虚拟化、DC、Exchange 和 RDS 建议

虚拟化 DC 没有什么不好。部署 2 个虚拟机：将第一个配置为“主”DC，将第二个虚拟机部署为第二个 DC，然后通过 AD 复制进行复制。确保这两个虚拟机位于不同的硬件或不同的站点上，以实现冗余。如果主 DC 死机，您将能够夺取副本 DC 上的 FSMO 角色。

有很多拓扑选择与 MSFT 最佳实践相关。只需谷歌搜索并应用适合您部署的任何拓扑。虚拟化 DC 不会消耗太多硬件资源。但另一方面，谈到安全性，您不应该将 DC 服务器用于任何其他服务。

这篇文章可能对你的情况有用：

https://dirteam.com/paul/2014/07/12/can-i-virtualize-all-my-dc-s-in-the-domain/ http://www.bestserversupport.com/blog/active-directory-replication-windows-server-2012.html

我相信你通过询问走上了正确的道路，这总是好的，而且很有教育意义。我鼓励你继续询问，几周之内，你就会设计出最好的解决方案！一件非常重要的事情是做好笔记，记录你设定里程碑的方式——按照你的记录速度进行。我建议使用 OneNote 2016。相信我，有一天，你会找到我并亲自感谢我。:-)

这是我的经验和我的建议。

坏消息是 SBS 迁移（文件服务、AD 和 Exchange）可能很棘手。在许多情况下，数据\DOMAIN 丢失。您的问题并不是专门询问您即将到来的冒险的这个领域。您可能已经做好了准备，只需要硬件建议。话虽如此，如果您想讨论迁移过程，请告诉我，我会提供一些有用的链接；例如http://www.sbsmigration.com，他们为 Swing 和 Traditional 迁移提供合理的工具包。

我个人喜欢 vMware 和 HyperV。我最常使用 vMWare 为大型客户或需要的地方提供服务。很长一段时间以来，我拥有几十个 SLA 客户端，用户数在 20 到 100 之间。随着时间的推移，他们的用户数已远远超过 100。在 HyperV Server 2008 Core 首次发布时，我拥有所有这些客户端。这类客户从不喜欢 vMware 的价格。:-)

以下是 7 年前 60-80 用户的硬件规格。这些客户总是预算有限，而且当 DLINK 或类似设备让他们运行数十年时，很难留下深刻印象。所以我设计了一个中间系统并保持不变。

1. 两三台戴尔 R710 32GB 到 128GB，最常见的是 64GB。
2. 当时的双 XEON 双核或四核。
3. 10RPM 或 15RPM 驱动器上的 RAID10。

4. 4 个网卡。5a. 虚拟机管理程序安装在单独的驱动器上。5b. 虚拟机管理程序安装在 USB 上。5c. 虚拟机管理程序安装在双 SD 卡上。

5. 适合 VLAN 等功能的管理型交换机（如果需要）。我个人会排除 VLAN1 - 完全是另一个话题。:-)

如今，这些客户中的大多数都使用 vMware 集群。以下是使用 SAN、两台戴尔服务器和两台托管交换机的集群设置的平均缩小版本。成本并不准确 - 但在范围内。

1. 一个 EqualLogic 混合 SAN（一些 SSD 驱动器）1GB - 大约 30k 1a. 一个 EqualLogic 非混合 SAN - 大约 17k 1GB
2. 两台 PowerEdge R630 256GB RAM，10CORE，8 NICS — 每台约 8k
3. 两台 PowerConnect N3000 系列 - 每台约 3k

以上是针对 iSCSI、vMotion、管理和公共网络或 VM 的 1GB 设置。

如今，10GB 才是王道！它很贵，而且并不总是需要。如果你想了解 10GB，请告诉我，有很多变数。

回答您的一些问题...

1. 域控制器可以是物理的，也可以是虚拟机的。

例如，当您在 VM 主机之外使用 NTP 或 DNS 等服务提供服务或设备时，您会后悔没有物理 DC。例如，使用 vMware，如果您需要运行更新，则必须将服务器置于维护模式，这需要关闭所有 VM。如果 DC 已关闭，则 VPN 服务器等设备将无法工作。

上述示例只是众多示例中的一个。如果您需要更多信息来帮助您做出决定，请告诉我。

2. 虚拟化远程桌面服务器

我鼓励在这里采用最佳实践，希望 RDP 服务器位于防火墙后面，没有 NAT 转换到 PUBLIC。如果防火墙上确实有针孔，我建议关闭并获取适合您规模的 SSL VPN、Meraki、SonicWALL。很多人会讨厌我，但我是 SonicWALL 的粉丝。:-)

RDP 服务器在虚拟化环境下运行良好。如果您有大量 RDP 用户，请查看基于硬件的负载平衡。我不喜欢 MS 负载平衡服务。

最后，我怀疑您有 70 个并发 RDP 用户？那会有很大的变化，而且成本也很高。我猜您有大约 20 个 RDP 用户，对于您的会计部门来说可能更少。

在我向您简要介绍我的建议之前，以下是我的问题。

1. 您打算购买新服务器吗？
2. 您是否计划（物理）升级当前服务器？
3. 请问您现在使用的服务器或者想要购买的服务器的型号是什么？
4. 你的网络怎么样？1GB 带宽？
5. 您的交换机是否可管理？您是否在探索 VLAN 之类的功能？

无论你想做什么，我都会帮助你。我宁愿把帮助整个星球作为一份全职工作，也不愿看到另一个非实践的设置。不是说这是你，而是一般来说，因为我看到大约 3-5 个环境状况不佳，有时糟糕到我不得不拒绝工作。哈哈哈，这对我来说很难做到。:-)

希望收到您的回复，抱歉发了这么多邮件。我打字很快，几分钟内想法就涌现出来了。我还有一个坏习惯，就是回头改正，所以请原谅我的错误。:-)

谢谢，罗布

谈到 Exchange 时，我同意 Rob 的观点。在部署完整的 Exchange Server 的情况下，Exchange 的管理可能会有些复杂，迁移也可能很复杂。微软的 SBS 会做一些奇怪的事情。微软一直在推广它，对于像您这样的小型组织，我建议使用托管服务。微软有 4 个计划，应该可以满足您的所有需求。这消除了 Exchange 服务器许可、硬件（物理或虚拟）和产品支持问题。四年前，我看到 O365 在一年内出现过两次宕机。我猜现在它更稳定了。

Microsoft 建议只运行 Hyper-V 而不运行其他角色，但 AD 不会占用太多资源，因此两个角色都可以。使用一个许可证，您可以在服务器上拥有 2 个虚拟机。使用 Exchange 托管，您可以构建一个仅作为 DC 的虚拟机（我始终建议使用两个域控制器）和第二个用于 RDP 服务器的虚拟机。

服务器应该有 MFG 支持。它是运行您的环境的关键设备。问问几天的停机时间会给组织带来多少成本，并将其与 5 年的维护和支持进行比较。我会选择戴尔或惠普。思科很棒，但更贵（不过我喜欢虚拟接口卡以及它们如何与 Nexus 交换结构集成！！）。

SonicWall 设备使用内置向导易于管理，尽管后台有点混乱。不建议小型企业使用 ASA - 它们对于兼职管理员来说太复杂了。即使是免费的 IPCop 也是一款好产品（它使用与 Cisco ASA 在 SourceFire 中使用的相同的 SNORT），但自己支持它会有些工作要做。我建议使用某种防火墙解决方案，它不仅仅是将您 NAT 到 RDS 服务器（就像那些消费者路由器那样）。有些人认为续订费用太高，但由于恶意或数据丢失而导致业务中断的成本要高得多。

像您这样的小型组织应该能够很好地使用所有 1G 交换机，除非您要处理的是大型内容，例如 PACS 成像、大型图形或工程图等。即便如此，对于医学成像，我们也可以接受 1G 到交换机（交换机到核心为 10G）。如果您在网络上使用 VoIP，我不推荐 NetGear 交换机 - 拥有非常糟糕的支持体验，将 3 个 600 美元的交换机扔进了垃圾堆，用另一个制造商的产品替换它们，解决了问题（固件问题）。Cisco Small Business 为我提供了最好的支持（甚至通过支持免费升级了奇怪的网络错误，更换了更换的型号但修复了）。HP 或 Dell 也不错，但 HP 不会像 Cisco 那样为您提供配置支持。我的办公桌下有一个小型 Meraki，连接到我的 Cisco 分布交换机的上游，它很棒 - 我真的很感动。如果使用 VoIP 或其他应该在自己的网络上的东西，我建议使用 VLAN。如果您希望能够捕获数据包以进行故障排除并查看谁在您的网络上、在做什么，我会选择 Meraki。这是一种订阅模式，因此请立即选择最长期限。您可以通过他们的网络界面做很多事情。参加网络研讨会并免费获得一个带 PoE 的！！！

无线可能会带来很多麻烦。如果您使用独立接入点，则需要担心同频干扰、无线电之间缺乏移动性、设置和故障排除。如果您有 Apple 设备，我曾见过一些有趣的东西。SonicWall 的无线工作得很好（带有无线和一个或多个细长接入点的设备，具体取决于您的区域有多大）。我家里有一个 Meraki 演示单元，它似乎工作正常。范围不是最好的（不像我工作中的 Cisco 3702），但它们易于管理。无论您对 AP 做什么，都不要将功率设置为 100%，以为这会有所帮助。我见过许多问题通过关闭电源得到解决。非常低。如果您使用 SonicWall 支持，它们可以非常有效地解决无线问题。