У нас есть небольшая веб-ферма из <5 серверов Windows 2008. Некоторые делают данные, большинство - хостинг IIS. Хорошая / плохая идея - настроить контроллер домена и поместить все в один «производственный» домен?
Мы хотим избежать мира, в котором мы должны синхронизировать несколько паролей администратора между ящиками (или делиться учетными данными администратора между командой).
Предположительно, DC будет просто еще одной виртуальной машиной, поэтому стоимость оборудования не обсуждается.
Уточнение: предположительно, DC будет отдельным доменом "ProdServers", подключенным к частной сети. Офисный домен будет на 100% отдельным. Таким образом, большинство администраторов будут иметь учетные данные для главного офиса плюс второй набор для производственного домена.
«Мы хотим избежать мира, в котором мы должны синхронизировать несколько паролей администратора между ящиками (или делиться учетными данными администратора среди команды).»,
Думаю, вы сами ответите на свой вопрос :)
Вы должны убедиться, что понимаете Active Directory и способы устранения неполадок, когда что-то идет не так, иначе вы просто усложняете свою среду и увеличиваете количество точек отказа, но это базовый набор навыков, который вы должны иметь как Windows. админ все равно. В общем случае я бы пошел дальше и сделал это, потому что преимущества намного перевешивают затраты, особенно когда речь идет о резервных копиях и других вещах, которые используют большие преимущества функции единого входа Kerberos в среде домена.
Одна вещь, о которой вы должны помнить, - это сегрегация сети - Active Directory действительно требует открытия довольно значительного количества портов между вашими контроллерами домена и вашей DMZ для правильной работы. Если вас это беспокоит, вы можете не присоединять свои общедоступные серверы к домену или создать еще один сайт AD (или даже, возможно, другой домен в лесу) для своих систем DMZ. Каждая из этих вещей означает, что ваша установка будет намного сложнее.
Хотя я понимаю ваше желание упростить управление этими серверами, в конце концов вы должны делать то, что должны. Я никогда не слышал о каких-либо общедоступных веб-серверах, которые были членами домена AD. Я бы не рекомендовал это делать, за исключением очень конкретных обстоятельств, когда это необходимо.