Quais são as desvantagens de tornar todos os controladores de domínio dos meus servidores windows?

5

Como a pergunta afirma, quais são os inconvenientes de tornar cada Servidor Windows 2003 ou 2008 capaz na minha organização um controlador de domínio para o domínio? É apenas um exagero? Muitas aplicações de terceiros irão explodir? Algo mais que eu não estou pensando?

Existe alguma vantagem?

    
por NinjaBomb 30.09.2010 / 00:01

3 respostas

16
  • Os controladores de domínio não possuem contas locais. Portanto, tudo que é executado nessas máquinas precisará ser reconfigurado para funcionar com contas de domínio.
  • Os controladores de domínio nunca devem ser capturados ou revertidos para uma imagem anterior de qualquer formulário, ou você encontrará cenários de reversão do USN. Isso significa que, se você executar qualquer tipo de solução de imagem ou virtualização, perderá o uso de recursos de captura instantânea.
  • Qualquer administrador local de um controlador de domínio é um administrador de domínio.
  • O tráfego de rede e replicação aumentará significativamente.
  • Servidores localizados em segmentos de rede separados por ACLs ou firewalls de comutação precisarão de várias regras de acesso adicionais configuradas para oferecer suporte a tráfego de replicação suficiente.
  • Suas chances de corrupção nos bancos de dados do AD aumentam
  • Você está violando o princípio de segurança geral .
  • Quando, no futuro, você desejar atualizar o nível de funcionalidade de seu domínio, será necessário atualizar todos os servidores da versão apropriada, em vez de apenas os controladores de domínio dedicados.
  • A área de superfície explorável do seu domínio aumentará em ordens de grandeza, pois qualquer aplicativo em qualquer um desses servidores se tornará vetores de ataque em potencial para sua infra-estrutura de domínio (por exemplo, uma exploração SQL pode levar a todo o seu domínio ser comprometido)
  • Alguns serviços não funcionarão ou serão strongmente desencorajados em controladores de domínio (por exemplo, Serviços de Terminal).

O melhor conselho que posso dar é executar controladores de domínio como entidades muito discretas sempre que possível, ou seja, não carregar nenhum serviço em um controlador de domínio que não seja essencial para a operação do controlador de domínio. Isso é comumente negligenciado com lojas muito pequenas e especialmente Small Business Server por razões práticas / custo, mas uma vez que você escala além do que você deseja idealmente estar caminhando para um ponto onde DCs são JUST DCs, e você só executa tantos DCs quanto você realisticamente necessidade de replicação adequada e tolerância a falhas.

    
por 30.09.2010 / 01:20
7

Para adicionar à lista muito boa postada por Chris Thorpe, aqui estão mais algumas razões porque fazer isso é uma má idéia:

  • Cada servidor precisará ser notificado sobre alterações no domínio.
  • Servidores que estão inativos por um período significativo de tempo podem causar problemas de replicação.
  • Dependendo do tamanho do seu domínio, pode ser uma perda de memória bastante significativa.
  • Cada servidor estará no DNS como resolvível pelo domínio DNS do domínio. Obtenha servidores suficientes e alguns clientes DNS começarão a vomitar com o tamanho da Resposta do DNS.
  • Cada servidor hospedará todas as Políticas de Grupo, que têm seu próprio tráfego de replicação, para que você obtenha uma cobertura de GPO inconsistente até que a replicação tenha convergido, o que pode levar algumas horas em uma grande rede de DCs.

Realmente, o argumento "overhead de replicação" é realmente muito strong. Se você tiver um pequeno número de servidores locais um para o outro, digamos, com menos de 10, isso não é tão ruim. Quando você chegar a números grandes, especialmente se estiverem remotos, os problemas começarão a aumentar. A replicação dentro de um site do AD é um-para-muitos, e entre os sites geralmente são configurados com hosts de cabeçalho-ponte canalizando as atualizações. Não apenas as informações do AD precisam ser replicadas, assim como todas as informações da Diretiva de Grupo (armazenadas em "SYSVOL") precisam ser replicadas para cada DC. É uma malha de replicação muito complexa quando você obtém muitos DCs em um ambiente, e é muito mais fácil para as coisas darem errado.

De um ponto de vista de segurança, você realmente não deseja que possíveis invasores obtenham acesso local a um DC. É muito mais fácil extrair os hashes de senha de todo o domínio quando você é local de um controlador de domínio e com o Rainbow Tables, que praticamente não passa de um jogo, a menos que suas políticas de senha sejam muito mais rigorosas do que as comumente usadas atualmente.

    
por 30.09.2010 / 02:08
0

É uma ideia muito ruim. Eu não consigo pensar em uma razão para fazer isso. Muitos serviços do MS não serão executados ou não serão suportados nos DCs. Além disso, qualquer bug ou falha em qualquer software que você instale em um DC ameaça a segurança de todo o seu domínio.

    
por 30.09.2010 / 00:40