Назад | Перейти на главную страницу

должны ли быть разрешены другие функции на сервере Active Directory

Раньше рекомендовалось, чтобы на серверах домена не было других функций.

Генеральный директор и сторонние ИТ-компании продолжают говорить, что они хотели бы использовать эти серверы для дополнительных функций, таких как FTP / Mail / и т. Д.

Повышена ли безопасность, чтобы такой сценарий был приемлемым? Я не удивлен предложением генерального директора, но я удивлен, что внешние ИТ-компании предложили такое. Я что отстал?

Компрометация серверов домена кажется настолько серьезной, что я держу эти машины полностью заблокированными.

РЕДАКТИРОВАТЬ - СПАСИБО ЗА ОТВЕТЫ

Похоже, что ничего не изменилось, и на контроллеры домена ничего не нужно устанавливать. Я действительно озадачен предложениями внешних ИТ-организаций. Все они предполагали, что это нормально.

Я считаю, что DC - это DC и ничего остальное идет на это. Это самые важные серверы в вашей организации, и если что-то пойдет не так с одним из них, вы можете оказаться в положении, в котором вы проиграли. все прежде чем вы узнаете об этом. Любой, кто думает в духе «этот сервер мало что делает, давайте загрузим на него как можно больше дополнительных ролей», не понимает сути и, вероятно, не понимает, о чем он говорит.

Также следует учитывать, что контроллеры домена не имеют локальных учетных записей; Программное обеспечение сторонних производителей может не работать без локальных учетных записей, и вы также можете обнаружить, что некоторые из них должны запускаться в контексте администратора для работы. Вы позволили бы стороннему программному обеспечению, которое необходимо запускать в контексте администратора, на DC? Особенно с учетом того, что обычно это показатель того, что разработчики были достаточно небрежны, чтобы пойти по пути наименьшего сопротивления, а не делать это. право? Это программное обеспечение, созданное неряшливыми разработчиками, сможет что-нибудь на ваш вся сеть. (Примечание: я здесь не говорю о жестких правилах, о чем-то вроде резервного агента, о котором у вас, вероятно, нет выбора.)

DC только для чтения - это совсем другое дело. Я бы смягчил политику «ничего другого не происходит» в таком сценарии, но, тем не менее, сохранил бы определенную осторожность.

Здесь хорошая маркированная Лист почему бы не поставить Exchange 2003 (Mail) на DC. Я бы не стал использовать FTP ни на чем, кроме автономной виртуальной машины, поскольку она устарела и просто ужасна.

Мой голос:

Стоять на своем

с вашей точки зрения ИТ-пуриста, я согласен, DC должен быть только DC. Насколько велико ваше предприятие и сколько у вас DC? Если ваш маленький, то это может не быть таким грехом. Small Business Server - прекрасный пример того, что все в одной коробке, и MS поддерживает эту конфигурацию для 75 пользователей!

Внешние ИТ-компании явно получают сообщения вроде 'мы не можем позволить себе больше ИТ-оборудования' от вашего генерального директора, поэтому они предлагают DC. Обычно у них много мощностей, и они используются недостаточно. С точки зрения вашего генерального директора, это отличный способ сэкономить!

На мой взгляд, у вас есть два варианта:

  1. Убедите генерального директора, что риски и недостатки, связанные с использованием вашего DC для других служб, вот некоторые вещи, которые я могу придумать: более медленное время входа в систему, более медленный Интернет (разрешение DNS), риск безопасности для ВСЕГО ДОМЕНА, что может означать, что кто-то берет на себя контроль каждый компьютер в вашей Active Directory.
  2. Виртуализируйте некоторые / все контроллеры домена, чтобы освободить оборудование для других целей. очевидно, что вы не хотите виртуализировать все свои DC на одном физическом устройстве.

Я бы не стал помещать на него что-либо слишком тяжелое, например Exchange или SQL, или что-либо DMZ / клиентское, но он должен иметь возможность обрабатывать меньшие внутренние сервисы, такие как сервер печати, внутренний Интернет, ftp и т. Д.

Помимо безопасности, одна из причин, по которой вам нужна одна функция для каждого сервера, заключается в том, чтобы гарантировать, что у бизнеса не будет ненужных прерываний - то есть, если вам нужно перезагрузить файловый сервер, зачем вам также перезагружать сервер обмена? Но наличие отдельных серверов для каждой функции может быть чрезмерно дорогостоящим, особенно для малых предприятий. Виртуальные машины хороши, но для них все еще требуются лицензии.

Некоторые вещи могут быть не такими уж важными - да, ИДЕАЛЬНО у вас был бы отдельный DHCP-сервер (два для избыточности) и отдельные DNS-серверы и отдельные ... вы поняли ... но это не редкость и редко проблема чтобы DC также запускал DHCP и DNS.

Что вы комбинируете, зависит от того, насколько их сочетание, вероятно, повлияет на вас. Комбинация DHCP, DNS и AD, вероятно, практически не повлияет. Объединение Exchange, SQL, AD и IIS может иметь огромное влияние.

Как я уже говорил ранее, виртуальные машины великолепны, но они по-прежнему находятся на сервере, который становится единственной точкой отказа (если вы правильно не сгруппируете их по избыточной SAN ... но тогда ваши затраты легко перейдут в диапазон пяти цифр ... . может больше.

Что касается установки Exchange на DC - в общем, не рекомендуется. SBS и EBS - исключения из этого правила. Это поддерживаемая конфигурация, но обычно не является конфигурацией "Best Practices".

Ад. Нет. Сопротивляйтесь любой ценой.

Я согласен с ответом «Нет» на этот вопрос. Как только кто-то использует многоуровневую уязвимость продукта / приложения, он получает доступ к вашим файлам AD, что немного больше, чем немного меньше, чем хотелось бы. Большинство попыток взлома происходят изнутри ...

В прошлые годы мне приходилось иметь дело со странным скомпрометированным рядовым сервером. Инструментарий злоумышленника-бота первым делом высасывает хэши локальных паролей. Очевидно, что используются радужные таблицы, поскольку я видел, что отметки времени между извлечением хэша и версией паролей в открытом виде различаются на все 15 минут. И это было 3 года назад.

Подобный компромисс на контроллер домена предоставит злоумышленникам весь список хэшей AD. Если несколько лет назад вы полностью не отключили хэши паролей LM, это полностью скомпрометирует любой пароль длиной менее 14 (или 16, не могу вспомнить, какие) символов. Вне зависимости от сложности. ЭТО статистику, которую вы можете довести до высшего руководства, чтобы защитить все, кроме DC / DNS (и, возможно, WINS, если вам это нужно), на контроллерах домена.

Как правило, правило - НЕТ, и это действующее правило. Для PHB легко хотеть, чтобы недостаточно используемая система была более выгодной по цене, но DC - это DC, и он должен оставаться единым.

Контроллеры домена могут быть достаточно сложными для устранения неполадок в лучшие времена, в сочетании с дополнительными службами и вашим действительно запросом PITA

Некоторые из перечисленных вами сервисов не имеют большого значения, и хотя DC обычно является недостаточно используемой системой где бы то ни было, кроме крупных предприятий, он по-прежнему остается одним из самых важных компонентов в компании.

Вы рассматривали виртуализацию? вы пытаетесь максимально использовать оборудование или минимизировать затраты на лицензирование программного обеспечения?

для DC требуется лицензия Windows, ну, они обе, у вас их как минимум две, верно?

если это проблема использования оборудования, вам действительно стоит обратить внимание на виртуализацию, контроллеры домена являются главными кандидатами на виртуализацию, и вы можете легко справиться с нагрузкой большинства контроллеров домена и дополнительных служб на нескольких хостах виртуализации.

Благодаря преимуществам лицензирования Microsoft Data Center Edition при использовании в виртуальных системах вы действительно можете сократить расходы на лицензирование при правильных обстоятельствах.

Нет ... особенно современные версии Exchange, которые действительно должны запускаться на нескольких автономных серверах в зависимости от масштаба. Кроме того, что происходит, когда приходит время обновляться? Вы хотите обновить свой DC до 2008, но ваши приложения его не поддерживают. Обязательно держите их отдельно и чистыми.

Я управляю ИТ-отделом на предприятии малого и среднего бизнеса, и я понимаю, что серверы дорогие, мой DC также поддерживает DNS и DHCP, но это все.

Если вы хотите продемонстрировать своему боссу / поставщикам, что это путь вперед, покажите им эту страницу. Здесь куча умных людей с умными, хорошо продуманными ответами, и, как правило, все они говорят одно и то же.

Не стоит также запускать файловый сервер на своем DC. При передаче больших файлов будет серьезное снижение производительности.

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2003/AdminTips/ActiveDirectory/Increasefileserverperformance.html