避免单点故障（single point of faliure）

具有安全认证资格（或相关知识）的人都明白避免单点故障（single point of failure）的重要性。正如阿基利斯的脚踝，单点故障是在设计it基础设施时应避免的（更不用提公司所有其他的方面）。如果公司只依赖一个因素、部分、系统、设备或人，就暴露出其单点故障。

通常，公司在规划网络设计时只考虑便利问题和低成本，而忽略安全性。这里的安全称之为可行性，主要是要避免出现单点故障。如果你不能获得在线资源或无法与其他网络的人联系，可行性就被破坏了。任何涉及到交流适时性与带宽的风险都应充分考虑到。

那么，如何在运用活动目录（active directory）时避免单点故障？这需了解ad如何作用，及公司it基础设施如何运行。

首先也是最重要的是，每个域至少要有2个域控制器。如能负担费用，我建议准备3个，留有一个作为额外的保护层。

第二，域控制器不要放在同一个物理位置。准备至少2个机房。一旦有机房被人为破坏，起火或遭其他损害时，其他机房仍可以使用。

第三，部属多个ad依赖的系统。最主要的是dns系统。确保在每个域中备份或准备两个dns服务器。

第四，需考虑连接线。是否每个网络与域控制器间只有一条连接线？在每个域中部署至少2个网卡，这样可以通过多种途径进行访问。

显然这些建议会增加部署、维护ad基础设施的费用。但当问题发生时，这些防护费绝对比维修费（如相关责任）来得便宜，而且物有所值。

www.sosof.com