RODC) 是推荐的解决方案。除帐户密码之外，RODC 保存了可写域控制器所保留的所有 Active Directory 对象和属性。但是，不能对存储在 RODC 上的数据库进行更改。更改必须在可写域控制器上进行，然后复制回 RODC。

为了验证客户端登录和对本地文件服务器的访问，大多数组织都会为在给定位置存在代表的所有区域域放置区域域控制器。但是，在评估业务位置是否需要其客户端进行本地身份验证或者客户端是否可以依赖广域网 (WAN) 链接上的身份验证和查询时，必须考虑许多变量。下图显示了如何确定是否将域控制器放置在附属位置。

plan regional dc placement

现场技术专业知识可用性

出于各种原因，需要持续管理域控制器。仅将区域域控制器放置在包含可以管理域控制器的人员的位置，或者确保可以远程管理域控制器。

在物理安全性通常较差且人员信息技术知识很少的分支机构环境中，通常建议部署 RODC。可以将 RODC 的本地管理权限委托给任何域用户，而无需授予该用户对该域或其他域控制器的任何用户权限。这允许本地分支用户登录到 RODC 并在服务器上执行维护工作（例如升级驱动程序）。但是，分支用户不能登录到任何其他域控制器或在域中执行任何其他管理任务。可以通过这种方式为分支用户委派有效管理分支机构 RODC 而不会危及域或林的其余部分的安全的权限。

WAN 链接可用性

如果该位置不包含可以对用户进行身份验证的域控制器，则经常中断的 WAN 链接可能会导致用户的工作效率大幅下降。如果 WAN 链接可用性不是 100%，并且远程站点不能容忍服务中断，请将区域域控制器放置在用户需要能够在 WAN 链接断开时登录或交换服务器访问的位置。

身份验证可用性

某些组织（如银行）要求随时对用户进行身份验证。将区域域控制器放置在 WAN 链路可用性不是 100% 但用户需要随时进行身份验证的位置。

WAN 链接上的登录性能

如果 WAN 链接可用性非常高，则是否在该位置放置域控制器取决于 WAN 链接上的登录性能要求。影响 WAN 登录性能的因素包括链接速度和可用带宽、用户数和使用情况配置文件，以及登录网络流量与复制流量的对比。

WAN 链接速度和带宽利用率

单个用户的活动可能会阻塞慢速 WAN 链接。如果 WAN 链接上的登录性能不可接受，请将域控制器放置在某个位置。

带宽利用率的平均百分比表示网络链接的拥塞程度。如果网络链接的平均带宽利用率大于可接受的值，请将域控制器放置在该位置。

用户数和使用情况配置文件

给定位置的用户数及其使用情况配置文件有助于确定是否需要在该位置放置区域域控制器。若要避免 WAN 链接失败时生产力下降，请将区域域控制器放置在有 100 个或更多个用户的位置。

使用情况配置文件指示用户如何使用网络资源。无需将域控制器放置在仅包含少数不经常访问网络资源的用户的位置。

登录网络流量与复制流量

如果域控制器在 Active Directory 客户端所在的位置不可用，则客户端会在网络上创建登录流量。在物理网络上创建的登录网络流量受多种因素影响，其中包括组成员身份、组策略对象 (GPO) 的数量和大小、登录脚本，以及脱机文件夹、文件夹重定向和漫游配置文件等功能。

另一方面，放置在给定位置的域控制器会在网络上生成复制流量。对域控制器上托管的分区进行的更新的频率和数量会影响在网络上创建的复制流量。可以对域控制器上托管的分区进行的不同类型的更新包括添加或更改用户和用户属性、更改密码，以及添加或更改全局组、打印机或卷。

若要确定是否需要在某个位置放置区域域控制器，请比较由没有域控制器的位置产生的登录流量的成本与将域控制器放置在该位置所产生的复制流量的成本。

例如，假设有一个网络，其分支机构通过慢速链接连接到总部，可以在其中轻松添加域控制器。如果一些远程站点用户的日常登录和目录查找流量导致的网络流量比将所有公司数据复制到分支机构的流量还多，请考虑向分支机构添加一个域控制器。

如果降低维护域控制器的成本比网络流量更重要，请集中该域的域控制器，不要将任何区域域控制器放在该位置，或者考虑将 RODC 放置在该位置。

如需借助工作表来记录区域域控制器的放置情况以及每个位置所代表的每个域的用户数，请参阅 Windows Server 2003 部署工具包的作业帮助，下载Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip，并打开“域控制器放置”(DSSTOPO_4.doc)。

部署区域域时，需要参考需要放置区域域控制器的位置的相关信息。若要详细了解如何部署区域域，请参阅部署 Windows Server 2008 区域域。