过去建议域服务器不要包含其他功能。
首席执行官和外部 IT 公司不断提出他们希望使用这些服务器来实现附加功能 - 比如 FTP/邮件/等等。
安全性是否已经得到改善,使这种情况变得可以接受?我对 CEO 的建议并不感到惊讶,但我对外部 IT 公司会提出这样的建议感到惊讶。我是不是太落伍了?
域服务器的入侵看起来十分严重,因此我将这些机器完全锁定。
编辑-感谢您的回复
听起来事情并没有改变,DC 上不应该安装任何东西。我对外部 IT 组织的建议感到很困惑。他们都建议这样做没问题。
答案1
我的观点是 DC 就是 DC,没有什么否则就会发生故障。这些是贵组织中最重要的服务器,如果其中一个服务器出现问题,您可能会面临损失一切在您了解之前。任何认为“该服务器没有做太多事情,让我们加载尽可能多的额外角色”的人都没有抓住要点,并且可能不知道他们在说什么。
还有一个考虑因素是 DC 没有本地帐户;第三方软件如果没有本地帐户可能无法正常运行,而且您可能还会发现其中一些软件需要在管理员环境中运行才能正常工作。您会让需要在管理员环境中运行的第三方软件进入 DC 吗?尤其是考虑到这通常表明开发人员太粗心,选择了阻力最小的路径而不是这样做正确的? 这款由粗心大意的开发人员制作的软件将能够任何事物你的整个网络。(注意:我在这里不是在谈论硬性规定,像备用代理这样的东西你可能别无选择。)
只读 DC 则完全是另一回事。在这种情况下,我会放宽“不进行其他操作”的政策,但仍然会保持一定程度的谨慎。
答案2
答案3
从 IT 纯粹主义者的角度来看,我同意 DC 应该只是一个 DC。您的运营规模有多大?您有多少个 DC?如果您的规模很小,那么这可能不是什么罪过。小型企业服务器是将所有内容集中在一个盒子上的完美示例,MS 支持最多 75 个用户的此配置!
外部 IT 公司显然收到了这样的信息“我们买不起更多的 IT 硬件”从 CEO 的角度来看,这就是他们建议使用 DC 的原因。他们通常拥有充足的容量且利用率较低。从 CEO 的角度来看,这是省钱的好方法!
在我看来,你有两个选择:
- 让 CEO 相信将您的 DC 用于其他服务存在风险和弊端,以下是我能想到的一些因素:登录时间变慢、互联网速度变慢(DNS 解析)、整个域的安全风险,这可能意味着有人控制您的 Active Directory 中的每台计算机。
- 虚拟化部分/全部域控制器以释放硬件以用于其他目的。显然您不想将所有 DC 虚拟化到一个物理机箱上。
答案4
除了安全性之外,您希望每台服务器只运行一项功能的原因之一是确保业务不会出现不必要的中断 - 也就是说,如果您必须重新启动文件服务器,为什么还要重新启动 Exchange 服务器?但是,为每项功能配备单独的服务器可能会非常昂贵,尤其是对于小型企业而言。虚拟机很棒,但它们仍然需要许可证。
有些事情可能不是什么大问题 - 是的,理想情况下,您应该有一个单独的 DHCP 服务器(两个用于冗余)和单独的 DNS 服务器,并且单独的...您明白了......但对于 DC 来说,同时运行 DHCP 和 DNS 并不罕见,而且很少成为问题。
您要组合什么取决于它们的组合可能对您有多大的影响。将 DHCP、DNS 和 AD 组合起来可能影响不大。将 Exchange、SQL、AD 和 IIS 组合起来可能会产生巨大影响。
正如我之前提到的,虚拟机很棒,但它们仍然存在于成为单点故障的服务器上(除非你将它们正确地聚集在冗余 SAN 上...但那时你的成本很容易进入 5 位数范围...甚至更多)。
至于将 Exchange 放在 DC 上 - 一般情况下,建议您不要这样做。SBS 和 EBS 是例外。它是受支持的配置,但通常不是“最佳实践”配置。