Windows: Etki alanı denetleyicileri başka işlevler de sunabilir mi?

Bu soru , Terminal Hizmetleri'ni çalıştırmak için Active Directory'nin gerekli olup olmadığı hakkında bir tartışma idi. Ancak bir cevap ve yorum zinciri (çoğunlukla benim tarafımdan) Etki Alanı Denetleyicileri ile ilgili bir soru getirdi.

Bir AD ortamında yalnızca bir Etki Alanı Denetleyicisine sahip olmak açıkça kötü bir uygulamadır. Her etki alanı denetleyicisinin ayrı (fiziksel veya sanal) tek işlevli bir sunucuda bulunması da en iyi uygulamadır. Ancak, herkes her zaman en iyi uygulamaları takip edemez.

Etki alanı denetleyicileri olarak diğer rolleri dolduran sunucuları kullanmak uygun mudur?

Bir sunucunun "çift amaçlı" olup olmadığının belirlenmesinde nelere dikkat edilmelidir?

Etki alanı denetleyicisi rolü, Windows'un dosya sistemini veya donanımı kullanma biçimini değiştiriyor mu?

Windows Server sürümleri arasında fark var mı?

Yapabilirsin ve işe yarıyor. Yaklaşık 40 şubem var ve - siyasi nedenlerle - her birine tam bir sunucu altyapısı vermek için bir yönetim kararı verildi. Mali nedenlerden ötürü, her birinde tek bir sunucu ortamı vardı, bu yüzden hepsi DC / Dosya / Exchange (bu, Windows 2000 günlerinde).

Ancak, onun yönetimi bir kabus ve benim tercih ettiğim kural "bir DC bir DC ve başka bir şey devam ediyor" dir. Bunlar en önemli sunucularınızdır ve AD'niz komik hale gelirse, doğru şekilde geri almak için korkunç bir zamanınız olacaktır. Yapabiliyorsanız, kendinize özel DC rolleri alarak bundan kaçınmak için kendinize en iyi şansı verin. Eğer yalvarmazsan, çığlık alamazsın, fısıldamaz, rüşvet veremez, tehdit edemez, kehanet yapamazsın ya da kendini yapabileceğin bir pozisyona sokmak için ne gerekiyorsa.

Çok Rol Etki Alanı denetleyicileri oldukça yaygındır. Bununla birlikte, yaptıkları rollerin çoğu ağ altyapısı rolleridir. İyi örnekler Dosya Sunucuları, DHCP ve DNS'dir. Terminal sunucuları (Kullanıcıların Etki Alanı Denetleyicisi'ne giriş yapma hakları yoktur ve bu haklara Etki Alanı Yöneticileri gerektiğini söyleme hakkı), Web Uygulama Sunucuları, İş Hattı Uygulama Sunucuları, Güvenlik Duvarı / Proxy / ISA sunucuları vb.

Ortamlarımda, tüm dahili DNS Sunucularının Etki Alanı Denetleyicilerinde ve DHCP hizmetlerimde çalışmasını tercih ediyorum. Bu, maliyeti düşürmek ve donanımı en iyi şekilde kullanmak için DC'lerde iyi bir rol karışımı gibi görünüyor.

• Etki alanı denetleyicileri olarak diğer rolleri dolduran sunucuları kullanmak uygun mudur?

"Onunla bir teneke kutu bile kesebilirsin ama istemezsin!" - Bay Popeil , şarkı sözleri Weird Al Yankovic

Sanırım soru şu: ister misin? Elbette, etki alanı denetleyicinizi bir dosya ve yazdırma sunucusuna veya bir SQL Server kutusuna veya istediğiniz sayıda başka işleve dönüştürebilirsiniz. Ancak bunun bir dezavantajı var, bu kutudaki bozulmuş işlevsellik şeklinde ödenecek bir fiyat. Çok az kullanıcınız varsa (diyelim ki 25-50 yaşın altında) veya bütçe kısıtlamalarına maruz kaldıysanız ve bunu "hepsi bir arada" kutusu yapmanız gerekiyorsa, bunu yapmaktan kurtulabilirsiniz. Ancak performans sorunları, güvenlik sorunları ve hatta hizmetler arasındaki uyumsuzluk potansiyeli vardır. "Hepsi bir arada" kutularını yapmak, peşinden koşanların ödeyecekleri fiyatı anlamayan kötü bütçelerin bir fonksiyonudur.

Ödeyebiliyorsanız, etki alanı denetleyicisini ayrı bir kutuya koyun. Heck, mümkünse, ucuz ama sunucu sınıfı bir kutu, muhtemelen bölüm düzeyinde bir kutu alın ve DC hizmetlerinizi buna koyun; sonra bu kutunun ikizini alın ve DC hizmetlerini de buna ekleyin. Bu, Windows'un sahip olmasını istediğiniz modeldir ve her etki alanı için gerçekten en az iki etki alanı denetleyicisine sahip olmanız gerekir.

Veritabanları, e-posta, dosya ve yazdırma, vb. En çok kullanılan hizmetler için beefer kutuları satın alın. Bunlar, kullanıcıların düzenli olarak gördüğü "günlük" kutulardır; etki alanı denetleyicileri, etki alanı boyunca en iyi solda lastik damgalama kullanıcı kimlik bilgisidir.

• Bir sunucunun "çift amaçlı" olup olmadığının belirlenmesinde nelere dikkat edilmelidir?

Performans seviyesinin düşmesinden kurtulabilir misin? Yüklediğiniz hizmet ile çalışabilecek diğer hizmetler arasında bir uyumsuzluk var mı? AD kimlik doğrulamasına müdahale eder mi?

• Etki alanı denetleyicisi rolü, Windows'un dosya sistemini veya donanımı kullanma biçimini değiştiriyor mu?

Hayır. Ama iş yükünü artıracak. Windows dışındaki diğer işlevleri (örneğin, IMAP hizmetinin bir parçası olarak Kerberos aracılığıyla bir linux kutusunun kimliğini doğrulamak için bir PAM yığını kullanarak) entegre ederseniz, bu iş yükünün artmasını bekleyin.

• Windows Server sürümleri arasında fark var mı?

Her sürüm özellik sayısını artırır, ancak daha iyi değilse en az Windows 2000 istediğinizi söylemek güvenlidir. Çoğu kişi Windows 2003'te (ve kuzenlerde), dosya hizmetlerinde geliştirmeler, birim gölge kopyası vb. İçerir. 2008 daha da fazla geliştirme sağlar.

Microsoft Small Business Server, AD + Exchange + Dosya sunucusu + yönlendirici / VPN Sunucusu + Sharepoint + SQL Server .. ve daha fazlası tek bir sunucuda toplanır. Bu yüzden farklı bir sunucuda her fonksiyona sahip olmak için 'en iyi uygulama' demezdim. Küçük operasyonlar için her şeyi farklı donanımlarda çalıştırmak mantıklı değildir.

Güvenlik ve Performansa bağlı gibi görünüyor. Performansın küçük ağlarda büyük bir sorun olduğunu düşünmüyorum, AD şu anda bir araya getirebileceğiniz en ucuz sunucunun küçük bir miktarını kullanıyor.

Bu noktada, sadece güvenliğe ve maliyete ağırlık verebilirsiniz - bu, tüm güvenlik sorularının küçük bir ağda kaynaştığı şeydir ...

Tüm cevapların Small Business Server tarafından özetlenebileceğini düşünüyorum.

Elbette, MS neredeyse her şeyi (AD, Exchange, SQL vb.) Tek bir kutuya atabiliyordu. Ancak bok gibi çalışır ve sadece çok sınırlı durumlarda yararlıdır.

Kısacası yapabilir misin? Evet. Yapmalı mısın? Ben tavsiye etmiyorum, ama eğer bir bağ içinde çalışabilir.

Performans açısından bakıldığında, iki hizmetin yüküne bağlıdır. Daha küçük bir ağda DC, sorunsuz bir şekilde DNS veya DHCP sunucusu olarak da ikiye katlanabilir. Daha büyük bir ağda sorun istiyor.

Aynı fiziksel kutuya birden fazla "birincil" sunucu koymamanızı şiddetle tavsiye ederim. IE, bu ana DC'niz ise, ikincil DNS sunucusu veya yedek DHCP sunucusu olarak kullanılması kabul edilebilir. Nedeni, bir kutuda iki hizmet almak için bir başarısızlık istemiyor.

Herkesin bir web sunucusu (IIS veya Apache, vb.) Veya herhangi bir tür Veritabanları gibi daha zorlu hizmetleri çalıştırmasını caydırmak istiyorum.

Aynı fiziksel kutuda birden fazla hizmet türü çalıştırmaya karar verirseniz, bir kutunun mümkün olduğunca "sığır eti" olmasını ve Sanallaştırılmış sunucular için bir ana bilgisayar olarak kullanılmasını şiddetle tavsiye ederim. Bu şekilde, tüm hizmetleriniz hala işletim sistemi düzeyinde birbirinden bağımsızdır.

Bir etki alanı denetleyicisinin diğer kapasitelerde çalışmasını doğal olarak reddeden hiçbir şey yoktur.

Mevcut bir AD altyapınız varsa ve yalnızca bir etki alanı denetleyiciniz varsa, başka bir sunucuyu tanıtmanın herhangi bir dezavantajının başka bir DC almanın avantajlarından daha ağır basacağını söyleyebilirim.

Dcpromo'yu çalıştırdıktan sonra yeniden başlatmanız gerektiğini unutmayın, bu nedenle yeni tanıtılan makine tarafından sağlanan tüm hizmetler kesintiye uğrayacaktır. Ayrıca, herhangi bir etki alanı denetleyicisi güvenlik ilkeniz varsa, bu sunucuya uygulanır.

GEREKSİNİZ ama neden istesin ki? Teorik olarak hizmetlerin tamamını aynı kutuda bulabilirsiniz (Small Business Server). Ancak bir şeyler yapabilmeniz için mutlaka yapmanız gerektiği anlamına gelmez. Etki alanı denetleyicisi, AD veritabanını tutar; bu nedenle, yazdırma (ve tanrı yasaklayan) dosya paylaşımı ile aşağıya düşme riskini almak istiyorsanız, kendinizi değerlendirmeniz gereken bir risktir. Güvenli oynamak istiyorsanız, bir Linux sunucusunu ücretsiz olarak ayağa kaldırın ve bunu bir ağ dosya paylaşımı veya baskı sunucusu olarak kullanın ve Domain Server kutularınızı bu şekilde tutmaya çalışın.

Evet, yapabilirler, ancak güvenlik açısından normal cevap hayırdır. Nedeni basit: Bir etki alanı denetleyicisinde ne kadar çok çalışırsa, kutuyu almak için kullanılabilecek yüzey alanı o kadar büyük olur. Kutuyu al ve etki alanını aldın. Genellikle DNS'nin Active Directory ile tümleşik bölgelerle çalıştığını görmek alışılmadık bir durum değildir. Ancak, başka bir şey, ben küçük bir dükkan olmadıkça ve hizmetleri dağıtmak göze alamaz sürece hayır diyebilirim.

(beni çok ciddiye alma, ama bir amacım olduğunu biliyorsun)

Tabii, sadece VMware yükleyin ve üzerine Debian ve harika bir çok amaçlı sunucunuz var. Yani, ana bilgisayar üzerindeki yük yeterince küçükse.

Sadece bir Etki Alanı Denetleyicisi'ne sahip olma veya bir SQL kutusunda başka bir DC deyimi çalıştırma seçeneğim olsaydı, bu seçeneği alırdım.

Aslında, sadece bir iş istasyonunda çalışıyor olsa bile, aslında başka bir çalışan sunucuyu bir etki alanı denetleyicisine dönüştürmektense Sanal Sunucu çalıştırmayı tercih ederim.

Kişisel fikrim, istikrar için işlem yöneticisi rollerini bölmenize izin veren en az üç etki alanı denetleyicisine ihtiyacınız olması ve her zaman en az iki genel kataloğa sahip olmanız gerektiğidir - ancak altyapı yöneticisinin bir GC olmaması gerekir .

Etki Alanı Denetleyicilerinde genellikle DNS ve DHCP çalıştırırdım ve en az iki DC'ye sahip olurdum. Şahsen, iki sanal ana bilgisayarımda (VMware ESXi, toplam üç sanal ana bilgisayar çalışıyor) ve bir fiziksel de çalışan bir sanal DC var. Tüm DC'ler DNS sunucusudur ve ikisi DHCP sunucusudur (her birinin aralığının yarısını sunar). Sanallaştırma, göreve özel VM'lere sahip olmayı (ve Windows lisansı için nasıl ödeme yaptığınıza bağlı olarak, uygun fiyatlı) kolaylaştırır ve bir sunucuyu yeniden başlatmanın diğerlerini etkilemeyeceği için işleri bölmeyi tercih ederim.

Ancak, SBS 2003'ü başka (daha küçük) bir ofiste çalıştırıyorum ve yeniden başlatma zamanlaması sorunu bazen can sıkıcı olsa da, iyi bir sunucuda iyi çalışıyor. SBS fiziksel, ama ben bir DC var aynı zamanda bir DC olan bir VM VM VMware ESXi çalışan ikinci bir sunucu var (SBS FSMO rolleri olduğu sürece ikinci DC SBS ile izin verilir). Bir DC'ye sahip olmaktan nefret ediyorum, kurtarmayı daha zor ve daha uzun bir kesinti süresi yapacak!

DNS ve DHCP'ye ek olarak, mümkünse DC'ye yazdırma ve / veya dosya sunma gibi bir şey eklemeyi denerdim. Diğerleri dikkatlice tartılmalıdır ... ve mümkünse, birincil donanımı karıştırmanız gerekiyorsa, bir masaüstü / düşük uç sunucusunu bile yalnızca ikincil DC / DNS kutusu olarak yapıştırın. Birinciliniz kapalı ve tersi durumda ise (yedeklemenin yeniden başlatılması veya çökmesi için) yedekli olmayan donanımların bile yüksek olması muhtemeldir.