Windows: Os controladores de domínio também podem ter outras funções?

Esta pergunta foi discutida sobre se o Active Directory é necessário para executar os Serviços de Terminal. Mas uma cadeia de respostas e comentários (principalmente por mim) levantou uma questão relacionada aos controladores de domínio.

É claramente uma prática ruim ter apenas um controlador de domínio em um ambiente do AD. Também é claramente uma boa prática ter cada controlador de domínio em um servidor de função única (físico ou virtual) separado. No entanto, nem todos podem seguir as melhores práticas o tempo todo.

É possível usar servidores que cumprem outras funções como controladores de domínio?

Que coisas devem ser consideradas para determinar se um servidor deve ser "de dupla finalidade"?

A função do controlador de domínio altera a maneira como o Windows opera o sistema de arquivos ou o hardware?

Há diferença entre as versões do Windows Server?

Você pode e funciona. Tenho cerca de 40 filiais e - por razões políticas - foi tomada uma decisão de gerenciamento para fornecer a cada uma uma infraestrutura de servidor completa. Por razões financeiras, era um ambiente de servidor único em cada um; portanto, é tudo DC / File / Exchange (nos dias de Windows 2000).

No entanto, administrá-lo é um pesadelo, e minha regra preferida é "um controlador de domínio é um controlador de domínio e nada mais acontece". Esses são os servidores mais importantes e, se o seu anúncio for engraçado, você terá um tempo horrível para recuperá-lo. Se puder, dê a si mesmo a melhor chance de evitar isso tendo papéis dedicados na DC. Se você não puder, implore, grite, choramingue, suborne, ameace, profetize ou o que for necessário para se colocar em uma posição em que possa.

Controladores de domínio com várias funções são bastante comuns. Embora, a maioria das funções que eles executam seja de infraestrutura de rede. Bons exemplos são servidores de arquivos, DHCP e DNS. Elas são más escolhas para coisas como servidores de terminal (os usuários não têm direitos para fazer login em um controlador de domínio e conceder a eles direitos de administrador exigem administradores de domínio), servidores de aplicativos da Web, servidores de aplicativos de linha de negócios, servidores de firewall / proxy / ISA etc.

Em meus ambientes, prefiro ter todos os servidores DNS internos em execução nos controladores de domínio, bem como em meus serviços DHCP. Essa parece ser uma boa combinação de funções nos controladores de domínio para reduzir custos e fazer o melhor uso possível do hardware.

• É possível usar servidores que cumprem outras funções como controladores de domínio?

"Você pode até cortar uma lata com ela, mas não gostaria!" - Mr. Popeil , letra Weird Al Yankovic

Eu acho que a pergunta é: você quer? Claro, você pode transformar seu controlador de domínio em um servidor de arquivos e impressoras ou em uma caixa do SQL Server ou em qualquer número de outras funções. Mas há uma desvantagem nisso, um preço a pagar na forma de funcionalidade degradada nessa caixa. Se você tem muito poucos usuários (digamos entre 25 e 50 anos) ou se sente pressionado por restrições orçamentárias e precisa fazer disso uma caixa "tudo em um", poderá fazê-lo. Mas há problemas de desempenho, problemas de segurança e até mesmo o potencial de incompatibilidades entre serviços. Fazer caixas "tudo em um" é uma função de orçamentos ruins estabelecidos por detentores de perseguição que não entendem o preço que pagarão.

Se você puder pagar, coloque o controlador de domínio em uma caixa separada. Heck, se possível, obtenha uma caixa barata, mas no nível do servidor, provavelmente uma caixa no nível do departamento, e coloque seus serviços de DC nisso; depois pegue um gêmeo dessa caixa e coloque os serviços de DC nela também. Este é o modelo que o Windows gostaria que você tem, e você realmente, realmente , deve ter pelo menos dois controladores de domínio para cada domínio.

Compre as caixas para os serviços mais utilizados - bancos de dados, email, arquivo e impressão etc. Essas são as caixas "diárias" que os usuários veem regularmente; é melhor deixar os controladores de domínio com credenciais de usuário com carimbo de borracha no domínio.

• Que coisas devem ser consideradas para determinar se um servidor deve ser "de dupla finalidade"?

Você consegue se livrar dos níveis de desempenho degradados? Haverá uma incompatibilidade entre o serviço que você está instalando e outros serviços que possam ser executados? Isso interferirá na autenticação do AD?

• A função do controlador de domínio altera a maneira como o Windows opera o sistema de arquivos ou o hardware?

Não. Mas aumentará sua carga de trabalho. E se você integrar outras funções que não sejam do Windows (por exemplo, usando uma pilha PAM para autenticar uma caixa Linux via Kerberos como parte de um serviço IMAP), espere que essa carga de trabalho aumente.

• Há diferença entre as versões do Windows Server?

Cada versão aumenta o número de recursos, embora seja seguro dizer que você deseja pelo menos o Windows 2000, se não melhor. A maioria das pessoas está no Windows 2003 (e primos), que inclui aprimoramentos nos serviços de arquivos, cópia de sombra de volume, etc. O ano de 2008 fornece aprimoramentos ainda mais.

O Microsoft Small Business Server é AD + Exchange + servidor de arquivos + roteador / servidor VPN + Sharepoint + SQL Server .. e mais, tudo em um único servidor. Portanto, eu não diria que é uma "boa prática" ter todas as funções em um servidor diferente. Para operações pequenas, não faz sentido executar tudo em hardware diferente.

Parece que tudo se resume a Segurança e Desempenho. Não acho que o desempenho seja um grande problema em redes pequenas, o AD usa uma quantidade minúscula do servidor mais barato que você pode montar agora.

Nesse ponto, você pode apenas pesar segurança x custo - que é o que todas as questões de segurança se resumem em uma pequena rede ...

Penso que todas as respostas podem ser resumidas pelo Small Business Server.

Claro, a MS conseguiu lançar quase TUDO (AD, Exchange, SQL, etc) em uma única caixa. Mas funciona como lixo e só é útil em situações muito limitadas.

Em suma, você pode fazer isso? Sim. Você deveria fazer isso? Eu não recomendo, mas pode funcionar se você estiver em um vínculo.

Do ponto de vista de desempenho, isso depende da carga dos dois serviços. Em uma rede menor, um controlador de domínio também pode funcionar como um servidor DNS ou DHCP sem problemas. Em uma rede maior, está pedindo problemas.

Eu recomendo que você não coloque mais de um servidor "primário" na mesma caixa física. IE, se este for o seu controlador de domínio principal, usá-lo como um servidor DNS secundário ou servidor DHCP de backup seria aceitável. Por essa razão, você não deseja que uma falha em uma caixa seja realizada para executar dois serviços.

Eu desencorajaria alguém a executar serviços mais exigentes, como um servidor Web (IIS ou Apache, etc) ou bancos de dados de qualquer tipo.

Se você decidir executar mais de um tipo de serviço na mesma caixa física, eu recomendo obter uma caixa o mais "robusta" possível e usá-la como host para servidores virtualizados. Dessa forma, todos os seus serviços ainda são um pouco independentes um do outro no nível do SO.

Não há nada que negue inerentemente que um controlador de domínio funcione em outras capacidades.

Se você já possui uma infraestrutura de AD e possui apenas um controlador de domínio, diria que quaisquer desvantagens de promover outro servidor seriam superadas pelas vantagens de obter outro controlador de domínio.

Lembre-se de que depois de executar o dcpromo, você precisará reiniciar, para que todos os serviços fornecidos pela máquina recém-promovida sejam interrompidos. Além disso, se você tiver alguma política de segurança de controlador de domínio, elas serão aplicadas a esse servidor.

Você poderia, mas por que você iria querer? Teoricamente, você pode ter toda a gama de serviços na mesma caixa (Small Business Server). Só porque você PODE fazer algo, no entanto, não significa necessariamente que você deveria. O controlador de domínio mantém o banco de dados do AD; portanto, se você quiser arriscar isso com o compartilhamento de arquivos de impressão (e que seja proibido), é um risco que você terá que se avaliar. Se você quiser jogar com segurança, levante um servidor Linux gratuitamente e use-o como um compartilhamento de arquivos em rede ou servidor de impressão e tente manter as caixas do Servidor de Domínio exatamente assim.

Sim, eles podem, mas do ponto de vista da segurança, a resposta usual é não. O motivo é simples: quanto mais estiver sendo executado em um controlador de domínio, maior será a área de superfície que pode ser explorada para levar a caixa. Pegue a caixa e você tem o domínio. Normalmente, não é incomum ver o DNS sendo executado com zonas integradas ao Active Directory. No entanto, qualquer outra coisa, eu diria que não, a menos que você seja uma pequena loja e simplesmente não possa se dar ao luxo de interromper os serviços.

(não me leve muito a sério, mas você sabe que eu tenho razão)

Claro, basta instalar o VMware e nele o Debian e você tem um ótimo servidor multiuso. Ou seja, se a carga no host for pequena o suficiente.

Se eu tivesse a opção de ter apenas um controlador de domínio ou executar outro controlador de domínio em uma caixa SQL, eu usaria essa opção.

Na verdade, eu provavelmente preferiria executar um servidor virtual do que transformar qualquer outro servidor em um controlador de domínio - mesmo que estivesse rodando em uma estação de trabalho.

Minha opinião pessoal é que, para estabilidade, é necessário um mínimo de três controladores de domínio, o que permite dividir as funções de mestre de operações e você deve sempre ter pelo menos dois catálogos globais - mas levando em consideração que o mestre de infra-estrutura não deve ser um GC .

Geralmente, eu rodava o DNS e o DHCP no (s) controlador (es) de domínio e tenho pelo menos dois controladores de domínio. Pessoalmente, eu tenho um controlador de domínio virtual executando em dois dos meus hosts virtuais (executando o VMware ESXi, três hosts virtuais no total) e um físico também. Todos os controladores de domínio são servidores DNS e dois deles são servidores DHCP (servindo metade do intervalo cada). A virtualização facilita (e dependendo de como você paga pelo licenciamento do Windows, acessível) ter VMs específicas de tarefas, e eu prefiro dividir as coisas, pois a reinicialização de um servidor não afetará outros.

No entanto, estou executando o SBS 2003 em outro escritório (menor) e ele funciona bem em um servidor robusto, embora o problema de agendamento da reinicialização às vezes seja irritante. O SBS é físico, mas eu tenho um segundo servidor executando o VMware ESXi que possui uma VM do Windows que também é um controlador de domínio, por isso tenho um seconário (o segundo controlador de domínio é permitido com o SBS, desde que o SBS possua funções FSMO). Eu odeio ter um CD, tornaria a recuperação mais difícil e por mais tempo de inatividade!

Eu tentaria adicionar apenas algo como impressão e / ou arquivo em um DC, se possível, além de DNS e DHCP. Outros teriam que ser pesados ​​com cuidado ... e, se possível, cole até um servidor de desktop / low-end como uma caixa secundária apenas de DC / DNS, se for necessário misturar no hardware principal. Mesmo o hardware não redundante provavelmente ficará ativo se o seu primário estiver inativo e vice-versa (seja para uma reinicialização ou uma falha).