Windows: czy kontrolery domeny mogą pełnić również inne funkcje?

To pytanie dotyczyło dyskusji, czy usługa Active Directory jest niezbędna do uruchamiania usług terminalowych. Ale łańcuch odpowiedzi i komentarzy (głównie przeze mnie) wywołał podobne pytanie dotyczące kontrolerów domeny.

Wyraźnie złą praktyką jest posiadanie tylko jednego kontrolera domeny w środowisku AD. Oczywiście najlepszą praktyką jest umieszczanie każdego kontrolera domeny na oddzielnym (fizycznym lub wirtualnym) jednofunkcyjnym serwerze. Jednak nie wszyscy mogą przestrzegać najlepszych praktyk przez cały czas.

Czy można używać serwerów pełniących inne role jako kontrolerów domeny?

Jakie kwestie należy wziąć pod uwagę przy określaniu, czy serwer „ma podwójne zastosowanie”?

Czy rola kontrolera domeny zmienia sposób, w jaki system Windows obsługuje system plików lub sprzęt?

Czy istnieją różnice między wersjami systemu Windows Server?

Możesz i to działa. Mam około 40 oddziałów i - z powodów politycznych - podjęto decyzję zarządczą, aby zapewnić każdemu pełną infrastrukturę serwerów. Ze względów finansowych było to środowisko z jednym serwerem w każdym z nich, więc jest to wszystko DC / File / Exchange (tak było w Windows 2000 dni).

Jednak zarządzanie nim to koszmar, a moją preferowaną zasadą jest „DC jest DC i nic więcej się na tym nie dzieje”. To są twoje najważniejsze serwery, a jeśli twoja reklama będzie śmieszna, będziesz miał straszny czas na jej prawidłowe przywrócenie. Jeśli możesz, daj sobie najlepszą szansę na uniknięcie tego, mając dedykowane role DC. Jeśli nie możesz błagać, krzyczeć, kwilić, przekupywać, grozić, przepowiadać proroctwa lub cokolwiek innego, aby postawić się w pozycji, w której możesz.

Kontrolery domen z wieloma rolami są dość powszechne. Chociaż większość ról, jakie pełnią, to role infrastruktury sieciowej. Dobrym przykładem są serwery plików, DHCP i DNS. Są kiepskim wyborem dla takich rzeczy jak serwery terminali (użytkownicy nie mają uprawnień do logowania się do kontrolera domeny i przyznania im, że przyznanie uprawnień wymaga administratorów domeny), serwerów aplikacji WWW, serwerów aplikacji biznesowych, serwerów zapory / serwera proxy / ISA itp.

W moich środowiskach wolę, aby wszystkie wewnętrzne serwery DNS działały na kontrolerach domeny, a także w moich usługach DHCP. To wydaje się być dobrym połączeniem ról na DC, aby obniżyć koszty i jak najlepiej wykorzystać sprzęt.

• Czy można używać serwerów pełniących inne role jako kontrolerów domeny?

„Możesz nawet wyciąć puszkę, ale nie chciałbyś!” - Mr. Popeil , tekst Weird Al Yankovic

Myślę, że pytanie brzmi: chcesz? Jasne, możesz zmienić kontroler domeny w serwer plików i wydruku lub w skrzynkę SQL Server lub dowolną liczbę innych funkcji. Ale ma to wadę, cenę do zapłaty w postaci obniżonej funkcjonalności tego pudełka. Jeśli masz bardzo niewielu użytkowników (powiedzmy poniżej 25-50 lat) lub jesteś ograniczony przez ograniczenia budżetowe i musisz uczynić to pole „wszystko w jednym”, możesz to zrobić. Ale są problemy z wydajnością, problemy z bezpieczeństwem, a nawet potencjał niezgodności między usługami. Wykonanie skrzynek „wszystko w jednym” jest funkcją złych budżetów ustalonych przez strażników portfela, którzy nie rozumieją ceny, którą zapłacą.

Jeśli możesz sobie na to pozwolić, umieść kontroler domeny w osobnym polu. Heck, jeśli to w ogóle możliwe, zdobądź tanią, ale serwerową skrzynkę, prawdopodobnie skrzynkę na poziomie działu, i postaw na tym swoje usługi DC; następnie zdobądź bliźniak tego pudełka i umieść na nim również usługi DC. Jest to model, który chciałbyś mieć w systemie Windows i naprawdę powinieneś mieć co najmniej dwa kontrolery domeny dla każdej domeny.

Kup pudełka typu „richer” dla tych usług, z których najczęściej korzystasz - baz danych, poczty e-mail, plików i drukowania itp. Są to „codzienne” pudełka, które użytkownicy widzą regularnie; kontrolery domeny najlepiej pozostawić poświadczenia użytkownika z gumową pieczątką w całej domenie.

• Jakie kwestie należy wziąć pod uwagę przy określaniu, czy serwer „ma podwójne zastosowanie”?

Czy możesz uciec z obniżonym poziomem wydajności? Czy będzie niezgodność między instalowaną usługą a innymi usługami, które mogą być uruchomione? Czy będzie to zakłócać uwierzytelnianie AD?

• Czy rola kontrolera domeny zmienia sposób, w jaki system Windows obsługuje system plików lub sprzęt?

Nie. Ale zwiększy to obciążenie pracą. A jeśli zintegrujesz inne funkcje inne niż Windows (powiedzmy, używając stosu PAM do uwierzytelnienia Linux-a przez Kerberos jako część usługi IMAP), spodziewaj się wzrostu obciążenia.

• Czy istnieją różnice między wersjami systemu Windows Server?

Każda wersja zwiększa liczbę funkcji, chociaż można śmiało powiedzieć, że chcesz przynajmniej Windows 2000, jeśli nie lepszy. Większość ludzi korzysta z systemu Windows 2003 (i kuzynów), co obejmuje ulepszenia usług plików, kopiowanie woluminów w tle itp. 2008 zapewnia jeszcze więcej ulepszeń.

Microsoft Small Business Server to AD + Exchange + serwer plików + router / VPN Server + Sharepoint + SQL Server .. i więcej wszystko połączone w jeden serwer. Dlatego nie powiedziałbym, że najlepszą praktyką jest posiadanie każdej funkcji na innym serwerze. W przypadku małych operacji nie ma sensu uruchamiać wszystkiego na innym sprzęcie.

Wygląda na to, że sprowadza się do bezpieczeństwa i wydajności. Nie sądzę, że wydajność jest dużym problemem w małych sieciach, AD używa niewielkiej ilości najtańszego serwera, jaki możesz teraz złożyć.

W tym momencie możesz po prostu porównać bezpieczeństwo z kosztami - do tego sprowadzają się wszystkie pytania dotyczące bezpieczeństwa w małej sieci ...

Myślę, że wszystkie odpowiedzi można podsumować w Small Business Server.

Jasne, stwardnienie rozsiane było w stanie rzucić prawie WSZYSTKO (AD, Exchange, SQL itp.) Na jedno pudełko. Ale działa jak bzdura i jest użyteczny tylko w bardzo ograniczonych sytuacjach.

Krótko mówiąc, możesz to zrobić? Tak. Powinieneś to zrobić Nie polecam, ale może działać, jeśli jesteś w związku.

Z punktu widzenia wydajności zależy to od obciążenia dwóch usług. W mniejszej sieci kontroler domeny może również bez problemu pełnić rolę serwera DNS lub DHCP. W większej sieci prosi o problemy.

Gorąco polecam, abyś nie umieszczał więcej niż jednego „podstawowego” serwera na tym samym fizycznym urządzeniu. IE, jeśli jest to twój główny DC, użycie go jako dodatkowego serwera DNS lub zapasowego serwera DHCP byłoby dopuszczalne. Powodem jest to, że nie chcesz, aby awaria jednego urządzenia wyjęła dwie usługi.

Odradzałbym każdemu uruchamianie bardziej wymagających usług, takich jak serwer WWW (IIS lub Apache itp.) Lub wszelkiego rodzaju baz danych.

Jeśli zdecydujesz się uruchamiać więcej niż jeden typ usługi na tym samym fizycznym urządzeniu, zdecydowanie zaleciłbym uzyskanie jak największej liczby urządzeń i wykorzystanie go jako hosta dla serwerów zwirtualizowanych. W ten sposób wszystkie twoje usługi są w pewnym stopniu niezależne od siebie na poziomie systemu operacyjnego.

Nic nie stoi na przeszkodzie, aby kontroler domeny działał z innymi funkcjami.

Jeśli masz istniejącą infrastrukturę AD i masz tylko jeden kontroler domeny, powiedziałbym, że wszelkie niedogodności związane z promowaniem innego serwera byłyby przeważone przez zalety uzyskania kolejnego kontrolera domeny.

Pamiętaj, że po uruchomieniu dcpromo będziesz musiał zrestartować komputer, więc wszelkie usługi świadczone przez nowo promowaną maszynę zostaną przerwane. Ponadto, jeśli masz jakieś zasady bezpieczeństwa kontrolera domeny, będą one miały zastosowanie do tego serwera.

MOŻESZ, ale dlaczego miałbyś chcieć? Teoretycznie możesz mieć cały szereg usług na tym samym urządzeniu (Small Business Server). To, że MOŻESZ coś zrobić, niekoniecznie oznacza, że ​​powinieneś. Kontroler domeny przechowuje bazę danych AD, więc jeśli chcesz zaryzykować, drukując (i nie daj Boże) udostępnianie plików, to ryzyko musisz sam ocenić. Jeśli chcesz grać bezpiecznie, stań za darmo na serwerze Linux i użyj go jako sieciowego udostępniania plików lub serwera wydruku i postaraj się zachować swoje serwery domeny jako takie.

Tak, mogą, ale z punktu widzenia bezpieczeństwa zwykle odpowiedź brzmi „nie”. Powód jest prosty: im więcej działa na kontrolerze domeny, tym większa jest powierzchnia, którą można wykorzystać do przejęcia skrzynki. Weź pudełko i masz domenę. Zazwyczaj DNS nie działa ze strefami zintegrowanymi z Active Directory. Jednak cokolwiek innego, powiedziałbym „nie”, chyba że jesteś małym sklepem i po prostu nie stać Cię na skorzystanie z usług.

(nie bierz mnie zbyt poważnie, ale wiesz, że mam rację)

Jasne, po prostu zainstaluj VMware, a na nim Debiana i masz świetny serwer wielofunkcyjny. Oznacza to, że obciążenie hosta jest wystarczająco małe.

Gdybym miał wybór tylko jednego kontrolera domeny lub innego kontrolera domeny na polu SQL, wybrałbym tę opcję.

W rzeczywistości wolałbym raczej uruchomić serwer wirtualny niż zmienić inny działający serwer w kontroler domeny - nawet jeśli działałby on tylko na stacji roboczej.

Osobiście uważam, że dla stabilności potrzebujesz co najmniej trzech kontrolerów domeny, co pozwoli ci podzielić role wzorca operacji, i zawsze powinieneś mieć co najmniej dwa katalogi globalne - ale biorąc pod uwagę, że wzorzec infrastruktury nie powinien być GC .

Generalnie uruchamiałbym DNS i DHCP na kontrolerach domeny i posiadałbym co najmniej dwa kontrolery domeny. Osobiście mam wirtualny DC działający na dwóch moich wirtualnych hostach (z uruchomionym VMware ESXi, łącznie trzy wirtualne hosty) i jednym fizycznym. Wszystkie kontrolery domeny to serwery DNS, a dwa z nich to serwery DHCP (obsługujące połowę zakresu). Wirtualizacja ułatwia (w zależności od tego, jak płacisz za licencję na system Windows, niedrogie) posiadanie maszyn wirtualnych specyficznych dla zadania, a ja zdecydowanie wolę dzielenie rzeczy, ponieważ ponowne uruchomienie jednego serwera nie wpłynie na inne.

Jednak uruchamiam SBS 2003 w innym (mniejszym) biurze i działa dobrze na mocnym serwerze, chociaż problem z planowaniem ponownego uruchomienia jest czasem denerwujący. SBS jest fizyczny, ale mam drugi serwer z uruchomionym VMware ESXi, który ma maszynę wirtualną z systemem Windows, która jest również kontrolerem domeny, więc mam sekretarz (drugi kontroler domeny jest dozwolony w SBS, o ile SBS pełni role FSMO). Nienawidzę posiadania jednego DC, utrudniłoby to odzyskanie i dłuższe przestoje!

W miarę możliwości spróbowałbym dodać tylko coś takiego, jak drukowanie i / lub obsługę plików do DC, oprócz DNS i DHCP. Inne będą musiały być starannie zważone ... i jeśli to możliwe, włóż nawet serwer stacjonarny / dolny jako dodatkowe pudełko tylko DC / DNS, jeśli musisz miksować na podstawowym sprzęcie. Nawet nieużywający się sprzęt będzie prawdopodobnie działał, jeśli twój podstawowy nie działa i na odwrót (czy to w przypadku restartu, czy awarii).