Como devo dividir essas funções / funções do Windows Server 2008 R2?

3

Estou fazendo a transição de vários papéis e outras funções (não sei se todos eles são estritamente "papéis") do servidor 2003 para 2008 R2 e estou imaginando como devo separá-los.

Especificamente, quais papéis devo isolar dos outros? Sou relativamente novo na administração do Windows Server, mas fiz algumas leituras. As coisas que eu já li incluem

  • não execute o RRAS em um controlador de domínio
  • tente evitar a execução do Exchange em um controlador de domínio

Nosso escritório tem 40 a 50 usuários e cerca de 100 PCs. Isso deve dar uma ideia da carga de trabalho.

Aqui está a lista de papéis:

  • AD (floresta única, domínio único) - redundante em hardware separado
  • DNS - redundante em hardware separado
  • DHCP
  • IAS para RADIUS
  • RRAS para VPN
  • WSUS
  • Trocar
  • IIS (somente para webmail)
  • KMS
  • Gerenciador de certificados / serviço de armazenamento de chaves (sem saber o nome exato)

Meu plano atual é:

  • VM 1: AD, DNS1, DHCP1, IAS, gerenciador de certificados
  • VM 2: AD, DNS2, KMS, WSUS
  • VM 3: Exchange 2010 (todas as três funções, acho que somos pequenas o suficiente), IIS
  • VM 4: RRAS

Eu originalmente esperava começar com 2 servidores / VMs e ir a partir daí, mas como não quero Exchange ou RRAS em um DC, presumo que vale a pena o custo de algumas licenças extras de servidor para configuração e segurança. Eu não tenho idéia se vale a pena manter uma DC tão pura quanto possível e carregar a outra com todos os serices básicos, ou se eu deveria apenas dividi-los 50/50.

Que tipo de mudanças devo fazer? É possível fazer isso em menos de 4 VMs? Existem conflitos que não identifiquei?

UPDATE: Estou dividindo as VMs entre dois hosts físicos para começar. Uma DC em cada host físico.

    
por Joshua McKinnon 29.06.2011 / 20:59

2 respostas

3

Não creio que você possa executar os Serviços de Certificados do AD em um controlador de domínio, portanto, talvez seja necessário movê-lo para outro local. Para um lugar pequeno, provavelmente está bem, caso contrário. No entanto, eu sempre recomendo tentar executar somente AD e DNS em DCs sempre que possível. Se houver alguma maneira de eliminar outra caixa, talvez seja melhor colocar o IAS, os Serviços de Certificados, o DHCP e o WSUS nele.

Depois de ler o que Holocryptic escreveu, eu releio sua pergunta. Eu não percebi que você estava colocando tudo isso em um host físico. Você definitivamente vai querer pelo menos dois servidores físicos. Uma das principais razões pelas quais você não deseja um DC com o Exchange é por causa de toda a E / S de disco que isso causaria. Se você os tiver no mesmo host físico, provavelmente estará compartilhando discos e enfrentando os mesmos problemas de contenção. Você realmente precisa de pelo menos duas caixas físicas aqui.

    
por 29.06.2011 / 21:09
3

Além do que o MarkM diz, talvez você também queira tentar obter alguma resiliência física. Se o seu host de uma VM cair, você perderá tudo ...

    
por 29.06.2011 / 21:14