Chr*_*itt 4 exchange active-directory
我知道这个问题已经问了很长时间了。
但对我来说仍然不是很清楚。
为什么我不清楚?
人们有时建议最好在物理硬件上有 1 个 DC。(即使是微软也这么说)。此外,还计划在不同 VM 上的相同物理机器上拥有 Exchange Server 和其他关键公司数据。我听说人们仍然可以突破访客系统并破坏每个虚拟机,是真的吗?
那么虚拟化所有域控制器是否好?
编辑:尽量让我的问题更切题。
关于我和我的情况
目前我是一名初级开发人员,并尝试学习更多关于系统管理的知识,所以我在空闲时间帮助小公司。我尝试在他们的基础设施方面帮助他们,比如规划、管理和设置新的服务器/硬件。
我的一家公司问我是否可以虚拟化域控制器。
设置
他们目前的设置是 3 个服务器,其中每个服务器都有一定的作用。
3台服务器的作用:
磁带驱动器用于备份 3 个服务器。
他们还有 3 台未连接电源的服务器,如果一台服务器出现故障,它们将作为其他服务器的替代品。
我告诉他们,如果这些服务器在被更换之前无法使用,那是在浪费金钱。
因此,他们与一家新的 IT 公司合作开发了一个新的 IT 概念。
新概念
2 在主动/被动配置中使用 Hyper-V 虚拟化的服务器。虚拟化一切:
这个概念似乎非常好,但我有一些想法,即Active Directory 的虚拟化可能存在一些问题。
我为什么担心
我得出这个结论是因为我在本地公司尝试了 FreeIPA(类似于 Active Directory),因为我们尝试集成一些 Linux 设备并寻找与 FreeIPA 的同步。
我们在 Hyper-V 和 KVM 上虚拟化了 FreeIPA,并且在时间同步服务方面遇到了大量问题,因此我们在系统登录方面也遇到了问题。
我还搜索了整个 Internet 和有关此特定主题的 Microsoft 相关站点,但每个链接都说仍然建议在物理硬件上运行 1 DC。
这是让我感到困惑的技术网文章。
在您的每个域中维护物理域控制器。这降低了影响使用该平台的所有主机系统的虚拟化平台故障的风险。
可能出现哪些风险?
虚拟化平台上可能发生哪些错误/漏洞利用/任何事情?
如果我们有 2 台虚拟化服务器(它们是相同的硬件,2 台戴尔服务器 R520),是否存在漏洞/漏洞攻击两台服务器的巨大风险?
此外,我们仍在进行备份,因此如果遇到错误,我们仍然可以恢复所有内容。
无论如何,该公司之前没有多余的设置,他们说这不是他们最关心的问题。
他们不想丢失数据,也不想有任何安全风险。
我已经从 MDMarra 那里得到了 1 个很好的答案,他为我整理了一些东西。
但是他仍然说它更多的是可用性问题而不是安全问题,但是当 hyper-v 平台出现灾难性故障时,我仍然会丢失数据/存在安全漏洞。
也许我有点偏执,但随着在某些硬件上投入的组件越多,发生的安全风险就越大。
也许我需要更多答案来正确解决我的问题,因为我仍然不会对任何客户说这是虚拟化一切的好方法。
拥有物理 DC 的建议不是安全建议,而是可用性建议。如果您的虚拟化解决方案处于脱机状态,在发生灾难性的虚拟机管理程序故障(错误、漏洞利用等)时,您仍然需要该环境之外的至少一个 DC 来提供目录服务。
当然,100% 虚拟化是完全可能的。有些人将拥有一个单独的管理集群,而不是保留物理主机,这样 DC 和生产数据集群就可以在那里运行,这提供了一些多样性。如果一个组织在生产中使用 vSphere 并在 DR 中使用 Hyper-V,那么他们可能会在 DR 中保留一个热 DC 并以这种方式拥有平台多样性。MS 派对路线仍然保持一个物理 DC,但还有其他方法可以实现该建议的精神并 100% 虚拟。
| 归档时间: |
|
| 查看次数: |
911 次 |
| 最近记录: |