警告:我是 Linux/*NIX 管理员,所以这对我来说都是新鲜事。
我理解,只使用一个域控制器并不是一个好主意,而且一个域控制器只执行 AD/DHCP/DNS 可能也是一个好主意(这里)。我们有两个办公室,A 位置有 30 个用户,B 位置有 10 个用户。我们的两个办公室被一个不是特别强大的 WAN 隔开,所以我被告知我们需要在每个办公室都有独立的服务。这意味着根据“最佳实践”,我们需要在每个办公室构建一个域控制器和一个单独的文件服务器。同样,我对 Windows 的方式不太了解,但对于一个拥有 40 个用户的组织来说,这似乎有点不必要。
人们评论说,只要“负载很轻”,我就可以“侥幸”地在域控制器上运行文件服务。但这似乎引发的问题比解答的问题还多。
- 何谓轻载?
- 混合这些角色可能产生什么后果?
理想情况下,我希望每个位置只有一台物理机器。位置 A(有 IT 人员的位置)的机器可以充当主域控制器,较小办公室的机器可以充当备份域控制器。如果任何一个域控制器发生故障,我们仍然可以使用另一个域控制器进行身份验证(尽管会有一些延迟),如果 WAN 连接发生故障,每个办公室仍然可以访问各自的“本地”域控制器。如果文件服务也在每台服务器上运行(并与 DFS 之类的同步),则可以实现类似的冗余安排,而无需购买、构建和安装两个额外的独立服务器。并不是说我反对这样做(好吧,一开始我反对整个事情的程度就比我反对更甚),但在我看来,这似乎有点过头了。当我们谈论较大的组织时,我绝对可以看到功能分离的好处,但我还需要考虑额外的开销。
所有这些都不排除为域控制器设置 DRP。我认为丢失两个域控制器和丢失一个域控制器一样容易。
编辑:我得到的答案确实相当不错,但如果可能的话,我想看看硬币的另一面。混合角色可能会出现什么问题?这种设置有什么风险,而每个控制器都执行 Active Directory 并且只执行 Active Directory 则不会有风险?
答案1
“必须启动”约束确实强烈表明 DC 需要位于第二个站点。不幸的是。为了更好地处理网络中断并节省带宽,需要在每个位置声明一个 AD 站点,并在每个位置声明一个 DC。
此外,微软还销售小型商务服务器,这是一种集多种功能于一身的机器。DC、Exchange、文件。一台机器。我不记得他们宣传的办公室规模,但差不多就是这个规模。所以……
何谓轻载?
考虑到您有一个包含 40 个用户的域,您可能不会在 DC 机器上产生大量与域同步相关的负载。这样可以为文件和打印服务留出更多开销。幸运的是,对于只有 10 人的办公室来说,文件和打印(文件,多于打印)是一项相对轻量级的服务。只要机器足够服务器级且足够现代,我就会毫不犹豫地同时运行 DC 和文件角色。
免责声明:我是一名大型商店的管理员,我们这里也有经常光顾的小商店管理员。我可能说错了 :)
答案2
这里唯一真正的风险是让事情变得复杂——AD 方面的问题可能会以意想不到的方式影响文件服务器方面(反之亦然)。这一点不容低估,但也不是世界末日。甚至可以通过使用虚拟化在一个盒子上运行两个虚拟服务器来保持角色分离来缓解这种情况——当然,从复杂性的角度来看,这也是有代价的,但这个世界上没有什么是免费的。
您完全正确,理想情况下人们只会在域控制器上运行 AD 和相关角色,但“现实世界”中的许多人会添加其他角色,并且大多数处于“小型企业/分支机构”端的人这样做而不会遇到太多问题。
毕竟你必须要务实——微软甚至有一款专门针对小型企业而设计的产品,旨在共享许多角色。
答案3
我们正在运行类似的设置,在两个位置,每侧一个盒子上有两个 AD/DNS/EX2K/W2K 服务器。唯一的缺点是维护。如果您出于任何原因需要暂时移除一个盒子,您将失去该站点上的所有服务(通过 WAN 连接工作可能会变慢)
我们在两个站点都进行 24 小时/6 天的生产,因此任何维护都仅限于周日 ;-((