Предупреждение: я администратор Linux / * NIX, поэтому для меня это все в новинку.
Я понимаю, что не считается хорошей идеей иметь только один контроллер домена, и что также, вероятно, неплохо, чтобы контроллер домена выполнял только AD / DHCP / DNS (Вот). У нас есть два офиса: в локации A с 30 пользователями и в локации B с 10 пользователями. Наши два офиса разделены глобальной сетью, которая не является особенно надежной, поэтому меня проинструктировали, что нам необходимо иметь автономные службы в каждом офисе. Это означает, что в соответствии с «лучшими практиками» нам нужно будет построить контроллер домена и отдельный файловый сервер в каждом офисе. Опять же, я не разбираюсь в способах работы с Windows, но это кажется немного ненужным для организации из 40 пользователей.
Люди отмечали, что я мог бы «обойтись без использования» запущенных файловых служб на контроллере домена, пока «нагрузка невелика». Просто кажется, что это порождает больше вопросов, чем ответов.
В идеале я бы предпочел иметь только одну физическую машину в каждом месте. Тот, что находится в расположении A (место с ИТ-персоналом), может действовать как основной контроллер домена, а тот, который находится в меньшем офисе, может действовать как резервный контроллер домена. Если один из контроллеров домена выходит из строя, мы все равно можем использовать другой для проверки подлинности (хотя и с некоторой задержкой), а в случае сбоя подключения к глобальной сети каждый офис по-прежнему имеет доступ к соответствующему «локальному» контроллеру домена. Если файловые службы ТАКЖЕ запускаются на каждом сервере (и синхронизируются с чем-то вроде DFS), аналогичная схема с точки зрения избыточности может быть достигнута без необходимости покупки, сборки и установки двух дополнительных отдельных серверов. Дело не в том, что я противен этому (ну, даже более враждебен, чем я, ко всему этому с самого начала), но моему простому разуму это просто кажется немного излишним. Я определенно вижу преимущества функционального разделения, когда мы говорим о более крупных организациях, но мне также нужно учитывать дополнительные накладные расходы.
Ничто из этого не исключает наличия настройки DRP для контроллеров домена. Я предполагаю, что вы можете потерять два контроллера домена так же легко, как и один.
РЕДАКТИРОВАТЬ: Ответы, которые я получил, действительно хороши, но я хотел бы взглянуть на другую сторону медали, если это возможно. Что потенциально может пойти не так, если смешать роли? Чем я рискую при такой настройке, чтобы не рисковать тем, что каждый контроллер выполняет Active Directory и только Active Directory?
Ограничение «Должен быть активным» действительно указывает на то, что DC должен находиться на втором сайте. К сожалению. Чтобы лучше справляться с перебоями в сети и экономить пропускную способность, необходимо объявить сайт AD в каждом месте и DC в каждом.
Кроме того, Microsoft продает свой сервер Small Business Server, который представляет собой своего рода универсальную машину. DC, Exchange, файлы. Одна машина. Я не помню размер офиса, в котором они его предлагают, но вы довольно близки к этому размеру. Так...
Что составляет легкую нагрузку?
Учитывая, что у вас есть домен с 40 пользователями, вы, вероятно, не будете нести большую нагрузку, связанную с синхронизацией домена, на ваших машинах DC. Это оставляет больше накладных расходов на обслуживание файлов и печати. К счастью, file-and-print (file, more than print) - относительно легкая услуга для офиса с населением всего 10. Пока машина достаточно серверного класса и современная, я бы выполнял роли DC и File без второго мысль.
Отказ от ответственности: Я администратор крупного магазина, и у нас есть администраторы небольших магазинов, которые часто здесь. Я могу быть вне базы :)
Единственный реальный риск здесь заключается в том, что вы усложняете ситуацию - проблемы со стороной AD могут потенциально повлиять на сторону файлового сервера (или наоборот) неожиданным образом. Это не следует недооценивать, но и это не конец света. Даже это можно смягчить, используя виртуализацию для запуска двух виртуальных серверов на одном устройстве, чтобы роли были разделены - конечно, за это тоже приходится платить с точки зрения сложности, но в этом мире нет ничего бесплатного.
Вы абсолютно правы в том, что в идеале люди будут запускать только AD и связанные роли на контроллере домена, но многие люди в «реальном мире» добавляют другие роли, и большинство из этих людей в конце «малого бизнеса / филиала» все делается без особых проблем.
В конце концов, вы должны быть практичными - у Microsoft даже есть продукт, предназначенный для разделения множества ролей, специально нацеленных на малый бизнес.
Мы запускаем аналогичную настройку с двумя местоположениями и двумя серверами AD / DNS / EX2K / W2K с каждой стороны на одном ящике. Единственный минус - ремонтопригодность. Если по какой-либо причине вам нужно снять одну коробку, вы временно потеряете все службы на этом сайте (работа через WAN-соединение может замедлиться)
Мы работаем круглосуточно на обоих сайтах, поэтому любое обслуживание ограничено воскресеньем; - ((