Windows: Os controladores de domínio também podem servir outras funções?

Você pode e funciona. Eu tenho cerca de 40 filiais e - por razões políticas - uma decisão de gerenciamento foi feita para dar a cada uma infra-estrutura completa de servidores. Por motivos financeiros, era um ambiente de servidor único em cada, por isso é tudo DC / File / Exchange (isso foi nos dias do Windows 2000).

No entanto, o gerenciamento dele é um pesadelo, e minha regra preferida é "um DC é um DC e nada mais acontece". Estes são seus servidores mais importantes, e se o seu anúncio for engraçado, você terá um tempo horrível para recuperá-lo corretamente. Se você puder, dê a si mesmo a melhor chance de evitar isso, tendo papéis DC dedicados. Se você não pode, implorar, gritar, choramingar, subornar, ameaçar, profetizar ou o que for preciso para se colocar em uma posição onde você possa.

Controladores de domínio multi-função são bastante comuns. Embora a maioria das funções que desempenham são funções de infraestrutura de rede. Bons exemplos são servidores de arquivos, DHCP e DNS. Eles são escolhas ruins para coisas como servidores de Terminal (Usuários não têm direitos para entrar em um Controlador de Domínio e dar a eles as concessões de direitos requer Administradores de Domínio), Servidores de Aplicação Web, Servidores de Aplicativos de Linha de Negócios, servidores Firewall / Proxy / ISA, etc.

Nos meus ambientes, eu prefiro ter todos os servidores DNS internos em execução nos controladores de domínio, bem como meus serviços DHCP. Essa parece ser uma boa combinação de papéis nos DCs para reduzir custos e possibilitar o melhor uso possível do hardware.

• Há algum problema em usar servidores preenchendo outras funções como controladores de domínio?

"Você pode até cortar uma lata com ela, mas você não iria querer!" - Sr. Popeil , letras Weird Al Yankovic

Eu acho que a pergunta é: você quer? Claro, você pode transformar seu controlador de domínio em um servidor de arquivos e impressão, ou uma caixa do SQL Server, ou qualquer número de outras funções. Mas há uma desvantagem para isso, um preço a pagar na forma de funcionalidade degradada nessa caixa. Se você tiver muito poucos usuários (digamos, abaixo de 25-50), ou se você estiver sendo pressionado por restrições orçamentárias e precisar fazer isso de uma caixa "tudo em um", você pode se safar dessa maneira. Mas há problemas de desempenho, problemas de segurança e até mesmo o potencial para incompatibilidades entre serviços. Fazer caixas "all-in-one" é uma função dos orçamentos maléficos estabelecidos pelos guardadores do mercado que não entendem o preço que pagam.

Se você puder pagar, coloque o controlador de domínio em uma caixa separada. Se possível, consiga uma caixa barata, mas de nível de servidor, provavelmente uma caixa de nível de departamento, e coloque seus serviços de DC nisso; então pegue um gêmeo daquela caixa, e coloque os serviços de CC nisso também. Este é o modelo que o Windows gostaria que você tivesse, e você realmente, realmente , deveria ter pelo menos dois controladores de domínio para cada domínio.

Compre as caixas para os serviços mais utilizados - bancos de dados, email, arquivo & print, etc. Estas são as caixas "diárias" que os usuários veem regularmente; É melhor deixar os controladores de domínio deixando as credenciais de usuário de carimbo no domínio.

• Quais são as coisas que devem ser consideradas para determinar se um servidor tem um "duplo propósito"?

Você consegue fugir com níveis degradados de desempenho? Haverá uma incompatibilidade entre o serviço que você está instalando e qualquer outro serviço que possa ser executado? Isso interferirá na autenticação do AD?

• A função do controlador de domínio altera a maneira como o Windows opera o sistema de arquivos ou o hardware?

Não. Mas isso aumentará sua carga de trabalho. E se você integrar outras funções que não sejam do Windows (digamos, usando uma pilha PAM para autenticar uma caixa linux via Kerberos como parte de um serviço IMAP), então espere que a carga de trabalho aumente.

• Existem diferenças entre as versões do Windows Server?

Cada lançamento aumenta o número de recursos, embora seja seguro dizer que você quer pelo menos o Windows 2000, se não melhor. A maioria das pessoas está no Windows 2003 (e primos), que inclui aprimoramentos nos serviços de arquivos, cópia de sombra de volume, etc. O 2008 oferece ainda mais aprimoramentos.

O Microsoft Small Business Server é o AD + Exchange + servidor de arquivos + roteador / servidor VPN + SharePoint + SQL Server .. e mais tudo instalado em um único servidor. Então eu não diria que é "melhor prática" ter todas as funções em um servidor diferente. Para pequenas operações, não faz sentido executar tudo em hardware diferente.

Parece que se resume a segurança e desempenho. Eu não acho que o desempenho seja um grande problema em redes pequenas, o AD usa uma quantidade minúscula do servidor mais barato que você poderia montar agora.

Nesse ponto, você pode avaliar a segurança versus o custo - que é o que todas as questões de segurança resumem em uma pequena rede ...

Acho que todas as respostas podem ser resumidas pelo Small Business Server.

Claro, o MS foi capaz de lançar quase TUDO (AD, Exchange, SQL, etc) em uma única caixa. Mas funciona como uma porcaria e só é útil em situações muito limitadas.

Em suma, você consegue? Sim. Você deve fazer isso? Eu não recomendo, mas pode funcionar se você estiver em um bind.

Do ponto de vista do desempenho, isso depende da carga dos dois serviços. Em uma rede menor, um controlador de domínio também pode funcionar como um servidor DNS ou DHCP sem problemas. Em uma rede maior, está pedindo por problemas.

Eu recomendo que você não coloque mais de um servidor "primário" na mesma caixa física. IE, se este é o seu DC mestre, usá-lo como um servidor DNS secundário ou servidor DHCP de backup seria aceitável. Razão de ser, você não quer uma falha em uma caixa para tirar dois serviços.

Eu desencorajaria qualquer pessoa a executar serviços mais exigentes, como um servidor web (IIS ou Apache, etc) ou bancos de dados de qualquer tipo.

Se você decidir executar mais de um tipo de serviço na mesma caixa física, recomendo que seja o mais "robusto" possível e use-o como host para servidores Virtualizados. Dessa forma, todos os seus serviços ainda são um pouco independentes um do outro no nível do SO.

Não há nada que inerentemente negue que um controlador de domínio funcione em outras capacidades.

Se você tiver uma infraestrutura de AD existente e tiver apenas um controlador de domínio, eu diria que qualquer inconveniente em promover outro servidor seria superado pelas vantagens de obter outro DC.

Lembre-se de que, depois de executar o dcpromo, será necessário reinicializar, portanto, todos os serviços fornecidos pela máquina recém-promovida serão interrompidos. Além disso, se você tiver alguma política de segurança do controlador de domínio, ela será aplicada a esse servidor.

Você PODERIA, mas por que você iria querer? Teoricamente, você pode ter toda a disposição dos serviços na mesma caixa (Small Business Server). Só porque você pode fazer algo, no entanto, não significa necessariamente que você deveria. O controlador de domínio mantém o banco de dados do AD, portanto, se você quiser arriscar-se com a impressão (e Deus proíbe) o compartilhamento de arquivos, então esse é um risco que você terá que avaliar. Se você quiser jogar com segurança, use um servidor Linux gratuitamente e use-o como um compartilhamento de arquivos de rede ou servidor de impressão e tente manter suas caixas do Servidor de Domínio como apenas isso.

Sim, eles podem, mas de uma perspectiva de segurança, a resposta usual é não. O motivo é simples: quanto mais estiver sendo executado em um controlador de domínio, maior será a área de superfície que pode ser explorada para receber a caixa. Pegue a caixa e você tem o domínio. Normalmente, não é incomum ver o DNS em execução com as zonas integradas do Active Directory. No entanto, qualquer outra coisa, eu diria que não, a menos que você seja uma pequena loja e simplesmente não possa pagar os serviços.

(não me leve muito a sério, mas você sabe que eu tenho um ponto)

Claro, apenas instale o VMware, e nele Debian e você tem um ótimo servidor multiuso. Isto é, se a carga no host for pequena o suficiente.

Se eu tivesse a opção de ter apenas um controlador de domínio, ou de executar outro DC dizer em uma caixa de SQL, então eu tomaria essa opção.

Na verdade, eu provavelmente preferiria executar um Servidor Virtual do que realmente transformar qualquer outro servidor em funcionamento em um controlador de domínio - mesmo se estivesse sendo executado em uma estação de trabalho.

Minha opinião pessoal é que para estabilidade você precisa de um mínimo de três controladores de domínio que permite dividir as funções de mestre de operações, e você deve sempre ter pelo menos dois catálogos globais - mas levando em conta que o mestre de infra-estrutura não deve seja um GC.

Eu geralmente executaria DNS e DHCP no (s) controlador (es) de domínio e teria pelo menos dois controladores de domínio. Pessoalmente, tenho um controlador de domínio virtual em execução em dois dos meus hosts virtuais (executando o VMware ESXi, três hosts virtuais no total) e um físico também. Todos os DCs são servidores DNS e dois deles são servidores DHCP (que atendem a metade do intervalo cada). A virtualização torna mais fácil (e depende de como você paga pelo licenciamento do Windows, acessível) ter VMs específicas de tarefas, e prefiro dividir as coisas, já que a reinicialização de um servidor não afetará outras pessoas.

No entanto, estou executando o SBS 2003 em outro (menor) escritório e funciona bem em um servidor robusto, embora o problema de agendamento de reinicialização seja às vezes irritante. O SBS é físico, mas eu tenho um segundo servidor executando o VMware ESXi que tem uma VM do Windows que também é um DC, então eu tenho um secundário (o segundo DC é permitido com o SBS, contanto que o SBS mantenha funções FSMO). Eu odeio ter um DC, isso tornaria a recuperação mais difícil e qualquer tempo de inatividade mais longo!

Eu tentaria adicionar apenas algo como imprimir e / ou enviar arquivos para um DC, se possível, além de DNS e DHCP. Outros teriam que ser pesados com cuidado ... e, se possível, colocar um servidor desktop / low end como uma caixa DC / DNS secundária somente se você tiver que mixar no hardware primário. Mesmo o hardware não redundante provavelmente estará ativo se o seu primário estiver inativo e vice-versa (seja para reinicialização ou falha).