Этот вопрос обсуждалась необходимость Active Directory для запуска служб терминалов. Но цепочка ответов и комментариев (в основном меня) подняла связанный вопрос о контроллерах домена.
Совершенно очевидно, что иметь только один контроллер домена в среде AD - это плохая практика. Также очевидно, что лучше всего иметь каждый контроллер домена на отдельном (физическом или виртуальном) сервере с одной функцией. Однако не все могут постоянно следовать лучшим практикам.
Можно ли использовать серверы, выполняющие другие роли, в качестве контроллеров домена?
Что следует учитывать при определении того, следует ли использовать сервер «двойного назначения»?
Изменяет ли роль контроллера домена способ работы Windows с файловой системой или на оборудовании?
Есть ли разница между версиями Windows Server?
Контроллеры многоцелевых доменов довольно распространены. Хотя большинство выполняемых ими ролей являются ролями сетевой инфраструктуры. Хорошими примерами являются файловые серверы, DHCP и DNS. Это плохой выбор для таких вещей, как серверы терминалов (у пользователей нет прав для входа в контроллер домена, и предоставление им указанных прав требует администраторов домена), серверы веб-приложений, серверы бизнес-приложений, серверы межсетевого экрана / прокси / ISA и т. Д.
В моей среде я предпочитаю, чтобы все внутренние DNS-серверы работали на контроллерах домена, а также мои службы DHCP. Кажется, это хорошее сочетание ролей на контроллерах домена для снижения затрат и максимально эффективного использования оборудования.
«Вы можете даже разрезать им консервную банку, но вам бы не хотелось!» - Г-н Попейл, текст песни Weird Al Yankovic
Думаю, вопрос в том, хотите ли вы? Конечно, вы можете превратить свой контроллер домена в файловый сервер и сервер печати, или в сервер SQL Server, или в любое количество других функций. Но у этого есть обратная сторона - цена, которую придется заплатить в виде ухудшения функциональности этого устройства. Если у вас очень мало пользователей (скажем, до 25–50), или вы стеснены бюджетными ограничениями и вам нужно сделать это окно «все в одном», вы можете это сделать. Но есть проблемы с производительностью, безопасностью и даже возможная несовместимость между сервисами. Создание коробок «все в одном» - это результат злобных бюджетов, установленных хранителями кошельков, которые не понимают, какую цену они заплатят.
Если вы можете себе это позволить, поместите контроллер домена в отдельную коробку. Черт возьми, если это вообще возможно, купите дешевую, но серверную коробку, возможно, коробку уровня отдела, и поместите на нее свои службы DC; затем возьмите двойник этой коробки и поставьте на нее службы постоянного тока. Это та модель, которую Windows хотела бы иметь у вас, и вы действительно действительно, должно быть не менее двух контроллеров домена для каждого домена.
Купите коробки beefer для тех служб, которые используются чаще всего - баз данных, электронной почты, файлов и печати и т. Д. Это «повседневные» коробки, которые пользователи видят регулярно; Контроллеры домена лучше оставить штампом для учетных данных пользователей в домене.
Сможете ли вы обойтись без снижения производительности? Будет ли несовместимость между устанавливаемой службой и любыми другими службами, которые могут работать? Будет ли это мешать аутентификации AD?
Нет. Но это увеличит его рабочую нагрузку. И если вы интегрируете другие функции, не относящиеся к Windows (например, используя стек PAM для аутентификации Linux-сервера через Kerberos как часть службы IMAP), то ожидайте, что эта рабочая нагрузка возрастет.
С каждым выпуском увеличивается количество функций, хотя можно с уверенностью сказать, что вам нужна хотя бы Windows 2000, если не лучше. Большинство людей используют Windows 2003 (и ее родственников), которая включает улучшения файловых служб, теневого копирования томов и т. Д. 2008 предоставляет еще больше улучшений.
Microsoft Small Business Server - это AD + Exchange + файловый сервер + маршрутизатор / VPN-сервер + Sharepoint + SQL Server ... и многое другое, все в одном сервере. Поэтому я бы не сказал, что «лучшая практика» - иметь все функции на разных серверах. Для небольших операций нет смысла запускать все на другом оборудовании.
Можно, и это работает. У меня около 40 филиалов, и по политическим причинам было принято решение предоставить каждому из них полноценную серверную инфраструктуру. По финансовым причинам в каждом из них была односерверная среда, так что все это DC / File / Exchange (это было во времена Windows 2000).
Однако управление им - кошмар, и я предпочитаю правило: «DC - это DC, и на него больше ничего не распространяется». Это ваши самые важные серверы, и если ваша реклама станет смешной, вам будет ужасно трудно восстановить ее. Если вы можете, дайте себе лучший шанс избежать этого, выделив роли DC. Если вы не можете просить, кричать, хныкать, подкупать, угрожать, пророчествовать или делать что угодно, чтобы поставить себя в такое положение, в котором вы можете.
Похоже, все сводится к безопасности и производительности. Я не думаю, что производительность является большой проблемой в небольших сетях, AD использует минимальное количество самого дешевого сервера, который вы могли бы собрать прямо сейчас.
На этом этапе вы можете просто взвесить безопасность и стоимость - это то, к чему сводятся все вопросы безопасности в небольшой сети ...
Я думаю, что все ответы можно обобщить с помощью Small Business Server.
Конечно, MS смогла разместить почти ВСЕ (AD, Exchange, SQL и т. Д.) В одном устройстве. Но он работает как дерьмо и полезен только в очень ограниченных ситуациях.
Короче, можно? Да. Вы должны это сделать? Я не рекомендую это, но может сработать, если вы в затруднении.
С точки зрения производительности это зависит от нагрузки двух служб. В меньшей сети контроллер домена может также без проблем работать как DNS или DHCP-сервер. В более крупной сети это вызывает проблемы.
Я настоятельно рекомендую вам не размещать более одного «основного» сервера на одном физическом сервере. IE, если это ваш главный DC, использование его в качестве вторичного DNS-сервера или резервного DHCP-сервера будет приемлемым. Причина в том, что вы не хотите, чтобы сбой в одном ящике вывел из строя две службы.
Я настоятельно рекомендую никому не запускать более требовательные службы, такие как веб-сервер (IIS или Apache и т. Д.) Или базы данных любого типа.
Если вы все же решите запустить несколько типов служб на одном физическом устройстве, я бы настоятельно рекомендовал получить как можно более «мощный» сервер и использовать его в качестве хоста для виртуализированных серверов. Таким образом, все ваши сервисы по-прежнему в некоторой степени независимы друг от друга на уровне ОС.
Нет ничего, что по сути мешает контроллеру домена выполнять другие функции.
Если у вас есть существующая инфраструктура AD и у вас есть только один контроллер домена, я бы сказал, что любые недостатки продвижения другого сервера будут перевешены преимуществами получения другого DC.
Помните, что после того, как вы запустите dcpromo, вам придется перезагрузиться, поэтому любые услуги, предоставляемые недавно продвинутой машиной, будут прерваны. Кроме того, если у вас есть какие-либо политики безопасности контроллера домена, они будут применяться к этому серверу.
Вы МОЖЕТЕ, но зачем вам это нужно? Теоретически вы можете иметь весь набор сервисов на одном сервере (Small Business Server). Однако то, что вы МОЖЕТЕ что-то сделать, не обязательно означает, что вы должны это делать. Контроллер домена содержит базу данных AD, поэтому, если вы хотите рискнуть завязать с этим путем печати (и не дай бог) совместного использования файлов, вам придется оценить этот риск самостоятельно. Если вы хотите перестраховаться, установите Linux-сервер бесплатно и используйте его в качестве сетевого файлового ресурса или сервера печати и постарайтесь сохранить свои серверы домена именно так.
Да, могут, но с точки зрения безопасности обычный ответ - нет. Причина проста: чем больше запущено на контроллере домена, тем большую площадь можно использовать для взятия коробки. Возьми коробку, и у тебя есть домен. Обычно DNS работает с интегрированными зонами Active Directory. Однако в остальном я бы сказал нет, если вы не являетесь небольшим магазином и просто не можете себе позволить предоставлять услуги.
(не принимайте меня слишком серьезно, но вы знаете, что я прав)
Конечно, просто установите VMware, на нем Debian, и у вас будет отличный многоцелевой сервер. То есть, если нагрузка на хост достаточно мала.
Если бы у меня был выбор: иметь только один контроллер домена или запустить другой контроллер домена, скажем, в блоке SQL, я бы выбрал этот вариант.
Фактически, я, вероятно, предпочел бы запустить виртуальный сервер, чем фактически превращать любой другой рабочий сервер в контроллер домена, даже если бы он просто работал на рабочей станции.
Мое личное мнение состоит в том, что для стабильности вам необходимо как минимум три контроллера домена, что позволяет разделить роли хозяина операций, и у вас всегда должно быть как минимум два глобальных каталога, но с учетом того, что хозяин инфраструктуры не должен быть GC .
Я бы обычно запускал DNS и DHCP на контроллерах домена и имел как минимум два контроллера домена. Лично у меня есть виртуальный контроллер домена, работающий на двух моих виртуальных хостах (с VMware ESXi, всего три виртуальных хоста), а также на одном физическом. Все контроллеры домена являются DNS-серверами, а два из них - DHCP-серверами (каждый обслуживает половину диапазона). Виртуализация упрощает (и в зависимости от того, как вы платите за лицензирование Windows, доступно) иметь виртуальные машины для конкретных задач, и я предпочитаю разделять вещи, поскольку перезагрузка одного сервера не повлияет на другие.
Однако я использую SBS 2003 в другом (меньшем) офисе, и он хорошо работает на мощном сервере, хотя проблема с планированием перезагрузки иногда меня раздражает. SBS является физическим, но у меня есть второй сервер под управлением VMware ESXi, на котором есть виртуальная машина Windows, которая также является контроллером домена, поэтому у меня есть второй контроллер домена (второй контроллер домена разрешен с SBS, если SBS выполняет роли FSMO). Ненавижу иметь один DC, это усложнит восстановление, а время простоя увеличится!
Я бы попытался добавить только что-то вроде печати и / или обслуживания файлов на DC, если это возможно, в дополнение к DNS и DHCP. Остальные должны быть тщательно взвешены ... и, если возможно, вставьте даже настольный / младший сервер в качестве вторичного блока только для DC / DNS, если вы должны смешивать на основном оборудовании. Даже неизбыточное оборудование, вероятно, будет работать, если ваш основной не работает, и наоборот (будь то перезагрузка или сбой).