В настоящее время я администрирую доменную сеть Windows 2008 с DHCP, запущенным на DC. Клиенты получают адреса динамически, а серверам назначаются статические адреса.
В случае, если DC выйдет из строя в одночасье и работники придут утром, у них не будет IP-адреса и они не смогут подключиться к Интернету. Я полагал, что если я перенесу DHCP на брандмауэр, люди все равно смогут входить в Интернет, и сеть будет в основном функциональна без функций AD.
Я ошибаюсь в своей логике? Каковы плюсы и минусы наличия DHCP на брандмауэре в сети Active Directory?
Нет никаких реальных плюсов или минусов в использовании DHCP-сервера в брандмауэре по сравнению с сервером. Пока он правильно настроен, это не имеет большого значения. В некоторых случаях аппаратные межсетевые экраны имеют ограниченные ресурсы, которые лучше использовать для NAT, фильтрации пакетов и даже завершения VPN. Добавление DHCP, DNS и других лишних ролей может снизить производительность.
В Windows Server 2012 вы можете выполнять HA DHCP без использования кластеров, так что у вас есть партнеры по аварийному переключению в горячем режиме. Это новая передовая практика для HA DHCP в отличие от старого метода кластеризации DHCP, который является сложным и громоздким. Если вас это действительно беспокоит, вам следует взять несколько копий Server 2012 или 2012 R2 и настроить их.
Также похоже, что у вас один контроллер домена. Это действительно плохо по ряду причин. В вашей среде должно быть несколько контроллеров домена.
В дополнение к предоставленному ответу DNUCKLES, если предположить, что ваш DC также является вашим DNS-сервером и что вы правильно указываете клиентам домена только DC / DNS в их настройках DNS-клиента, тогда наличие DHCP на брандмауэре не будет делать клиентов много хорошего, если у них нет разрешения имен DNS от DC.
При этом вы можете (должны) настроить второй DC / DNS-сервер, а затем вы можете запустить DHCP и на этом втором сервере. Использование мастера разделения области DHCP позволит вам разделить область действия DHCP между двумя серверами, чтобы, если один из них не работает, другой по-прежнему мог предоставлять клиентам службы AD, DNS и DHCP.
РЕДАКТИРОВАТЬ
Я только что видел твой Windows-сервер-2008 тег. Мастер разделения области DHCP появился в Windows Server 2008 R2. Вы по-прежнему можете разделить область действия DHCP между двумя серверами DHCP Windows Server 2008, но вам придется делать это вручную (разделение 50-50, разделение 80-20 и т. Д.).
Рискуя секущиеся волосы, следует отметить, что PDC больше не существует, а скорее PDC эмуляторы, который является ролью FSMO. При этом просьба предоставить список «за» и «против» для этого будет зависеть от того, что вы надеетесь использовать в качестве своего брандмауэра.
Возможно, наиболее заметным отличием и недостатком использования вашего брандмауэра по сравнению с Windows DHCP является то, что ваши клиентские адреса больше не будут динамически регистрироваться на вашем DNS-сервере.