使所有的Windows服务器域控制器的缺点是什么？

• 域控制器没有本地帐户。 所以在这些机器上运行的所有东西都必须重新configuration才能使用域帐户。
• 不应将域控制器快照或恢复为任何forms的先前映像，否则您将遇到USN回滚场景。 这意味着如果您运行任何types的映像解决scheme或虚拟化，您将失去使用快照function。
• 域控制器的任何本地pipe理员都是域pipe理员。
• networking和复制stream量将显着增加。
• 位于由交换机ACL或防火墙分隔的网段中的服务器将需要configuration许多其他访问规则以支持足够的复制通信量。
• AD数据库中的腐败可能性会增加
• 你违反了最不重要的一般安全原则 。
• 如果将来您希望升级域function级别，则必须将每台服务器都升级到相应的版本，而不仅仅是专用的域控制器。
• 由于任何这些服务器上的任何应用程序都将成为您的域基础架构的潜在攻击媒介（例如，SQL漏洞可能随后导致您的整个域受到攻击），因此您的域的可利用表面积将增加数量级，
• 某些服务在域控制器（例如terminal服务）上将不起作用或被强烈劝阻。

我可以给你的最好build议是尽可能将域控制器作为非常独立的实体运行，即将任何服务都加载到对域控制器操作不重要的域控制器上。 对于实际/成本方面的原因，小型商店，特别是小型商业服务器通常会忽略这个问题，但是一旦超出了这个范围，理想情况下，您就要走向一个只有DC才是的DC，而您只能像现实一样运行更多的DC需要足够的复制和容错。

要添加到Chris Thorpe发布的非常好的列表中，这里有更多的理由说明为什么这样做是一个坏主意：

• 然后每个服务器都需要被通知对域的更改。
• 服务器停机很长时间可能会导致复制问题。
• 取决于你的域名的大小，它可能是一个非常重要的内存吸引。
• 然后，每个服务器都将在域名DNS域中parsing。 获得足够的服务器，并且一些DNS客户端将开始以DNS响应的大小开始吐槽。
• 然后，每台服务器将托pipe所有具有自己的复制stream量的组策略，因此，在复制融合之前，您将获得不一致的GPO覆盖范围，在大型DCnetworking中可能需要几个小时。

真的，“复制开销”的论点是非常强大的。 如果你有less量的本地服务器，比如说10以下，那就不是那么糟糕了。 一旦你得到大量的数据，特别是如果他们彼此远离，问题就会开始放大。 AD站点内的复制是一对多的，站点之间的复制通常使用桥头主机来configuration更新。 不仅需要复制AD信息，所有组策略信息（即存储在“SYSVOL”中）都需要复制到每个DC。 当你在一个环境中获得很多DC时，这是一个非常复杂的复制网格，并且事情变得更容易。

从安全的angular度来看，你真的不希望潜在的攻击者获得DC的本地访问权限。 当你在DC的本地时，提取整个域名的密码哈希值是非常容易的，而且Rainbow表格的游戏性非常好，除非你的密码策略比现在常用的要严格得多。

这是一个非常糟糕的主意。 我真的不能想到这样做的理由。 许多MS服务不会运行，或不支持DC。 此外，在DC上安装的任何软件中的任何漏洞或漏洞都会危及整个域的安全。