Windows: Bộ điều khiển miền cũng có thể phục vụ các chức năng khác?

Câu hỏi này là một cuộc thảo luận về việc liệu Active Directory có cần thiết để chạy Terminal Services hay không. Nhưng một chuỗi các câu trả lời và nhận xét (chủ yếu là của tôi) đã đưa ra một câu hỏi liên quan xung quanh Bộ kiểm soát miền.

Rõ ràng là thực tế kém khi chỉ có một Bộ điều khiển miền trong môi trường AD. Đó cũng là cách thực hành tốt nhất để có mỗi bộ điều khiển miền trên một máy chủ chức năng đơn (vật lý hoặc ảo) riêng biệt. Tuy nhiên, không phải ai cũng có thể làm theo các thực hành tốt nhất mọi lúc.

Có thể sử dụng máy chủ làm đầy các vai trò khác như bộ điều khiển miền không?

Những điều cần được xem xét trong việc xác định có "mục đích kép" cho một máy chủ không?

Vai trò của bộ điều khiển miền có thay đổi cách Windows vận hành hệ thống tệp hoặc trên phần cứng không?

Có sự khác biệt giữa các phiên bản Windows Server không?

Bạn có thể và nó hoạt động. Tôi có khoảng 40 văn phòng chi nhánh và - vì lý do chính trị - một quyết định quản lý đã được đưa ra để cung cấp cho mỗi cơ sở hạ tầng máy chủ đầy đủ. Vì lý do tài chính, đó là môi trường một máy chủ trong mỗi môi trường, vì vậy đó là tất cả DC / File / Exchange (điều này đã có trong Windows 2000 ngày).

Tuy nhiên, việc quản lý nó là một cơn ác mộng và quy tắc ưa thích của tôi là "một DC là một DC và không có gì khác xảy ra với nó". Đây là những máy chủ quan trọng nhất của bạn và nếu AD của bạn trở nên buồn cười, bạn sẽ có một thời gian khủng khiếp để lấy lại đúng. Nếu bạn có thể, hãy cho mình cơ hội tốt nhất để tránh điều này bằng cách có các vai trò DC chuyên dụng. Nếu bạn không thể, cầu xin, la hét, thút thít, mua chuộc, đe dọa, tiên tri hoặc bất cứ điều gì cần thiết để đặt bản thân bạn vào một vị trí mà bạn có thể.

Bộ điều khiển miền đa vai trò là khá phổ biến. Mặc dù, hầu hết các vai trò họ thực hiện là vai trò cơ sở hạ tầng mạng. Ví dụ điển hình là Máy chủ tệp, DHCP và DNS. Chúng là những lựa chọn kém cho những thứ như Máy chủ đầu cuối (Người dùng không có quyền đăng nhập vào Bộ điều khiển miền và cung cấp cho họ quyền cấp quyền yêu cầu Quản trị viên tên miền), Máy chủ ứng dụng web, Máy chủ ứng dụng doanh nghiệp, Máy chủ tường lửa / Proxy / ISA, v.v.

Trong môi trường của tôi, tôi thích có tất cả các Máy chủ DNS nội bộ chạy trên Bộ kiểm soát miền cũng như các dịch vụ DHCP của tôi. Đây dường như là một sự kết hợp tốt giữa các vai trò trên các DC để giảm chi phí và tận dụng tốt nhất phần cứng có thể.

• Có thể sử dụng máy chủ làm đầy các vai trò khác như bộ điều khiển miền không?

"Bạn thậm chí có thể cắt một hộp thiếc với nó, nhưng bạn sẽ không muốn!" - Ông Popeil , lời bài hát Weird Al Yankovic

Tôi đoán câu hỏi là: bạn có muốn không? Chắc chắn, bạn có thể biến bộ điều khiển miền của mình thành một tệp và máy chủ in hoặc hộp SQL Server hoặc bất kỳ số lượng chức năng nào khác. Nhưng có một nhược điểm của điều này, một cái giá phải trả dưới dạng chức năng xuống cấp trên hộp đó. Nếu bạn có rất ít người dùng (dưới 25-50) hoặc bạn bị hạn chế bởi ngân sách và bạn cần đặt hộp này "tất cả trong một", bạn có thể thoát khỏi việc đó. Nhưng có những vấn đề về hiệu suất, vấn đề bảo mật và thậm chí là khả năng không tương thích giữa các dịch vụ. Làm các hộp "tất cả trong một" là một chức năng của ngân sách tà ác được đặt ra bởi những người theo đuổi mà không hiểu được giá họ sẽ trả.

Nếu bạn có đủ khả năng, hãy đặt bộ điều khiển miền vào một hộp riêng. Heck, nếu có thể, hãy lấy một hộp cấp máy chủ giá rẻ, có thể là hộp cấp bộ phận, và đặt các dịch vụ DC của bạn lên đó; sau đó nhận được một cặp của hộp đó và cũng đặt các dịch vụ DC vào đó. Đây là mô hình mà Windows muốn bạn có, và bạn thực sự, thực sự , nên có ít nhất hai bộ điều khiển miền cho mỗi miền.

Mua các hộp thịt bò cho những dịch vụ được sử dụng nhiều nhất - cơ sở dữ liệu, email, tệp & in, v.v ... Đây là những hộp "hàng ngày" mà người dùng thường thấy; bộ điều khiển miền tốt nhất là thông tin xác thực người dùng dập cao su trên toàn miền.

• Những điều cần được xem xét trong việc xác định có "mục đích kép" cho một máy chủ không?

Bạn có thể thoát khỏi mức độ xuống cấp của hiệu suất? Sẽ có sự không tương thích giữa dịch vụ bạn đang cài đặt và bất kỳ dịch vụ nào khác có thể chạy? Nó sẽ can thiệp vào xác thực AD?

• Vai trò của bộ điều khiển miền có thay đổi cách Windows vận hành hệ thống tệp hoặc trên phần cứng không?

Không. Nhưng nó sẽ tăng khối lượng công việc của nó. Và nếu bạn tích hợp các chức năng không phải cửa sổ khác (giả sử sử dụng ngăn xếp PAM để xác thực hộp linux qua Kerberos như một phần của dịch vụ IMAP) thì hãy hy vọng khối lượng công việc đó sẽ tăng.

• Có sự khác biệt giữa các phiên bản Windows Server không?

Mỗi bản phát hành làm tăng số lượng tính năng, mặc dù có thể nói rằng bạn muốn ít nhất là Windows 2000 nếu không muốn nói là tốt hơn. Hầu hết mọi người đều có trên Windows 2003 (và anh em họ), bao gồm các cải tiến cho dịch vụ tệp, bản sao bóng khối, v.v. 2008 cung cấp nhiều cải tiến hơn nữa.

Máy chủ doanh nghiệp nhỏ của Microsoft là AD + Exchange + Máy chủ tệp + bộ định tuyến / Máy chủ VPN + Sharepoint + SQL Server .. và nhiều hơn nữa tất cả được đưa vào một máy chủ. Vì vậy, tôi sẽ không nói 'thực tiễn tốt nhất' của nó là có mọi chức năng trên một máy chủ khác nhau. Đối với các hoạt động nhỏ, không có nghĩa là chạy mọi thứ trong phần cứng khác nhau.

Có vẻ như nó sôi sục với Bảo mật và Hiệu suất. Tôi không nghĩ hiệu suất là vấn đề lớn đối với các mạng nhỏ, AD sử dụng số lượng rất nhỏ của máy chủ rẻ nhất bạn có thể kết hợp ngay bây giờ.

Tại thời điểm đó, bạn chỉ có thể cân nhắc giữa bảo mật và chi phí - đó là điều mà tất cả các câu hỏi bảo mật tập trung vào một mạng nhỏ ...

Tôi nghĩ rằng tất cả các câu trả lời có thể được tóm tắt bởi Máy chủ doanh nghiệp nhỏ.

Chắc chắn, MS đã có thể ném gần MỌI THỨ (AD, Exchange, SQL, v.v.) vào một hộp duy nhất. Nhưng nó chạy như tào lao và chỉ hữu ích trong các tình huống rất hạn chế.

Tóm lại, bạn có thể làm điều đó? Đúng. Bạn có nên làm điều đó? Tôi không khuyên bạn, nhưng nó có thể hoạt động nếu bạn đang ở trong một ràng buộc.

Từ quan điểm hiệu suất, nó phụ thuộc vào tải của hai dịch vụ. Trên một mạng nhỏ hơn, một DC cũng có thể tăng gấp đôi như một máy chủ DNS hoặc DHCP mà không gặp vấn đề gì. Trên một mạng lớn hơn, nó yêu cầu sự cố.

Tôi rất muốn giới thiệu rằng bạn không đặt nhiều hơn một máy chủ "chính" trên cùng một hộp vật lý. IE, nếu đây là DC chính của bạn, sử dụng nó làm máy chủ DNS thứ cấp hoặc máy chủ DHCP dự phòng sẽ được chấp nhận. Lý do là, bạn không muốn thất bại trong một hộp để đưa ra hai dịch vụ.

Tôi rất không khuyến khích bất kỳ ai chạy các dịch vụ đòi hỏi khắt khe hơn, chẳng hạn như máy chủ web (IIS hoặc Apache, v.v.) hoặc Cơ sở dữ liệu thuộc bất kỳ loại nào.

Nếu bạn quyết định chạy nhiều hơn một loại dịch vụ trên cùng một hộp vật lý, tôi rất khuyến khích bạn nên lấy "hộp" của hộp càng tốt và sử dụng nó làm máy chủ cho các máy chủ Ảo hóa. Bằng cách này, tất cả các dịch vụ của bạn vẫn có phần độc lập với nhau ở cấp độ HĐH.

Không có gì mà từ chối một bộ điều khiển miền hoạt động trong các khả năng khác.

Nếu bạn có cơ sở hạ tầng AD hiện tại và bạn chỉ có một bộ điều khiển miền, tôi sẽ nói rằng bất kỳ nhược điểm nào của việc quảng bá máy chủ khác sẽ vượt trội hơn bởi những lợi thế của việc có được một DC khác.

Hãy nhớ rằng sau khi bạn chạy dcpromo, bạn sẽ phải khởi động lại, do đó, bất kỳ dịch vụ nào được cung cấp bởi máy mới được quảng cáo sẽ bị gián đoạn. Ngoài ra, nếu bạn có bất kỳ chính sách bảo mật bộ điều khiển miền nào, chúng sẽ áp dụng cho máy chủ đó.

Bạn COULD nhưng tại sao bạn muốn? Về mặt lý thuyết bạn có thể có toàn bộ shebang dịch vụ trên cùng một hộp (Máy chủ doanh nghiệp nhỏ). Chỉ vì bạn CÓ THỂ làm gì đó, tuy nhiên, không nhất thiết là bạn nên làm. Bộ điều khiển miền giữ cơ sở dữ liệu AD, vì vậy nếu bạn muốn mạo hiểm làm chậm việc chia sẻ tệp (và cấm thần) thì đó là rủi ro bạn sẽ phải tự đánh giá. Nếu bạn muốn chơi an toàn, hãy đứng lên một máy chủ Linux miễn phí và sử dụng nó như một máy chủ chia sẻ hoặc in tệp mạng và cố gắng giữ các hộp Máy chủ Miền của bạn như vậy.

Vâng, họ có thể, nhưng từ góc độ bảo mật, câu trả lời thông thường là không. Lý do rất đơn giản: càng chạy trên bộ điều khiển miền, diện tích bề mặt có thể được khai thác để lấy hộp càng lớn. Lấy hộp và bạn đã có tên miền. Thông thường, không có gì lạ khi thấy DNS chạy với các vùng tích hợp Active Directory. Tuy nhiên, bất cứ điều gì khác, tôi sẽ nói không trừ khi bạn là một cửa hàng nhỏ và đơn giản là không đủ khả năng để phá vỡ các dịch vụ.

(đừng quá coi trọng tôi, nhưng bạn biết tôi có một điểm)

Chắc chắn, chỉ cần cài đặt VMware, và trên nó Debian và bạn có một máy chủ đa năng tuyệt vời. Đó là, nếu tải trên máy chủ đủ nhỏ.

Nếu tôi có lựa chọn chỉ có một Bộ điều khiển miền hoặc chạy một DC khác nói trên hộp SQL, thì tôi sẽ chọn tùy chọn đó.

Trên thực tế, có lẽ tôi muốn chạy Máy chủ ảo hơn là thực sự biến bất kỳ máy chủ hoạt động nào khác thành bộ điều khiển miền - ngay cả khi nó chỉ chạy trên máy trạm.

Ý kiến ​​cá nhân của tôi là để ổn định, bạn cần tối thiểu ba bộ điều khiển miền cho phép bạn phân chia vai trò tổng thể hoạt động và bạn phải luôn có ít nhất hai danh mục toàn cầu - nhưng có tính đến việc tổng thể cơ sở hạ tầng không nên là một GC .

Tôi thường chạy DNS và DHCP trên (các) Bộ điều khiển miền và có ít nhất hai DC. Cá nhân, tôi có một DC ảo chạy trên hai máy chủ ảo của mình (chạy VMware ESXi, tổng cộng ba máy chủ ảo) và một máy chủ vật lý. Tất cả các DC là máy chủ DNS và hai trong số chúng là máy chủ DHCP (phục vụ một nửa phạm vi mỗi máy chủ). Ảo hóa giúp dễ dàng (và tùy thuộc vào cách bạn trả tiền cho việc cấp phép Windows, giá cả phải chăng) để có các máy ảo dành riêng cho nhiệm vụ và tôi rất thích chia nhỏ mọi thứ vì việc khởi động lại một máy chủ sẽ ảnh hưởng đến các máy chủ khác.

Tuy nhiên, tôi đang chạy SBS 2003 tại một văn phòng khác (nhỏ hơn) và nó hoạt động tốt trên một máy chủ mạnh mẽ, mặc dù vấn đề lập lịch khởi động lại đôi khi gây khó chịu. SBS là vật lý, nhưng tôi có máy chủ thứ hai chạy VMware ESXi có Windows VM cũng là DC nên tôi có thư mục (DC thứ hai được phép với SBS miễn là SBS giữ vai trò FSMO). Tôi ghét có một DC, nó sẽ làm cho việc phục hồi trở nên khó khăn hơn và thời gian chết lâu hơn!

Tôi sẽ thử và chỉ thêm một cái gì đó như in và / hoặc tệp phục vụ vào DC nếu có thể, ngoài DNS và DHCP. Những người khác sẽ phải được cân nhắc cẩn thận ... và nếu có thể, hãy gắn ngay cả máy tính để bàn / máy chủ cấp thấp vào dưới dạng hộp chỉ DC / DNS thứ cấp nếu bạn phải trộn trên phần cứng chính. Ngay cả phần cứng không dư thừa cũng có khả năng bị hỏng nếu bản chính của bạn bị hỏng và ngược lại (cho dù đó là để khởi động lại hay gặp sự cố).