查看域模型
以下因素会影响所选的域设计模型:
你愿意分配给 Active Directory 域服务 (AD DS) 的网络可用容量。 目标是选择一种模型,该模型可提供高效的信息复制,同时对可用网络带宽的影响最小。
组织中的用户数。 如果组织包含大量用户,部署多个域可以让你对数据进行分区,并让你更好地控制将通过给定网络连接进行传递的复制流量。 这样就可以控制复制数据的位置,并减少网络中慢速链接上的复制流量造成的负载。
最简单的域设计是单个域。 在单域设计中,所有信息都被复制到所有域控制器。 但是,如有必要,可以部署其他区域域。 如果部分网络基础结构通过慢速链接进行连接,而林所有者希望确保复制流量不超过已分配给 AD DS 的容量,则可能会发生这种情况。
最好尽量减少在林中部署的域的数量。 这降低了部署的总体复杂性,从而降低了总体拥有成本。 下表列出了与添加区域域相关的管理成本。
| Cost | 含义 |
|---|---|
| 管理多个服务管理员组 | 每个域都有自己的服务管理员组,需要独立管理。 必须仔细控制这些服务管理员组的成员身份。 |
| 保持多个域通用的组策略设置的一致性 | 需要在林范围内应用的组策略设置必须分别应用到林中的每个单独的域。 |
| 保持多个域通用的访问控制和审核设置的一致性 | 需要在林范围内应用的访问控制和审核设置必须分别应用到林中的每个单独的域。 |
| 对象在域之间移动的可能性增加 | 域的数量越多,用户需要从一个域移动到另一个域的可能性就越大。 此移动可能会影响最终用户。 |
注意
Windows Server 的密码和帐户锁定细化策略也可能影响你选择的域设计模型。 在此版 Windows Server 2008 之前,你只能将一个密码和帐户锁定策略(在域的“默认域策略”中指定)应用到该域中的所有用户。 因此,如果您希望不同的用户集使用不同的密码和帐户锁定设置,则必须创建密码筛选器或者部署多个域。 你现在可以使用细化的密码策略指定多个密码策略,并将不同的密码限制和帐户锁定策略应用到单个域中的不同用户集。 有关细化的密码和帐户锁定策略的详细信息,请参阅 AD DS 细化密码和帐户锁定策略分步指南一文。
单域模型
单域模型最容易管理,维护成本最低。 它由包含单个域的林组成。 此域是林根域,它包含林中的所有用户和组帐户。
单域林模型具有以下优势,降低了管理复杂性:
任何域控制器都可以对林中的任何用户进行身份验证。
所有域控制器都可以是全局编录,因此无需规划全局编录服务器的放置。
在单域林中,所有目录数据都复制到托管域控制器的所有地理位置。 虽然此模型最易于管理,但它也会在两个域模型中产生最多的复制流量。 将目录划分为多个域会使对象只能在特定地理区域进行复制,但会导致更多的管理开销。
区域域模型
域内的所有对象数据将复制到该域中的所有域控制器。 出于这个原因,如果林包含大量分布在通过广域网 (WAN) 连接的不同地理位置的用户,则可能需要部署区域域以减少 WAN 链接上的复制流量。 可以根据网络 WAN 连接来组织基于地理位置的区域域。
区域域模型使你能够随着时间的推移保持稳定的环境。 将用于在模型中定义域的区域基于稳定的元素,例如大陆边界。 基于其他因素(例如组织内的组)的域可能会经常更改,可能需要你重新构建环境。
区域域模型由林根域和一个或多个区域域组成。 创建区域域模型设计涉及识别哪个域是林根域,并确定满足复制要求所需的附加域的数量。 如果组织包括需要与组织中的其他组进行数据隔离或服务隔离的组,请为这些组创建一个单独的林。 域不提供数据隔离或服务隔离。