Question Quand ajouter un contrôleur de domaine sur un site distant?


Dans un emplacement disposant d'une connexion T1 avec une latence de ping de ~ 40 - 50 ms sur le contrôleur de domaine le plus proche, indiquez le nombre d'utilisateurs normaux avant de recommander l'installation d'un contrôleur de domaine dans un environnement Windows 2003.

Le T1 est utilisé pour Internet, et leur serveur de fichiers et leur serveur de messagerie ne seront pas avec eux à cet endroit. Il y a aussi un peu de VOIP qui passe par-dessus ce T1.


5
2017-09-11 12:41


origine




Réponses:


Lorsque je lis les messages OP, il n’ya qu’une ligne de données vers ce site distant. Si oui, alors la réponse à ma question ci-dessous est très probablement négative ...

Dans mon expérience (limitée), ce n’est pas une question de performance, mais de disponibilité.

Combien de travail ces utilisateurs distants pourraient-ils effectuer si le T1 est en panne, et quelle est la fiabilité attendue et dans le pire des cas de ce T1? Un contrôleur de domaine distant peut-il fournir une authentification et un protocole DHCP / DNS aux utilisateurs un ensemble d'applications "significativement volumineux" continuerait à être disponible, même si le T1 est en panne?

Si le site est mort dans l’eau dès que le T1 est en panne, c’est-à-dire que les utilisateurs distants ne peuvent effectuer aucun travail significatif sans cette liaison de données, un contrôleur de domaine distant n’a aucun sens. Il en va de même si le site a beaucoup de travail significatif à faire, mais ce travail ne nécessite aucun système informatique. Mais si le CD peut permettre l’utilisation d’autres systèmes informatiques, il est alors utile.

Si vous configurez un contrôleur de domaine distant, pensez à Contrôleurs de domaine en lecture seule de Windows 2008et envisagez de rapprocher les autres services des utilisateurs pour améliorer les performances.


5
2017-09-11 14:32





S'il n'y a pas d'autres serveurs à cet emplacement, comme vous l'indiquez (le serveur de fichiers et le serveur de messagerie leur sont distants), je n'aurais pas la peine d'y installer un contrôleur de domaine. Pourquoi se préoccuper de l’entretien (même si cet entretien est minime) ou de l’alimenter / le refroidir, etc.? Il n’ya vraiment aucun intérêt à les authentifier localement s’ils n’accèdent à aucune ressource serveur (ceci inclut les services d’impression, ce que vous n’avez pas mentionné. Je présumerai donc qu’ils se connectent via TCP / IP ou ont des imprimantes connectées localement). .

Vous avez également demandé "combien d'utilisateurs normaux faudrait-il avant de ...":

À mon avis, une fois que vous avez dépassé 10 utilisateurs, je vous recommande de combiner certains rôles et de placer un contrôleur de domaine qui joue également le rôle de serveur de fichiers / d'impression local à cet emplacement. Auparavant, c'était un stigmate d'avoir un service de fichier / d'impression en cours d'exécution sur DC, mais je pense que cela fonctionne parfaitement pour 10 à 30 utilisateurs.


2
2017-09-11 13:46



Je suppose que j'aurais dû ajouter le DC serait aussi DNS ... - Kyle Brandt♦
Qu'en est-il d'Outlook / Exchange? Le client se connectera à un serveur d'annuaire ainsi qu'à Exchange. Peut accélérer si le contrôleur de répertoire est fermé. - Ryaner
@Kyle - Ainsi, les clients obtiendront leur résolution DNS du contrôleur de domaine distant à moins qu'il n'y en ait une localement? C'est bien, assurez-vous simplement que leur serveur DNS secondaire est accessible sur Internet afin qu'ils puissent toujours accéder à Internet, etc. lorsque le "siège social" n'est pas disponible (en supposant que t1 relève toujours d'Internet). - TheCleaner
@Ryaner - Si vous définissez un contrôleur de domaine correspondant à un GC dans un emplacement distant, cela est "supposément" exact, mais je n'ai jamais vu de statistiques montrant que cela vaut la peine avec un petit nombre d'utilisateurs, en particulier avec cette connexion décente. - TheCleaner
Il est toujours recommandé de ne PAS placer d'autres rôles (tels que serveur de fichiers / d'impression) sur un contrôleur de domaine. - SturdyErde


Je ne m'embêterais pas avec un contrôleur de domaine à moins que vous ayez à la fois un nombre suffisant d'utilisateurs et un personnel informatique sur site. L'authentification de domaine peut être assez efficace sur les liaisons WAN, et l'authentification cachée de XP gérera le reste.

Le seul problème serait que vous ayez une boîte Exchange locale et que vous ne fonctionniez pas en mode mis en cache; Les recherches GAL peuvent être assez meurtrières dans de telles circonstances.


2
2017-09-11 14:44





Je recommande de déployer AD lorsque vous devez vous authentifier pour utiliser des services locaux. Par exemple. si les utilisateurs de l'emplacement accèdent aux ordinateurs de l'autre, s'ils ont un serveur local, etc.


1
2017-09-11 12:49



Cela semble raisonnable, mais pourquoi cela a-t-il un sens? - Kyle Brandt♦


Le nombre d'utilisateurs est sans importance. Pouvez-vous compter sur une bande passante suffisante toujours disponible lorsque requis pour le trafic AD? La connexion est-elle suffisamment fiable pour répondre à vos besoins? D'après votre description, je suppose que la réponse à cette question est oui, mais vous seul pouvez le savoir avec certitude. Peu importe, si c'était mon réseau, ils auraient leur propre contrôleur de domaine (et serveur de fichiers, etc.). J'ai été victime d'une personne plus haut dans l'arbre qui a décidé que mon emplacement n'avait pas besoin d'un centre de distribution. À long terme, cela finit par coûter plus cher si la productivité est affectée.


1
2017-09-11 16:53





Nous exploitons une centaine de bureaux distants dans cette gamme sans contrôleurs de domaine. Le trafic d'authentification est trop petit pour justifier le coût (total) d'une machine. J'ai constaté que l'approche des "coattails" fonctionne à long terme; les utilisateurs se plaindront de la lenteur de la navigation / du courrier (pas de temps C + A + D), puis de la pression pour la bande passante, puis le trafic AD suivra les traces de cela et l'alto ne nécessitera pas de DC. Les contrôleurs de domaine distants sont douloureux = coût de support et peuvent être peu sûrs.


0
2017-09-11 13:52