it-swarm-pt.tech

Windows: os controladores de domínio também podem servir a outras funções?

Esta questão foi uma discussão sobre se o Active Directory é necessário para executar os serviços de terminal. Mas uma cadeia de respostas e comentários (principalmente por mim) trouxe uma questão relacionada aos controladores de domínio.

É claramente uma prática ruim ter apenas um controlador de domínio em um ambiente AD. Também é claramente uma prática recomendada ter cada controlador de domínio em um servidor de função única separado (físico ou virtual). No entanto, nem todos podem seguir as melhores práticas o tempo todo.

Posso usar servidores que preencham outras funções como controladores de domínio?

O que deve ser considerado ao determinar se um servidor deve ser de "dupla finalidade"?

A função de controlador de domínio altera a forma como o Windows opera o sistema de arquivos ou o hardware?

Existem diferenças entre as versões do Windows Server?

10
tomjedrz

Você pode e funciona. Tenho cerca de 40 filiais e - por motivos políticos - foi tomada a decisão de gerenciamento de fornecer a cada uma uma infraestrutura de servidor completa. Por razões financeiras, era um ambiente de servidor único em cada um, então é tudo DC/File/Exchange (isso era na época do Windows 2000).

No entanto, o gerenciamento disso é um pesadelo, e minha regra preferida é "a DC é a DC e nada mais acontece". Estes são os seus servidores importantes, e se o seu anúncio der errado, você passará muito tempo tentando recuperá-lo. Se puder, dê a si mesmo a melhor chance de evitar isso tendo funções DC dedicadas. Se você puder implore, grite, choramingue, suborne, ameace, profetize ou o que for necessário para se colocar em uma posição onde puder.

3
Maximus Minimus

Os controladores de domínio com várias funções são bastante comuns. Embora a maioria das funções que eles executam sejam funções de infraestrutura de rede. Bons exemplos são servidores de arquivos, DHCP e DNS. Eles são escolhas ruins para coisas como servidores de terminal (os usuários não têm direitos para fazer login em um controlador de domínio e dar a eles tais concessões de direitos requer Admins. Do domínio), servidores de aplicativos da Web, servidores de aplicativos de linha de negócios, servidores de firewall/proxy/ISA, etc.

Em meus ambientes, prefiro ter todos os servidores DNS internos em execução em controladores de domínio, bem como meus serviços DHCP. Esta parece ser uma boa combinação de funções nos DCs para reduzir custos e fazer o melhor uso possível do hardware.

18
Kevin Colby

Microsoft Small Business Server é AD + Exchange + servidor de arquivos + roteador/VPN Server + Sharepoint + SQL Server .. e mais, tudo em um único servidor. Portanto, eu não diria que é 'prática recomendada' ter todas as funções em um servidor diferente. Para pequenas operações, não faz sentido executar tudo em hardware diferente.

4
Nick Kavadias
  • Posso usar servidores que preencham outras funções como controladores de domínio?

"Você pode até cortar uma lata com ele, mas você não gostaria!" - Sr. Popeil , letras Weird Al Yankovic

Eu acho que a pergunta é: você quer? Claro, você pode transformar seu controlador de domínio em um servidor de arquivos e impressão, ou uma caixa do SQL Server, ou qualquer outra função. Mas há uma desvantagem nisso, um preço a pagar na forma de funcionalidade degradada nessa caixa. Se você tem muito poucos usuários (digamos, menos de 25-50) ou está pressionado por restrições de orçamento e precisa tornar isso um "tudo em um", você pode se safar fazendo isso. Mas existem problemas de desempenho, problemas de segurança e até mesmo o potencial de incompatibilidades entre serviços. Fazer "tudo em um" caixas é uma função de orçamentos malignos estabelecidos por donos-de-carteiras que não entendem o preço que vão pagar.

Se você puder, coloque o controlador de domínio em uma caixa separada. Heck, se possível, pegue uma caixa de nível de servidor barata, mas provavelmente uma caixa de nível de departamento, e coloque seus serviços DC nela; em seguida, pegue um gêmeo dessa caixa e coloque DC serviços nisso também. Este é o modelo que o Windows gostaria que você tivesse, e você realmente, realmente , deve ter pelo menos dois controladores de domínio para cada domínio.

Compre as caixas Beefer para os serviços que são mais usados ​​- bancos de dados, e-mail, arquivo e impressão, etc. Essas são as caixas "diárias" que os usuários veem regularmente; é melhor que os controladores de domínio deixem as credenciais de usuário com carimbo de borracha em todo o domínio.

  • O que deve ser considerado ao determinar se um servidor deve ser de "dupla finalidade"?

Você consegue se safar com níveis degradados de desempenho? Haverá uma incompatibilidade entre o serviço que você está instalando e quaisquer outros serviços que possam ser executados? Isso vai interferir na autenticação do AD?

  • A função de controlador de domínio altera a forma como o Windows opera o sistema de arquivos ou o hardware?

Não. Mas aumentará sua carga de trabalho. E se você integrar outras funções que não sejam do Windows (digamos, usando uma pilha PAM para autenticar uma caixa Linux via Kerberos como parte de um serviço IMAP), espere que a carga de trabalho aumente.

  • Existem diferenças entre as versões do Windows Server?

Cada versão aumenta o número de recursos, embora seja seguro dizer que você deseja pelo menos o Windows 2000, se não melhor. A maioria das pessoas usa o Windows 2003 (e primos), o que inclui melhorias para serviços de arquivo, cópia de sombra de volume, etc. 2008 oferece ainda mais melhorias.

4
Avery Payne

Acho que todas as respostas podem ser resumidas pelo Small Business Server.

Claro, a MS foi capaz de jogar quase TUDO (AD, Exchange, SQL, etc) em uma única caixa. Mas funciona como uma merda e só é útil em situações muito limitadas.

1
NotMe

Resumindo, você consegue? Sim. Você deve fazer isso? Eu não recomendo, mas pode funcionar se você estiver em um dilema.

Do ponto de vista do desempenho, depende da carga dos dois serviços. Em uma rede menor, a DC também pode funcionar como um servidor DNS ou DHCP sem problemas. Em uma rede maior, está pedindo problemas.

Eu recomendo fortemente que você não coloque mais de um servidor "primário" na mesma caixa física. Ou seja, se este for seu DC master, usá-lo como um servidor DNS secundário ou servidor DHCP de backup seria aceitável. A razão é, você não quer uma falha em uma caixa para tirar dois serviços.

Eu desencorajaria qualquer pessoa a executar serviços mais exigentes, como um servidor web (IIS ou Apache, etc) ou bancos de dados de qualquer tipo.

Se você decidir executar mais de um tipo de serviço na mesma caixa física, eu recomendo altamente obter a caixa mais "robusta" possível e usá-la como um host para servidores virtualizados. Dessa forma, todos os seus serviços ainda são um tanto independentes uns dos outros no nível do sistema operacional.

1
user4507

Parece que tudo se resume a Segurança e Desempenho. Não acho que o desempenho seja um grande problema em redes pequenas, o AD usa uma quantidade minúscula do servidor mais barato que você poderia montar agora.

Nesse ponto, você pode pesar segurança vs. custo - que é o que todas as questões de segurança se resumem em uma pequena rede ...

1
Kara Marfia

Se eu tivesse a opção de ter apenas um controlador de domínio, ou executar outro DC digamos em uma caixa SQL, então eu escolheria essa opção.

Na verdade, eu provavelmente prefiro executar um servidor virtual do que transformar qualquer outro servidor em funcionamento em um controlador de domínio - mesmo que ele esteja sendo executado apenas em uma estação de trabalho.

Minha opinião pessoal é que para estabilidade você precisa de um mínimo de três controladores de domínio que permitem dividir as funções de mestre de operação, e você deve sempre ter pelo menos dois catálogos globais - mas levando em consideração que o mestre de infra-estrutura não deve ser um GC .

0
Tubs

Eu geralmente executaria DNS e DHCP em controladores de domínio e teria pelo menos dois controladores de domínio. Pessoalmente, tenho um DC virtual em execução em dois de meus hosts virtuais (executando VMware ESXi, três hosts virtuais no total) e um físico também. Todos os DCs são servidores DNS e dois deles são servidores DHCP (atendendo a metade do intervalo cada). A virtualização torna mais fácil (e, dependendo de como você paga pelo licenciamento do Windows, acessível) ter VMs específicas para tarefas, e eu prefiro dividir as coisas, pois reiniciar um servidor não afetará os outros.

No entanto, estou executando o SBS 2003 em outro escritório (menor) e funciona bem em um servidor robusto, embora o problema de agendamento de reinicialização às vezes seja irritante. SBS é físico, mas eu tenho um segundo servidor executando VMware ESXi que tem um Windows VM que também é um DC então eu tenho um secundário (segundo DC é permitido com SBS, desde que SBS tenha funções FSMO). Eu odeio ter um DC, isso tornaria a recuperação mais difícil e qualquer tempo de inatividade mais longo!

Eu tentaria adicionar apenas algo como impressão e/ou serviço de arquivo a um DC se possível, além de DNS e DHCP. Outros teriam que ser avaliados com cuidado ... e se possível, coloque até mesmo um servidor desktop/low end como uma caixa DC/DNS secundária apenas se você precisar misturar o hardware primário. Mesmo o hardware não redundante provavelmente estará ativo se o seu primário estiver inativo e vice-versa (seja para uma reinicialização ou uma falha).

0
David S.

Não há nada que negue inerentemente um controlador de domínio de funcionar em outras capacidades.

Se você tiver uma infraestrutura AD existente e tiver apenas um controlador de domínio, eu diria que quaisquer desvantagens de promover outro servidor seriam superadas pelas vantagens de obter outro DC.

Lembre-se de que, depois de executar o dcpromo, você terá que reiniciar, para que todos os serviços fornecidos pela máquina recém-promovida sejam interrompidos. Além disso, se você tiver políticas de segurança de controlador de domínio, elas se aplicarão a esse servidor.

0
Matt Simmons

Você PODERIA, mas por que você quer? Teoricamente, você pode ter todo o conjunto de serviços na mesma caixa (Small Business Server). Só porque você PODE fazer algo, entretanto, não significa necessariamente que você deve. O controlador de domínio mantém o banco de dados AD, portanto, se você quiser se arriscar a atrapalhar a impressão (e Deus me livre), o compartilhamento de arquivos é um risco que você terá que avaliar por si mesmo. Se você quiser jogar pelo seguro, monte um servidor Linux de graça e use-o como um compartilhamento de arquivos de rede ou servidor de impressão e tente manter as caixas do Servidor de Domínio exatamente assim.

0
SQLChicken

Sim, eles podem, mas de uma perspectiva de segurança, a resposta usual é não. O motivo é simples: quanto mais estiver sendo executado em um controlador de domínio, maior será a área de superfície que pode ser explorada para levar a caixa. Pegue a caixa e você tem o domínio. Normalmente, não é incomum ver o DNS em execução com zonas integradas do Active Directory. No entanto, qualquer outra coisa, eu diria não, a menos que você seja uma pequena loja e simplesmente não tenha condições de interromper os serviços.

0
K. Brian Kelley

(não me leve muito a sério, mas você sabe que tenho razão)

Claro, basta instalar o VMware e nele o Debian e você terá um ótimo servidor multifuncional. Ou seja, se a carga no Host for pequena o suficiente.

0
elcuco