Windows: ตัวควบคุมโดเมนสามารถให้บริการฟังก์ชั่นอื่น ๆ ได้หรือไม่

คำถามนี้เป็นการสนทนาเกี่ยวกับว่า Active Directory จำเป็นต้องเรียกใช้บริการเทอร์มินัลหรือไม่ แต่ห่วงโซ่ของคำตอบและความคิดเห็น (ส่วนใหญ่โดยฉัน) นำคำถามที่เกี่ยวข้องรอบตัวควบคุมโดเมน

เห็นได้ชัดว่าแนวทางปฏิบัติที่แย่คือมี Domain Controller เพียงหนึ่งตัวในสภาพแวดล้อมโฆษณา นอกจากนี้ยังเป็นแนวปฏิบัติที่ดีที่สุดที่ชัดเจนว่าให้แต่ละตัวควบคุมโดเมนบนเซิร์ฟเวอร์ฟังก์ชั่นเดี่ยว (ทางกายภาพหรือเสมือน) แยกต่างหาก อย่างไรก็ตามไม่ใช่ทุกคนที่สามารถปฏิบัติตามแนวปฏิบัติที่ดีที่สุดได้ตลอดเวลา

ตกลงใช้เซิร์ฟเวอร์ที่เติมบทบาทอื่นเป็นตัวควบคุมโดเมนหรือไม่

สิ่งที่ควรพิจารณาในการพิจารณาว่าจะ "เซิร์ฟเวอร์แบบสองจุดประสงค์" หรือไม่

บทบาทตัวควบคุมโดเมนเปลี่ยนวิธีการที่ Windows ใช้งานระบบไฟล์หรือบนฮาร์ดแวร์หรือไม่

Windows Server มีความแตกต่างกันหรือไม่?

คุณสามารถและมันใช้งานได้ ฉันมีสำนักงานสาขาประมาณ 40 แห่งและด้วยเหตุผลทางการเมืองมีการตัดสินใจด้านการจัดการเพื่อให้โครงสร้างพื้นฐานเซิร์ฟเวอร์เต็มรูปแบบ สำหรับเหตุผลทางการเงินมันเป็นสภาพแวดล้อมเซิร์ฟเวอร์เดียวในแต่ละดังนั้นมันจึงเป็น DC / ไฟล์ / การแลกเปลี่ยน (นี่คือใน Windows 2000 วัน)

อย่างไรก็ตามการจัดการมันเป็นฝันร้ายและกฎที่ฉันต้องการคือ "DC คือ DC และไม่มีอะไรเกิดขึ้นอีก" นี่คือเซิร์ฟเวอร์ที่สำคัญที่สุดของคุณและหากโฆษณาของคุณเป็นเรื่องตลกคุณจะมีเวลาที่น่ากลัวในการทำให้มันถูกต้อง หากเป็นไปได้ให้โอกาสตัวเองที่ดีที่สุดในการหลีกเลี่ยงปัญหานี้ด้วยการมีบทบาท DC เฉพาะด้าน หากคุณไม่สามารถร้องกรีดร้องส่งเสียงติดสินบนข่มขู่พยากรณ์หรืออะไรก็ตามที่จะทำให้ตัวเองอยู่ในตำแหน่งที่คุณสามารถทำได้

คอนโทรลเลอร์โดเมนหลายบทบาทเป็นเรื่องปกติ แม้ว่าบทบาทส่วนใหญ่ที่พวกเขาทำคือบทบาทโครงสร้างพื้นฐานเครือข่าย ตัวอย่างที่ดีคือ File Servers, DHCP และ DNS พวกเขาเป็นตัวเลือกที่แย่สำหรับสิ่งต่าง ๆ เช่นเซิร์ฟเวอร์เทอร์มินัล (ผู้ใช้ไม่มีสิทธิ์ในการล็อกอินเข้าสู่ Domain Controller และให้สิทธิ์ดังกล่าวแก่ผู้ดูแลระบบต้องใช้ Domain Admins), Web Application Servers, เซิร์ฟเวอร์แอพพลิเคชั่นธุรกิจ

ในสภาพแวดล้อมของฉันฉันต้องการให้เซิร์ฟเวอร์ DNS ภายในทั้งหมดทำงานบน Domain Controllers รวมถึงบริการ DHCP ของฉัน นี่ดูเหมือนจะเป็นการผสมผสานที่ดีของบทบาทใน DCs เพื่อลดค่าใช้จ่ายและใช้ประโยชน์จากฮาร์ดแวร์ได้ดีที่สุด

• ตกลงใช้เซิร์ฟเวอร์ที่เติมบทบาทอื่นเป็นตัวควบคุมโดเมนหรือไม่

"คุณสามารถตัดกระป๋องได้ด้วย แต่คุณไม่ต้องการ!" - Mr. Popeilเนื้อเพลง Weird Al Yankovic

ฉันเดาคำถามคือคุณต้องการที่จะ? แน่นอนว่าคุณสามารถเปลี่ยนโดเมนคอนโทรลเลอร์ของคุณเป็นไฟล์และเซิร์ฟเวอร์การพิมพ์หรือกล่อง SQL Server หรือฟังก์ชั่นอื่น ๆ แต่มีข้อเสียคือสิ่งนี้ราคาที่จ่ายในรูปแบบของการทำงานที่ลดลงในกล่องนั้น หากคุณมีผู้ใช้น้อยมาก (พูดภายใต้ 25-50) หรือคุณถูกบีบด้วยข้อ จำกัด ด้านงบประมาณและคุณต้องทำให้กล่องนี้เป็น "all in one" คุณสามารถหลีกเลี่ยงได้ แต่มีปัญหาด้านประสิทธิภาพ, ปัญหาด้านความปลอดภัยและแม้กระทั่งความเป็นไปได้ของความเข้ากันไม่ได้ระหว่างบริการ การทำกล่อง "all in one" เป็นฟังก์ชั่นของงบประมาณความชั่วร้ายที่กำหนดโดยผู้เฝ้าประตูที่ไม่เข้าใจราคาที่พวกเขาจะจ่าย

หากคุณสามารถซื้อได้ให้วางตัวควบคุมโดเมนไว้ในกล่องแยกต่างหาก Heck ถ้าเป็นไปได้รับกล่องราคาถูก แต่เกรดเซิร์ฟเวอร์อาจเป็นกล่องระดับแผนกและใส่บริการ DC ของคุณไว้ จากนั้นรับกล่องคู่นั้นและนำบริการ DC มาใช้เช่นกัน นี่คือรูปแบบที่ Windows อยากให้คุณมีและคุณจริงๆจริงๆควรมีอย่างน้อยสองตัวควบคุมโดเมนสำหรับแต่ละโดเมน

ซื้อกล่อง Beefer สำหรับบริการที่ใช้บ่อยที่สุด - ฐานข้อมูล, อีเมล, ไฟล์ & งานพิมพ์ ฯลฯ กล่องเหล่านี้เป็นกล่อง "ประจำวัน" ที่ผู้ใช้เห็นเป็นประจำ ตัวควบคุมโดเมนนั้นเป็นข้อมูลผู้ใช้ที่ดีที่สุดในการจดสิทธิบัตรทั่วทั้งโดเมน

• สิ่งที่ควรพิจารณาในการพิจารณาว่าจะ "เซิร์ฟเวอร์แบบสองจุดประสงค์" หรือไม่

คุณสามารถหนีไปกับระดับการแสดงที่ลดลงหรือไม่? จะมีความไม่ลงรอยกันระหว่างบริการที่คุณติดตั้งและบริการอื่น ๆ ที่อาจทำงานได้หรือไม่ มันจะรบกวนการตรวจสอบโฆษณาหรือไม่?

• บทบาทตัวควบคุมโดเมนเปลี่ยนวิธีการที่ Windows ใช้งานระบบไฟล์หรือบนฮาร์ดแวร์หรือไม่

ไม่ แต่มันจะเพิ่มปริมาณงาน และถ้าคุณรวมฟังก์ชั่นอื่น ๆ ที่ไม่ใช่หน้าต่าง (เช่นใช้ PAM stack เพื่อพิสูจน์ตัวตนของกล่อง linux ผ่าน Kerberos ซึ่งเป็นส่วนหนึ่งของบริการ IMAP) จากนั้นคาดว่าปริมาณงานนั้นจะเพิ่มขึ้น

• Windows Server มีความแตกต่างกันหรือไม่?

แต่ละรุ่นเพิ่มจำนวนของฟีเจอร์ต่าง ๆ ถึงแม้ว่าจะปลอดภัยที่จะบอกว่าคุณต้องการ Windows 2000 เป็นอย่างน้อยหากไม่ดีขึ้น คนส่วนใหญ่อยู่ใน Windows 2003 (และลูกพี่ลูกน้อง) ซึ่งรวมถึงการปรับปรุงบริการไฟล์สำเนาเงาปริมาณ ฯลฯ 2008 ให้การปรับปรุงเพิ่มเติม

Microsoft Small Business Server เป็น AD + Exchange + ไฟล์เซิร์ฟเวอร์ + เราเตอร์ / เซิร์ฟเวอร์ VPN + Sharepoint + SQL Server .. และอีกมากมายที่รวมอยู่ในเซิร์ฟเวอร์เดียว ดังนั้นฉันจะไม่พูดว่า 'แนวปฏิบัติที่ดีที่สุด' ที่จะมีทุกฟังก์ชั่นบนเซิร์ฟเวอร์ที่แตกต่างกัน สำหรับการดำเนินงานขนาดเล็กมันไม่สมเหตุสมผลเลยที่จะรันทุกอย่างในฮาร์ดแวร์ที่แตกต่างกัน

ดูเหมือนว่าจะเพิ่มความปลอดภัยและประสิทธิภาพ ฉันไม่คิดว่าประสิทธิภาพจะมีปัญหามากในเครือข่ายขนาดเล็กโฆษณาใช้จำนวนเซิร์ฟเวอร์ที่ถูกที่สุดที่คุณสามารถรวบรวมได้ในตอนนี้

ณ จุดนี้คุณสามารถชั่งน้ำหนักการรักษาความปลอดภัยเทียบกับค่าใช้จ่าย - ซึ่งเป็นคำถามด้านความปลอดภัยทั้งหมดในเครือข่ายขนาดเล็ก ...

ฉันคิดว่าคำตอบทั้งหมดสามารถสรุปได้โดย Small Business Server

แน่นอนว่า MS สามารถโยนเกือบทุกอย่าง (โฆษณาแลกเปลี่ยน SQL ฯลฯ ) ลงในกล่องเดียว แต่มันทำงานเหมือนอึและมีประโยชน์ในสถานการณ์ที่ จำกัด

ในระยะสั้นคุณสามารถทำมันได้หรือไม่ ใช่. คุณควรทำอย่างไร ฉันไม่แนะนำ แต่สามารถใช้งานได้หากคุณอยู่ในการผูก

จากมุมมองประสิทธิภาพขึ้นอยู่กับโหลดของบริการทั้งสอง บนเครือข่ายที่เล็กกว่า DC สามารถเพิ่มเป็นสองเท่าของเซิร์ฟเวอร์ DNS หรือ DHCP ได้โดยไม่มีปัญหา บนเครือข่ายที่ใหญ่ขึ้นมันกำลังถามหาปัญหา

ฉันขอแนะนำอย่างสูงว่าคุณไม่ได้ใส่เซิร์ฟเวอร์ "หลัก" มากกว่าหนึ่งรายการในกล่องทางกายภาพเดียวกัน IE ถ้าเป็น DC หลักของคุณการใช้มันเป็นเซิร์ฟเวอร์ DNS สำรองหรือเซิร์ฟเวอร์ DHCP สำรองจะยอมรับได้ ด้วยเหตุผลที่ว่าคุณไม่ต้องการให้เกิดความล้มเหลวในกล่องเดียวเพื่อนำไปใช้กับสองบริการ

ฉันขอกีดกันไม่ให้ใครเรียกใช้บริการที่ต้องการมากขึ้นเช่นเว็บเซิร์ฟเวอร์ (IIS หรือ Apache ฯลฯ ) หรือฐานข้อมูลทุกประเภท

หากคุณตัดสินใจที่จะเรียกใช้บริการมากกว่าหนึ่งประเภทในกล่องแบบเดียวกันฉันขอแนะนำให้ใช้กล่องที่ "อ้วน" ที่สุดเท่าที่จะเป็นไปได้และใช้เป็นโฮสต์สำหรับเซิร์ฟเวอร์เสมือนจริง วิธีนี้บริการทั้งหมดของคุณยังค่อนข้างเป็นอิสระจากกันในระดับระบบปฏิบัติการ

ไม่มีสิ่งใดที่ปฏิเสธตัวควบคุมโดเมนจากการทำงานในความสามารถอื่น ๆ โดยเนื้อแท้

หากคุณมีโครงสร้างพื้นฐานโฆษณาที่มีอยู่และคุณมีโดเมนคอนโทรลเลอร์เพียงตัวเดียวฉันขอบอกว่าข้อเสียเปรียบในการโปรโมตเซิร์ฟเวอร์อื่นนั้นจะมีประโยชน์มากกว่าข้อดีของการได้รับ DC อีกเครื่อง

โปรดจำไว้ว่าหลังจากที่คุณเรียกใช้ dcpromo แล้วคุณจะต้องเริ่มระบบใหม่ดังนั้นบริการใด ๆ ที่ได้รับจากเครื่องที่ได้รับการส่งเสริมใหม่จะถูกขัดจังหวะ นอกจากนี้หากคุณมีนโยบายความปลอดภัยของโดเมนคอนโทรลเลอร์พวกเขาจะนำไปใช้กับเซิร์ฟเวอร์นั้น

คุณสามารถ แต่ทำไมคุณต้องการที่จะ? ในทางทฤษฎีคุณสามารถมีบริการทั้งหมดในกล่องเดียวกัน (Small Business Server) เพียงเพราะคุณสามารถทำอะไรบางอย่างไม่ได้แปลว่าคุณควรทำ ตัวควบคุมโดเมนจะเก็บฐานข้อมูลโฆษณาไว้ดังนั้นหากคุณต้องการเสี่ยงกับการแชร์ไฟล์การพิมพ์ (และการห้ามพระเจ้า) นั้นเป็นความเสี่ยงที่คุณจะต้องประเมินตนเอง หากคุณต้องการเล่นอย่างปลอดภัยให้ตั้งค่าเซิร์ฟเวอร์ Linux ฟรีและใช้ไฟล์นั้นเป็นไฟล์เครือข่ายที่ใช้ร่วมกันหรือเซิร์ฟเวอร์การพิมพ์และพยายามที่จะทำให้กล่อง Domain Server ของคุณเป็นเช่นนั้น

ใช่พวกเขาทำได้ แต่จากมุมมองด้านความปลอดภัยคำตอบปกติคือไม่ เหตุผลก็คือเหตุผลง่ายๆคือยิ่งมีการทำงานบนตัวควบคุมโดเมนมากเท่าไหร่พื้นที่ผิวซึ่งสามารถใช้ประโยชน์ได้มากขึ้นก็จะยิ่งใช้พื้นที่มากขึ้น พกกล่องนี้ไปและคุณมีโดเมนแล้ว โดยทั่วไปแล้วจะไม่แปลกที่จะเห็น DNS ที่ทำงานด้วยโซนรวมของ Active Directory อย่างไรก็ตามอย่างอื่นฉันจะบอกว่าไม่เว้นแต่คุณจะเป็นร้านค้าเล็ก ๆ และก็ไม่สามารถที่จะทำลายการบริการ

(อย่าเอาฉันจริงจังเกินไป แต่คุณรู้ว่าฉันมีประเด็น)

แน่นอนว่าเพียงแค่ติดตั้ง VMware และ Debian และคุณมีเซิร์ฟเวอร์อเนกประสงค์ที่ยอดเยี่ยม นั่นคือถ้าโหลดบนโฮสต์มีขนาดเล็กพอ

ถ้าฉันมีตัวเลือกว่าจะมี Domain Controller เพียงอันเดียวหรือใช้ DC ตัวอื่นพูดในกล่อง SQL ฉันก็จะใช้ตัวเลือกนั้น

ที่จริงแล้วฉันอาจจะใช้เซิร์ฟเวอร์เสมือนมากกว่าเปลี่ยนเซิร์ฟเวอร์ที่ทำงานอื่น ๆ ให้กลายเป็นตัวควบคุมโดเมน - แม้ว่ามันจะเพิ่งทำงานบนเวิร์กสเตชันก็ตาม

ความคิดเห็นส่วนตัวของฉันคือเพื่อความมั่นคงคุณต้องมีตัวควบคุมโดเมนอย่างน้อยสามตัวที่ช่วยให้คุณสามารถแยกบทบาทของตัวดำเนินการหลักได้และคุณควรมีแค็ตตาล็อกส่วนกลางอย่างน้อยสองรายการ - แต่คำนึงถึงว่าโครงสร้างพื้นฐานไม่ควรเป็น GC .

โดยทั่วไปฉันจะเรียกใช้ DNS และ DHCP บนตัวควบคุมโดเมนและมี DC อย่างน้อยสองตัว โดยส่วนตัวแล้วฉันมี DC เสมือนทำงานอยู่บนโฮสต์เสมือนสองเครื่องของฉัน (ใช้งาน VMware ESXi, โฮสต์เสมือนทั้งหมดสามโฮสต์) และอีกหนึ่งฟิสิคัลเช่นกัน DCs ทั้งหมดเป็นเซิร์ฟเวอร์ DNS และสองรายการเป็นเซิร์ฟเวอร์ DHCP (ให้บริการครึ่งหนึ่งของแต่ละช่วง) การจำลองเสมือนทำให้ง่าย (และขึ้นอยู่กับว่าคุณจ่ายค่าลิขสิทธิ์ Windows ราคาไม่แพง) เพื่อให้มี VMs เฉพาะงานและฉันชอบแยกสิ่งต่าง ๆ ออกมากเนื่องจากการรีบูตเซิร์ฟเวอร์หนึ่งเครื่องจะไม่ส่งผลกระทบต่อผู้อื่น

อย่างไรก็ตามฉันใช้ SBS 2003 ที่สำนักงาน (เล็กกว่า) อีกแห่งและทำงานได้ดีบนเซิร์ฟเวอร์ที่มีเนื้อวัวถึงแม้ว่าปัญหาการตั้งเวลารีบูตอาจเป็นเรื่องที่น่ารำคาญ SBS นั้นมีอยู่จริง แต่ฉันมีเซิร์ฟเวอร์ตัวที่สองที่รัน VMware ESXi ซึ่งมี Windows VM ซึ่งเป็น DC ดังนั้นฉันจึงมี seconary (อนุญาตให้ DC ตัวที่สองกับ SBS ตราบใดที่ SBS มีบทบาท FSMO) ฉันเกลียดที่มี DC หนึ่งอันมันจะทำให้การกู้คืนยากขึ้นและหยุดทำงานได้นานขึ้น!

ฉันจะลองและเพิ่มเฉพาะบางอย่างเช่นการพิมพ์และ / หรือการให้บริการไฟล์ไปยัง DC หากเป็นไปได้นอกเหนือจาก DNS และ DHCP อื่น ๆ จะต้องมีการชั่งน้ำหนักอย่างระมัดระวัง ... และถ้าเป็นไปได้ติดแม้แต่เซิร์ฟเวอร์เดสก์ท็อป / ต่ำสุดในฐานะ DC / DNS รองเท่านั้นกล่องถ้าคุณต้องผสมกับฮาร์ดแวร์หลัก แม้ว่าฮาร์ดแวร์ที่ไม่ได้ทำซ้ำซ้อนก็มีแนวโน้มว่าจะเพิ่มขึ้นหากฮาร์ดแวร์หลักของคุณไม่ทำงานและในทางกลับกัน (ไม่ว่าจะเป็นการรีบูทหรือการหยุดทำงาน)