Есть ли разница в потреблении полосы пропускания между RODC и RWDC?

8

Моя организация развернула RODC 2008 на нескольких морских платформах. Идея заключалась в расширении нашего берегового домена на наши корабли, чтобы лучше контролировать политику безопасности. RODC были выбраны исходя из предположения, что они будут использовать меньшую полосу пропускания. Были также проблемы безопасности, но они были второстепенными.

Подключение к Интернету в море обеспечивается очень дорогой спутниковой связью. Скорости варьируются от медленных до несуществующих. Управление пользователями, компьютерами, изменениями групп и разрешений, а также обновлениями объектов групповой политики мучительно медленно.

Я начинаю полагать, что мы разработали туннельное видение в отношении RODC, и что лучше иметь доступный для записи контроллер домена. Я думаю, что один RWDC и один RODC на корабль для резервирования. Это небольшая база пользователей, но крайне важно иметь избыточность.

В этом есть много чего, но я не могу подвести итог с какой-либо краткостью. Мне интересно, проверял ли кто-нибудь когда-либо разницу в потреблении полосы пропускания между RODC и RWDC? Заметит ли замена одного из RODC на RWDC потребление полосы пропускания? Я бы перенаправил RODC для репликации из RWDC. Это будет означать, что один контроллер домена подключается обратно к берегу.

Так как все идет прямо сейчас, то на то, что обычно занимает минуты, могут уйти часы. Наличие администраторов на кораблях, работающих на RWDC, сделало бы жизнь намного лучше. Страх состоит в том, что болтовня RWDC заполнит трубу.

Итак, кто-нибудь когда-нибудь проверял разницу?

active-directory replication rodc Данте М. ДеАнгелис
источник

Ответы:

7

Нет, я никогда не проверял разницу в потреблении полосы пропускания между RODC и RWDC, но позвольте мне предложить некоторые наблюдения:

Если по вашим соображениям безопасность является «наименьшим количеством проблем», а сетевое подключение имеет первостепенное значение, RODC может быть действительно плохим выбором.

Помните, что, поскольку она доступна только для чтения , любая операция, требующая обновления данных в каталоге (включая блокировки учетных записей, сбои аутентификации и т. Д.), Будет успешной, только если перенаправится на контроллер домена с возможностью записи и будет использовать полосу пропускания в двух направлениях (инициировать запись вне сайта + тиражировать на RODC).

Вероятно, вам лучше иметь 2 RWDC и отдельный сайт для каждого судна / платформы.

Обязательно настройте связь сайта между оффшорными сайтами и береговым хабом со следующими характеристиками:

  • Настройте расписание репликации, которое разрешает репликацию только во время дня / недели / месяца, когда скорость соединения считается наилучшей (и цены на коммутируемое соединение низкие, если колеблются).
  • Сконфигурируйте достаточно высокий интервал репликации , чтобы предотвратить опрашивание плацдарма сайта каждые 15 минут во время его графика
  • Включите двустороннюю синхронизацию (также известную как «взаимная репликация» ), чтобы двунаправленно повторно использовать одно и то же базовое соединение
  • Измените контроллер домена, используемый в консоли управления групповыми политиками, на локальный офшорный сайт, если вы работаете локально (в противном случае по умолчанию используется эмулятор PDC, который, как мы надеемся, расположен на вашем узловом сайте)
  • Оставьте настройки репликации внутри сайта по умолчанию (15-секундное уведомление об отложенных изменениях), чтобы избежать потери данных в случае потери одного DC на оффшорном сайте
Матиас Р. Ессен
источник
1
Я бы посчитал операции, которые используют RSO (репликация одного объекта), такие как динамические обновления DNS, синхронизация паролей и т. Д. Поэтому я думаю, что RODC в целом вызывают больше трафика.
iPath
@iPath Определенно, список в моем ответе не является исчерпывающим. RSO или синхронизация раздела, на самом деле не имеет значения. Любая операция записи, инициированная клиентом на платформе, вызовет соединение, а затем вернется для репликации на RODC
Матиас Р. Джессен
2

RODC - это УЖАСНАЯ опция для удаленных мест с хитрой сетью.

Кроме того, RODC НЕ следует развертывать на сайте, который имеет RWDC.

Единственная причина, по которой контроллер домена только для чтения потребляет меньшую пропускную способность, заключается в том, что исходящие изменения не будут реплицированы (нет партнеров по исходящей репликации).

Вы не можете редактировать / управлять объектами, используя RODC с такими приложениями, как AD Users and Computers или Консоль управления групповой политикой, они должны подключаться к доступному для записи контроллеру домена. Неудивительно, что это медленно для вас, потому что вам нужно подключиться к RWDC по медленному каналу WAN.

Грег Аскью
источник
RODC - ужасный вариант, если вам нужно выполнить администрирование (то есть операции записи). RODC являются хорошим вариантом общего.
iPath
RODC - хороший вариант, если у вас есть для них экономическое обоснование, и если у вас хорошее сетевое подключение. Если у вас нет хорошего сетевого подключения, возникнут дополнительные проблемы. Один из способов пометить, есть ли у них экономическое обоснование, заключается в том, хотят ли они разместить RWDC на том же сайте. Если так, у них НИКОГДА не было законного экономического обоснования для RODC. Я видел, как организации внедряют RODC неправильно, поэтому часто это трагично, в том числе включение проверенных пользователей или пользователей домена в политику репликации паролей или в группу репликации паролей RODC.
Грег Аскью