Скажем, у меня есть SBS 2008, работающий как контроллер домена и сервер обмена. Затем у меня есть рядовой сервер 2008 Standard, на котором запущено полукритичное приложение. Я бы хотел иметь возможность отключать сервер SBS в рабочее время без нарушения доступа к рядовому серверу.
Что мне нужно знать о повышении уровня рядового сервера до контроллера домена, чтобы он мог продолжать использовать, если основной контроллер отключен? В частности, есть ли причины, по которым мне не следует этого делать? (подключение к сети не проблема)
Наличие одного контроллера домена усложняет аварийное восстановление. Всегда удобнее иметь второй DC и дешевую страховку на случай выхода из строя ранее singleton DC.
Статус DC приведет к дополнительному использованию ресурсов на рядовом сервере (накладные расходы при размещении AD, клиенты, выполняющие аутентификацию в AD). Это также изменит результирующий набор групповой политики, применяемой к машине, поэтому будьте осторожны, если вы сделали что-либо с групповой политикой, чтобы приложение, на котором размещен рядовой сервер, функционировало должным образом (назначение прав пользователей в объектах групповой политики и т. Д.).
На современном серверном компьютере с небольшим количеством клиентов использование ресурсов будет незначительным. Любые настройки, связанные с групповой политикой, которые вы уже применили к этому серверу, могут по-прежнему применяться после того, как он станет контроллером домена, если это необходимо.
Если производитель полукритичного приложения согласен с запуском приложения на контроллере домена, тогда я не вижу причин не повышать рядовой сервер, на котором размещено приложение, до контроллера домена. Пока вы занимаетесь этим, я бы установил роль DNS-сервера и также сделал его сервером глобального каталога.
Будет ли это нарушать доступ, будет зависеть от того, нужны ли приложению какие-либо другие ресурсы, размещенные на существующем контроллере домена. Предполагая, что рядовой сервер настроен для работы в качестве собственного DNS-сервера, он сможет удовлетворить любые свои потребности, связанные с самой аутентификацией. Однако, если ему нужны общие файлы или другие ресурсы существующего DC, просто сделать рядовой сервер DC / DNS-сервером будет недостаточно для предотвращения сбоев.
(Очень маленькая терминология: в Active Directory нет «первичных» или «вторичных» контроллеров домена. Это просто контроллеры домена.)