我们有一个由不到 5 台 Windows 2008 服务器组成的小型网络农场。有些服务器用于处理数据,大多数服务器用于 IIS 托管。设置域控制器并将所有服务器放在同一个“生产”域中是好主意还是坏主意?
我们希望避免必须在机器之间同步多个管理员密码(或在团队之间共享管理员凭据)的情况。
据推测,DC 只是另一个 VM,因此硬件成本不在讨论范围内。
澄清一下:DC 大概是一个独立的“ProdServers”域,全部连接到私有网络。办公室域将 100% 独立。因此,大多数管理员将拥有主办公室的凭据,以及生产域的第二套凭据。
答案1
您必须确保了解 Active Directory 以及在出现问题时如何对其进行故障排除,否则您只会给您的环境增加更多复杂性和更多故障点,但无论如何,这是您作为 Windows 管理员应具备的基本技能。在一般情况下,我会继续这样做,因为这样做的好处远远超过成本,尤其是在备份和其他充分利用域环境中的 Kerberos 单点登录功能的事情方面。
您确实需要记住的一件事是网络隔离——Active Directory 确实需要在您的 DC 和 DMZ 之间打开相当多的端口才能正常工作。如果您担心这一点,您可能不想将面向公众的服务器加入域,或者您可能想要为您的 DMZ 系统创建另一个 AD 站点(甚至可能是林中的另一个域)。这些事情中的每一件事都意味着为您的设置增加了更多的复杂性。
答案2
“我们希望避免必须在机器之间同步多个管理员密码(或在团队之间共享管理员凭据)。”,
我想你自己已经回答了你的问题:)
答案3
虽然我理解您想简化这些服务器的管理,但归根结底,您还是得做该做的事。我从未听说过任何可供公众访问的 Web 服务器是 AD 域的成员。除非在非常特殊的情况下需要这样做,否则我建议不要这样做。