我们有一个<5 Windows 2008服务器的小型networking农场。 一些做数据,大多数做IIS托pipe。 build立一个域控制器,把所有的都放在同一个“生产”域中是好的还是坏的想法?
我们希望避免一个世界,我们必须在这些框之间同步多个pipe理员密码(或在团队中共享pipe理员凭证)。
据推测,DC将只是另一个虚拟机,所以硬件成本不会进入讨论。
澄清:DC可能是一个独立的“ProdServers”域连接在专用networking上。 办公室将100%分开。 所以大多数pipe理员将拥有主办公室的凭证,另外还有一个生产域的凭证。
您必须确保您了解活动目录以及出现问题时如何进行故障排除,否则您只需为环境添加更多复杂性和更多故障点,但是这是您希望作为Windows的基本技能pipe理无论如何。 在一般情况下,我会继续这样做,因为好处远远超过成本,尤其是在备份和其他在域环境中利用Kerberos单点loginfunction的情况下。
有一点你要记住的是networking隔离 – 活动目录确实需要在你的数据中心和你的DMZ之间开放相当数量的端口才能正常工作。 如果您担心这一点,您可能不希望将面向公众的服务器join到域中,或者您可能希望为DMZ系统创build另一个AD站点(甚至可能是林中的另一个域)。 这些东西都意味着增加了更多的设置复杂性。
“我们希望避免这样一个世界,我们必须在这些框之间同步多个pipe理员密码(或者在团队之间共享pipe理员凭证)。”
我想你自己回答你的问题:)
虽然我理解你希望简化这些服务器的pipe理,但是在一天结束的时候,你必须做你必须做的事情。 我从来没有听说过公共领域的任何Web服务器都可以访问。 除了需要的特殊情况,我会build议反对。