这个问题是关于Active Directory是否需要运行terminal服务的讨论。 但是一连串的回答和评论(主要是我)都提出了一个围绕域控制器的相关问题。
在AD环境中只有一个域控制器显然是不好的做法。 将每个域控制器放在单独的(物理或虚拟)单一function服务器上,这显然是最好的做法。 但是,并不是每个人都可以一直遵循最佳实践。
使用其他angular色作为域控制器的服务器可以吗?
在确定是否“双重目的”服务器时应该考虑哪些事情?
域控制器angular色是否会更改Windows操作文件系统或硬件的方式?
Windows Server版本有区别吗?
你可以和它工作。 我有大约40个分支机构,出于政治原因,我们做出了一个pipe理决策,为每个分支机构提供完整的服务器基础设施。 由于经济原因,每台服务器都是单服务器环境,所以都是DC /文件/交换(这是在Windows 2000中)。
然而,pipe理这是一场噩梦,我的首选规则是“一个区议会是一个区议会,没有其他任何事情可以做”。 这些是你最重要的服务器,如果你的AD有趣,你会有一个可怕的时间让它恢复正确。 如果可以的话,通过拥有专职的DCangular色给自己最好的机会来避免这种情况。 如果你不能,乞求,尖叫,呜咽,贿赂,威胁,预言,或任何需要把自己放在你可以的位置。
多angular色域控制器很常见。 虽然他们执行的大多数angular色都是networking基础架构angular色 很好的例子是文件服务器,DHCP和DNS。 他们对terminal服务器(用户无权login到域控制器,并授予他们所说的权限授权需要域pipe理员),Web应用程序服务器,业务线应用程序服务器,防火墙/代理服务器/ ISA服务器等
在我的环境中,我倾向于在域控制器上运行所有内部DNS服务器以及我的DHCP服务。 这似乎是区域中心angular色的良好组合,可以降低成本并尽可能地利用硬件。
微软的小型企业服务器是AD + Exchange +文件服务器+路由器/ VPN服务器+ Sharepoint + SQL Server ..和更多的所有卷入一个单一的服务器。 所以我不会说它的“最佳实践”在不同的服务器上拥有各种function。 对于小型操作来说,在不同的硬件中运行所有的东西是没有意义的。
“你甚至可以用它切一个锡jar,但你不想! – Popeil先生 ,歌词怪异的扬科维奇
我想这个问题是:你想吗? 当然,你可以把你的域控制器变成一个文件和打印服务器,或一个SQL Server框,或任何数量的其他function。 但是这样做有一个缺点,那就是要在这个盒子上降低function的代价。 如果你的用户非常less(比如在25-50岁以下),或者你被预算限制挤压了,你需要把它变成一个“全在一起”的盒子,这样你就可以逃脱。 但是存在性能问题,安全问题,甚至是服务之间不兼容的可能性。 “一笔一划”的箱子是由不知道他们将支付的价格的保pipe人所提出的恶意预算的一个function。
如果你能负担得起,把域控制器放在一个单独的盒子上。 哎呀,如果可能的话,得到一个便宜的服务器级的盒子,可能是一个部门级的盒子,把你的DC服务放在那个上面。 然后得到这个盒子的双胞胎,并把DC服务。 这是Windows希望你拥有的模型,而且实际上,每个域至less应该有两个域控制器。
购买那些最常用的服务的信箱 – 数据库,电子邮件,文件和打印等。这些是用户经常看到的“日常”框, 域控制器最好在整个域中留下橡皮戳用户凭据。
你可以摆脱退化的性能水平? 您正在安装的服务与可能运行的其他服务之间是否存在不兼容? 它会干扰ADauthentication吗?
不,但会增加工作量。 如果你集成了其他的非Windowsfunction(比如说,使用PAM堆栈来通过Kerberos作为IMAP服务的一部分来validation一个Linux机器),那么期望这个工作负载会增加。
每个版本都增加了function的数量,但可以肯定地说,如果不是更好,至less需要Windows 2000。 大多数人都在Windows 2003(和堂兄弟),其中包括文件服务,卷影复制等增强。2008年提供了更多的增强function。
它看起来像归结为安全和性能。 在小型networking中,我认为性能不是问题,AD使用的是目前最便宜的服务器数量极less。
在这一点上,您可以权衡安全性与成本 – 这就是所有安全性问题归结为小型networking的原因。
我认为所有的答案都可以归结为小型企业服务器。
当然,MS能够将一切(AD,Exchange,SQL等)几乎扔到一个盒子里。 但它运行像垃圾,只在非常有限的情况下有用。
总之,你能做到吗? 是。 你应该这样做吗? 我不推荐它,但如果你处于困境,它可以工作。
从性能的angular度来看,这取决于两个服务的负载。 在较小的networking上,DC也可以兼作DNS或DHCP服务器,没有问题。 在一个更大的networking上,这是在寻求麻烦。
我会高度推荐你不要在同一个物理盒子上放置多个“主”服务器。 IE,如果这是您的主DC,则将其用作辅助DNS服务器或备用DHCP服务器将是可接受的。 原因是,你不希望在一个盒子上的失败,拿出两个服务。
我会极力阻止任何人运行更苛刻的服务,如Web服务器(IIS或Apache等)或任何types的数据库。
如果您决定在同一个物理盒子上运行多种types的服务,那么我会高度推荐尽可能使盒子变得“健壮”,并将其用作虚拟化服务器的主机。 这样,您的所有服务在操作系统级别上仍然是相互独立的。
没有任何内容会阻止域控制器以其他身份运行。
如果你有一个现有的AD基础设施,而你只有一个域控制器,那么我认为任何推广另一个服务器的缺点都会被获得另一个DC的好处所抵消。
请记住,在运行dcpromo之后,您必须重新启动,因此新升级的计算机提供的任何服务都将被中断。 另外,如果您有任何域控制器安全策略,它们将应用于该服务器。
你可以但是你为什么要? 从理论上讲,您可以在同一个盒子上安装全部的服务(小型企业服务器)。 只是因为你可以做点什么,但是,并不一定意味着你应该这样做。 域控制器持有AD数据库,所以如果你想冒着印刷(和上帝禁止)文件共享的风险,那么这是一个风险,你必须评估自己。 如果您想要安全地使用Linux服务器,请将其作为networking文件共享或打印服务器,并尽量保持您的域服务器的安全。
是的,他们可以,但从安全angular度来看,通常的答案是否定的。 原因很简单:在域控制器上运行的越多,可以利用该框的表面积就越大。 拿着箱子,你有域名。 通常情况下,使用Active Directory集成区域来运行DNS并不罕见。 不过,除此之外,我不会说,除非你是一家小商店,根本不能打破这些服务。
(不要太认真,但你知道我有一个观点)
当然,只要安装VMware,在Debian上,你就有了一个很棒的多用途服务器。 也就是说,如果主机上的负载足够小。
如果我select只有一个域控制器,或者在SQL框中运行另一个DC,那么我会select这个选项。
事实上,我可能宁愿运行一个虚拟服务器,而不是将任何其他工作的服务器转换为域控制器 – 即使它只是在工作站上运行。
我个人的观点是,为了稳定性,至less需要三个域控制器,允许您分割操作主angular色,并且至less应该有两个全局目录 – 但是考虑到基础架构主控制器不应该是GC 。
我通常会在域控制器上运行DNS和DHCP,并且至less有两个DC。 就我个人而言,我有两台虚拟主机(运行VMware ESXi,三台虚拟主机)和一台物理虚拟机。 所有DC都是DNS服务器,其中两台是DHCP服务器(每台服务器的一半)。 通过虚拟化,可以轻松实现特定于任务的虚拟机(取决于您购买Windows许可的方式,价格合理),而且我更愿意将其分开,因为重新引导一台服务器不会影响到其他服务器。
但是,我在另一个(小)办公室运行SBS 2003,它在强大的服务器上运行良好,尽pipe重启计划问题有时令人讨厌。 SBS是物理的,但是我有另外一台运行VMware ESXi的服务器,它有一个Windows虚拟机,也是一个DC,所以我有一个次级服务器(只要SBS拥有FSMOangular色,就允许第二个DC使用SBS)。 我讨厌有一个DC,它会使恢复更困难,任何停机时间更长!
如果可能的话,我会尝试添加像打印和/或文件服务的东西,除了DNS和DHCP之外。 其他的则需要仔细权衡……如果可能的话,甚至可以将桌面/低端服务器作为辅助DC / DNS专用盒子,如果你必须在主硬件上混合使用。 即使非冗余硬件可能会在您的主服务器出现故障时启动,反之亦然(无论是重启还是崩溃)。