Compartilhar via

Como planejar o posicionamento do controlador de domínio regional

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Para garantir a redução de custos, planeje colocar o menor número possível de controladores de domínio regionais. Primeiro, examine a planilha "Localizações Geográficas e Links de Comunicação" (DSSTOPO_1.doc) usada em Coletando informações de rede para determinar se um local é um hub.

Planeje colocar controladores de domínio regionais para cada domínio representado em cada local do hub. Depois de colocar controladores de domínio regionais em todos os locais do hub, avalie a necessidade de colocar controladores de domínio regionais em localizações por satélite. A eliminação de controladores de domínio regionais desnecessários das localizações por satélite reduz os custos de suporte necessários para manter uma infraestrutura de servidor remoto.

Além disso, verifique a segurança física dos controladores de domínio em localizações por satélite e de hub para que a equipe não autorizada não possa acessá-los. Não coloque controladores de domínio graváveis em localizações por satélite e de hub nos quais você não pode garantir a segurança física do controlador de domínio. Uma pessoa que tem acesso físico a um controlador de domínio gravável pode atacar o sistema:

  • Acessando discos físicos iniciando um sistema operacional alternativo em um controlador de domínio.
  • Removendo (e possivelmente substituindo) discos físicos em um controlador de domínio.
  • Obtendo e manipulando uma cópia de um backup de estado do sistema do controlador de domínio.

Adicione controladores de domínio regionais graváveis somente a locais nos quais você pode garantir sua segurança física.

Em locais com segurança física inadequada, a implantação de um RODC (controlador de domínio somente leitura) é a solução recomendada. Com exceção das senhas de conta, um RODC contém todos os objetos e os atributos do Active Directory contidos por um controlador de domínio gravável. No entanto, não é possível fazer alterações no banco de dados armazenado no RODC. As alterações precisam ser feitas em um controlador de domínio gravável e replicadas de novo para o RODC.

Para autenticar logons de cliente e acesso a servidores de arquivos locais, a maioria das organizações coloca controladores de domínio regionais para todos os domínios regionais representados em um determinado local. No entanto, você deve considerar muitas variáveis ao avaliar se um local de negócios exige que seus clientes tenham autenticação local ou se os clientes podem contar com autenticação e consulta em um link de WAN (rede de longa distância). A ilustração a seguir mostra como determinar se os controladores de domínio devem ser colocados em localizações por satélite.

plan regional dc placement

Disponibilidade de experiência técnica local

Os controladores de domínio precisam ser gerenciados continuamente por vários motivos. Coloque um controlador de domínio regional somente em locais com pessoal que possa administrá-lo ou verifique se o controlador de domínio pode ser gerenciado remotamente.

Em ambientes de filiais onde a segurança física costuma ser fraca e o pessoal tem pouco conhecimento de tecnologia da informação, a implantação de um RODC geralmente é a solução recomendada. As permissões administrativas locais para um RODC podem ser delegadas a qualquer usuário de domínio sem conceder a esse usuário direitos de usuário para o domínio ou outros controladores de domínio. Isso permite que o usuário de um branch local faça logon em um RODC e execute um trabalho de manutenção no servidor, como atualizar um driver. No entanto, o usuário do branch não pode fazer logon em outro controlador de domínio ou executar qualquer outra tarefa administrativa no domínio. Dessa forma, pode ser delegada ao usuário do branch a capacidade de gerenciar efetivamente o RODC no branch sem comprometer a segurança do restante do domínio ou da floresta.

Links da WAN que experimentam interrupções frequentes podem causar perda significativa de produtividade para os usuários se o local não incluir um controlador de domínio que possa autenticar os usuários. Se a disponibilidade do link da WAN não for 100% e seus sites remotos não puderem tolerar uma interrupção de serviço, coloque um controlador de domínio regional em locais em que os usuários exijam a capacidade de fazer logon ou troque o acesso do servidor quando o link da WAN estiver inativo.

Disponibilidade de autenticação

Determinadas organizações, como bancos, exigem que os usuários permaneçam autenticados o tempo todo. Coloque um controlador de domínio regional em um local onde a disponibilidade do link da WAN não é 100%, mas os usuários exigem autenticação o tempo todo.

Se a disponibilidade do link da WAN for altamente confiável, a colocação de um controlador de domínio no local dependerá dos requisitos de desempenho de logon no link da WAN. Os fatores que influenciam o desempenho de logon sobre a WAN incluem velocidade do link e largura de banda disponível, número de usuários e perfis de uso e a quantidade de tráfego de rede de logon versus o tráfego de replicação.

As atividades de um único usuário podem congestionar um link da WAN lento. Coloque um controlador de domínio em um local se o desempenho de logon no link da WAN for inaceitável.

O percentual médio de utilização da largura de banda indica o quão congestionado um link de rede está. Se um link de rede tiver uma utilização média de largura de banda maior que um valor aceitável, coloque um controlador de domínio nesse local.

Número de usuários e perfis de uso

O número de usuários e seus perfis de uso em um determinado local pode ajudar a determinar se você precisa colocar controladores de domínio regionais nesse local. Para evitar a perda de produtividade se um link da WAN falhar, coloque um controlador de domínio regional em um local que tenha 100 ou mais usuários.

Os perfis de uso indicam como os usuários usam os recursos de rede. Você não precisa colocar um controlador de domínio em um local que contenha apenas alguns usuários que não acessem recursos de rede com frequência.

Tráfego de rede de logon versus tráfego de replicação

Se um controlador de domínio não estiver disponível no mesmo local que o cliente do Active Directory, o cliente criará tráfego de logon na rede. A quantidade de tráfego de rede de logon criada na rede física é influenciada por diversos fatores, incluindo associações de grupo; número e tamanho de GPOs (Objetos de Política de Grupo); scripts de logon; e recursos como pastas offline, redirecionamento de pastas e perfis móveis.

Por outro lado, um controlador de domínio colocado em um determinado local gera tráfego de replicação na rede. A frequência e a quantidade de atualizações feitas nas partições hospedadas nos controladores de domínio influenciam a quantidade de tráfego de replicação criado na rede. Os diferentes tipos de atualizações que podem ser feitas nas partições hospedadas nos controladores de domínio incluem adicionar ou alterar usuários e atributos de usuário, alterar senhas e adicionar ou alterar grupos globais, impressoras ou volumes.

Para determinar se você precisa colocar um controlador de domínio regional em um local, compare o custo do tráfego de logon criado por um local sem um controlador de domínio com o custo do tráfego de replicação criado colocando um controlador de domínio no local.

Por exemplo, considere uma rede com filiais conectadas por links lentos com a sede e em que os controladores de domínio podem ser facilmente adicionados. Se o tráfego diário de pesquisa de logon e diretório de alguns usuários de sites remotos causar mais tráfego de rede do que a replicação de todos os dados da empresa para o branch, considere adicionar um controlador de domínio ao branch.

Se a redução do custo de manutenção de controladores de domínio for mais importante do que o tráfego de rede, centralize os controladores de domínio para esse domínio e não coloque nenhum controlador de domínio regional no local ou considere colocar RODCs no local.

Para obter uma planilha para ajudá-lo a documentar o posicionamento de controladores de domínio regionais e o número de usuários para cada domínio representado em cada local, consulte Kit de Implantação de Recursos de Trabalho para o Windows Server 2003, baixe Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip e abra "Posicionamento de controlador de domínio" (DSSTOPO_4.doc).

Você precisará consultar as informações sobre os locais em que precisa posicionar controladores de domínio regionais ao implantar domínios regionais. Para obter mais informações sobre como implantar domínios regionais, confira Como implantar domínios regionais do Windows Server 2008.