服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 应该在活动目录服务器上允许其他function
Intereting Posts
思科ASA 5505 RDP CentOS 5.3上的cyrus-sasl-lib问题(安装GUI时) 两个infiniband端口可以桥接在一起做交换机吗? 在ErrorLog中执行命令并且并行login到一个文件 使用FreePBX 2.8.1.4自动报告 如何configurationBIRD路由器与另一个子网上的邻居进行通信? 通过OpenVPN的IPv6路由 如何像在一个目录中一样提供50万个文件? 路由子网只能访问不同VLAN HP Procurve上的1个IP地址 华硕Guest网站+ OpenVPN路线 为什么nginx在没有configuration域的情况下返回200页? 无法访问我的networking服务器在校园外? OpenBSD pf – 实现相当于iptables DNAT 尝试使用Nginx的try_files来模拟Apache MultiViews 当服务器使用permredirect保护时,从SSL中排除Apache服务器上的文件?

应该在活动目录服务器上允许其他function

过去曾build议域服务器不包含其他function。

首席执行官和外部IT公司不断提出,他们希望使用这些服务器的额外function,如FTP /邮件等。

安全性有所提高,使这种情况下可以吗? 我对CEO的build议并不感到意外,但我很惊讶外部IT公司会提出这样的build议。 我是那个时代的背后?

域名服务器的妥协似乎是如此严重,我保持这些机器完全locking。

编辑 – 感谢回复

这听起来像事情没有改变,没有什么应该安装在区议会。 我对外部IT组织的build议感到困惑。 他们都暗示这是好的。

我的观点是,华盛顿特区是一个华盛顿特区, 没有其他的事情可以做。 这些是你组织中最重要的服务器,如果其中一个出了问题,你可能会处于一个你已经失去了一切的位置,然后才知道它。 任何人认为,“那个服务器没有太多的工作,让我们加载尽可能多的额外的angular色”是错过了重点,可能不知道他们在说什么。

也有考虑到区议会没有本地账户; 如果没有本地帐户,第三方软件可能无法正常运行,而且您还可能会发现其中一些软件需要在pipe理环境中运行才能正常工作。 你会让第三方软件需要在pipe理环境中运行到DC吗? 尤其是考虑到这通常是一个显示,开发商是不是马虎,采取阻力最小的path,而不是做正确的 ? 这个由草率开发者制作的软件将能够为你的整个networking任何事情 。 (注意:我不是在这里强硬的规则,像备份代理,你可能别无select。)

只读DC是另一回事。 在这样的情况下,我会放宽“没有其他的”的政策,但是会保留一定的谨慎。

这里是不错的项目 ,为什么不把Exchange 2003(邮件)放在DC上。 我不会把任何东西放在FTP上,因为它是旧的,而且很糟糕。

我的投票:

坚守阵地

从你的IT纯粹的angular度来看,我同意,DC应该只是一个DC。 你的操作有多大?你有多less个DC? 如果你小的话可能不是这样的罪过。 小型企业服务器是一个盒子上所有东西的完美例子,MS支持多达75个用户的configuration!

外部的IT公司显然正在从你的首席执行官那里得到诸如“我们买不起更多的IT硬件”之类的信息,这就是为什么他们会提出DC的原因。 他们通常有足够的能力和利用不足。 从你的首席执行官的angular度来看,这是一个省钱的好方法!

我看到它的方式有两种select:

  1. 让首席执行官认识到,将DC用于其他服务所涉及的风险和不利因素是我可以想到的一些东西:更慢的login时间,更慢的互联网(DNSparsing),整个域的安全风险,这可能意味着有人正在控制您的Active Directory中的每台计算机。
  2. 虚拟化某些/所有的域控制器以腾出硬件用于其他目的。 显然你不想把所有的DC虚拟成一个物理盒子。

我不会像Exchange或SQL那样“沉重”,也不会有任何DMZ /面向客户端的东西,但它应该能够处理较小的面向内部的服务,比如充当打印服务器,内部networking,FTP等等。

除了安全性之外,每台服务器需要一个function的原因之一是确保业务不会有不必要的中断 – 也就是说,如果必须重新启动文件服务器,为什么还要重新启动交换服务器? 但是为每个function分配不同的服务器可能成本过高,特别是对于小型企业。 虚拟机非常棒,但是仍然需要许可证。

有些东西可能不是什么大事 – 是的,理想情况下,你会有一个单独的DHCP服务器(两个用于冗余)和单独的DNS服务器和单独的…你明白了…但这并不罕见,很less是一个问题为DC也运行DHCP和DNS。

你的组合取决于他们的组合多less可能会影响你。 结合DHCP,DNS和AD可能几乎没有影响。 结合Exchange,SQL,AD和IIS可能会产生巨大的影响。

正如我之前提到的那样,虚拟机非常棒,但是它们仍然存在于成为单点故障的服务器上(除非您将它们正确地集中在一个冗余SAN上),但是您的成本很容易进入5个数字范围。 。 也许更多。

至于把交易所放在DC上 – 一般来说,build议你不要。 SBS和EBS是这个例外。 它是受支持的configuration,但通常不是“最佳实践”configuration。

地狱。 不,不惜一切代价抵制。

我同意这个“不”。 一旦有人利用了分层的产品/应用程序漏洞,他们就可以访问你的AD文件,这比稍微不太理想。 大多数黑客攻击尝试发生在内部

在过去的几年中,我不得不处理奇怪的成员服务器。 攻击者 – 机器人工具箱做的第一件事就是吸取本地密码散列。 彩虹表显然是在使用,因为我看到哈希提取和密码的明文版本之间的时间戳相差15分钟。 而这是3年前。

域控制器上这样的妥协将给攻击者提供整个AD哈希列表。 除非你几年前彻底禁用了LM密码哈希,否则这将彻底破坏14(或16,不记得是哪个)字符长度的任何密码。 不pipe复杂性如何。 这是一个统计,你可以采取防御除了DC / DNS(也可能是WINS,如果你需要的话),除了域控制器之外的所有事情。

一般来说这个规则是否定的,这是一个有效的规则PHB很容易让未充分利用的系统变得更加物有所值,但是DC是一个DC,它应该保持一个

域控制器可以很难在最好的时间进行故障排除,再加上附加服务,您真的需要一个PITA

你列出的一些服务是不容忽视的,虽然在大企业以外的任何一个DC都是一个相当不充分的系统,但它仍然是公司最重要的一个方面。

你考虑过虚拟化吗? 你是否试图最大限度地使用硬件或最小化软件许可成本?

一个DC需要一个windows许可证,好吧,他们俩都这样做,你至less有两个对吧?

如果这是一个硬件利用问题,那么您应该真正考虑虚拟化,DC是虚拟化的主要候选者,并且您可以轻松地处理大多数DC和其他服务在一些虚拟化主机上的负载

如果在虚拟系统上使用微软数据中心版本的许可优势,在适当的情况下,您也可以真正减less许可成本

没有…特别是没有任何现代版本的Exchange应该真正运行在多个独立的服务器上,这取决于规模。 另外,升级时会发生什么? 你想升级你的DC到2008年,但你的应用程序不支持它。 绝对保持他们分开和干净。

我在中小型企业运行IT,我很欣赏服务器价格昂贵,我的DC也运行DNS和DHCP,但就是这样。

如果您想向您的上司/供应商展示这是前进的方向,请向他们展示此页面。 在这里有一大堆聪明的聪明人,经过深思熟虑的答案,通常他们都说同样的话。

不要考虑运行一个文件服务器的DC。 在进行大文件传输时会有严重的性能影响。

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2003/AdminTips/ActiveDirectory/Increasefileserverperformance.html