Pré-planejamento antes de criar sua floresta ou domínio.

Uma coisa que você pode considerar com qualquer domínio em sua floresta é quantas máquinas físicas versus máquinas virtuais você deseja ter. Pessoalmente, acredito que deve haver uma máquina física por domínio. Uma das razões pelas quais acredito nisso é por causa de como os relógios são tratados, especificamente no meu caso, máquinas Hyper-V. Não consigo falar com VMWare. Em um host Hyper-V, ele instala um serviço de sincronização de relógio nos sistemas operacionais convidados. Em um domínio, todas as máquinas membros são sincronizadas com o serviço de tempo dos DCs. Cada domínio é sincronizado com a floresta. Mas em um convidado Hyper-V o relógio é sincronizado com o relógio da máquina física. E se o host for uma máquina membro, o relógio será sincronizado com o domínio. Isso cria um loop de feedback que permite que o relógio se desvie que encontrei. Depois de alguns meses, o tempo varia a ponto de haver uma diferença notável no tempo e no Active Directory, que é um problema importante. Para resolver isso, configurei meus hosts Hyper-V para sincronizar o tempo em um intervalo muito baixo de um DC físico que mantém a função FSMO (Flexible Single Master Operation) do PDC (Controlador de Domínio Primário) no domínio raiz da floresta.

Considerações

Você precisa decidir qual será a aparência de sua estrutura de floresta antes de instalar o Active Directory pela primeira vez.

Você deve ter apenas um domínio em sua floresta ou terá vários domínios em sua floresta?

O Active Directory pode oferecer suporte a vários sites. Geralmente os sites são divididos em links lentos (conexões de rede lentas) ou grandes distâncias entre áreas geográficas, mas não precisam ser assim. Os sites são configurados por meio de sub-redes de endereço IP. Você especifica que esses endereços IP pertencem ao site A e os outros pertencem ao site B. A replicação entre sites (entre o site A e o site B) geralmente ocorre em uma frequência maior do que a replicação entre sites. Por exemplo, a replicação entre o site A e o site B pode ser definida no padrão de 180 minutos (3 horas) e a replicação entre os controladores de domínio no mesmo site é, por padrão, definida em 15 segundos.

Você também precisa considerar o número de “máquinas” que precisará ter para construir sua floresta do Active Directory. A prática recomendada seria ter um mínimo de dois controladores de domínio (DC) por cada domínio em sua floresta para redundância. O DNS é um requisito para o Active Directory. Clientes do Active Directory, como computadores de usuários) usam o DNS para localizar uns aos outros e localizar serviços anunciados no Active Directory pelos controladores de domínio do Active Directory. Você deve decidir se o DNS será integrado ao Active Directory ou não. É mais fácil colocar o Active Directory em funcionamento rapidamente se você decidir integrar o DNS ao AD. Também vale a pena observar que você deve fazer backup do Active Directory porque ter dados inválidos replicados para outro DC fornece redundância de dados inválidos e não um caminho para reverter.