Windows: контроллеры домена могут также выполнять другие функции?

Этот вопрос был обсуждением того, нужен ли Active Directory для запуска служб терминалов. Но цепочка ответов и комментариев (в основном я) подняла связанный с этим вопрос о контроллерах домена.

Это явно плохая практика иметь только один контроллер домена в среде AD. Также очевидно, что рекомендуется устанавливать каждый контроллер домена на отдельный (физический или виртуальный) отдельный сервер функций. Тем не менее, не все могут следовать передовым практикам все время.

Можно ли использовать серверы, исполняющие другие роли, в качестве контроллеров домена?

Какие вещи следует учитывать при определении целесообразности «двойного назначения» сервера?

Меняется ли роль контроллера домена, как Windows работает с файловой системой или на оборудовании?

Есть ли разница между версиями Windows Server?

Можно и это работает. У меня около 40 филиалов и - по политическим причинам - было принято управленческое решение, чтобы предоставить каждому серверную инфраструктуру. По финансовым причинам это была среда с одним сервером в каждом, так что это все DC / File / Exchange (это было в Windows 2000 дней).

Тем не менее, управление этим кошмаром, и мое предпочтительное правило - «DC - это DC, и больше ничего не происходит». Это ваши самые важные серверы, и если ваша реклама будет смешной, у вас будет ужасное время, чтобы вернуть ее обратно. Если вы можете, дайте себе лучший шанс избежать этого, выделив роли DC. Если вы не можете, просить, кричать, хныкать, подкупать, угрожать, пророчествовать или делать то, что нужно, чтобы поставить себя в такое положение, в котором вы можете.

Контроллеры домена с несколькими ролями довольно распространены. Хотя большинство ролей, которые они выполняют, являются ролями сетевой инфраструктуры. Хорошими примерами являются файловые серверы, DHCP и DNS. Это плохой выбор для таких вещей, как терминальные серверы (пользователи не имеют прав для входа в контроллер домена и предоставления им указанных прав, требуются администраторы домена), серверы веб-приложений, серверы бизнес-приложений, серверы брандмауэра / прокси / ISA и т. Д.

В моей среде я предпочитаю, чтобы все внутренние DNS-серверы работали на контроллерах домена, а также на моих службах DHCP. Похоже, что это хорошее сочетание ролей на контроллерах домена для снижения затрат и оптимального использования оборудования.

• Можно ли использовать серверы, исполняющие другие роли, в качестве контроллеров домена?

"Вы можете даже порезать консервную банку с этим, но Вы не хотели бы!" - Мистер Попейл , текст Weird Al Yankovic

Я предполагаю, что вопрос: вы хотите? Конечно, вы можете превратить свой контроллер домена в файл-сервер и сервер печати, либо в коробку SQL Server, либо в любое количество других функций. Но есть и обратная сторона: цена, которую нужно платить в виде ухудшенной функциональности этой коробки. Если у вас очень мало пользователей (скажем, под 25-50), или вы ограничены бюджетными ограничениями, и вам нужно сделать это «все в одном», вы можете обойтись без этого. Но есть проблемы с производительностью, проблемами безопасности и даже потенциальной несовместимостью между сервисами. Выполнение рамок «все в одном» - это функция злых бюджетов, установленных держателями сумочек, которые не понимают цену, которую они заплатят.

Если вы можете себе это позволить, поместите контроллер домена в отдельную коробку. Черт возьми, если это вообще возможно, возьмите дешевую, но все же серверную коробку, вероятно, коробку уровня отдела, и включите в нее ваши службы DC; затем возьмите двойник этого ящика и включите в него службы DC. Это модель, которую Windows хотела бы иметь, и у вас действительно должно быть как минимум два контроллера домена для каждого домена.

Купите коробки beefer для тех служб, которые используются чаще всего - базы данных, электронная почта, файлы и печать и т. Д. Это «повседневные» коробки, которые пользователи регулярно видят; Контроллеры домена лучше всего оставлять в домене учетные данные пользователя с штамповкой.

• Какие вещи следует учитывать при определении целесообразности «двойного назначения» сервера?

Можете ли вы уйти с ухудшением уровня производительности? Будет ли несовместимость между устанавливаемой службой и любыми другими службами, которые могут работать? Будет ли это мешать аутентификации AD?

• Меняется ли роль контроллера домена, как Windows работает с файловой системой или на оборудовании?

Нет. Но это увеличит его нагрузку. И если вы интегрируете другие функции, отличные от Windows (скажем, с использованием стека PAM для аутентификации Linux-бокса через Kerberos как часть службы IMAP), то ожидайте увеличения этой рабочей нагрузки.

• Есть ли разница между версиями Windows Server?

Каждый выпуск увеличивает количество функций, хотя можно с уверенностью сказать, что вы хотите по крайней мере Windows 2000, если не лучше. Большинство людей работают на Windows 2003 (и двоюродных братьях), которая включает в себя улучшения файловых служб, теневое копирование томов и т. Д. В 2008 году появилось еще больше улучшений.

Microsoft Small Business Server - это AD + Exchange + Файловый сервер + маршрутизатор / VPN-сервер + Sharepoint + SQL Server ... и многие другие, объединенные в один сервер. Так что я бы не сказал, что лучше всего иметь каждую функцию на отдельном сервере. Для небольших операций не имеет смысла запускать все на другом оборудовании.

Похоже, это сводится к безопасности и производительности. Я не думаю, что производительность является большой проблемой в небольших сетях, AD использует крошечное количество самого дешевого сервера, который вы могли бы собрать прямо сейчас.

В этот момент вы можете просто взвесить безопасность и стоимость - вот к чему сводятся все вопросы безопасности в небольшой сети ...

Я думаю, что все ответы могут быть суммированы с помощью Small Business Server.

Конечно, MS была в состоянии бросить почти все (AD, Exchange, SQL и т. Д.) На один ящик. Но он работает как дерьмо и полезен только в очень ограниченных ситуациях.

Короче, ты можешь это сделать? Да. Должны ли вы сделать это? Я не рекомендую это, но это может работать, если вы в затруднении.

С точки зрения производительности это зависит от загрузки двух сервисов. В меньшей сети DC также может без проблем выступать в роли сервера DNS или DHCP. В более крупных сетях возникают проблемы.

Я настоятельно рекомендую не размещать более одного «основного» сервера на одном физическом боксе. То есть, если это ваш главный контроллер домена, использование его в качестве дополнительного DNS-сервера или резервного DHCP-сервера будет приемлемым. Причина в том, что вы не хотите, чтобы сбой на одной коробке вывел две службы.

Я настоятельно рекомендую любому запускать более требовательные сервисы, такие как веб-сервер (IIS или Apache и т. Д.) Или базы данных любого рода.

Если вы решите запустить более одного типа сервиса на одном физическом боксе, я бы настоятельно рекомендовал получить как можно более «громоздкий» блок и использовать его в качестве хоста для виртуализированных серверов. Таким образом, все ваши сервисы все еще несколько независимы друг от друга на уровне ОС.

Ничто не мешает контроллеру домена функционировать в другом качестве.

Если у вас есть существующая инфраструктура AD и у вас есть только один контроллер домена, я бы сказал, что любые недостатки продвижения другого сервера будут перевешиваться преимуществами получения другого контроллера домена.

Помните, что после запуска dcpromo вам придется перезагружаться, поэтому все службы, предоставляемые недавно продвигаемой машиной, будут прерваны. Кроме того, если у вас есть какие-либо политики безопасности контроллера домена, они будут применяться к этому серверу.

Вы МОЖЕТЕ, но почему вы хотите? Теоретически вы можете иметь целый набор сервисов на одном компьютере (Small Business Server). Однако то, что вы МОЖЕТЕ сделать что-то, не обязательно означает, что вы должны это делать. Контроллер домена хранит базу данных AD, поэтому, если вы хотите рискнуть потерпеть неудачу из-за распечатки (и не дай бог) совместного использования файлов, это риск, который вам придется оценивать самостоятельно. Если вы хотите играть безопасно, подключите сервер Linux бесплатно и используйте его как сетевой файловый ресурс или сервер печати и постарайтесь сохранить свои доменные серверы такими же.

Да, они могут, но с точки зрения безопасности, обычный ответ - нет. Причина проста: чем больше это работает на контроллере домена, тем больше площадь поверхности, которую можно использовать, чтобы взять коробку. Возьмите коробку, и вы получите домен. Обычно нет ничего необычного в том, что DNS работает с интегрированными зонами Active Directory. Тем не менее, все остальное, я бы сказал, нет, если вы не маленький магазин и просто не можете позволить себе сломать услуги.

(не принимайте меня слишком серьезно, но вы знаете, у меня есть точка зрения)

Конечно, просто установите VMware, и на нем Debian, и у вас будет отличный многоцелевой сервер. То есть, если нагрузка на хост достаточно мала.

Если бы у меня был выбор иметь только один контроллер домена или запустить другой контроллер домена, скажем, на блоке SQL, я бы выбрал этот вариант.

На самом деле, я бы предпочел запустить виртуальный сервер, а не превращать любой другой работающий сервер в контроллер домена - даже если он просто работал на рабочей станции.

Мое личное мнение заключается в том, что для стабильности вам нужно минимум три контроллера домена, которые позволяют вам разделять роли хозяина операций, и вы всегда должны иметь как минимум два глобальных каталога, но с учетом того, что хозяин инфраструктуры не должен быть GC ,

Обычно я запускаю DNS и DHCP на контроллере домена и имею по крайней мере два контроллера домена. Лично у меня есть виртуальный DC, работающий на двух моих виртуальных хостах (под управлением VMware ESXi, всего три виртуальных хоста) и на одном физическом. Все контроллеры домена являются DNS-серверами, и два из них являются DHCP-серверами (обслуживая половину диапазона каждый). Виртуализация позволяет легко (и в зависимости от того, как вы платите за лицензирование Windows, доступно) иметь виртуальные машины для конкретных задач, и я предпочитаю разделять вещи, так как перезагрузка одного сервера не повлияет на другие.

Тем не менее, я использую SBS 2003 в другом (меньшем) офисе, и он хорошо работает на мощном сервере, хотя проблема с расписанием перезагрузки иногда раздражает. SBS физический, но у меня есть второй сервер под управлением VMware ESXi, в котором установлена ​​виртуальная машина Windows, которая также является DC, поэтому у меня есть дополнительный (второй DC разрешен для SBS, если SBS выполняет роли FSMO). Я ненавижу иметь один DC, это сделает восстановление более трудным и длительное время простоя!

Я бы попытался добавить только что-то вроде печати и / или подачи файлов на контроллер домена, если это возможно, в дополнение к DNS и DHCP. Остальные должны быть взвешены осторожно ... и, если возможно, вставьте даже настольный сервер / сервер нижнего уровня в качестве дополнительного блока DC / DNS, если вам нужно смешивать на основном оборудовании. Даже не избыточное оборудование, вероятно, будет работать, если ваш основной не работает, и наоборот (будь то для перезагрузки или сбоя).