确定所需的域数量
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
每个林最初只包含一个域。 单域林可以包含的最大用户数取决于必须适应域控制器之间的复制的最慢链路,以及要分配给 Active Directory 域服务 (AD DS) 的可用带宽。 下表根据单域林列出了一个域可以包含的最大建议用户数、最慢链路的速度,以及要为复制保留的带宽百分比。 此信息适用于最多包含 100,000 个用户且连接速度为每秒 28.8 千位 (Kbps) 或更快的林。 有关适用于包含 100,000 个以上用户或速度低于 28.8 Kbps 的连接的林的建议,请咨询有经验的 Active Directory 设计人员。 下表中的值基于在具有以下特征的环境中生成的复制流量:
- 每年加入林的新用户数比率为 20%。
- 每年离开林的用户数比率为 15%。
- 每个用户是五个全局组和五个通用组的成员。
- 用户与计算机之比为 1:1。
- 使用 Active Directory 集成域名系统 (DNS)。
- 使用 DNS 清理。
注意
下表中列出的数字是近似值。 复制流量的数量在很大程度上取决于给定时间内对目录所做的更改次数。 在部署域之前,请通过在实验室中测试设计的估计数量和更改率,确认网络是否可以适应复制流量。
| 连接域控制器的最慢链路 (Kbps) | 1% 带宽可用时的最大用户数 | 5% 带宽可用时的最大用户数 | 10% 带宽可用时的最大用户数 |
|---|---|---|---|
| 28.8 | 10,000 | 25,000 | 40,000 |
| 32 | 10,000 | 25,000 | 50,000 |
| 56 | 10,000 | 50,000 | 100,000 |
| 64 | 10,000 | 50,000 | 100,000 |
| 128 | 25,000 | 100,000 | 100,000 |
| 256 | 50,000 | 100,000 | 100,000 |
| 512 | 80,000 | 100,000 | 100,000 |
| 1,500 | 100,000 | 100,000 | 100,000 |
此表用法:
在“连接域控制器的最慢链路”列中,找到与 AD DS 在域中复制时使用的最慢链路速度匹配的值。
在与最慢链路速度对应的行中,找到表示要分配到 AD DS 的带宽百分比的列。 该位置的值是单域林中的域可以包含的最大用户数。
如果确定林中的用户总数小于域可以包含的最大用户数,则可以使用单个域。 做出此判断时,请务必考虑到计划的将来增长率。 如果确定林中的用户总数大于域可以包含的最大用户数,则需要保留更高百分比的带宽用于复制、提高链路速度或将组织划分为区域域。
将组织划分为区域域
如果无法在单个域中容纳所有用户,则必须选择区域域模型。 以对组织和现有网络有意义的方式将组织划分为区域。 例如,可以基于大陆边界创建区域。
请注意,由于需要为建立的每个区域创建一个 Active Directory 域,我们建议尽量减少为 AD DS 定义的区域数量。 尽管林中可以包含无限数量的域,但为了便于管理,我们建议林中包含的域数不超过 10 个。 在将组织划分为区域域时,必须在优化复制带宽和尽量降低管理复杂性之间做出适当的平衡。
首先,确定林可以承载的最大用户数。 请根据林中由域控制器用来进行复制的最慢链路以及要分配给 Active Directory 复制操作的平均带宽量确定此数字。 下表列出了林可以包含的最大建议用户数。 此数字基于最慢链路的速度以及要为复制保留的带宽百分比。 此信息适用于最多包含 100,000 个用户且连接速度为每秒 28.8 Kbps 或更快的林。 下表中的值基于以下假设:
- 所有域控制器都是全局目录服务器。
- 每年加入林的新用户数比率为 20%。
- 每年离开林的用户数比率为 15%。
- 用户是五个全局组和五个通用组的成员。
- 用户与计算机之比为 1:1。
- 使用 Active Directory 集成 DNS。
- 使用 DNS 清理。
注意
下表中列出的数字是近似值。 复制流量的数量在很大程度上取决于给定时间内对目录所做的更改次数。 在部署域之前,请通过在实验室中测试设计的估计数量和更改率,确认网络是否可以适应复制流量。
| 连接域控制器的最慢链路 (Kbps) | 1% 带宽可用时的最大用户数 | 5% 带宽可用时的最大用户数 | 10% 带宽可用时的最大用户数 |
|---|---|---|---|
| 28.8 | 10,000 | 50,000 | 75,000 |
| 32 | 10,000 | 50,000 | 75,000 |
| 56 | 10,000 | 75,000 | 100,000 |
| 64 | 25,000 | 75,000 | 100,000 |
| 128 | 50,000 | 100,000 | 100,000 |
| 256 | 75,000 | 100,000 | 100,000 |
| 512 | 100,000 | 100,000 | 100,000 |
| 1,500 | 100,000 | 100,000 | 100,000 |
此表用法:
在“连接域控制器的最慢链路”列中,找到与 AD DS 在林中复制时使用的最慢链路速度匹配的值。
在与最慢链路速度对应的行中,找到表示要分配到 AD DS 的带宽百分比的列。 该位置的值是林可以承载的最大用户数。
如果林可以承载的最大用户数大于需要承载的用户数,则单个林将适用于你的设计。 如果需要承载的用户数大于你已确定的最大数量,则需要提高最低链路速度、为 AD DS 分配更大比例的带宽,或部署更多林。
如果确定单个林可以容纳你需要承载的用户数,则下一步是根据该区域中的最慢链路来确定每个区域可以支持的最大用户数。 将林划分为对你有意义的区域。 确保根据不太可能改变的因素做出决策。 例如,使用大陆而不是销售区域。 在确定最大用户数后,这些区域将成为域结构的基础。
确定每个区域中需要承载的用户数,然后根据最慢链路速度以及分配到该区域中 AD DS 的带宽,来验证这些区域是否不会超过允许的最大数量。 下表列出了区域域可以包含的最大建议用户数。 此数字基于最慢链路的速度以及要为复制保留的带宽百分比。 此信息适用于最多包含 100,000 个用户且连接速度为每秒 28.8 Kbps 或更快的林。 下表中的值基于以下假设:
- 所有域控制器都是全局目录服务器。
- 每年加入林的新用户数比率为 20%。
- 每年离开林的用户数比率为 15%。
- 用户是五个全局组和五个通用组的成员。
- 用户与计算机之比为 1:1。
- 使用 Active Directory 集成 DNS。
- 使用 DNS 清理。
注意
下表中列出的数字是近似值。 复制流量的数量在很大程度上取决于给定时间内对目录所做的更改次数。 在部署域之前,请通过在实验室中测试设计的估计数量和更改率,确认网络是否可以适应复制流量。
| 连接域控制器的最慢链路 (Kbps) | 1% 带宽可用时的最大用户数 | 5% 带宽可用时的最大用户数 | 10% 带宽可用时的最大用户数 |
|---|---|---|---|
| 28.8 | 10,000 | 18,000 | 40,000 |
| 32 | 10,000 | 20,000 | 50,000 |
| 56 | 10,000 | 40,000 | 100,000 |
| 64 | 10,000 | 50,000 | 100,000 |
| 128 | 15,000 | 100,000 | 100,000 |
| 256 | 30,000 | 100,000 | 100,000 |
| 512 | 80,000 | 100,000 | 100,000 |
| 1,500 | 100,000 | 100,000 | 100,000 |
此表用法:
在“连接域控制器的最慢链路”列中,找到与 AD DS 在区域中复制时使用的最慢链路速度匹配的值。
在与最慢链路速度对应的行中,找到表示要分配到 AD DS 的带宽百分比的列。 该值表示区域可以承载的最大用户数。
评估每个建议的区域,并确定每个区域中的最大用户数是否小于域可以包含的最大建议用户数。 如果确定区域可以承载所需的用户数,则可为该区域创建域。 如果确定无法承载这么多用户,请考虑将设计划分为较小的区域,并重新计算每个区域中可以承载的最大用户数。 其他替代做法是分配更多带宽或提高链路速度。
尽管在多域林的某一域中可以放入的用户总数小于单域林的域中的用户数,但多域林中的用户总数可以更高。 由于多域林中每个域的用户数更少,因此可以应对由于在该环境中维护全局目录而产生的额外复制开销。 有关适用于包含 100,000 个以上用户或速度低于 28.8 Kbps 的连接的林的建议,请咨询有经验的 Active Directory 设计人员。
记录已确定的区域
将组织划分为区域域后,记录你要表示的区域,以及每个区域中存在的用户数。 此外,请记下每个区域中用于 Active Directory 复制的最慢链路的速度。 此信息用于确定是否需要更多的域或林。
如需可帮助你记录已识别的区域的工作表,请从 Windows Server 2003 部署工具包作业辅导下载 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,然后打开“确定区域”(DSSLOGI_4.doc)。