小規模オフィス向けマルチロール ドメイン コントローラー (クライアント数 50 未満)

tag-icon tag-icon active-directory domain-controller
小規模オフィス向けマルチロール ドメイン コントローラー (クライアント数 50 未満)

警告: 私は Linux/*NIX 管理者なので、これは私にとってまったく新しいものです。

ドメインコントローラを1つだけ持つのは良い考えではないことは理解していますし、ドメインコントローラでAD/DHCP/DNSのみを実行するのも良い考えだと思います(ここ)。当社には 2 つのオフィスがあり、ロケーション A には 30 人のユーザーがおり、ロケーション B には 10 人のユーザーがいます。2 つのオフィスは、それほど堅牢ではない WAN で分離されているため、各オフィスにスタンドアロン サービスを用意する必要があると指示されています。つまり、「ベスト プラクティス」によれば、各オフィスにドメイン コントローラーと個別のファイル サーバーを構築する必要があります。繰り返しますが、私は Windows の知識がありませんが、これは 40 人のユーザーがいる組織には少し不必要に思えます。

「負荷が軽い」限り、ドメイン コントローラでファイル サービスを実行しても「問題ない」というコメントもありました。しかし、これでは答えよりも疑問が増すばかりです。

  1. 軽い負荷とは何ですか?
  2. これらの役割を混在させることで、どのような結果が生じる可能性がありますか?

理想的には、各拠点に物理マシンを 1 台だけ設置したいです。拠点 A (IT スタッフがいる場所) のマシンはプライマリ ドメイン コントローラとして機能し、小規模オフィスのマシンはバックアップ ドメイン コントローラとして機能します。いずれかのドメイン コントローラに障害が発生した場合でも、もう一方のドメイン コントローラを認証に使用できます (ただし、多少の遅延は発生します)。また、WAN 接続に障害が発生した場合でも、各オフィスはそれぞれの「ローカル」ドメイン コントローラにアクセスできます。ファイル サービスも各サーバーで実行され (DFS などと同期されます)、2 台の追加のサーバーを購入、構築、インストールしなくても、冗長性という点で同様の構成を実現できます。私はこれに反対しているわけではありません (まあ、そもそも全体に対して反対しているというよりは反対ですが) が、単純な考えでは、ちょっとやりすぎのように思えます。大規模な組織の場合、機能分離のメリットは確かにわかりますが、追加のオーバーヘッドも考慮する必要があります。

いずれの場合も、ドメイン コントローラーの DRP セットアップは必須です。ドメイン コントローラーが 1 つ失われるのと同じくらい簡単に、2 つ失われる可能性があると思います。

編集:私が得た回答は実に素晴らしいものですが、可能であれば、コインの裏側も見てみたいと思います。役割を混在させることで、どのような問題が発生する可能性がありますか? このような設定では、各コントローラーが Active Directory のみを実行することで発生するリスクがないのに、どのようなリスクがあるのでしょうか?

答え1

「稼働中である必要があります」という制約は、DC が 2 番目のサイトにある必要があることを強く示しています。残念ながら、ネットワークの停止をより適切に処理し、帯域幅を節約するには、各場所に AD サイトを宣言し、各場所に DC を宣言する必要があります。

また、Microsoft は、オールインワン マシンの一種である Small Business Server を販売しています。DC、Exchange、ファイルが 1 台のマシンにまとめられています。どのくらいの規模のオフィスを想定していたかは覚えていませんが、その規模にかなり近いでしょう。それで...

軽い負荷とは何ですか?

ドメインに 40 人のユーザーがいる場合、DC マシンにドメイン同期関連の負荷があまりかからないでしょう。これにより、ファイルと印刷のサービスに多くのオーバーヘッドが残ります。幸いなことに、ファイルと印刷 (印刷というよりはファイル) は、10 人だけのオフィスにとっては比較的軽量なサービスです。マシンが十分にサーバー クラスで最新のものであれば、DC とファイルの両方の役割を迷うことなく実行できます。

免責事項: 私は大規模ショップの管理者ですが、小規模ショップの管理者もここによく来ます。私の考えは的外れかもしれません :)

答え2

ここでの唯一の本当のリスクは、物事を複雑にすることです。AD 側の問題が、予期しない形でファイル サーバー側 (またはその逆) に影響を与える可能性があります。これは過小評価すべきではありませんが、世界の終わりでもありません。仮想化を使用して 1 つのボックスで 2 つの仮想サーバーを実行し、役割を分離することで、この問題も軽減できます。もちろん、複雑さの点ではそれにもコストがかかりますが、この世に無料のものはありません。

理想的には、ドメイン コントローラー上で AD と関連するロールのみを実行するのが正解ですが、現実の世界では多くの人が他のロールを追加しており、中小企業や支社のほとんどの人はそれほど問題なくそれを行っています。

結局のところ、現実的でなければなりません。Microsoft には、特に中小企業向けに、多くの役割を共有するように設計された製品もあります。

答え3

私たちは、2 つの場所と、1 つのボックスの両側に 2 つの AD/DNS/EX2K/W2K サーバーを配置した同様の設定を実行しています。唯一の欠点はメンテナンスです。何らかの理由で 1 つのボックスを一時的に削除する必要がある場合、そのサイトのすべてのサービスが利用できなくなります (WAN 接続で作業すると、おそらく速度が遅くなります)。

両サイトとも 24 時間 6 日間稼働しているため、メンテナンスは日曜日のみとなります ;-((

関連情報