这个问题是关于是否需要 Active Directory 来运行终端服务的讨论。但是一系列的答案和评论(主要是我的)提出了一个关于域控制器的相关问题。
在 AD 环境中只有一个域控制器显然是一种糟糕的做法。将每个域控制器放在单独的(物理或虚拟)单一功能服务器上显然也是最佳实践。然而,并不是每个人都能始终遵循最佳实践。
可以使用充当其他角色的服务器作为域控制器吗?
在确定服务器是否“双用途”时应考虑哪些因素?
域控制器角色是否会改变 Windows 操作文件系统或硬件的方式?
Windows Server 的版本之间是否存在差异?
Kev*_*lby 19
多角色域控制器很常见。虽然,他们扮演的大多数角色都是网络基础设施角色。很好的例子是文件服务器、DHCP 和 DNS。对于诸如终端服务器(用户无权登录域控制器并授予他们所述权限需要域管理员)、Web 应用程序服务器、业务线应用程序服务器、防火墙/代理/ISA 服务器等而言,它们是糟糕的选择
在我的环境中,我更喜欢在域控制器上运行所有内部 DNS 服务器以及我的 DHCP 服务。这似乎是 DC 上角色的良好组合,以降低成本并最大限度地利用硬件。
“你甚至可以用它切一个锡罐,但你不会想要的!” - Mr. Popeil , 歌词 Weird Al Yankovic
我想问题是:你想吗?当然,您可以将域控制器变成文件和打印服务器、SQL Server 框或任意数量的其他功能。但这有一个缺点,即要以降低该盒子功能的形式付出代价。如果您的用户很少(比如 25-50 岁以下),或者您受到预算限制而需要将其设置为“一体机”,那么您可以避免这样做。但是存在性能问题、安全问题,甚至服务之间不兼容的可能性。做“多合一”的盒子是不了解他们将支付的价格的钱袋子们制定的邪恶预算的一个功能。
如果您负担得起,请将域控制器放在一个单独的盒子上。哎呀,如果可能的话,买一个便宜但服务器级的盒子,可能是一个部门级的盒子,然后把你的 DC 服务放在上面;然后得到那个盒子的双胞胎,并在其上放置 DC 服务。这是 Windows 希望您拥有的模型,而且您真的,真的,应该至少有两个域控制器为每个域。
为那些最常用的服务购买更强大的盒子——数据库、电子邮件、文件和打印等。这些是用户经常看到的“日常”盒子;域控制器最好在整个域中留下橡皮图章用户凭据。
您能避免性能下降吗?您正在安装的服务与可能运行的任何其他服务之间是否会存在不兼容?它会干扰 AD 身份验证吗?
不会。但它会增加工作量。如果您集成其他非 Windows 功能(例如,使用 PAM 堆栈通过 Kerberos 作为 IMAP 服务的一部分对 linux 机器进行身份验证),那么预计工作负载会增加。
每个版本都会增加功能的数量,尽管可以肯定地说,如果不是更好的话,您至少需要 Windows 2000。大多数人都使用 Windows 2003(及其同类产品),其中包括对文件服务、卷影复制等的增强。2008 提供了更多增强。
你可以并且有效。我有大约 40 个分支机构,出于政治原因,管理层决定为每个分支机构提供完整的服务器基础设施。由于财务原因,每个环境都是单服务器环境,因此都是 DC/文件/交换(这是在 Windows 2000 时代)。
然而,它的管理是一场噩梦,我的首选规则是“DC 就是 DC,没有其他事情可以做”。这些是您最重要的服务器,如果您的广告变得有趣,您将很难将其恢复正常。如果可以的话,请通过专门的 DC 角色来给自己避免这种情况的最佳机会。如果你做不到,请乞求、尖叫、呜咽、贿赂、威胁、预言,或者采取任何方法让自己处于可以做到的位置。