Windows: Können Domänencontroller auch andere Funktionen erfüllen?

Diese Frage war eine Diskussion darüber, ob Active Directory zum Ausführen von Terminaldiensten erforderlich ist. Eine Reihe von Antworten und Kommentaren (hauptsächlich von mir) warf jedoch eine verwandte Frage zu Domänencontrollern auf.

Es ist eindeutig eine schlechte Praxis, nur einen Domänencontroller in einer AD-Umgebung zu haben. Es ist auch eindeutig empfehlenswert, jeden Domänencontroller auf einem separaten (physischen oder virtuellen) Einzelfunktionsserver zu haben. Allerdings kann nicht jeder jederzeit Best Practices befolgen.

Ist es in Ordnung, Server zu verwenden, die andere Rollen als Domänencontroller ausfüllen?

Welche Dinge sollten bei der Entscheidung, ob ein Server für zwei Zwecke verwendet werden soll, berücksichtigt werden?

Ändert die Domänencontrollerrolle die Funktionsweise von Windows im Dateisystem oder auf der Hardware?

Gibt es Unterschiede zwischen Windows Server-Versionen?

Sie können und es funktioniert. Ich habe ungefähr 40 Niederlassungen und aus politischen Gründen wurde eine Managemententscheidung getroffen, um jeder eine vollständige Serverinfrastruktur zu geben. Aus finanziellen Gründen war es jeweils eine Einzelserverumgebung, also ist alles DC / File / Exchange (dies war in den Windows 2000-Tagen).

Das Management ist jedoch ein Albtraum, und meine bevorzugte Regel lautet "Ein DC ist ein DC und nichts anderes geht darauf". Dies sind Ihre wichtigsten Server, und wenn Ihre Anzeige lustig wird, werden Sie eine schreckliche Zeit haben, sie wieder richtig zu machen. Wenn Sie können, geben Sie sich die beste Chance, dies zu vermeiden, indem Sie dedizierte DC-Rollen haben. Wenn Sie nicht können, betteln, schreien, wimmern, bestechen, drohen, prophezeien oder was auch immer nötig ist, um sich in eine Position zu bringen, in der Sie können.

Domänencontroller mit mehreren Rollen sind ziemlich häufig. Die meisten Rollen, die sie ausführen, sind jedoch Netzwerkinfrastrukturrollen. Gute Beispiele sind Dateiserver, DHCP und DNS. Sie sind eine schlechte Wahl für Dinge wie Terminalserver (Benutzer haben keine Rechte, sich bei einem Domänencontroller anzumelden, und für die Gewährung dieser Rechte sind Domänenadministratoren erforderlich), Webanwendungsserver, Branchenanwendungs-App-Server, Firewall- / Proxy- / ISA-Server usw.

In meinen Umgebungen möchte ich, dass alle internen DNS-Server auf Domänencontrollern sowie auf meinen DHCP-Diensten ausgeführt werden. Dies scheint eine gute Mischung von Rollen auf den DCs zu sein, um die Kosten zu senken und die Hardware optimal zu nutzen.

• Ist es in Ordnung, Server zu verwenden, die andere Rollen als Domänencontroller ausfüllen?

"Sie können sogar eine Blechdose damit schneiden, aber Sie würden nicht wollen!" - Mr. Popeil , Text Weird Al Yankovic

Ich denke die Frage ist: Willst du? Natürlich können Sie Ihren Domänencontroller in einen Datei- und Druckserver, eine SQL Server-Box oder eine beliebige Anzahl anderer Funktionen verwandeln. Dies hat jedoch einen Nachteil: Ein Preis, der in Form einer eingeschränkten Funktionalität dieser Box zu zahlen ist. Wenn Sie nur sehr wenige Benutzer haben (z. B. unter 25-50) oder wenn Sie unter Budgetbeschränkungen leiden und dies zu einem "All-in-One" -Box machen müssen, können Sie damit durchkommen. Es gibt jedoch Leistungsprobleme, Sicherheitsprobleme und sogar das Potenzial für Inkompatibilitäten zwischen Diensten. "All-in-One" -Boxen zu machen, ist eine Funktion der bösen Budgets, die von den Verfolgern aufgestellt werden, die den Preis, den sie zahlen werden, nicht verstehen.

Wenn Sie es sich leisten können, legen Sie den Domänencontroller in eine separate Box. Wenn möglich, besorgen Sie sich eine billige Box mit Serverqualität, wahrscheinlich eine Box auf Abteilungsebene, und setzen Sie Ihre DC-Dienste darauf. Holen Sie sich dann einen Zwilling dieser Box und setzen Sie auch DC-Dienste darauf. Dies ist das Modell, das Windows gerne hätte, und Sie sollten wirklich, wirklich mindestens zwei Domänencontroller für jede Domäne haben.

Kaufen Sie die Beefer-Boxen für die Dienste, die am häufigsten verwendet werden - Datenbanken, E-Mail, Datei & Druck usw. Dies sind die "alltäglichen" Boxen, die Benutzer regelmäßig sehen. Die Domänencontroller sollten die Benutzeranmeldeinformationen für die gesamte Domäne am besten mit einem Stempel versehen.

• Welche Dinge sollten bei der Entscheidung, ob ein Server für zwei Zwecke verwendet werden soll, berücksichtigt werden?

Können Sie mit verminderter Leistung davonkommen? Wird es eine Inkompatibilität zwischen dem von Ihnen installierten Dienst und anderen Diensten geben, die möglicherweise ausgeführt werden? Beeinträchtigt es die AD-Authentifizierung?

• Ändert die Domänencontrollerrolle die Funktionsweise von Windows im Dateisystem oder auf der Hardware?

Nein, aber es wird die Arbeitsbelastung erhöhen. Wenn Sie andere Nicht-Windows-Funktionen integrieren (z. B. die Verwendung eines PAM-Stacks zur Authentifizierung einer Linux-Box über Kerberos als Teil eines IMAP-Dienstes), ist mit einer Zunahme der Arbeitslast zu rechnen.

• Gibt es Unterschiede zwischen Windows Server-Versionen?

Jede Version erhöht die Anzahl der Funktionen, obwohl Sie mit Sicherheit sagen können, dass Sie mindestens Windows 2000 möchten, wenn nicht sogar besser. Die meisten Leute arbeiten mit Windows 2003 (und Cousins), das Verbesserungen an Dateidiensten, Volumenschattenkopien usw. enthält. 2008 bietet noch mehr Verbesserungen.

Microsoft Small Business Server ist AD + Exchange + Dateiserver + Router / VPN-Server + Sharepoint + SQL Server. Weitere werden auf einem einzigen Server zusammengefasst. Daher würde ich nicht sagen, dass es die beste Vorgehensweise ist, jede Funktion auf einem anderen Server zu haben. Für kleine Operationen ist es nicht sinnvoll, alles auf unterschiedlicher Hardware auszuführen.

Es sieht so aus, als würde es auf Sicherheit und Leistung hinauslaufen. Ich denke nicht, dass die Leistung in kleinen Netzwerken ein großes Problem darstellt. AD verwendet eine winzige Menge des billigsten Servers, den Sie derzeit zusammenstellen können.

An diesem Punkt können Sie nur Sicherheit und Kosten abwägen - worauf sich alle Sicherheitsfragen in einem kleinen Netzwerk beschränken ...

Ich denke, alle Antworten können von Small Business Server zusammengefasst werden.

Sicher, MS konnte fast ALLES (AD, Exchange, SQL usw.) auf eine einzelne Box werfen. Aber es läuft wie Mist und ist nur in sehr begrenzten Situationen nützlich.

Kurz gesagt, können Sie es tun? Ja. Solltest du es tun? Ich empfehle es nicht, aber es kann funktionieren, wenn Sie in einer Bindung sind.

Unter Leistungsgesichtspunkten hängt dies von der Auslastung der beiden Dienste ab. In einem kleineren Netzwerk kann ein DC auch problemlos als DNS- oder DHCP-Server fungieren. In einem größeren Netzwerk wird nach Problemen gefragt.

Ich würde wärmstens empfehlen, dass Sie nicht mehr als einen "primären" Server auf derselben physischen Box platzieren. IE, wenn dies Ihr Master-DC ist, ist die Verwendung als sekundärer DNS-Server oder Backup-DHCP-Server akzeptabel. Grund dafür ist, dass Sie nicht möchten, dass ein Fehler an einer Box herausgenommen wird, um zwei Dienste herauszunehmen.

Ich würde jeden davon abhalten, anspruchsvollere Dienste wie einen Webserver (IIS oder Apache usw.) oder Datenbanken jeglicher Art auszuführen.

Wenn Sie sich dafür entscheiden, mehr als einen Diensttyp auf derselben physischen Box auszuführen, würde ich dringend empfehlen, eine Box so "bullig" wie möglich zu machen und sie als Host für virtualisierte Server zu verwenden. Auf diese Weise sind alle Ihre Dienste auf Betriebssystemebene immer noch etwas unabhängig voneinander.

Es gibt nichts, was einem Domänencontroller von Natur aus die Funktion in anderen Funktionen verweigert.

Wenn Sie über eine vorhandene AD-Infrastruktur verfügen und nur einen Domänencontroller haben, würden die Nachteile der Förderung eines anderen Servers durch die Vorteile eines anderen Domänencontrollers aufgewogen.

Denken Sie daran, dass Sie nach dem Ausführen von dcpromo einen Neustart durchführen müssen, damit alle vom neu heraufgestuften Computer bereitgestellten Dienste unterbrochen werden. Wenn Sie über Sicherheitsrichtlinien für Domänencontroller verfügen, gelten diese auch für diesen Server.

Sie könnten, aber warum sollten Sie wollen? Theoretisch können Sie die gesamte Palette an Diensten auf derselben Box (Small Business Server) haben. Nur weil Sie etwas tun KÖNNEN, heißt das noch lange nicht, dass Sie es tun sollten. Der Domänencontroller verfügt über die AD-Datenbank. Wenn Sie also riskieren möchten, diese durch das Drucken (und das Verbot der Dateifreigabe) zu blockieren, müssen Sie dieses Risiko selbst einschätzen. Wenn Sie auf Nummer sicher gehen möchten, stellen Sie einen Linux-Server kostenlos auf und verwenden Sie diesen als Netzwerkdateifreigabe oder Druckserver. Versuchen Sie, Ihre Domain Server-Boxen so zu halten.

Ja, das können sie, aber aus Sicherheitsgründen lautet die übliche Antwort nein. Der Grund ist einfach: Je mehr auf einem Domänencontroller ausgeführt wird, desto größer ist die Oberfläche, die für die Aufnahme der Box genutzt werden kann. Nehmen Sie die Box und Sie haben die Domain. Normalerweise ist es nicht ungewöhnlich, dass DNS mit integrierten Active Directory-Zonen ausgeführt wird. Alles andere würde ich jedoch ablehnen, es sei denn, Sie sind ein kleiner Laden und können es sich einfach nicht leisten, die Dienstleistungen auszubrechen.

(Nimm mich nicht zu ernst, aber du weißt, ich habe einen Punkt)

Sicher, installieren Sie einfach VMware und darauf Debian und Sie haben einen großartigen Mehrzweckserver. Das heißt, wenn die Last auf dem Host klein genug ist.

Wenn ich die Wahl hätte, nur einen Domänencontroller zu haben oder einen anderen Domänencontroller auf einer SQL-Box auszuführen, würde ich diese Option wählen.

In der Tat würde ich wahrscheinlich lieber einen virtuellen Server ausführen, als einen anderen Arbeitsserver in einen Domänencontroller zu verwandeln - selbst wenn er nur auf einer Arbeitsstation ausgeführt würde.

Meine persönliche Meinung ist, dass Sie für die Stabilität mindestens drei Domänencontroller benötigen, mit denen Sie die Rollen des Betriebsmasters aufteilen können, und dass Sie immer mindestens zwei globale Kataloge haben sollten - wobei jedoch zu berücksichtigen ist, dass der Infrastrukturmaster kein GC sein sollte .

Ich würde im Allgemeinen DNS und DHCP auf Domänencontrollern ausführen und mindestens zwei Domänencontroller haben. Persönlich habe ich einen virtuellen Domänencontroller, der auf zwei meiner virtuellen Hosts (VMware ESXi, insgesamt drei virtuelle Hosts) und einem physischen ausgeführt wird. Alle Domänencontroller sind DNS-Server, und zwei davon sind DHCP-Server (die jeweils die Hälfte des Bereichs bedienen). Die Virtualisierung macht es einfach (und abhängig davon, wie Sie für die Windows-Lizenzierung bezahlen, erschwinglich), aufgabenspezifische VMs zu haben, und ich bevorzuge es, Dinge aufzuteilen, da ein Neustart eines Servers keine Auswirkungen auf andere hat.

Ich verwende SBS 2003 jedoch in einem anderen (kleineren) Büro und es funktioniert gut auf einem leistungsfähigen Server, obwohl das Problem der Neustartplanung manchmal ärgerlich ist. SBS ist physisch, aber ich habe einen zweiten Server, auf dem VMware ESXi ausgeführt wird, auf dem eine Windows-VM ausgeführt wird, die auch ein Domänencontroller ist. Ich hasse es, einen DC zu haben, das würde die Wiederherstellung erschweren und Ausfallzeiten verlängern!

Ich würde versuchen, zusätzlich zu DNS und DHCP nur etwas wie Drucken und / oder Dateien hinzuzufügen, die einem DC dienen, wenn möglich. Andere müssten sorgfältig abgewogen werden ... und wenn möglich, sollten Sie sogar einen Desktop- / Low-End-Server als sekundäre DC / DNS-Box einsetzen, wenn Sie die primäre Hardware mischen müssen. Selbst nicht redundante Hardware ist wahrscheinlich aktiv, wenn Ihre primäre Hardware nicht verfügbar ist und umgekehrt (unabhängig davon, ob es sich um einen Neustart oder einen Absturz handelt).