假设我有 SBS 2008 充当域控制器和 Exchange 服务器。然后我有一个 2008 Standard 成员服务器运行半关键任务应用程序。我希望能够在工作时间内将 SBS 服务器脱机,而不会中断对成员服务器的访问。
我需要了解哪些有关将成员服务器升级为域控制器的信息,以便在主控制器处于脱机状态时仍可继续使用?具体来说,有什么理由我不应该这样做?(网络连接不是问题)
答案1
拥有单个 DC 会使灾难恢复更加复杂。拥有第二个 DC 总是更方便,而且在之前的单个 DC 发生故障时,可以作为一项廉价的保险政策。
作为 DC 会导致成员服务器上的资源占用增加(托管 AD 的开销、客户端针对 AD 执行身份验证)。它还会更改应用于计算机的组策略结果集,因此如果您对组策略进行了任何操作以使成员服务器托管的应用程序正常运行(在 GPO 中分配用户权限等),请务必小心。
在具有少量客户端的现代服务器计算机上,资源利用率可以忽略不计。如有必要,您已应用于此服务器的任何组策略相关设置在将其提升为 DC 后仍可应用。
如果半关键任务应用程序的制造商同意在域控制器上运行该应用程序,那么我认为没有理由不将托管该应用程序的成员服务器升级为域控制器。当您这样做时,我会安装 DNS 服务器角色并将其也设置为全局目录服务器。
这是否会中断访问取决于应用程序是否需要现有 DC 托管的任何其他资源。假设成员服务器配置为充当自己的 DNS 服务器,它将能够满足与身份验证本身相关的任何需求。但是,如果它需要现有 DC 中的共享文件或其他资源,那么仅将成员服务器设为 DC/DNS 服务器不足以防止中断。
(需要挑选的一个非常小的术语:Active Directory 中没有“主”或“辅助”域控制器。它们只是域控制器。)