共置服务器及其托管虚拟机的 Active Directory 域成员身份

共置服务器及其托管虚拟机的 Active Directory 域成员身份

我将设置一台硬件,将其放置在数据中心内,以托管多个 Hyper-V 客户机,所有客户机都将安装 Windows Server 2012 作为操作系统。我将从我的办公室管理和监控应用程序和虚拟机,我的办公室只有两台运行 Windows 8 的 PC。

目前,我没有在办公室安装任何 Active Directory 域,因为两台计算机安装没有任何意义。但是有近 10 台远程服务器需要管理,这让我想到了使用 AD DS 并将我的虚拟机加入其中的优势,这样可以更轻松、更安全地进行管理和监控。

通常,我的问题是如何以及在何处部署域控制器。我的办公室和数据中心之间无法建立非常快速可靠的连接,因此我希望服务器在办公室无法连接时继续工作。我将使用 VPN 从我的办公室连接到服务器(DirectAccess 没有可用的 IPv6)。所以我的逻辑告诉我,我应该(至少)在共置服务器上有一个 DC。

我想到几个具体的问题:

  1. 我应该在主机还是虚拟机上部署 AD DS?我真的希望主机仅充当 Hyper-V 角色,以实现隔离和管理目的。
  2. 我应该将主机操作系统加入域吗?如果由于某种原因具有 AD DS 角色的虚拟机无法启动,这不是很危险吗?
  3. 那么 AD DS 冗余呢?让第二台 VM 充当备份域控制器有意义吗?!
  4. 我知道将我的办公室电脑加入远程域控制器会因为连接问题而导致一些问题,所以我应该将办公室电脑保留为工作组,还是部署一个复制原始电脑的本地 DC?

我应该注意,我将能够在 2 到 3 小时的行程中物理访问我的服务器机器,以便在其运行期间的任何时候可以使用。

答案1

我应该在主机还是虚拟机上部署 AD DS?我真的希望主机仅充当 Hyper-V 角色,以实现隔离和管理目的。

毫无疑问,您的主机不应该运行 AD DS。一定要创建一个虚拟域控制器。

我应该将主机操作系统加入域吗?如果由于某种原因具有 AD DS 角色的虚拟机无法启动,这不是很危险吗?

就我个人而言,我不会。使用单个主机,我认为您不会获得任何优势,而且由于您缺乏 AD 冗余,正如您所指出的那样,您正在创建一个危险的单点故障。当您进行扩展并拥有不错的 AD 基础架构时,这个答案会发生变化。此外,请确保您的主机配置了静态 IP 和 DNS。

那么 AD DS 冗余呢?让第二台 VM 充当备份域控制器有意义吗?!

是的,但是什么让很多更明智的做法是将辅助域控制器放在不同的主机上,或者使用单独的物理域控制器。我猜你没有这种奢侈,所以第二个虚拟机总比没有好,但要注意主机或存储故障可能会让你陷入困境。确保你的备份策略是正确的。

我不会坐下来说“你不应该这样做”,但你需要意识到所有东西放在一个主机上会有​​多么脆弱。

我是否应该将办公室电脑保留为工作组,或者部署一个复制原始电脑的本地 DC?

这完全取决于您 - 如果您正确配置站点以便 AD 知道中间有一个 WAN,那么后者是完全可以接受的解决方案。但是,您并没有真正说明 DC 中的服务器与您有什么关系。如果您不会从中获得任何实际好处,那么您可能只是在为自己创造工作。

虽然,这将起到冗余物理 DC 的作用,这样就很好了。

相关内容