Windows: i controller di dominio possono svolgere anche altre funzioni?

Questa domanda è stata una discussione sulla necessità di Active Directory per eseguire Servizi terminal. Ma una catena di risposte e commenti (per lo più da me) ha sollevato una domanda relativa ai controller di dominio.

È chiaramente una cattiva pratica avere un solo controller di dominio in un ambiente AD. È inoltre chiaramente consigliabile disporre di ciascun controller di dominio su un server a funzione singola (fisico o virtuale) separato. Tuttavia, non tutti possono seguire le migliori pratiche in ogni momento.

È corretto utilizzare server che ricoprono altri ruoli come controller di dominio?

Quali elementi dovrebbero essere considerati nel determinare se un server "dual-purpose"?

Il ruolo del controller di dominio cambia il modo in cui Windows gestisce il file system o sull'hardware?

Ci sono differenze tra le versioni di Windows Server?

Puoi e funziona. Ho circa 40 filiali e - per motivi politici - è stata presa una decisione di gestione per dare a ciascuna un'infrastruttura server completa. Per motivi finanziari era un ambiente a server singolo in ciascuno, quindi è tutto DC / File / Exchange (questo era nei giorni di Windows 2000).

Tuttavia, la sua gestione è un incubo e la mia regola preferita è "una DC è una DC e nient'altro succede". Questi sono i tuoi server più importanti e, se il tuo annuncio diventa divertente, ti divertirai moltissimo a recuperarlo. Se puoi, concediti le migliori possibilità di evitarlo con ruoli DC dedicati. Se non puoi, implorare, urlare, piagnucolare, corrompere, minacciare, profetizzare o qualunque cosa serva per metterti in una posizione dove puoi.

I controller di dominio multi-ruolo sono piuttosto comuni. Tuttavia, la maggior parte dei ruoli che svolgono sono ruoli di infrastruttura di rete. Buoni esempi sono File Server, DHCP e DNS. Sono scelte sbagliate per cose come Terminal server (gli utenti non hanno i diritti per accedere a un controller di dominio e dare loro detto che la concessione di diritti richiede amministratori di dominio), server di applicazioni Web, server di app line of business, server firewall / proxy / ISA, ecc.

Nei miei ambienti, preferisco avere tutti i server DNS interni in esecuzione su controller di dominio e i miei servizi DHCP. Questo sembra essere un buon mix di ruoli sui controller di dominio per ridurre i costi e sfruttare al meglio l'hardware possibile.

• È corretto utilizzare server che ricoprono altri ruoli come controller di dominio?

"Puoi anche tagliare una lattina con essa, ma non vorrai!" - Mr. Popeil , testi Weird Al Yankovic

Immagino che la domanda sia: vuoi? Certo, puoi trasformare il tuo controller di dominio in un file e server di stampa, in una scatola di SQL Server o in un numero qualsiasi di altre funzioni. Ma c'è un aspetto negativo in questo, un prezzo da pagare sotto forma di funzionalità degradata su quella scatola. Se hai pochissimi utenti (diciamo meno di 25-50) o sei schiacciato da vincoli di budget e devi renderlo una casella "tutto in uno", potresti farcela. Ma ci sono problemi di prestazioni, problemi di sicurezza e persino il potenziale di incompatibilità tra servizi. Fare caselle "tutto in uno" è una funzione dei bilanci malvagi stabiliti dai guardiani degli inseguitori che non comprendono il prezzo che pagheranno.

Se te lo puoi permettere, metti il ​​controller di dominio in una scatola separata. Diamine, se possibile, prendi una scatola economica ma di livello server, probabilmente una scatola di livello dipartimentale, e metti su i tuoi servizi DC; quindi prendi un gemello di quella scatola e metti anche i servizi DC. Questo è il modello che Windows vorrebbe avere e in realtà dovresti avere almeno due controller di dominio per ogni dominio.

Acquista le scatole dei segnalatori acustici per i servizi più utilizzati: database, e-mail, file e stampa, ecc. Queste sono le caselle "quotidiane" che gli utenti vedono regolarmente; i controller di dominio sono le migliori credenziali dell'utente che stampano la gomma nel dominio.

• Quali elementi dovrebbero essere considerati nel determinare se un server "dual-purpose"?

Riesci a cavartela con livelli degradati di performance? Ci sarà un'incompatibilità tra il servizio che stai installando e altri servizi che potrebbero essere eseguiti? Interferirà con l'autenticazione AD?

• Il ruolo del controller di dominio cambia il modo in cui Windows gestisce il file system o sull'hardware?

No. Ma aumenterà il suo carico di lavoro. E se si integrano altre funzioni non Windows (ad esempio, utilizzando uno stack PAM per autenticare un box Linux tramite Kerberos come parte di un servizio IMAP), si prevede che il carico di lavoro aumenti.

• Ci sono differenze tra le versioni di Windows Server?

Ogni versione aumenta il numero di funzionalità, sebbene sia sicuro affermare che si desidera almeno Windows 2000 se non meglio. La maggior parte delle persone lavora su Windows 2003 (e cugini), che include miglioramenti ai servizi di file, copia shadow del volume, ecc. Il 2008 offre ancora più miglioramenti.

Microsoft Small Business Server è AD + Exchange + File server + router / VPN Server + Sharepoint + SQL Server .. e altro ancora, tutti raggruppati in un singolo server. Quindi non direi la sua "best practice" per avere ogni funzione su un server diverso. Per le piccole operazioni non ha senso eseguire tutto in hardware diverso.

Sembra che si riduce a sicurezza e prestazioni. Non penso che le prestazioni siano un grosso problema su reti di piccole dimensioni, AD utilizza una quantità minuscola del server più economico che potresti mettere insieme in questo momento.

A quel punto, puoi semplicemente valutare la sicurezza rispetto al costo, che è ciò a cui tutte le domande di sicurezza si riducono in una piccola rete ...

Penso che tutte le risposte possano essere riassunte da Small Business Server.

Certo, MS è stata in grado di gettare quasi TUTTO (AD, Exchange, SQL, ecc.) In una singola scatola. Ma funziona come una merda ed è utile solo in situazioni molto limitate.

In breve, puoi farlo? Sì. Dovresti farlo? Non lo consiglio, ma può funzionare se sei in difficoltà.

Dal punto di vista delle prestazioni, dipende dal carico dei due servizi. Su una rete più piccola, un controller di dominio potrebbe anche raddoppiare come server DNS o DHCP senza problemi. Su una rete più grande, chiede problemi.

Consiglio vivamente di non inserire più di un server "primario" nella stessa scatola fisica. Ad esempio, se questo è il controller di dominio principale, usarlo come server DNS secondario o server DHCP di backup sarebbe accettabile. Il motivo è che non si desidera un errore su una scatola da estrarre per eliminare due servizi.

Scoraggerei fortemente chiunque dall'esecuzione di servizi più impegnativi, come un server Web (IIS o Apache, ecc.) O database di qualsiasi tipo.

Se decidi di eseguire più di un tipo di servizio sulla stessa scatola fisica, consiglio vivamente di ottenere il più "robusto" di una scatola e di usarlo come host per server virtualizzati. In questo modo, tutti i tuoi servizi sono ancora in qualche modo indipendenti l'uno dall'altro a livello di sistema operativo.

Non c'è nulla che impedisca intrinsecamente a un controller di dominio di funzionare con altre capacità.

Se disponi di un'infrastruttura AD esistente e hai un solo controller di dominio, direi che gli svantaggi della promozione di un altro server sarebbero compensati dai vantaggi di ottenere un altro controller di dominio.

Ricorda che dopo aver eseguito dcpromo, dovrai riavviare, quindi tutti i servizi forniti dalla macchina appena promossa verranno interrotti. Inoltre, se si dispone di politiche di sicurezza del controller di dominio, verranno applicate a quel server.

POTREI, ma perché dovresti farlo? Teoricamente puoi avere l'intera gamma di servizi nella stessa scatola (Small Business Server). Solo perché PUOI fare qualcosa, tuttavia, non significa necessariamente che dovresti. Il controller di dominio detiene il database AD, quindi se vuoi rischiare di impantanarlo con la stampa (e per dio vietare) la condivisione di file, allora è un rischio che dovrai valutare tu stesso. Se vuoi giocare in sicurezza, installa un server Linux gratuitamente e usalo come condivisione di file di rete o server di stampa e cerca di mantenere le caselle del tuo Domain Server come quello.

Sì, possono, ma dal punto di vista della sicurezza, la solita risposta è no. Il motivo è semplice: più è in esecuzione su un controller di dominio, maggiore è la superficie che può essere sfruttata per prendere la scatola. Prendi la scatola e hai il dominio. In genere non è insolito vedere il DNS in esecuzione con le zone integrate di Active Directory. Tuttavia, qualsiasi altra cosa, direi di no a meno che tu non sia un piccolo negozio e semplicemente non puoi permetterti di rompere i servizi.

(non prendermi troppo sul serio, ma sai che ho ragione)

Certo, basta installare VMware, e su di esso Debian e hai un ottimo server multiuso. Cioè, se il carico sull'host è abbastanza piccolo.

Se avessi la scelta di avere un solo controller di dominio o di eseguire un altro controller di dominio su una casella SQL, sceglierei questa opzione.

In effetti, probabilmente preferirei eseguire un server virtuale piuttosto che trasformare qualsiasi altro server funzionante in un controller di dominio, anche se fosse in esecuzione su una workstation.

La mia opinione personale è che per stabilità è necessario un minimo di tre controller di dominio che ti consentano di dividere i ruoli di master operazioni e dovresti sempre avere almeno due cataloghi globali, ma tenendo conto che il master infrastruttura non dovrebbe essere un GC .

Generalmente eseguo DNS e DHCP su controller di dominio e ho almeno due controller di dominio. Personalmente, ho un controller di dominio virtuale in esecuzione su due dei miei host virtuali (in esecuzione VMware ESXi, tre host virtuali in totale) e uno anche fisico. Tutti i controller di dominio sono server DNS e due di essi sono server DHCP (che servono ciascuno della metà dell'intervallo). La virtualizzazione semplifica (e dipende dal modo in cui paghi per le licenze di Windows, conveniente) avere macchine virtuali specifiche per l'attività, e preferisco di gran lunga suddividere le cose poiché il riavvio di un server non influirà sugli altri.

Tuttavia, sto eseguendo SBS 2003 in un altro ufficio (più piccolo) e funziona bene su un server robusto, anche se a volte il problema di pianificazione del riavvio è fastidioso. SBS è fisico, ma ho un secondo server che esegue VMware ESXi che ha una VM Windows che è anche un controller di dominio quindi ho un seconary (il secondo controller di dominio è consentito con SBS purché SBS detenga ruoli FSMO). Odio avere un DC, renderebbe il recupero più difficile e qualsiasi tempo morto in più!

Vorrei provare ad aggiungere solo qualcosa come la stampa e / o il file che serve a un controller di dominio, se possibile, oltre a DNS e DHCP. Altri dovrebbero essere pesati con attenzione ... e, se possibile, inserire anche un server desktop / di fascia bassa come una casella DC / DNS secondaria solo se è necessario eseguire il mix sull'hardware primario. È probabile che anche l'hardware non ridondante sia attivo se il primario è inattivo e viceversa (sia che si tratti di un riavvio o di un arresto anomalo).