这个问题讨论的是 Active Directory 是否是运行终端服务所必需的。但一系列的答案和评论(大部分都是我写的)提出了一个有关域控制器的相关问题。
在 AD 环境中只有一个域控制器显然是糟糕的做法。将每个域控制器放在单独的(物理或虚拟)单功能服务器上显然也是最佳做法。但是,并不是每个人都能一直遵循最佳实践。
可以使用充当其他角色的服务器作为域控制器吗?
在确定是否要将服务器“兼作”为“双重用途”时应考虑哪些因素?
域控制器角色是否会改变 Windows 操作文件系统或硬件的方式?
Windows Server 不同版本之间有区别吗?
答案1
你可以,而且它有效。我有大约 40 个分支机构,出于政治原因,管理层决定为每个分支机构提供完整的服务器基础设施。出于财务原因,每个分支机构都是单服务器环境,因此全部都是 DC/File/Exchange(这是在 Windows 2000 时代)。
然而,管理它却是一场噩梦,我首选的规则是“DC 就是 DC,其他什么都不能在上面进行”。这些是您最重要的服务器,如果您的 AD 出现问题,您将很难将其恢复正常。如果可以,请通过拥有专门的 DC 角色来尽量避免这种情况。如果做不到,请乞求、尖叫、呜咽、贿赂、威胁、预言,或采取任何措施让自己处于可以的位置。
答案2
多角色域控制器非常常见。尽管它们执行的大多数角色都是网络基础设施角色。文件服务器、DHCP 和 DNS 就是很好的例子。对于终端服务器(用户无权登录域控制器,而授予他们上述权限需要域管理员)、Web 应用服务器、业务线应用服务器、防火墙/代理/ISA 服务器等而言,它们并不是很好的选择
在我的环境中,我更喜欢让所有内部 DNS 服务器以及我的 DHCP 服务都在域控制器上运行。这似乎是 DC 上角色的良好组合,可以降低成本并尽可能充分利用硬件。
答案3
- 可以使用充当其他角色的服务器作为域控制器吗?
“你甚至可以用它切开一个锡罐,但你不会想这么做的!” -波佩尔先生,歌词“Weird Al Yankovic”
我想问题是:你想吗?当然,你可以将域控制器变成文件和打印服务器,或 SQL Server 机箱,或任何其他功能。但这样做有一个缺点,那就是要付出代价,即该机箱的功能退化。如果你的用户很少(比如说不到 25-50 个),或者你受到预算限制而需要将其变成“一体化”机箱,那么你可以这样做。但这样做存在性能问题、安全问题,甚至可能存在服务不兼容的问题。做“一体化”机箱是财政大权掌握者制定的邪恶预算的结果,他们不明白自己要付出的代价。
如果您负担得起,请将域控制器放在单独的盒子上。哎呀,如果可能的话,买一个便宜但服务器级的盒子,可能是部门级的盒子,并将您的 DC 服务放在上面;然后买一个与该盒子相同的盒子,并将 DC 服务也放在上面。这是 Windows 希望您拥有的模型,而您真的,真的,每个域至少应有两个域控制器。
为最常用的服务(数据库、电子邮件、文件和打印等)购买较多的盒子。这些是用户经常看到的“日常”盒子;域控制器最好在整个域中盖章用户凭据。
- 在确定是否要将服务器“兼作”为“双重用途”时应考虑哪些因素?
您能忍受性能下降吗?您安装的服务与可能运行的其他服务之间是否存在不兼容问题?这会干扰 AD 身份验证吗?
- 域控制器角色是否会改变 Windows 操作文件系统或硬件的方式?
不会。但这会增加工作量。如果您集成其他非 Windows 功能(例如,使用 PAM 堆栈通过 Kerberos 作为 IMAP 服务的一部分对 Linux 机器进行身份验证),那么预计工作量会增加。
- Windows Server 不同版本之间有区别吗?
每个版本都会增加功能数量,但可以肯定地说,您至少需要 Windows 2000,甚至更好。大多数人都在使用 Windows 2003(及其同类产品),其中包括对文件服务、卷影复制等的增强。2008 提供了更多增强功能。
答案4
是的,可以,但从安全角度来看,通常的答案是否定的。原因很简单:域控制器上运行的程序越多,可以利用来窃取盒子的表面积就越大。拿走盒子,你就得到了域。通常,DNS 与 Active Directory 集成区域一起运行并不罕见。但是,除了其他之外,我会说不,除非你是一家小商店,根本负担不起拆分服务的费用。