Existe uma diferença no consumo de largura de banda entre um RODC e um RWDC?

8

Minha organização implantou RODCs de 2008 em várias plataformas marítimas. A idéia era estender nosso domínio em terra a nossos navios para controlar melhor as políticas de segurança. Os RODCs foram selecionados com a suposição de que consumiriam menos largura de banda. Havia também preocupações de segurança, mas essas eram secundárias.

A conectividade com a Internet no mar é fornecida por um link de satélite muito caro. As velocidades variam de lentas a inexistentes. O gerenciamento de usuários, computadores, alterações de grupo e permissão e atualizações de GPO é extremamente lento.

Estou começando a acreditar que desenvolvemos uma visão de túnel em relação aos RODCs e que ter um controlador de domínio gravável pode ser uma alternativa melhor. Estou pensando em um RWDC e um RODC por navio para redundância. É uma pequena base de usuários, mas é fundamental ter redundância.

Há muito mais para isso, mas não posso resumir com brevidade. Estou curioso para saber se alguém já testou a diferença no consumo de largura de banda entre um RODC e um RWDC? A substituição de um dos RODCs por um RWDC aumentaria significativamente o consumo de largura de banda? Eu estaria redirecionando o RODC para replicar a partir do RWDC. Isso significaria um controlador de domínio conectado à costa.

Como as coisas estão no momento, pode levar horas para fazer coisas que normalmente levariam minutos. Ter administradores a bordo dos navios trabalhando em uma RWDC tornaria a vida muito melhor. O medo é que a conversa da RWDC encha o cano.

Então, alguém já testou a diferença?

active-directory replication rodc Dante M. DeAngelis
fonte

Respostas:

7

Não, nunca testei a diferença no consumo de largura de banda entre um RODC e um RWDC, mas deixe-me oferecer algumas observações, no entanto:

Se a segurança é a "menor preocupação" em suas considerações e a conectividade de rede é fundamental, os RODCs podem ser realmente uma péssima escolha.

Lembre-se de que, como é somente leitura , qualquer operação que exija atualização de dados no diretório (incluindo bloqueios de conta, falhas de autenticação etc.) só será bem-sucedida redirecionando um controlador de domínio gravável e consumindo largura de banda bidirecionalmente (origine gravação externa + replicar no RODC).

Você provavelmente está melhor com 2 RWDCs e um site dedicado por navio / plataforma.

Certifique-se de configurar o link do site entre os sites offshore e o hub onshore com as seguintes características:

  • Configure um agendamento de replicação que permita a replicação somente durante horários do dia / semana / mês em que a velocidade da conexão é considerada a melhor (e os preços de discagem baixos, se estiverem flutuando)
  • Configure um intervalo de replicação razoavelmente alto, para impedir que o bridgehead do site faça pesquisas a cada 15 minutos durante seu agendamento
  • Ative a sincronização bidirecional (também conhecida como "Replicação Recíproca" ) para reutilizar a mesma conexão subjacente bidirecionalmente
  • Altere o controlador de domínio usado no GPMC para um no site local offshore, quando você estiver trabalhando no local (caso contrário, o padrão é o emulador PDC, que se espera localizado no site do hub)
  • Deixe as configurações de replicação intra-site como padrão (notificação de alteração atrasada em 15 segundos), para evitar a perda de dados no caso de você perder um controlador de domínio em um site offshore
Mathias R. Jessen
fonte
1
Eu contaria operações que usam RSO (replicar único objeto), como atualizações dinâmicas de DNS, sincronização de senha, etc. Então, acho que os RODCs em geral causam mais tráfego.
iPath
@iPath Definitivamente, a lista na minha resposta não é exaustiva. RSO ou sincronização de partição, realmente não importa. Qualquer operação de gravação iniciada por um cliente na plataforma irá suportar uma ligação de saída e, posteriormente, de volta para a replicação no RODC
Mathias R. Jessen
2

Os RODCs são uma opção TERRÍVEL para locais remotos com uma rede desonesta.

Além disso, os RODCs NÃO devem ser implantados em um site que tenha um RWDC.

O único motivo pelo qual um RODC consumiria menos largura de banda é porque nenhuma alteração de saída seria replicada (sem parceiros de replicação de saída).

Você não pode editar / gerenciar objetos usando um RODC com aplicativos como Usuários e Computadores do AD ou Console de Gerenciamento de Diretiva de Grupo; eles precisam se conectar a um controlador de domínio gravável. Não é de surpreender que isso seja lento para você, pois você precisa se conectar a um RWDC por um link WAN lento.

Greg Askew
fonte
Os RODCs são uma opção terrível se você precisar administrar (ou seja, operações graváveis). Os RODCs são uma boa opção em comum.
iPath
Os RODCs são uma boa opção, se você tiver o caso comercial para eles e se tiver boa conectividade de rede. Se você não tiver boa conectividade de rede, haverá problemas adicionais. Uma maneira de sinalizar para saber se eles têm o caso de negócios é se desejam colocar um RWDC no mesmo site. Nesse caso, NUNCA tinham um caso comercial legítimo para um RODC. Vi organizações implementarem os RODCs da maneira errada com tanta frequência que é trágico, incluindo colocar Usuários Autenticados ou Usuários de Domínio na Política de Replicação de Senha ou no Grupo de Replicação de Senha Permitida do RODC.
Greg Askew