Хотя однодоменная модель дает существенное преимущество — простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения [13].
- Трафик репликации должен быть ограничен. Раздел каталога домена, который является самым большим и наиболее часто изменяемым разделом каталога, копируется на все контроллеры домена в домене. В некоторых случаях это может вызывать слишком большой трафик репликации между офисами компании (даже если сконфигурировано несколько сайтов).
- Между офисами компании существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ ограничить в этом случае трафик репликации состоит в том, чтобы создать дополнительные домены.
- Любые офисы компании, связь между которыми обеспечивается только простым протоколом передачи почты (SMTP), должны конфигурироваться как отдельные домены. Информация домена не может реплицироваться через связи сайта, использующие протокол SMTP.
- Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов.
- Необходимость ограничивать доступ к ресурсам и иметь административные разрешения.
- В некоторых случаях дополнительные домены создаются потому, что лучший путь перехода для организации состоит в модернизации нескольких уже имеющихся доменов.
Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.
|
|
При использовании модели Active Directory с несколькими доменами выполняются следующие правила [3]:
- в каждом домене требуется хотя бы один контроллер;
- групповая политика и управление доступом действует на уровне домена;
- при создании дочернего домена между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения;
- административные права, действующие между доменами, выдаются только для администраторов предприятия;
- необходимо создавать доверяемые каналы.