Windows: Dapatkah pengontrol domain juga melayani fungsi lain?

Pertanyaan ini adalah diskusi tentang apakah Active Directory diperlukan untuk menjalankan Layanan Terminal. Tetapi serangkaian jawaban dan komentar (sebagian besar oleh saya) memunculkan pertanyaan terkait tentang Pengontrol Domain.

Ini jelas praktik yang buruk untuk hanya memiliki satu Pengontrol Domain di lingkungan AD. Ini juga jelas praktik terbaik untuk memiliki setiap kontroler domain pada server fungsi tunggal (fisik atau virtual) yang terpisah. Namun, tidak semua orang dapat mengikuti praktik terbaik sepanjang waktu.

Apakah boleh menggunakan server yang mengisi peran lain sebagai pengontrol domain?

Hal-hal apa yang harus dipertimbangkan dalam menentukan apakah akan "dual-purpose" server?

Apakah peran pengontrol domain mengubah cara Windows mengoperasikan sistem file atau pada perangkat keras?

Apakah ada perbedaan antara versi Windows Server?

Anda bisa dan berhasil. Saya memiliki sekitar 40 kantor cabang dan - untuk alasan politik - keputusan manajemen dibuat untuk memberikan masing-masing infrastruktur server lengkap. Untuk alasan keuangan, itu adalah lingkungan server tunggal di masing-masing, jadi itu semua DC / File / Exchange (ini dalam Windows 2000 hari).

Namun, pengelolaannya adalah mimpi buruk, dan aturan pilihan saya adalah "DC adalah DC dan tidak ada lagi yang terjadi". Ini adalah server Anda yang paling penting, dan jika iklan Anda menjadi lucu, Anda akan memiliki waktu yang mengerikan untuk mendapatkannya kembali. Jika Anda bisa, beri diri Anda peluang terbaik untuk menghindarinya dengan memiliki peran DC khusus. Jika Anda tidak bisa, memohon, menjerit, merengek, menyuap, mengancam, bernubuat, atau apa pun untuk menempatkan diri Anda pada posisi di mana Anda bisa.

Pengontrol Domain Multi-Peran cukup umum. Meskipun, sebagian besar peran yang mereka lakukan adalah peran infrastruktur jaringan. Contoh yang baik adalah Server File, DHCP dan DNS. Mereka adalah pilihan yang buruk untuk hal-hal seperti server Terminal (Pengguna tidak memiliki hak untuk masuk ke Pengontrol Domain dan memberi mereka mengatakan hibah hak memerlukan Admin Domain), Server Aplikasi Web, Server Aplikasi Bisnis, Server Firewall / Proxy / ISA, dll.

Di lingkungan saya, saya lebih suka menjalankan semua Server DNS internal pada Pengontrol Domain serta layanan DHCP saya. Ini tampaknya merupakan campuran peran yang baik pada DC untuk mengurangi biaya dan memanfaatkan perangkat keras sebaik mungkin.

• Apakah boleh menggunakan server yang mengisi peran lain sebagai pengontrol domain?

"Kamu bahkan bisa memotong kaleng dengan itu, tetapi kamu tidak mau!" - Mr. Popeil , lirik Weird Al Yankovic

Saya kira pertanyaannya adalah: apakah Anda mau? Tentu, Anda dapat mengubah pengontrol domain Anda menjadi file dan server cetak, atau kotak SQL Server, atau sejumlah fungsi lainnya. Tetapi ada kerugian untuk ini, harga yang harus dibayar dalam bentuk fungsionalitas terdegradasi pada kotak itu. Jika Anda memiliki sangat sedikit pengguna (katakanlah di bawah 25-50), atau Anda diperas oleh kendala anggaran dan Anda perlu menjadikan ini kotak "semua dalam satu", Anda bisa melakukannya. Tetapi ada masalah kinerja, masalah keamanan, dan bahkan potensi ketidakcocokan antara layanan. Melakukan kotak "semua dalam satu" adalah fungsi dari anggaran jahat yang ditetapkan oleh para penjaga yang tidak mengerti harga yang akan mereka bayar.

Jika Anda mampu membelinya, letakkan pengontrol domain di kotak terpisah. Heck, jika memungkinkan, dapatkan kotak yang murah namun tingkat server, mungkin kotak tingkat departemen, dan berikan layanan DC Anda pada itu; kemudian dapatkan kembar kotak itu, dan berikan layanan DC juga. Ini adalah model yang Windows ingin Anda miliki, dan Anda benar- benar harus memiliki setidaknya dua pengontrol domain untuk setiap domain.

Beli kotak beefer untuk layanan yang paling banyak digunakan - basis data, email, file & cetak, dll. Ini adalah kotak "sehari-hari" yang dilihat pengguna secara teratur; pengontrol domain sebaiknya kredensial pengguna stempel karet yang tersisa di seluruh domain.

• Hal-hal apa yang harus dipertimbangkan dalam menentukan apakah akan "dual-purpose" server?

Bisakah Anda lolos dengan tingkat kinerja yang terdegradasi? Apakah akan ada ketidakcocokan antara layanan yang Anda instal, dan layanan lain yang mungkin berjalan? Apakah akan mengganggu otentikasi AD?

• Apakah peran pengontrol domain mengubah cara Windows mengoperasikan sistem file atau pada perangkat keras?

Tidak. Tapi itu akan menambah beban kerjanya. Dan jika Anda mengintegrasikan fungsi non-windows lainnya (katakanlah, menggunakan tumpukan PAM untuk mengotentikasi kotak linux melalui Kerberos sebagai bagian dari layanan IMAP) maka perkirakan beban kerja itu akan meningkat.

• Apakah ada perbedaan antara versi Windows Server?

Setiap rilis meningkatkan jumlah fitur, meskipun aman untuk mengatakan bahwa Anda ingin setidaknya Windows 2000 jika tidak lebih baik. Kebanyakan orang menggunakan Windows 2003 (dan sepupu), yang mencakup perangkat tambahan untuk layanan file, salinan bayangan volume, dll. 2008 bahkan menyediakan lebih banyak perangkat tambahan.

Microsoft Small Business Server adalah AD + Exchange + File server + router / VPN Server + Sharepoint + SQL Server .. dan lebih banyak lagi digulung menjadi satu server. Jadi saya tidak akan mengatakan 'praktik terbaik' untuk memiliki setiap fungsi di server yang berbeda. Untuk operasi kecil tidak masuk akal untuk menjalankan semuanya dalam perangkat keras yang berbeda.

Sepertinya bermuara pada Keamanan dan Kinerja. Saya tidak berpikir kinerja banyak masalah pada jaringan kecil, AD menggunakan jumlah sangat kecil dari server termurah yang Anda bisa kumpulkan sekarang.

Pada titik itu, Anda hanya dapat menimbang keamanan vs biaya - yang mendasari semua pertanyaan keamanan dalam jaringan kecil ...

Saya pikir semua jawaban dapat disimpulkan oleh Server Bisnis Kecil.

Tentu, MS mampu melemparkan hampir SEMUA (AD, Exchange, SQL, dll) ke dalam satu kotak. Tapi itu berjalan seperti sampah dan hanya berguna dalam situasi yang sangat terbatas.

Singkatnya, dapatkah Anda melakukannya? Iya. Haruskah kamu melakukannya? Saya tidak merekomendasikannya, tetapi ini bisa berhasil jika Anda terikat.

Dari sudut pandang kinerja, itu tergantung pada beban kedua layanan. Pada jaringan yang lebih kecil, DC juga bisa berfungsi ganda sebagai server DNS atau DHCP tanpa masalah. Pada jaringan yang lebih besar, ia meminta masalah.

Saya akan sangat menyarankan agar Anda tidak meletakkan lebih dari satu server "primer" pada kotak fisik yang sama. Yaitu, jika ini adalah master DC Anda, menggunakannya sebagai server DNS sekunder atau server DHCP cadangan dapat diterima. Alasannya, Anda tidak ingin kegagalan pada satu kotak untuk mengambil untuk mengambil dua layanan.

Saya akan sangat mencegah siapa pun dari menjalankan layanan yang lebih menuntut, seperti server web (IIS atau Apache, dll) atau Database dalam bentuk apa pun.

Jika Anda memutuskan untuk menjalankan lebih dari satu jenis layanan pada kotak fisik yang sama, saya akan sangat merekomendasikan mendapatkan sebagai "gemuk" kotak mungkin, dan menggunakannya sebagai host untuk server Virtual. Dengan cara ini, semua layanan Anda masih agak independen satu sama lain di tingkat OS.

Tidak ada yang secara inheren menyangkal pengontrol domain berfungsi dalam kapasitas lain.

Jika Anda memiliki infrastruktur AD yang ada dan Anda hanya memiliki satu pengontrol domain, saya akan mengatakan bahwa setiap kekurangan mempromosikan server lain akan lebih besar daripada keuntungan mendapatkan DC lain.

Ingatlah bahwa setelah Anda menjalankan dcpromo, Anda harus reboot, sehingga setiap layanan yang disediakan oleh mesin yang baru dipromosikan akan terganggu. Juga, jika Anda memiliki kebijakan keamanan pengendali domain, mereka akan berlaku untuk server itu.

Anda BISA tetapi mengapa Anda mau? Secara teoritis Anda dapat memiliki seluruh layanan pada kotak yang sama (Small Business Server). Hanya karena Anda BISA melakukan sesuatu, bagaimanapun, tidak berarti Anda harus melakukannya. Pengontrol Domain memegang basis data AD jadi jika Anda ingin mengambil risiko macet dengan mencetak (dan jangan-jangan) berbagi file maka itu risiko yang harus Anda nilai sendiri. Jika Anda ingin memainkannya dengan aman, berdiri server Linux secara gratis dan gunakan itu sebagai file jaringan berbagi atau server cetak dan cobalah untuk menjaga kotak Domain Server Anda hanya sebagai itu.

Ya, mereka bisa, tetapi dari sudut pandang keamanan, jawaban yang biasa adalah tidak. Alasannya sederhana: semakin banyak yang berjalan pada pengontrol domain, semakin besar area permukaan yang dapat dieksploitasi untuk mengambil kotak. Ambil kotaknya dan Anda sudah mendapatkan domainnya. Biasanya tidak biasa melihat DNS berjalan dengan zona terintegrasi Direktori Aktif. Namun, apa pun yang lain, saya akan mengatakan tidak kecuali Anda adalah toko kecil dan tidak bisa keluar dari layanan.

(Jangan menganggapku terlalu serius, tapi kau tahu aku ada benarnya)

Tentu, cukup instal VMware, dan di atasnya Debian dan Anda memiliki server serba guna yang hebat. Artinya, jika beban pada host cukup kecil.

Jika saya punya pilihan hanya memiliki satu Domain Controller, atau menjalankan DC lain katakan pada kotak SQL, maka saya akan mengambil opsi itu.

Bahkan, saya mungkin lebih suka menjalankan Virtual Server daripada benar-benar mengubah server lain yang berfungsi menjadi pengontrol domain - bahkan jika itu hanya berjalan di workstation.

Pendapat pribadi saya adalah bahwa untuk stabilitas Anda memerlukan minimal tiga pengontrol domain yang memungkinkan Anda untuk membagi peran master operasi, dan Anda harus selalu memiliki setidaknya dua katalog global - tetapi dengan mempertimbangkan bahwa master infrastruktur tidak boleh GC .

Saya biasanya menjalankan DNS dan DHCP pada Domain Controller (s), dan memiliki setidaknya dua DC. Secara pribadi, saya memiliki DC virtual yang berjalan pada dua host virtual saya (menjalankan VMware ESXi, total tiga host virtual) dan satu fisik juga. Semua DC adalah server DNS, dan dua di antaranya adalah server DHCP (masing-masing melayani setengah dari kisaran). Virtualisasi membuatnya mudah (dan tergantung pada bagaimana Anda membayar untuk lisensi Windows, terjangkau) untuk memiliki VM khusus tugas, dan saya lebih suka membagi hal-hal karena me-reboot satu server tidak akan mempengaruhi yang lain.

Namun, saya menjalankan SBS 2003 di kantor lain (lebih kecil) dan berfungsi dengan baik pada server yang gemuk, meskipun masalah penjadwalan reboot terkadang menjengkelkan. SBS bersifat fisik, tetapi saya memiliki server kedua yang menjalankan VMware ESXi yang memiliki Windows VM yang juga merupakan DC sehingga saya memiliki sekonaris (DC kedua diizinkan dengan SBS selama SBS memegang peran FSMO). Saya benci memiliki satu DC, itu akan membuat pemulihan lebih sulit dan downtime lebih lama!

Saya akan mencoba dan menambahkan hanya sesuatu seperti cetak dan / atau penyajian file ke DC jika memungkinkan, selain DNS dan DHCP. Yang lain harus ditimbang dengan hati-hati ... dan jika mungkin, tempelkan desktop / server low-end sebagai kotak DC / DNS sekunder saja jika Anda harus memadukan perangkat keras utama. Bahkan perangkat keras yang tidak berlebihan kemungkinan akan naik jika primer Anda turun dan sebaliknya (apakah itu untuk reboot atau crash).