.png)
Warnung: Ich bin ein Linux/*NIX-Administrator, daher ist das alles neu für mich.
Ich verstehe, dass es keine gute Idee ist, nur einen einzigen Domänencontroller zu haben, und dass es wahrscheinlich auch eine gute Idee ist, wenn ein Domänencontroller nur AD/DHCP/DNS ausführt (Hier). Wir haben zwei Büros, Standort A mit 30 Benutzern und Standort B mit 10 Benutzern. Unsere beiden Büros sind durch ein WAN getrennt, das nicht besonders robust ist. Daher wurde mir gesagt, dass wir in jedem Büro eigenständige Dienste benötigen. Dies bedeutet, dass wir gemäß den „Best Practices“ in jedem Büro einen Domänencontroller und einen separaten Dateiserver einrichten müssen. Ich kenne mich zwar nicht mit Windows aus, aber für eine Organisation mit 40 Benutzern scheint dies ein wenig unnötig.
Die Leute haben kommentiert, dass ich „damit durchkomme“, Dateidienste auf dem Domänencontroller laufen zu lassen, solange die „Last gering“ ist. Das scheint mehr Fragen aufzuwerfen als es beantwortet.
- Was ist eine leichte Belastung?
- Welche Konsequenzen kann eine Vermischung dieser Rollen haben?
Idealerweise hätte ich an jedem Standort nur eine physische Maschine. Die an Standort A (dem Standort mit dem IT-Personal) kann als primärer Domänencontroller fungieren und die im kleineren Büro als Backup-Domänencontroller. Wenn einer der Domänencontroller ausfällt, können wir den anderen immer noch zur Authentifizierung verwenden (wenn auch mit etwas Verzögerung), und wenn die WAN-Verbindung ausfällt, hat jedes Büro immer noch Zugriff auf seinen jeweiligen „lokalen“ Domänencontroller. Wenn die Dateidienste AUCH auf jedem Server ausgeführt werden (und mit etwas wie DFS synchronisiert werden), kann eine ähnliche Redundanzregelung erreicht werden, ohne dass zwei zusätzliche separate Server gekauft, gebaut und installiert werden müssen. Es ist nicht so, dass ich dagegen bin (naja, nicht mehr als gegen die ganze Sache), aber für meinen einfachen Verstand scheint es einfach ein bisschen übertrieben. Ich sehe definitiv die Vorteile einer Funktionstrennung, wenn es um größere Organisationen geht, aber ich muss auch den zusätzlichen Aufwand berücksichtigen.
Nichts davon schließt ein DRP-Setup für den/die Domänencontroller aus. Ich gehe davon aus, dass Sie zwei Domänencontroller genauso leicht verlieren können wie einen.
BEARBEITEN:Die Antworten, die ich erhalten habe, sind wirklich recht gut, aber ich würde gern einen Blick auf die andere Seite der Medaille werfen, wenn das möglich ist. Was könnte möglicherweise schiefgehen, wenn ich die Rollen vermische? Was riskiere ich mit dieser Art von Setup, was ich nicht riskiere, wenn jeder Controller Active Directory und nur Active Directory verwendet?
Antwort1
Die Einschränkung „Muss aktiv sein“ weist stark darauf hin, dass sich am zweiten Standort ein DC befinden muss. Leider. Um Netzausfälle besser bewältigen und Bandbreite sparen zu können, muss an jedem Standort ein AD-Standort und an jedem Standort ein DC deklariert werden.
Außerdem verkauft Microsoft seinen Small Business Server, eine Art All-in-One-Maschine. DC, Exchange, Dateien. Eine Maschine. Ich weiß nicht mehr, welche Bürogröße sie damit angeben, aber Sie kommen dieser Größe ziemlich nahe. Also...
Was ist eine leichte Belastung?
Wenn man bedenkt, dass Sie eine Domäne mit 40 Benutzern haben, werden Sie wahrscheinlich nicht viel Belastung durch die Domänensynchronisierung auf Ihren DC-Maschinen verursachen. Dadurch bleibt mehr Overhead für die Datei- und Druckfunktion. Glücklicherweise ist Datei- und Druckfunktion (Datei, mehr als Druck) ein relativ einfacher Dienst für ein Büro mit nur 10 Benutzern. Solange die Maschine ausreichend Server-Klasse hat und modern ist, würde ich ohne zu zögern sowohl DC- als auch Dateifunktionen ausführen.
Haftungsausschluss: Ich bin Administrator eines großen Ladens und wir haben Administratoren kleinerer Läden, die häufig hier sind. Vielleicht liege ich falsch :)
Antwort2
Das einzige wirkliche Risiko besteht hier darin, dass Sie die Dinge komplizierter machen – Probleme auf der AD-Seite könnten sich möglicherweise auf unerwartete Weise auf die Dateiserverseite auswirken (oder umgekehrt). Dies ist nicht zu unterschätzen, aber es ist auch nicht das Ende der Welt. Selbst dies kann abgemildert werden, indem Sie mithilfe der Virtualisierung zwei virtuelle Server auf einer Box ausführen, um die Rollen getrennt zu halten – natürlich hat dies auch seinen Preis in Bezug auf die Komplexität, aber nichts ist auf dieser Welt umsonst.
Sie haben absolut Recht, dass die Leute im Idealfall nur AD und verwandte Rollen auf einem Domänencontroller ausführen würden, aber viele Leute in der „realen Welt“ fügen andere Rollen hinzu, und die meisten dieser Leute im „Kleinunternehmen/in Zweigstellen“ tun dies ohne allzu große Probleme.
Schließlich muss man praktisch denken – Microsoft verfügt sogar über ein Produkt, das speziell für kleine Unternehmen konzipiert ist und viele Rollen gemeinsam nutzt.
Antwort3
Wir betreiben ein ähnliches Setup mit zwei Standorten und zwei AD/DNS/EX2K/W2K-Servern auf jeder Seite auf einer Box. Der einzige Nachteil ist die Wartung. Wenn Sie aus irgendeinem Grund eine Box vorübergehend entfernen müssen, verlieren Sie alle Dienste auf dieser Site (die Arbeit über Ihre WAN-Verbindung ist möglicherweise zu langsam).
Da unsere Produktion an beiden Standorten rund um die Uhr an 6 Tagen die Woche läuft, sind Wartungsarbeiten auf den Sonntag beschränkt ;-((