%EC%9D%84%20%EC%9C%84%ED%95%9C%20%EB%8B%A4%EC%A4%91%20%EC%97%AD%ED%95%A0%20%EB%8F%84%EB%A9%94%EC%9D%B8%20%EC%BB%A8%ED%8A%B8%EB%A1%A4%EB%9F%AC.png)
경고: 저는 Linux/*NIX 관리자이므로 이 모든 것이 새로운 것입니다.
도메인 컨트롤러를 하나만 갖는 것은 좋은 생각이 아니며, 도메인 컨트롤러가 AD/DHCP/DNS(여기). 우리는 두 개의 사무실을 가지고 있는데, A 위치에는 사용자가 30명, B 위치에는 사용자가 10명입니다. 우리 두 사무실은 특별히 강력하지 않은 WAN으로 분리되어 있으므로 각 사무실에 독립형 서비스가 필요하다는 지시를 받았습니다. 이는 "모범 사례"에 따라 각 사무실에 도메인 컨트롤러와 별도의 파일 서버를 구축해야 함을 의미합니다. 다시 말하지만, 저는 Windows 방식에 대해 잘 알지 못하지만 40명의 사용자로 구성된 조직에는 약간 불필요한 것 같습니다.
사람들은 "부하가 가벼우면" 도메인 컨트롤러에서 파일 서비스를 "실행하지 않아도" 될 수 있다고 말했습니다. 그것은 대답보다 더 많은 질문을 생성하는 것 같습니다.
- 경부하란 무엇입니까?
- 이러한 역할을 혼합하면 어떤 결과가 발생할 수 있나요?
이상적으로는 각 위치에 실제 머신이 하나만 있는 것을 선호합니다. 위치 A(IT 직원이 있는 위치)에 있는 하나는 기본 도메인 컨트롤러 역할을 할 수 있고 소규모 사무실에 있는 하나는 백업 도메인 컨트롤러 역할을 할 수 있습니다. 두 도메인 컨트롤러 중 하나가 실패하더라도 인증을 위해 다른 도메인 컨트롤러를 계속 사용할 수 있으며(약간 지연이 있기는 하지만) WAN 연결이 실패하더라도 각 사무실은 여전히 해당 "로컬" 도메인 컨트롤러에 액세스할 수 있습니다. 파일 서비스가 각 서버에서 실행되고 DFS와 같은 것과 동기화되는 경우 두 개의 별도 서버를 추가로 구매, 구축 및 설치하지 않고도 중복성 측면에서 유사한 배열을 가질 수 있습니다. 내가 그것에 반대한다는 것은 아니지만(음, 처음부터 모든 것에 반대하는 것보다 더 반대하는 것은 아니지만) 내 단순한 생각으로는 그것이 약간 과잉인 것 같습니다. 대규모 조직에 관해 이야기할 때 기능 분리의 이점을 확실히 알 수 있지만 추가 오버헤드도 고려해야 합니다.
이 중 어느 것도 도메인 컨트롤러에 대한 DRP 설정을 배제하지 않습니다. 두 개의 도메인 컨트롤러를 하나만큼 쉽게 잃을 수 있다고 가정합니다.
편집하다:내가 얻은 답변은 정말 훌륭했지만 가능하다면 동전의 다른 면을 살펴보고 싶습니다. 역할을 혼합하면 무엇이 잘못될 수 있나요? Active Directory를 수행하는 각 컨트롤러에서는 위험하지 않고 Active Directory만 수행하는 이러한 종류의 설정에서는 어떤 위험이 있습니까?
답변1
'작동해야 함' 제약 조건은 DC가 두 번째 사이트에 있어야 함을 강력하게 나타냅니다. 안타깝게도. 네트워크 중단을 더 잘 처리하고 대역폭을 보존하려면 각 위치에 AD 사이트를 선언하고 각 위치에 DC를 선언해야 합니다.
또한 Microsoft는 일종의 올인원 시스템인 Small Business Server를 판매합니다. DC, Exchange, 파일. 하나의 기계. 나는 그들이 그것을 발표하는 사무실의 크기를 기억하지 못하지만 당신은 그 크기에 꽤 가깝습니다. 그래서...
경부하란 무엇입니까?
사용자가 40명인 도메인을 고려하면 DC 컴퓨터에서 도메인 동기화 관련 로드가 많이 발생하지 않을 것입니다. 이로 인해 파일 및 인쇄 제공에 더 많은 오버헤드가 발생합니다. 다행스럽게도 파일 및 인쇄(인쇄 이상의 파일)는 10명만 있는 사무실에 비교적 가벼운 서비스입니다. 기계가 충분히 서버급이고 현대적이라면 1초도 없이 DC 및 파일 역할을 모두 실행할 것입니다. 생각.
부인 성명: 저는 대형 매장 관리자이고, 이곳을 자주 방문하는 소규모 매장 관리자도 있습니다. 베이스가 없을 수도 있어요 :)
답변2
여기서 유일한 실제 위험은 상황을 복잡하게 만든다는 것입니다. AD 측면의 문제는 잠재적으로 예상치 못한 방식으로 파일 서버 측에 영향을 미칠 수 있습니다(또는 그 반대). 이것은 과소평가되어서도 안 되지만 세상의 종말도 아닙니다. 심지어 가상화를 사용하여 하나의 상자에서 두 개의 가상 서버를 실행하여 역할을 분리함으로써 완화할 수 있습니다. 물론 복잡성 측면에서도 비용이 들지만 이 세상에 무료는 없습니다.
이상적으로 사람들이 도메인 컨트롤러에서 AD 및 관련 역할만 실행한다는 것은 전적으로 옳습니다. 그러나 '실제 세계'의 많은 사람들이 다른 역할을 추가하고 '소규모 기업/지사'에 있는 대부분의 사람들은 다른 역할을 추가합니다. 일이 너무 많은 문제 없이 그렇게 됩니다.
결국 실용적이어야 합니다. Microsoft에는 특히 중소기업을 대상으로 많은 역할을 공유하도록 설계된 제품도 있습니다.
답변3
우리는 한 상자의 양쪽에 두 개의 위치와 두 개의 AD/DNS/EX2K/W2K 서버가 있는 유사한 설정을 실행하고 있습니다. 유일한 단점은 유지 관리입니다. 어떤 이유로든 일시적으로 하나의 상자를 제거해야 하는 경우 해당 사이트의 모든 서비스가 손실됩니다(WAN 연결을 통한 작업이 느려질 수 있음).
우리는 두 사이트 모두에서 24시간/6일 생산을 실행하고 있으므로 유지 관리는 일요일로 제한됩니다 ;-((