Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk memastikan efisiensi biaya, rencanakan untuk menempatkan pengontrol domain regional sebanyak mungkin. Pertama, tinjau lembar kerja "Lokasi Geografis dan Tautan Komunikasi" (DSSTOPO_1.doc) yang digunakan dalam Mengumpulkan Informasi Jaringan untuk menentukan apakah lokasi adalah hub.
Rencanakan untuk menempatkan pengendali domain regional untuk setiap domain yang diwakili di setiap lokasi hub. Setelah Anda menempatkan pengendali domain regional di semua lokasi hub, evaluasi kebutuhan untuk menempatkan pengendali domain regional di lokasi satelit. Menghilangkan pengendali domain regional yang tidak perlu dari lokasi satelit mengurangi biaya dukungan yang diperlukan untuk mempertahankan infrastruktur server jarak jauh.
Selain itu, pastikan keamanan fisik pengendali domain di lokasi hub dan satelit sehingga personel yang tidak berwenang tidak dapat mengaksesnya. Jangan menempatkan pengontrol domain yang dapat ditulis di lokasi hub dan satelit tempat Anda tidak dapat menjamin keamanan fisik pengendali domain. Seseorang yang memiliki akses fisik ke pengendali domain bisa-tulis dapat menyerang sistem dengan:
- Mengakses disk fisik dengan memulai sistem operasi alternatif pada pengendali domain.
- Menghapus (dan mungkin mengganti) disk fisik pada pengendali domain.
- Mendapatkan dan memanipulasi salinan cadangan status sistem pengontrol domain.
Tambahkan pengendali domain regional yang dapat ditulis hanya ke lokasi tempat Anda dapat menjamin keamanan fisiknya.
Di lokasi dengan keamanan fisik yang tidak memadai, menyebarkan pengendali domain baca-saja (RODC) adalah solusi yang direkomendasikan. Kecuali untuk kata sandi akun, RODC menyimpan semua objek dan atribut Direktori Aktif yang disimpan oleh pengontrol domain bisa-tulis. Namun, perubahan tidak dapat dilakukan pada database yang disimpan di RODC. Perubahan harus dilakukan pada pengontrol domain bisa-tulis lalu direplikasi kembali ke RODC.
Untuk mengautentikasi masuk klien dan akses ke server file lokal, sebagian besar organisasi menempatkan pengendali domain regional untuk semua domain regional yang diwakili di lokasi tertentu. Namun, Anda harus mempertimbangkan banyak variabel saat mengevaluasi apakah lokasi bisnis mengharuskan kliennya untuk memiliki autentikasi lokal atau klien dapat mengandalkan autentikasi dan kueri melalui tautan jaringan area luas (WAN). Ilustrasi berikut menunjukkan cara menentukan apakah akan menempatkan pengontrol domain di lokasi satelit.
Ketersediaan keahlian teknis lokal
Pengendali domain perlu dikelola terus menerus karena berbagai alasan. Tempatkan pengendali domain regional hanya di lokasi yang menyertakan personel yang dapat mengelola pengendali domain, atau pastikan bahwa pengendali domain dapat dikelola dari jarak jauh.
Di lingkungan kantor cabang dengan keamanan fisik dan personel yang biasanya buruk dengan sedikit pengetahuan teknologi informasi, menyebarkan RODC sering menjadi solusi yang direkomendasikan. Izin administratif lokal untuk RODC dapat didelegasikan ke pengguna domain mana pun tanpa memberikan hak pengguna apa pun kepada pengguna tersebut untuk domain atau pengendali domain lainnya. Ini memungkinkan pengguna cabang lokal untuk masuk ke RODC dan melakukan pekerjaan pemeliharaan di server, seperti meningkatkan driver. Namun, pengguna cabang tidak dapat masuk ke pengendali domain lain atau melakukan tugas administratif lainnya di domain. Dengan cara ini, pengguna cabang dapat didelegasikan kemampuan untuk mengelola RODC secara efektif di kantor cabang tanpa mengorbankan keamanan domain atau forest lainnya.
Ketersediaan tautan WAN
Tautan WAN yang sering mengalami pemadaman dapat menyebabkan kehilangan produktivitas yang signifikan bagi pengguna jika lokasi tidak menyertakan pengendali domain yang dapat mengautentikasi pengguna. Jika ketersediaan tautan WAN Anda tidak 100 persen dan situs jarak jauh Anda tidak dapat mentolerir pemadaman layanan, tempatkan pengendali domain regional di lokasi di mana pengguna memerlukan kemampuan untuk masuk atau bertukar akses server saat tautan WAN tidak berfungsi.
Authentication availability
Organisasi tertentu, seperti bank, mengharuskan pengguna diautentikasi setiap saat. Tempatkan pengendali domain regional di lokasi di mana ketersediaan tautan WAN tidak 100 persen tetapi pengguna memerlukan autentikasi setiap saat.
Performa masuk melalui tautan WAN
Jika ketersediaan tautan WAN Anda sangat dapat diandalkan, menempatkan pengendali domain di lokasi tergantung pada persyaratan performa masuk melalui tautan WAN. Faktor-faktor yang memengaruhi performa masuk melalui WAN termasuk kecepatan tautan dan bandwidth yang tersedia, jumlah pengguna dan profil penggunaan, dan jumlah lalu lintas jaringan masuk versus lalu lintas replikasi.
Kecepatan tautan WAN dan pemanfaatan bandwidth
Aktivitas satu pengguna dapat menyimpulkan tautan WAN yang lambat. Tempatkan pengendali domain di lokasi jika performa masuk melalui tautan WAN tidak dapat diterima.
Persentase rata-rata pemanfaatan bandwidth menunjukkan seberapa padat tautan jaringan. Jika tautan jaringan memiliki pemanfaatan bandwidth rata-rata yang lebih besar dari nilai yang dapat diterima, tempatkan pengontrol domain di lokasi tersebut.
Jumlah pengguna dan profil penggunaan
Jumlah pengguna dan profil penggunaan mereka di lokasi tertentu dapat membantu menentukan apakah Anda perlu menempatkan pengontrol domain regional di lokasi tersebut. Untuk menghindari kehilangan produktivitas jika tautan WAN gagal, tempatkan pengendali domain regional di lokasi yang memiliki 100 pengguna atau lebih.
Profil penggunaan menunjukkan bagaimana pengguna menggunakan sumber daya jaringan. Anda tidak perlu menempatkan pengendali domain di lokasi yang hanya berisi beberapa pengguna yang tidak sering mengakses sumber daya jaringan.
Lalu lintas jaringan masuk vs. lalu lintas replikasi
Jika pengendali domain tidak tersedia di lokasi yang sama dengan klien Direktori Aktif, klien membuat lalu lintas masuk di jaringan. Jumlah lalu lintas jaringan masuk yang dibuat di jaringan fisik dipengaruhi oleh beberapa faktor, termasuk keanggotaan grup; jumlah dan ukuran objek Kebijakan Grup (GPO); Skrip masuk; dan fitur seperti folder offline, pengalihan folder, dan profil roaming.
Di sisi lain, pengendali domain yang ditempatkan di lokasi tertentu menghasilkan lalu lintas replikasi pada jaringan. Frekuensi dan jumlah pembaruan yang dibuat pada partisi yang dihosting pada pengendali domain memengaruhi jumlah lalu lintas replikasi yang dibuat di jaringan. Berbagai jenis pembaruan yang dapat dilakukan pada partisi yang dihosting pada pengendali domain termasuk menambahkan atau mengubah pengguna dan atribut pengguna, mengubah kata sandi, dan menambahkan atau mengubah grup global, printer, atau volume.
Untuk menentukan apakah Anda perlu menempatkan pengendali domain regional di lokasi, bandingkan biaya lalu lintas masuk yang dibuat oleh lokasi tanpa pengontrol domain versus biaya lalu lintas replikasi yang dibuat dengan menempatkan pengendali domain di lokasi tersebut.
Misalnya, pertimbangkan jaringan yang memiliki kantor cabang yang terhubung melalui tautan lambat ke kantor pusat dan di mana pengendali domain dapat dengan mudah ditambahkan. Jika lalu lintas masuk harian dan pencarian direktori dari beberapa pengguna situs jarak jauh menyebabkan lebih banyak lalu lintas jaringan daripada mereplikasi semua data perusahaan ke cabang, pertimbangkan untuk menambahkan pengendali domain ke cabang.
Jika mengurangi biaya pemeliharaan pengendali domain lebih penting daripada lalu lintas jaringan, pusatkan pengontrol domain untuk domain tersebut dan jangan tempatkan pengendali domain regional apa pun di lokasi atau pertimbangkan untuk menempatkan RODC di lokasi tersebut.
Agar lembar kerja membantu Anda mendokumentasikan penempatan pengendali domain regional dan jumlah pengguna untuk setiap domain yang diwakili di setiap lokasi, lihat Bantuan Pekerjaan untuk Kit Penyebaran Windows Server 2003, unduh Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip, dan buka "Penempatan Pengendali Domain" (DSSTOPO_4.doc).
Anda harus merujuk ke informasi tentang lokasi di mana Anda perlu menempatkan pengontrol domain regional saat Anda menyebarkan domain regional. Untuk informasi selengkapnya tentang menyebarkan domain regional, lihat Menyebarkan Domain Regional Windows Server 2008.