警告:我是 Linux/*NIX 管理員,所以這對我來說是全新的。
我知道僅擁有一個網域控制器並不是一個好主意,而且網域控制器僅執行 AD/DHCP/DNS 也可能是一個好主意(這裡)。我們有兩個辦公室,位置 A 有 30 位用戶,位置 B 有 10 位用戶。我們的兩間辦公室由不是特別強大的 WAN 隔開,因此我被告知我們需要在每個辦公室提供獨立的服務。這意味著根據“最佳實踐”,我們需要在每個辦公室建立一個網域控制器和一個單獨的檔案伺服器。再說一次,我對 Windows 的方式並不了解,但這對一個擁有 40 個使用者的組織來說似乎有點不必要。
人們評論說,只要“負載很輕”,我就可以“擺脫”在網域控制器上運行文件服務的麻煩。這似乎產生的問題多於它給出的答案。
- 什麼是輕載?
- 混合這些角色會產生什麼潛在後果?
理想情況下,我希望每個位置只有一台實體機器。位置 A(有 IT 人員的位置)中的一台可以充當主網域控制器,較小辦公室中的一台可以充當備份網域控制器。如果任一網域控制器發生故障,我們仍然可以使用另一個網域控制器進行身份驗證(儘管有一些延遲),並且如果WAN 連線發生故障,每個辦公室仍然可以存取其各自的「本地」網域控制器。如果檔案服務也在每個伺服器上執行(並與 DFS 之類的東西同步),則可以在冗餘方面進行類似的安排,而無需購買、建置和安裝兩個額外的單獨伺服器。這並不是說我對此持反對態度(嗯,比我一開始就對整件事更不利),但在我簡單的頭腦看來,這似乎有點矯枉過正。當我們談論大型組織時,我絕對可以看到功能分離的好處,但我也需要考慮額外的開銷。
所有這些都不排除為網域控制器設定 DRP。我認為失去兩個網域控制器就像失去一個網域控制器一樣容易。
編輯:我得到的答案確實非常好,但如果可能的話,我想看看硬幣的另一面。混合角色可能會出現什麼問題?對於這種設置,如果每個控制器都執行 Active Directory 並且只執行 Active Directory,我不會冒什麼風險,那麼我會面臨什麼風險?
答案1
「必須啟動」約束確實強烈表明 DC 需要位於第二個站點。很遺憾。為了更好地處理「網路中斷」並節省頻寬,需要在每個位置聲明一個 AD 站點並在每個位置聲明一個 DC。
此外,微軟還銷售他們的小型企業伺服器,這是一種一體機。 DC、交換、文件。一台機器。我不記得他們所宣傳的辦公室規模是多少,但你已經非常接近這個規模了。所以...
什麼是輕載?
考慮到您的網域有 40 個用戶,您的 DC 電腦上可能不會產生大量與網域同步相關的負載。這為文件和列印服務留下了更多的開銷。令人高興的是,文件和列印(文件,不僅僅是列印)對於只有10 人的辦公室來說是一項相對輕量級的服務。文件角色想法。
免責聲明:我是一家大商店的管理員,我們有經常光顧這裡的小商店管理員。我可能偏離了基地:)
答案2
這裡唯一真正的風險是讓事情變得複雜——AD 方面的問題可能會以意想不到的方式影響檔案伺服器端(反之亦然)。這不應被低估,但也不是世界末日。即使這種情況也可以透過使用虛擬化在一個機器上運行兩個虛擬伺服器來保持角色分離來緩解——當然,在複雜性方面這也是有代價的,但世界上沒有什麼是免費的。
你絕對是正確的,理想情況下人們只會在網域控制器上運行 AD 和相關角色,但「現實世界」中的許多人添加其他角色,並且大多數人在「小型企業/分支機構」末端事情這樣做並沒有太多問題。
畢竟,你必須實用——微軟甚至有一款專門針對小型企業的產品,旨在分擔許多角色。
答案3
我們正在運行一個類似的設置,其中一個盒子的每一側都有兩個位置和兩個 AD/DNS/EX2K/W2K 伺服器。唯一的缺點是維修。如果您出於任何原因需要暫時取下一個盒子,您將失去該網站上的所有服務(透過 WAN 連線工作可能會變慢)
我們在兩個站點上進行 24 小時/6 天的生產,因此任何維護僅限於週日;-((