Назад | Перейти на главную страницу

маленькая веб-ферма IIS - создать домен Active Directory или нет?

У нас есть небольшая веб-ферма из <5 серверов Windows 2008. Некоторые делают данные, большинство - хостинг IIS. Хорошая / плохая идея - настроить контроллер домена и поместить все в один «производственный» домен?

Мы хотим избежать мира, в котором мы должны синхронизировать несколько паролей администратора между ящиками (или делиться учетными данными администратора между командой).

Предположительно, DC будет просто еще одной виртуальной машиной, поэтому стоимость оборудования не обсуждается.

Уточнение: предположительно, DC будет отдельным доменом "ProdServers", подключенным к частной сети. Офисный домен будет на 100% отдельным. Таким образом, большинство администраторов будут иметь учетные данные для главного офиса плюс второй набор для производственного домена.

«Мы хотим избежать мира, в котором мы должны синхронизировать несколько паролей администратора между ящиками (или делиться учетными данными администратора среди команды).»,

Думаю, вы сами ответите на свой вопрос :)

Вы должны убедиться, что понимаете Active Directory и способы устранения неполадок, когда что-то идет не так, иначе вы просто усложняете свою среду и увеличиваете количество точек отказа, но это базовый набор навыков, который вы должны иметь как Windows. админ все равно. В общем случае я бы пошел дальше и сделал это, потому что преимущества намного перевешивают затраты, особенно когда речь идет о резервных копиях и других вещах, которые используют большие преимущества функции единого входа Kerberos в среде домена.

Одна вещь, о которой вы должны помнить, - это сегрегация сети - Active Directory действительно требует открытия довольно значительного количества портов между вашими контроллерами домена и вашей DMZ для правильной работы. Если вас это беспокоит, вы можете не присоединять свои общедоступные серверы к домену или создать еще один сайт AD (или даже, возможно, другой домен в лесу) для своих систем DMZ. Каждая из этих вещей означает, что ваша установка будет намного сложнее.

Хотя я понимаю ваше желание упростить управление этими серверами, в конце концов вы должны делать то, что должны. Я никогда не слышал о каких-либо общедоступных веб-серверах, которые были членами домена AD. Я бы не рекомендовал это делать, за исключением очень конкретных обстоятельств, когда это необходимо.