outras funções devem ser permitidas no servidor de diretório ativo

A minha opinião é que um DC é um DC e nada mais vai em frente. Estes são os servidores mais importantes em sua organização e, se algo der errado com um deles, você poderá estar em uma posição em que perdeu tudo antes de saber sobre ele. Qualquer um que pense que "esse servidor não está fazendo muito, vamos colocar o máximo possível de papéis extras nele" está perdendo o sentido e provavelmente não sabe do que está falando.

Há também a consideração de que os DCs não possuem contas locais; software de terceiros pode não funcionar bem sem contas locais, e você também pode descobrir que algumas delas precisam ser executadas em um contexto administrativo para funcionar. Você deixaria que software de terceiros fosse executado em um contexto administrativo em um DC? Especialmente considerando que isso normalmente é um indicador de que os desenvolvedores foram desleixados o suficiente para tomar o caminho da menor resistência do que fazê-lo correto ? Este software feito por desenvolvedores desleixados será capaz de fazer qualquer coisa para sua rede inteira . (Nota: Eu não estou falando de regras rápidas e duras aqui, algo como um agente de backup que você provavelmente não tem escolha.)

Uma CD somente de leitura é outra questão. Eu relaxaria a política de "nada mais acontece" nesse cenário, mas ainda assim manteria certa cautela.

Está aqui lis com marcadores t de por que não colocar o Exchange 2003 (Mail) no DC. Eu não colocaria o FTP em nada além de uma VM contida, já que ela é antiga e simplesmente terrível.

Meu voto:

Fique de pé

de um ponto purista de TI eu concordo, um DC deve ser apenas um DC. Qual é o tamanho da sua operação & quantos DC você tem? Se o seu pequeno, então não pode ser um pecado. O Small Business Server é um exemplo perfeito de tudo em uma caixa & MS suporta esta configuração para até 75 usuários!

As empresas de TI externas estão obviamente recebendo mensagens como 'não podemos arcar com mais hardware de TI' do seu CEO, e é por isso que elas estão sugerindo DC's. Eles geralmente têm muita capacidade & são subutilizados. Do ponto de vista do seu CEO, essa é uma ótima maneira de economizar dinheiro!

Do jeito que eu vejo, você tem duas opções:

1. Convencer o CEO de que os riscos & desvantagem envolvida na utilização do seu DC para outros serviços aqui está um pouco coisas que eu posso inventar: mais devagar tempos de login, internet lenta (DNS resolução), risco de segurança para o DOMINIO INTEIRO, o que poderia significar alguém tomando o controle de cada computador no seu Active Directory.
2. Virtualize um pouco do seu domínio controladores para liberar hardware para outros fins. obviamente você não quer virtualizar todos os seus DC's em uma caixa física.

Eu não colocaria nada muito 'pesado' como Exchange ou SQL, nem nada do DMZ / cliente, mas ele deveria ser capaz de lidar com serviços menores voltados para o interior, como atuar como um servidor de impressão, web interna, ftp , etc.

Além da segurança, uma das razões pelas quais você deseja uma função por servidor é garantir que a empresa não tenha interrupções desnecessárias - ou seja, se você precisar reinicializar o servidor de arquivos, por que também deve reinicializar a central? servidor? Mas ter servidores separados para cada função pode ser excessivamente caro, especialmente para empresas menores. As máquinas virtuais são ótimas, mas ainda exigem licenças.

Algumas coisas podem não ser tão importantes - sim, IDEALMENTE você teria um servidor DHCP separado (dois para redundância) e servidores DNS separados e separados ... você começa a idéia ... mas não é incomum e raramente um problema para um DC também executar o DHCP e o DNS.

O que você combina depende do quanto a combinação deles provavelmente afetará você. A combinação de DHCP, DNS e AD provavelmente terá pouco ou nenhum impacto. A combinação do Exchange, SQL, AD e IIS pode ter um impacto enorme.

Como mencionei anteriormente, as VMs são ótimas, mas elas ainda vivem no servidor que se torna o único ponto de falha (a menos que você agrupe-as adequadamente em uma SAN redundante ... mas seus custos são facilmente transferidos para a figura 5) alcance ... talvez mais.

Quanto a colocar o Exchange em um DC - em geral, é recomendável que você não faça isso. O SBS e o EBS são exceções para isso. É uma configuração suportada, mas geralmente não é uma configuração de "Melhores práticas".

Inferno. Não. Resista a todo custo.

Concordo com os "Não" sobre este. Uma vez que alguém explora uma vulnerabilidade de produto / aplicativo em camadas, eles têm acesso a seus arquivos do AD, o que é um pouco mais do que desejável. A maioria das tentativas de invasão acontece internamente ...

Nos últimos anos, tive que lidar com o estranho servidor membro comprometido. Uma das primeiras coisas que os toolkits do atacante-bot fazem é sugar os hashes de senha local. As tabelas do arco-íris estão claramente em uso, já que vi os timestamps entre o extrato de hash e a versão de texto não criptografado das senhas serem diferentes em todos os 15 minutos. E isso foi há 3 anos.

Um compromisso como esse em um controlador de domínio dará aos atacantes toda a lista de hash do AD. A menos que você tenha desabilitado completamente os hashes de senha LM há vários anos, isso comprometerá completamente qualquer senha com menos de 14 (ou 16, não se lembra quais caracteres). Independentemente da complexidade. Essa é uma estatística que você pode tomar para os superiores em defesa de manter tudo menos DC / DNS (e talvez WINS, se precisar) dos seus controladores de domínio.

Geralmente, a regra é NÃO e é uma regra válida É fácil para os PHBs quererem que o sistema subutilizado seja mais valioso, mas um DC é um DC, e ele deve permanecer como um

Os controladores de domínio podem ser difíceis o suficiente para solucionar os problemas na melhor das hipóteses, combinar isso com os serviços adicionados e você está realmente solicitando um PITA

Alguns dos serviços que você listou são grandes e inúteis, e embora um controlador de domínio geralmente seja um sistema bastante subutilizado em qualquer coisa, exceto nas grandes empresas, ele ainda é uma das caixas mais importantes da empresa

Você já considerou a virtualização? você está tentando maximizar o uso de hardware ou minimizar os custos de licenciamento de software?

um controlador de domínio requer uma licença do Windows, bem, os dois, você tem pelo menos dois, certo?

se for um problema de utilização de hardware, você deve realmente olhar para a virtualização, os DCs são os principais candidatos à virtualização e você pode facilmente lidar com a carga da maioria dos DCs e serviços adicionais em um punhado de hosts de virtualização

Com os benefícios de licenciamento da edição de data center da Microsofts quando usados em sistemas virtuais, você pode realmente reduzir os custos de licenciamento também, dadas as circunstâncias certas

Não ... especialmente não é qualquer versão moderna do Exchange que deve ser executada em vários servidores independentes dependendo da escala. Além disso, o que acontece quando chega a hora de atualizar? Você quer atualizar seu DC para 2008, mas seus aplicativos não são compatíveis. Definitivamente, mantenha-os separados e limpos.

Eu gerencio TI em uma PME e agradeço que os servidores sejam caros, meus DC também executam DNS e DHCP, mas é isso.

Se você quiser demonstrar ao seu chefe / fornecedores que este é o caminho a seguir, mostre a eles esta página. Há um monte de pessoas inteligentes com respostas inteligentes e bem pensadas e geralmente elas estão dizendo a mesma coisa.

Não considere a possibilidade de executar um servidor de arquivos fora do seu DC. Haverá um impacto severo no desempenho ao fazer grandes transferências de arquivos.

link