Condividi tramite

Pianificazione del posizionamento del controller di dominio regionale

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Per garantire l'efficienza dei costi, pianificare il minor numero possibile di controller di dominio regionali. Prima di tutto, esaminare il foglio di lavoro "Percorsi geografici e collegamenti di comunicazione" (DSSTOPO_1.doc) usato in Raccolta di informazioni di rete per determinare se una posizione è un hub.

Pianificare l'aggiunta di controller di dominio regionali per ogni dominio rappresentato in ogni posizione dell'hub. Dopo aver inserito i controller di dominio regionali in tutte le posizioni dell'hub, valutare la necessità di posizionare controller di dominio regionali in posizioni satellite. L'eliminazione di controller di dominio regionali non necessari da posizioni satellite riduce i costi di supporto necessari per gestire un'infrastruttura server remota.

Assicurarsi inoltre la sicurezza fisica dei controller di dominio nelle posizioni hub e satellite in modo che il personale non autorizzato non possa accedervi. Non posizionare controller di dominio scrivibili in posizioni hub e satellite in cui non è possibile garantire la sicurezza fisica del controller di dominio. Una persona che ha accesso fisico a un controller di dominio scrivibile può attaccare il sistema tramite:

  • Accesso ai dischi fisici avviando un sistema operativo alternativo in un controller di dominio.
  • Rimozione (ed eventualmente sostituzione) di dischi fisici in un controller di dominio.
  • Ottenere e modificare una copia di un backup dello stato del sistema del controller di dominio.

Aggiungere controller di dominio regionali scrivibili solo a posizioni in cui è possibile garantire la sicurezza fisica.

Nelle posizioni con sicurezza fisica inadeguata, la distribuzione di un controller di dominio di sola lettura è la soluzione consigliata. Ad eccezione delle password dell'account, un controller di dominio di sola lettura contiene tutti gli oggetti e gli attributi di Active Directory contenuti in un controller di dominio scrivibile. Tuttavia, non è possibile apportare modifiche al database archiviato nel controller di dominio di sola lettura. Le modifiche devono essere apportate in un controller di dominio scrivibile e quindi replicate nel controller di dominio di sola lettura.

Per autenticare gli accessi client e l'accesso ai file server locali, la maggior parte delle organizzazioni inserisce controller di dominio regionali per tutti i domini regionali rappresentati in una determinata posizione. Tuttavia, è necessario prendere in considerazione molte variabili quando si valuta se un percorso aziendale richiede che i client dispongano dell'autenticazione locale o che i client possano basarsi sull'autenticazione e eseguire query su un collegamento WAN (Wide Area Network). Nella figura seguente viene illustrato come determinare se posizionare i controller di dominio in posizioni satellite.

plan regional dc placement

Disponibilità delle competenze tecniche in loco

I controller di dominio devono essere gestiti continuamente per vari motivi. Inserire un controller di dominio a livello di area solo in posizioni che includono il personale che può amministrare il controller di dominio o assicurarsi che il controller di dominio possa essere gestito in remoto.

Negli ambienti delle succursali con in genere scarsa sicurezza fisica e personale con poca conoscenza della tecnologia informatica, la distribuzione di un controller di dominio di sola lettura è spesso la soluzione consigliata. Le autorizzazioni amministrative locali per un controller di dominio di sola lettura possono essere delegate a qualsiasi utente di dominio senza concedere a tale utente diritti utente per il dominio o altri controller di dominio. Ciò consente a un utente del ramo locale di accedere a un controller di dominio di sola lettura ed eseguire operazioni di manutenzione sul server, ad esempio l'aggiornamento di un driver. Tuttavia, l'utente del ramo non può accedere ad altri controller di dominio o eseguire qualsiasi altra attività amministrativa nel dominio. In questo modo, l'utente del ramo può essere delegato alla possibilità di gestire in modo efficace il controller di dominio di sola lettura nella succursale senza compromettere la sicurezza del resto del dominio o della foresta.

I collegamenti WAN che riscontrano interruzioni frequenti possono causare perdite significative di produttività agli utenti se la posizione non include un controller di dominio in grado di autenticare gli utenti. Se la disponibilità del collegamento WAN non è del 100% e i siti remoti non possono tollerare un'interruzione del servizio, posizionare un controller di dominio a livello di area in posizioni in cui gli utenti richiedono la possibilità di accedere o accedere al server di Exchange quando il collegamento WAN è inattivo.

Disponibilità dell'autenticazione

Alcune organizzazioni, ad esempio le banche, richiedono che gli utenti vengano autenticati sempre. Posizionare un controller di dominio a livello di area in una posizione in cui la disponibilità del collegamento WAN non è del 100% ma gli utenti richiedono sempre l'autenticazione.

Se la disponibilità dei collegamenti WAN è altamente affidabile, l'inserimento di un controller di dominio nella posizione dipende dai requisiti di prestazioni di accesso tramite il collegamento WAN. I fattori che influenzano le prestazioni di accesso sulla rete WAN includono la velocità di collegamento e la larghezza di banda disponibile, il numero di utenti e i profili di utilizzo e la quantità di traffico di rete di accesso rispetto al traffico di replica.

Le attività di un singolo utente possono inserire un collegamento WAN lento. Posizionare un controller di dominio in una posizione se le prestazioni di accesso sul collegamento WAN non sono accettabili.

La percentuale media di utilizzo della larghezza di banda indica quanto è congestionato un collegamento di rete. Se un collegamento di rete ha un utilizzo medio della larghezza di banda maggiore di un valore accettabile, posizionare un controller di dominio in tale posizione.

Numero di utenti e profili di utilizzo

Il numero di utenti e i relativi profili di utilizzo in una determinata posizione può aiutare a determinare se è necessario inserire controller di dominio regionali in tale posizione. Per evitare perdite di produttività in caso di errore di un collegamento WAN, posizionare un controller di dominio a livello di area in una posizione con 100 o più utenti.

I profili di utilizzo indicano come gli utenti usano le risorse di rete. Non è necessario inserire un controller di dominio in un percorso che contiene solo alcuni utenti che non accedono di frequente alle risorse di rete.

Traffico di rete di accesso e traffico di replica

Se un controller di dominio non è disponibile nella stessa posizione del client di Active Directory, il client crea il traffico di accesso in rete. La quantità di traffico di rete di accesso creato nella rete fisica è influenzata da diversi fattori, tra cui le appartenenze ai gruppi; numero e dimensioni degli oggetti Criteri di gruppo; script di accesso; e funzionalità come cartelle offline, reindirizzamento cartelle e profili mobili.

D'altra parte, un controller di dominio posizionato in una determinata posizione genera traffico di replica nella rete. La frequenza e la quantità di aggiornamenti eseguiti sulle partizioni ospitate nei controller di dominio influisce sulla quantità di traffico di replica creato nella rete. I diversi tipi di aggiornamenti che possono essere eseguiti nelle partizioni ospitate nei controller di dominio includono l'aggiunta o la modifica di utenti e attributi utente, la modifica delle password e l'aggiunta o la modifica di gruppi globali, stampanti o volumi.

Per determinare se è necessario inserire un controller di dominio a livello di area in una posizione, confrontare il costo del traffico di accesso creato da una posizione senza un controller di dominio rispetto al costo del traffico di replica creato inserendo un controller di dominio nella posizione.

Si consideri, ad esempio, una rete con succursali connesse tramite collegamenti lenti alla sede centrale e in cui è possibile aggiungere facilmente i controller di dominio. Se il traffico giornaliero di accesso e ricerca directory di alcuni utenti del sito remoto causa un traffico di rete maggiore rispetto alla replica di tutti i dati aziendali nel ramo, è consigliabile aggiungere un controller di dominio al ramo.

Se la riduzione dei costi di gestione dei controller di dominio è più importante del traffico di rete, centralizzare i controller di dominio per tale dominio e non posizionare controller di dominio regionali nella posizione o prendere in considerazione l'inserimento dei controller di dominio di sola lettura nella posizione.

Per ottenere un foglio di lavoro che consenta di documentare il posizionamento dei controller di dominio regionali e il numero di utenti per ogni dominio rappresentato in ogni posizione, vedere Job Aids for Windows Server 2003 Deployment Kit, scaricare Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip e aprire "Domain Controller Placement" (DSSTOPO_4.doc).

È necessario fare riferimento alle informazioni sulle posizioni in cui è necessario posizionare controller di dominio a livello di area quando si distribuiscono domini regionali. Per ulteriori informazioni sulla distribuzione di domini regionali, vedere la distribuzione di Windows Server 2008 domini regionali.