制作我所有的 Windows 服务器域控制器有什么缺点？

Question

正如问题所述，让我的组织中的每个功能强大的 Windows 2003 或 2008 Server 成为域的域控制器有哪些缺点？这只是矫枉过正吗？许多 3rd 方应用程序会爆炸吗？还有什么我没有想到的？

有什么优势吗？

Answer 1

• 域控制器没有本地帐户。因此，在这些机器上运行的所有内容都必须重新配置以使用域帐户。
• 域控制器不应被快照或恢复到任何形式的先前映像，否则您将遇到 USN 回滚场景。这意味着如果您运行任何类型的映像解决方案或虚拟化，您将无法使用快照功能。
• 域控制器的任何本地管理员都是域管理员。
• 网络和复制流量将显着增加。
• 位于由交换机 ACL 或防火墙分隔的网段中的服务器将需要配置许多额外的访问规则以支持足够的复制流量。
• 您在 AD 数据库中损坏的几率增加
• 您违反了最小特权的一般安全原则。
• 将来当您希望升级域功能级别时，您必须将您拥有的每台服务器升级到适当的版本，而不仅仅是专用域控制器。
• 您的域的可利用表面积将增加数量级，因为任何这些服务器上的任何应用程序都将成为您的域基础设施的潜在攻击媒介（例如，SQL 漏洞可能随后导致您的整个域受到威胁）
• 某些服务在域控制器上将无法运行或强烈建议不要使用（例如终端服务）。

我能给你的最好的建议是尽可能将域控制器作为非常离散的实体运行，即不将服务加载到域控制器上，这对于域控制器的操作来说不是必不可少的。出于实际/成本原因，这在非常小的商店，尤其是 Small Business Server 中通常被忽视，但是一旦您扩展到超出该范围，您理想地希望 DC 只是 DC，并且您只运行与您实际一样多的 DC需要足够的复制和容错能力。

Answer 2

要添加到 Chris Thorpe 发布的非常好的列表中，以下是为什么这样做是个坏主意的更多原因：

• 然后需要通知每个服务器域的更改。
• 长时间停机的服务器可能会导致复制问题。
• 根据您的域有多大，这可能是一个相当大的内存消耗。
• 然后，每个服务器都将在 DNS 中，因为域 DNS 域可解析。获得足够多的服务器，一些 DNS 客户端会以 DNS 响应的大小开始呕吐。
• 然后，每台服务器都将托管所有组策略，这些组策略有自己的复制流量，因此在复制收敛之前，您将获得不一致的 GPO 覆盖范围，这在大型 DC 网络中可能需要几个小时。

真的，“复制开销”的论点非常有力。如果您有少量彼此本地的服务器，比如少于 10 台，情况还不错。一旦您获得大量数字，尤其是当它们彼此相距遥远时，问题就会开始放大。AD 站点内的复制是一对多的，站点之间通常配置有桥头主机来汇集更新。不仅需要复制 AD 信息，所有组策略信息（即存储在“SYSVOL”中的内容）也需要复制到每个 DC。当您在一个环境中拥有许多 DC 时，这是一个非常复杂的复制网格，并且更容易出错。

从安全的角度来看，您确实不希望潜在的攻击者获得对 DC 的本地访问权限。当您位于 DC 本地时，提取整个域的密码哈希值要容易得多，而使用 Rainbow Tables 时，除非您的密码策略比当今常用的密码策略严格得多，否则几乎可以结束游戏。