規劃區域網域控制站放置

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

為了確保成本效益,請規劃盡可能少放置區域網域控制站。 首先,檢閱收集網路資訊中使用的「地理位置和通訊連結」(DSSTOPO_1.doc) 工作表,以判斷某位置是否為集線器。

規劃為每個集線器位置中代表的每個網域放置區域網域控制站。 將區域網域控制站放在所有集線器位置之後,請評估在衛星位置放置區域網域控制站的需求。 從衛星位置排除不必要的區域網域控制站,可降低維護遠端伺服器基礎結構所需的支援成本。

此外,請確定集線器和衛星位置中的網域控制站實體安全性,讓未經授權的人員無法接觸。 請勿將可寫入的網域控制站放在您無法保證網域控制站實體安全性的集線器和衛星位置。 能實際接觸可寫入網域控制站的人員可以透過下列方式攻擊系統:

  • 在網域控制站上啟動替代作業系統,以存取實體磁碟片。
  • 移除網域控制站上的實體磁碟片 (並可能取代)。
  • 取得和管理網域控制站系統狀態備份的複本。

僅將可寫入的區域網域控制站新增至您可以保證其實體安全性的位置。

在實體安全性不足的位置,建議的解決方案是部署唯讀網域控制站 (RODC)。 RODC 保留了由可寫入網域控制站保留的一切 Active Directory 物件及屬性,但帳戶密碼除外。 不過,您無法對儲存於 RODC 上的資料庫進行變更。 變更必須在可寫入的網域控制站上進行,然後複寫回 RODC。

大部分組織都會針對指定位置表示的所有區域網域放置區域網域控制站,以驗證用戶端登入和對本機檔案伺服器的存取權。 不過,在評估商務位置是否需要其用戶端進行本機驗證,或者用戶端可以依賴驗證和透過廣域網路 (WAN) 連結進行查詢時,您必須考慮許多變數。 下圖顯示如何判斷是否要將網域控制站放在衛星位置。

plan regional dc placement

現場技術專業知識可用性

由於各種原因,網域控制站必須持續管理。 將區域網域控制站放在只包含可管理網域控制站的人員的位置,或確定網域控制站可從遠端管理。

在實體安全性通常不理想,且人員不了解資訊技術的分公司環境中,建議的解決方案通常是部署 RODC。 RODC 的本機系統管理權限可以委派給任何網域使用者,而不需將網域或其他網域控制站的任何使用者權限授予該使用者。 這樣可讓位於分公司的使用者登入 RODC,並在伺服器上執行維護工作,例如升級驅動程式。 不過,分公司的使用者無法登入任何其他網域控制站,或在網域中執行任何其他系統管理工作。 您可以利用此方式來委派分公司使用者,使其可以有效地管理分公司中的 RODC,而不會洩露網域或樹系其餘部分的安全性。

頻繁遭遇中斷的 WAN 連結位置上如果沒有可以驗證使用者的網域控制站,可能會導致使用者的生產力顯著降低。 如果您的 WAN 連結可用性不是 100%,而且您的遠端網站無法容忍服務中斷,請在當 WAN 連結故障時,使用者必須能登入或交換伺服器存取權的位置上放置區域網域控制站。

驗證可用性

某些組織 (例如銀行) 要求使用者在任何時刻都是經過驗證的。 將區域網域控制站放在 WAN 連結可用性不是 100% 的位置,但使用者隨時都需要驗證。

如果您的 WAN 連結可用性非常可靠,將網域控制站放在什麼位置就取決於透過 WAN 連結的登入效能需求。 影響 WAN 登入效能的因素包括連結速度和可用頻寬、使用者數目和使用量設定檔,以及登入網路流量與複寫流量。

單一使用者的活動可能會讓緩慢的 WAN 連結阻塞。 如果透過 WAN 連結的登入效能無法接受,請將網域控制站放在某個位置。

頻寬使用率的平均百分比表示網路連結的壅塞程度。 如果網路連結的平均頻寬使用率大於可接受的值,請將網域控制站放在該位置。

使用者和使用量設定檔的數目

指定位置的使用者數目及其使用設定檔可協助判斷您是否需要在該位置放置區域網域控制站。 若要避免 WAN 連結故障導致生產力損失,請將區域網域控制站放在具有 100 個以上的使用者的位置。

使用設定檔會指出使用者如何使用網路資源。 您不需要將網域控制站放在只包含少數不常存取網路資源的使用者的位置。

登入網路流量與複寫流量

如果網域控制站在 Active Directory 用戶端的相同位置內無法使用,用戶端會在網路上建立登入流量。 在實體網路上建立的登入網路流量會受到數個因素的影響,包括群組成員資格;群組原則物件 (GPO) 的數目和大小;登入指令碼和離線資料夾、資料夾重新導向和漫遊設定檔等功能。

另一方面,位於指定位置的網域控制站會在網路上產生複寫流量。 網域控制站上裝載之分割區上所做的更新頻率和數量會影響網路上建立的複寫流量。 可在網域控制站上裝載之分割區上進行的不同類型的更新包括新增或變更使用者和使用者屬性、變更密碼,以及新增或變更全域群組、印表機或磁碟區。

若要判斷您是否需要在某個位置放置區域網域控制站,請比較沒有網域控制站的位置建立的登入流量的成本,以及將網域控制站放在該位置建立的複寫流量成本。

例如,假設有分公司透過緩慢連結連線至總部的網路,以及可輕易新增網域控制站的網路。 如果少數幾個遠端站台使用者的每日登入和目錄查閱流量,比起把所有公司資料複寫到分公司的網路流量還多,請考慮將網域控制站新增至該分公司。

如果降低維護網域控制站的成本比網路流量更重要,請集中該網域的網域控制站,不要將任何區域網域控制站放在該位置,或考慮將 RODC 放在該位置。

如需工作表來協助您記載下列相關資訊:規劃放置 PDC 模擬器的位置以及每個位置中所代表之每個網域的使用者數目,請參閱 Windows Server 2003 部署套件的作業輔助工具、下載 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,以及開啟「網域控制站放置」(DSSTOPO_4.doc)。

您需要參閱部署區域網域時,放置區域網域控制站所需位置的相關資訊。 如需部署區域網域的詳細資訊,請參閱部署 Windows Server 2008 區域網域