碼上歡樂
相關內容    簡體    繁體

AD中常見5種架構

本文轉載自   查看原文   2021-04-28 10:13   301    windows 2019/ windows2016

AD中常見5種架構

筆者在IT運維行業多年,剛開始在乙方從事IT系統集成項目,后來一直在甲方從事IT運維至今。

在乙方工作時經常遇到客戶挖的坑,如AD用戶刪除怎么恢復?我公司只有一台AD掛了怎么辦?筆者發現這些問題其實都是設計不合理造成的,說白了客戶IT工程師AD知識不扎實,不知道怎么來規避這些問題。

A架構

分布式額外域部署場景

這種AD部署架構是集團公司用得最多的方案,以下我的TOP只是模擬環境,其實與真實部署方法是一樣的,比如日本500強集團常用的架構如下:

日本東京總部數據中心2台AD:負責本國AD所有業務,如果有工廠的地區會再各自機房部署1\~2台AD。中國區上海數據中心2台AD:負責中國區所有Office辦公AD業務,如果深圳及其他城市有大工廠會再各自機房部署1\~2台AD。其他國家也是一樣的部署方式。

這種采用主域控與額外域的部署方式,所有域服務器都可以是GC,所有域服務器都有相同的權利,FSMO可以分布在任何一台域服務器上,這種架構都是總部IT專門負責管理,委派給其他地區分公司IT有部份AD的權限,建議最多部署不要超過10個AD服務器。

優點:

1.各據點公司用戶訪問各自據點域服務器進行登錄及相關用戶驗證,起到行負載均衡的作用;

2.如果FSMO角色所在域服務器故障,可輕松轉移或搶占FSMO到其他域服務器即可,可用性高;

3.用戶登錄及各系統通過AD驗證非常快,都是通過各公司AD驗證。

4.減少通過集團WAN鏈接的復制流量

5.支持較多的AD用戶和計算機數量

缺點:

部署成本較高(有業務需的國家需要部署數據機房)

8c1466e3ec9da2973fac400b4b9fac80.jpg

B架構

收購公司的AD接管方案

這種架構其實也不算原始規划架構 ,是集團公司收購其它公司的情況下、被收購公司AD正常保留使用的方案,收購后原來PC管理方法基本是沒變化的,PC還是加入以前的域,如果被收購公司域廢除把PC切換到現有公司域,所有用戶的PC用戶環境需要重新設定非常繁瑣,這顯然沒有必要,可能就郵件暫時需要變更而已。

這種情況會導致資源互相訪問時需要驗證帶來很大麻煩,被收購公司用戶訪問公司相關業務需要用戶認證的問題,那么怎么解決這個問題呢,如題就是不同域設定信任即可解決這個問題。

優點:

1.設置信任后就解決了驗證的問題,公司的資源可以授權給收購公司AD的用戶訪問,同時被收購公司的資源也可以授給公司相應的AD用戶權限,即可輕松訪問相應的資源;

2.不用大動干戈把被收購公司域廢除,收購公司PC照常加入現公司域服務器即可,節省超多時間和麻煩事,如果切換域公司用戶數成千上萬用戶,用戶環境問題頭都大了,因為有些用戶環境很復雜、用了很多特殊軟件改變用戶環境就需要重新部署非常麻煩 ;

3.不用改變收購公司用戶賬號和密碼,用戶登錄使用電腦的方式和習慣等不用改變,節少了很多培訓時間。

缺點:

就是公司AD域名不統一而已,除了這個沒有什么太多的缺點,還有就是多了一個域需要管理、IT工作量有所增加而已。

30b9391919178a01baccade3a8c6a223.png

C架構

RODC部署場景

在物理安全性不足的位置上,建議使用部署只讀域控制器(RODC)。除帳戶密碼之外,RODC 保留可寫域控制器包含的所有 Active Directory 對象和屬性。但是,不能對存儲在 RODC 上的數據庫進行更改。必須在可寫域控制器上進行更改,然后將其復制回 RODC。

設計 RODC 主要是為了在分支機構環境中部署。分支機構通常用戶相對較少,物理安全性差,連接集團公司網絡帶寬也相對較低,分支機構人員不懂IT。

優點:

1.對分公司機房物理安全性差和用戶少的環境部署,比較高的安全性,;

2.分公司用戶更快的登錄速度 ;

3.更有效的訪問網上的資源;

缺點:

如果分公司AD用戶很多的情況不太適合。

44d34fc10b6a1c8929de3efe6ce80cda.png

D架構

父域與子域架構

這種架構用在集團公司之間各自管理子域的方式管理,各分公司部署子域模式,PC加入各公司子域即可,父域和子域是可傳遞的,權限授權也很方便。

優點:

1.公司的資源授權也是很方便,父域和子域之間自動建立傳遞關系

2.父域和子域管理不互相干擾

3.支持管理AD用戶及計算機數量比較大

缺點:

成本相對較高,管理相對復雜,顯得沒有必要。

eff47131eb88f69df082af72730fe5ce.png

E架構

集中式額外域部署場景

這種AD部署架構也有很多公司在用這種方案,其實與A架的AD部署方法是一樣,這種架構各分公司之間網絡質量比較好,在總部構築私有雲、虛擬化數據中心的方式,各分公司可以不用建數據機房。

描述:這種架構主要是采用主域控與額外域的部署方式,所有域服務器都可以是GC,所有域服務器都有相同的權利,FSMO可以分布在任何一台域服務器上,這種架構都是總部IT專門負責管理,也可以委派給其他地區分公司IT有部份管理AD OU的權限。

優點:

1.各公司單獨預算結算時,各分公司付費的方式申請AD用戶用的最多的架構方式;

2.成本更低,不用在各公司機房部署AD服務器,因為在總部都是私有雲或虛擬部署、服務器的RTO和RPO時間能>做到更低,這在分公司做到這種要求成本很高的。

3.各據點公司用戶訪問各自域服務器進行登錄驗證相關AD業務,起到行負載均衡的作用;

4.如果FSMO角色所在域服務器故障,可輕松轉移或搶占FSMO到其他域服務器即可;

5.降低了管理復雜性

缺點:

如果公司到AD服務器網絡質量不好,PC首次加域或登域可能會比較慢,策略有可能會延時,這些都是可以解決的,集團網絡帶寬這些問題都可以很好解決。

f8a1fdbe81be56fb434ff62ccbbac82e.png

以上是最常見5種AD架構設計方案。

原文鏈接


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 五種常見架構風格 11種常見的AD濾波算法 javascript中常見的三種開發模式 SQL中常見的三種去重方法 CSS中常見的6種文本樣式 PHP中常見的五種設計模式 工作中常見的五種技術leader HttpRequest中常見的四種ContentType HTML中常見的4種DTD類型 常見的五種軟件架構
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM