我正在将一堆角色和其他功能(我不确定它们是否都是严格的“角色”)从服务器 2003 转换到 2008 R2,并且想知道如何将它们分解。
具体来说,我应该将哪些角色与其他角色隔离开来,等等。我对 Windows Server 管理还不太熟悉,但已经阅读了一些资料。我已经阅读的内容包括
- 不要在域控制器上运行 RRAS
- 尽量避免在域控制器上运行 Exchange
我们的办公室有 40-50 名用户和大约 100 台电脑 - 这应该可以让您了解工作量。
以下是角色列表:
- AD(单林、单域)- 在单独的硬件上实现冗余
- DNS - 在单独的硬件上冗余
- DHCP
- RADIUS 的 IAS
- VPN 的 RRAS
- 微软
- 交换
- IIS(仅适用于网络邮件)
- 知识管理系统
- 证书管理器/密钥库服务(不确定具体名称)
我目前的计划是:
- VM 1:AD、DNS1、DHCP1、IAS、证书管理器
- VM 2:AD、DNS2、KMS、WSUS
- VM 3:Exchange 2010(所有 3 个角色,我认为我们足够小),IIS
- VM 4:RRAS
我原本希望从 2 台服务器/虚拟机开始,然后从那里开始,但考虑到我不想在 DC 上使用 Exchange 或 RRAS,我认为值得为配置和安全花费几个额外的服务器许可证。我不知道是否值得让一个 DC 尽可能纯净,并让另一个 DC 加载所有基本服务,或者我是否应该将它们平分。
我应该做哪些改变?在少于 4 个虚拟机中执行此操作可行吗?是否存在我尚未发现的冲突?
更新:我将虚拟机划分到两个物理主机上。每个物理主机上有一个 DC。
答案1
我认为您不能在域控制器上运行 AD 证书服务,因此您可能需要将其移到其他地方。对于小地方来说,这可能没问题,否则。不过,我总是建议尝试运行仅有的尽可能在 DC 上安装 AD 和 DNS。如果有办法再安装一个盒子,最好将 IAS、证书服务、DHCP 和 WSUS 放在上面。
在阅读了 Holocryptic 写的内容后,我重新阅读了您的问题。我没有意识到您将所有这些都放在一个物理主机上。您肯定会需要至少两台物理服务器。您不想在 DC 上安装 Exchange 的主要原因之一是它会导致所有磁盘 I/O。如果您将它们放在同一个物理主机上,那么您很可能会共享磁盘并面临相同的争用问题。您确实需要至少两个物理服务器。
答案2
除了 MarkM 所说的内容之外,您可能还想尝试获得一些物理弹性。如果您的一个 VM 主机发生故障,您将失去一切……