Aviso: sou administrador do Linux/*NIX, então tudo isso é novo para mim.
Entendo que não é considerado uma boa ideia ter apenas um único controlador de domínio e que provavelmente também é uma boa ideia que um controlador de domínio execute apenas AD/DHCP/DNS (Aqui). Temos dois escritórios, local A com 30 usuários e local B com 10 usuários. Nossos dois escritórios são separados por uma WAN que não é particularmente robusta, por isso fui instruído de que precisamos ter serviços independentes em cada escritório. Isso significa que, de acordo com as "melhores práticas", precisaremos construir um controlador de domínio e um servidor de arquivos separado em cada escritório. Novamente, não conheço bem o Windows, mas isso parece um pouco desnecessário para uma organização de 40 usuários.
As pessoas comentaram que eu poderia "sair impune" da execução de serviços de arquivos no controlador de domínio, desde que a "carga fosse leve". Isso parece gerar mais perguntas do que respostas.
- O que constitui carga leve?
- Quais são as consequências potenciais da mistura dessas funções?
Idealmente, eu preferiria ter apenas uma máquina física em cada local. Aquele no local A (o local com a equipe de TI) pode atuar como controlador de domínio primário e aquele no escritório menor pode atuar como controlador de domínio de backup. Se um dos controladores de domínio falhar, ainda poderemos usar o outro para autenticação (embora com alguma latência) e se a conexão WAN falhar, cada escritório ainda terá acesso ao seu respectivo controlador de domínio "local". Se os serviços de arquivo TAMBÉM forem executados em cada servidor (e sincronizados com algo como DFS), um arranjo semelhante em termos de redundância poderá ser obtido sem a necessidade de comprar, construir e instalar dois servidores separados adicionais. Não é que eu seja adverso a isso (bem, mais adverso do que sou a tudo isso, para começar), mas, para minha mente simples, parece um pouco exagerado. Posso definitivamente ver os benefícios da separação funcional quando falamos de organizações maiores, mas também preciso considerar a sobrecarga adicional.
Nada disso exclui ter uma configuração DRP para os controladores de domínio. Presumo que você possa perder dois controladores de domínio tão facilmente quanto um.
EDITAR:As respostas que obtive são realmente muito boas, mas gostaria de dar uma olhada no outro lado da moeda, se isso for possível. O que poderia dar errado ao misturar os papéis? O que estou arriscando com esse tipo de configuração que não estou arriscando com cada controlador executando o Active Directory e apenas o Active Directory?
Responder1
A restrição 'Must be up' indica fortemente que um DC precisa estar no segundo local. Infelizmente. Para lidar melhor com interrupções de rede e conservar a largura de banda, um site AD precisa ser declarado em cada local e um DC em cada um.
Além disso, a Microsoft vende seu Small Business Server, que é uma espécie de máquina multifuncional. DC, Exchange, arquivos. Uma máquina. Não me lembro do tamanho do escritório onde eles lançaram isso, mas você está bem próximo desse tamanho. Então...
O que constitui carga leve?
Considerando que você tem um domínio com 40 usuários, provavelmente não sofrerá muita carga relacionada à sincronização de domínio em suas máquinas DC. Isso deixa mais sobrecarga para o serviço de arquivo e impressão. Felizmente, arquivar e imprimir (arquivar, mais que imprimir) é um serviço relativamente leve para um escritório de apenas 10 pessoas. Contanto que a máquina seja suficientemente moderna e de classe de servidor, eu executaria as funções DC e Arquivo sem um segundo pensamento.
Isenção de responsabilidade: Sou administrador de uma grande loja e temos administradores de lojas menores que frequentam aqui. Posso estar errado :)
Responder2
Praticamente o único risco real aqui é complicar as coisas - problemas com o lado do AD podem impactar potencialmente o lado do servidor de arquivos (ou vice-versa) de maneiras inesperadas. Isto não deve ser subestimado, mas também não é o fim do mundo. Até mesmo isso pode ser mitigado usando a virtualização para executar dois servidores virtuais em uma caixa para manter as funções separadas - é claro que isso também tem um custo em termos de complexidade, mas nada é gratuito neste mundo.
Você está absolutamente certo de que, idealmente, as pessoas executariam apenas o AD e funções relacionadas em um controlador de domínio, mas muitas pessoas no 'mundo real' adicionam outras funções, e a maioria dessas pessoas no final da 'pequena empresa/filial' as coisas acontecem sem muitos problemas.
Afinal, você precisa ser prático - a Microsoft ainda tem um produto projetado para compartilhar muitas funções voltadas especificamente para pequenas empresas.
Responder3
Estamos executando uma configuração semelhante com dois locais e dois servidores AD/DNS/EX2K/W2K em cada lado em uma caixa. A única desvantagem é a manutenção. Se você precisar retirar uma caixa por qualquer motivo temporariamente, você perderá todos os serviços desse site (trabalhar na sua conexão WAN pode ficar lento)
Estamos executando uma produção 24h/6d em ambos os locais, portanto qualquer manutenção é limitada ao domingo ;-((