.png)
Advertencia: Soy administrador de Linux/*NIX, por lo que todo esto es nuevo para mí.
Entiendo que no se considera una buena idea tener un solo controlador de dominio, y que probablemente también sea una buena idea que un controlador de dominio solo haga AD/DHCP/DNS (Aquí). Contamos con dos oficinas, la ubicación A con 30 usuarios y la ubicación B con 10 usuarios. Nuestras dos oficinas están separadas por una WAN que no es particularmente robusta, por lo que me han indicado que debemos tener servicios independientes en cada oficina. Esto significa que, según las "mejores prácticas", necesitaremos crear un controlador de dominio y un servidor de archivos independiente en cada oficina. Nuevamente, no tengo conocimientos sobre Windows, pero esto parece un poco innecesario para una organización de 40 usuarios.
La gente ha comentado que podría "salirme con la mía" ejecutando servicios de archivos en el controlador de dominio siempre que la "carga sea ligera". Eso parece generar más preguntas de las que responde.
- ¿Qué constituye una carga ligera?
- ¿Cuáles son las posibles consecuencias de mezclar estos roles?
Lo ideal sería tener solo una máquina física en cada ubicación. El que está en la ubicación A (la ubicación con el personal de TI) puede actuar como controlador de dominio principal y el que está en la oficina más pequeña puede actuar como controlador de dominio de respaldo. Si alguno de los controladores de dominio falla, aún podemos usar el otro para la autenticación (aunque con cierta latencia) y si falla la conexión WAN, cada oficina aún tiene acceso a su respectivo controlador de dominio "local". Si los servicios de archivos TAMBIÉN se ejecutan en cada servidor (y se sincronizan con algo como DFS), se puede tener una disposición similar en términos de redundancia sin tener que comprar, construir e instalar dos servidores separados adicionales. No es que sea adverso a eso (bueno, para empezar, más adverso que a todo el asunto) pero, en mi opinión, simplemente parece, bueno, un poco excesivo. Definitivamente puedo ver los beneficios de la separación funcional cuando hablamos de organizaciones más grandes, pero también debo considerar los gastos generales adicionales.
Nada de esto excluye tener una configuración DRP para los controladores de dominio. Supongo que puedes perder dos controladores de dominio con la misma facilidad que uno.
EDITAR:Las respuestas que he obtenido son bastante buenas, pero me gustaría ver la otra cara de la moneda, si es posible. ¿Qué podría salir mal al mezclar los roles? ¿A qué me arriesgo con este tipo de configuración que no me arriesgo con cada controlador ejecutando Active Directory y solo Active Directory?
Respuesta1
La restricción "Debe estar arriba" indica claramente que un controlador de dominio debe estar en el segundo sitio. Desafortunadamente. Para manejar mejor las interrupciones de la red y conservar el ancho de banda, se debe declarar un sitio AD en cada ubicación y un DC en cada una.
Además, Microsoft vende su Small Business Server, que es una especie de máquina todo en uno. DC, Exchange, archivos. Una máquina. No recuerdo el tamaño de la oficina en la que lo lanzaron, pero estás bastante cerca de ese tamaño. Entonces...
¿Qué constituye una carga ligera?
Teniendo en cuenta que tiene un dominio con 40 usuarios, probablemente no incurrirá en mucha carga relacionada con la sincronización del dominio en sus máquinas DC. Esto deja más gastos generales para la entrega de archivos e impresiones. Afortunadamente, archivo e impresión (archivo, más que impresión) es un servicio relativamente liviano para una oficina de solo 10 personas. Siempre que la máquina sea lo suficientemente moderna y de clase de servidor, ejecutaría las funciones DC y Archivo sin un segundo pensamiento.
Descargo de responsabilidad: Soy administrador de una gran tienda y tenemos administradores de tiendas más pequeñas que frecuentan aquí. Puede que esté fuera de lugar :)
Respuesta2
El único riesgo real aquí es que complique las cosas: los problemas con el lado AD podrían afectar potencialmente al lado del servidor de archivos (o viceversa) de maneras inesperadas. Esto no debe subestimarse, pero tampoco es el fin del mundo. Incluso esto se puede mitigar mediante el uso de la virtualización para ejecutar dos servidores virtuales en una sola máquina para mantener los roles separados; por supuesto, eso también tiene un costo en términos de complejidad, pero nada es gratis en este mundo.
Tiene toda la razón en que lo ideal sería que las personas solo ejecutaran AD y roles relacionados en un controlador de dominio, pero muchas personas en el "mundo real" agregan otros roles, y la mayoría de esas personas en el extremo de "pequeñas empresas/sucursales" las cosas lo hacen sin demasiados problemas.
Después de todo, hay que ser práctico: Microsoft incluso tiene un producto diseñado para compartir muchas funciones dirigidas específicamente a las pequeñas empresas.
Respuesta3
Estamos ejecutando una configuración similar con dos ubicaciones y dos servidores AD/DNS/EX2K/W2K en cada lado de una caja. La única desventaja es el mantenimiento. Si necesita desconectar una casilla por algún motivo temporalmente, perderá todos los servicios en ese sitio (trabajar a través de su conexión WAN puede ser lento)
Estamos ejecutando una producción de 24 horas al día, 6 días a la semana en ambos sitios, por lo que cualquier mantenimiento se limita al domingo ;-((