在EC2上使用的Active Directory

0

【以下的问题经过翻译处理】 我们在AWS上使用EC2实例(不是由AWS托管服务)运行AD环境。我正在设计AD站点,并根据最佳实践,我们应该每个区域(Region)有一个站点,这样客户端才能找到最好的DC进行登录。在该设计中,客户端可能选择与自己所在的不同AZ的DC,这样增加了延迟并产生跨AZ流量。

我的问题是,为什么不按可用区(AZ)创建一个站点呢?这样,客户端将连接到其所在的AZ的DC,流量也不必离开AZ。

profile picture
专家
已提问 3 个月前15 查看次数
1 回答
0

【以下的回答经过翻译处理】 通常建议为每个区域(Region)单独创建一个活动目录 (AD) 站点,因为这有助于确保客户端能够始终找到靠近它们并提供快速身份验证和授权服务的域控制器 (DC)。如果客户端位于不同的区域,则尤其重要,因为这可以帮助减少客户端尝试对AD进行身份验证时生成的跨区域流量的数量。

但是,如果您有大量客户端都位于同一区域和可用性区域 (AZ) 内,则为每个AZ创建单独的AD站点可能会更有意义。这可以进一步优化这些客户端的身份验证过程,从而确保它们始终能够找到在同一AZ内的DC。

值得注意的是,为每个AZ创建单独的AD站点可能比为每个区域创建一个单独的AD站点更复杂,管理和维护。这是因为您需要创建和管理多个AD站点链接,并且还需要确保站点拓扑结构已正确配置以反应到不同的AZ。

总的来说,设计AD站点的最佳方法取决于您的特定要求和客户端的分布情况。在决定如何设计AD站点时,考虑客户端在每个区域或AZ中的数量、预期的DC工作负载以及客户端与DC之间的预期网络延迟等因素可能很有用。

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则