Windows : 도메인 컨트롤러도 다른 기능을 수행 할 수 있습니까?

이 질문 은 터미널 서비스를 실행하기 위해 Active Directory가 필요한지에 대한 토론이었습니다. 그러나 일련의 답변과 의견 (주로 나에 의해)은 도메인 컨트롤러와 관련된 질문을 제기했습니다.

AD 환경에서 하나의 도메인 컨트롤러 만 사용하는 것은 좋지 않습니다. 또한 각 도메인 컨트롤러를 별도 (물리적 또는 가상) 단일 기능 서버에 두는 것이 가장 좋습니다. 그러나 모든 사람이 항상 모범 사례를 따르는 것은 아닙니다.

다른 역할을 수행하는 서버를 도메인 컨트롤러로 사용하는 것이 좋습니까?

서버의 "이중 목적"여부를 결정할 때 고려해야 할 사항은 무엇입니까?

도메인 컨트롤러 역할이 Windows에서 파일 시스템 또는 하드웨어 작동 방식을 변경합니까?

Windows Server 버전간에 차이가 있습니까?

당신은 할 수 있고 작동합니다. 저는 약 40 개의 지사를 운영하고 있으며 정치적인 이유로 각 서버에 전체 인프라를 제공하기로 결정했습니다. 재정적 인 이유로 각각 단일 서버 환경이므로 모든 DC / 파일 / 교환 (Windows 2000 일)이었습니다.

그러나 그것을 관리하는 것은 악몽이며, 내가 선호하는 규칙은 "DC는 DC이며 다른 것은 없습니다"입니다. 이것들은 가장 중요한 서버이며, 광고가 재미있어지면 다시 가져 오는 끔찍한 시간이 있습니다. 가능한 경우 전용 DC 역할을 통해이를 피할 수있는 최상의 기회를 제공하십시오. 당신이 구걸, 비명, whi 속말, 뇌물, 위협, 예언, 또는 당신이 할 수있는 위치에 자신을 배치하는 데 필요한 모든 것을 할 수 없다면.

다중 역할 도메인 컨트롤러는 일반적입니다. 그러나 이들이 수행하는 대부분의 역할은 네트워크 인프라 역할입니다. 좋은 예는 파일 서버, DHCP 및 DNS입니다. 터미널 서버 (사용자는 도메인 컨트롤러에 로그인 할 수있는 권한이없고 권한 부여에 도메인 관리자가 필요하다고 말함), 웹 응용 프로그램 서버, 업무용 응용 프로그램 서버, 방화벽 / 프록시 / ISA 서버 등과 같은 항목에 대한 잘못된 선택입니다.

내 환경에서는 모든 내부 DNS 서버를 도메인 컨트롤러와 DHCP 서비스에서 실행하는 것을 선호합니다. 이것은 비용을 줄이고 하드웨어를 최대한 활용할 수 있도록 DC에서 역할을 적절히 혼합 한 것으로 보입니다.

• 다른 역할을 수행하는 서버를 도메인 컨트롤러로 사용하는 것이 좋습니까?

"당신은 그것으로 깡통을자를 수는 있지만 원하지 않을 것입니다!" - 씨 Popeil , 가사 이상한 알 Yankovic은

나는 그 질문이 : 당신이 하시겠습니까? 물론 도메인 컨트롤러를 파일 및 인쇄 서버, SQL Server 상자 또는 기타 여러 기능으로 전환 할 수 있습니다. 그러나이 기능에는 단점이 있습니다. 그 상자에는 기능이 저하 된 형태로 지불해야합니다. 사용자 수가 적거나 (예 : 25-50 미만) 예산 제약으로 인해이를 "모두 하나로"상자로 만들어야하는 경우 그렇게하지 않아도됩니다. 그러나 성능 문제, 보안 문제 및 서비스 간 비 호환 가능성이 있습니다. "모두 하나로"상자를 만드는 것은 그들이 지불 할 가격을 이해하지 못하는 지갑 관리자가 설정 한 악한 예산의 기능입니다.

여유가 있다면 도메인 컨트롤러를 별도의 상자에 넣으십시오. 가능하다면 서버급 박스 (아마도 부서 급 박스)를 구해 DC 서비스를 제공하십시오. 그런 다음 상자 두 개를 가져 와서 DC 서비스도 제공합니다. 이것은 Windows가 원하는 모델이며 실제로 각 도메인에 대해 최소한 두 개의 도메인 컨트롤러가 있어야합니다.

데이터베이스, 전자 메일, 파일 및 인쇄 등 가장 많이 사용되는 서비스를위한 강화 상자를 구입하십시오. 사용자가 정기적으로 보는 "매일"상자입니다. 도메인 컨트롤러는 도메인 전체에서 가장 고무적인 사용자 자격 증명을 유지하는 것이 가장 좋습니다.

• 서버의 "이중 목적"여부를 결정할 때 고려해야 할 사항은 무엇입니까?

성능 저하 수준으로 벗어날 수 있습니까? 설치하는 서비스와 실행될 수있는 다른 서비스간에 비 호환성이 있습니까? AD 인증을 방해합니까?

• 도메인 컨트롤러 역할이 Windows에서 파일 시스템 또는 하드웨어 작동 방식을 변경합니까?

아니요. 그러나 워크로드가 증가합니다. 또한 Windows 이외의 다른 기능 (예 : PAM 스택을 사용하여 IMAP 서비스의 일부로 Kerberos를 통해 Linux 상자를 인증하는 경우)을 통합하면 해당 워크로드가 증가 할 것으로 예상됩니다.

• Windows Server 버전간에 차이가 있습니까?

각 릴리스는 기능의 수를 증가 시키지만, Windows 2000 이상이 더 좋지 않다고 말하는 것이 안전합니다. 대부분의 사람들은 파일 서비스, 볼륨 섀도 복사본 등에 대한 향상된 기능이 포함 된 Windows 2003 (및 사촌)을 사용합니다. 2008은 훨씬 향상된 기능을 제공합니다.

Microsoft Small Business Server는 AD + Exchange + 파일 서버 + 라우터 / VPN 서버 + Sharepoint + SQL Server입니다. 더 많은 것이 단일 서버로 롤업되었습니다. 따라서 다른 서버에서 모든 기능을 수행하는 '모범 사례'는 말하지 않습니다. 소규모 작업의 경우 다른 하드웨어에서 모든 것을 실행하는 것은 의미가 없습니다.

보안 및 성능으로 귀결되는 것처럼 보입니다. 소규모 네트워크에서는 성능이 크게 문제가되지 않는다고 생각합니다. AD는 현재 가장 저렴한 서버를 사용합니다.

이 시점에서 보안과 비용을 비교할 수 있습니다. 이는 소규모 네트워크에서 모든 보안 질문을 요약 한 것입니다.

Small Business Server에서 모든 답변을 요약 할 수 있다고 생각합니다.

물론 MS는 거의 모든 상자 (AD, Exchange, SQL 등)를 단일 상자에 넣을 수있었습니다. 그러나 그것은 쓰레기처럼 실행되며 매우 제한된 상황에서만 유용합니다.

요컨대, 할 수 있습니까? 예. 해야합니까? 나는 그것을 권장하지 않지만 바인딩에 있으면 작동 할 수 있습니다.

성능 관점에서 두 서비스의로드에 따라 다릅니다. 소규모 네트워크에서는 DC를 문제없이 DNS 또는 DHCP 서버로 두 배로 늘릴 수도 있습니다. 더 큰 네트워크에서는 문제를 요구합니다.

동일한 물리적 상자에 둘 이상의 "기본"서버를 두지 않는 것이 좋습니다. IE, 마스터 DC 인 경우 보조 DNS 서버 또는 백업 DHCP 서버로 사용할 수 있습니다. 이유는 하나의 박스에서 두 개의 서비스를 꺼내는 데 실패하는 것을 원하지 않습니다.

웹 서버 (IIS 또는 Apache 등) 또는 모든 종류의 데이터베이스와 같이 더 까다로운 서비스를 실행하지 못하게하는 것이 좋습니다.

동일한 물리적 상자에서 둘 이상의 유형의 서비스를 실행하기로 결정한 경우 가능한 한 상자의 "경고 함"을 얻고 가상화 된 서버의 호스트로 사용하는 것이 좋습니다. 이런 식으로, 모든 서비스는 여전히 OS 레벨에서 서로 독립적입니다.

도메인 컨트롤러가 다른 용량에서 작동하는 것을 본질적으로 거부하는 것은 없습니다.

기존 AD 인프라가 있고 하나의 도메인 컨트롤러 만있는 경우 다른 서버를 승격시키는 데 따른 단점은 다른 DC를 얻는 이점보다 중요하다고 말하고 싶습니다.

dcpromo를 실행 한 후에는 재부팅해야하므로 새로 승격 된 시스템에서 제공하는 모든 서비스가 중단됩니다. 또한 도메인 컨트롤러 보안 정책이있는 경우 해당 서버에 적용됩니다.

당신은 수 있지만 왜 당신이 하시겠습니까? 이론적으로 동일한 박스 (Small Business Server)에서 전체 서비스를 가질 수 있습니다. 그러나 무언가를 할 수 있다고해서 반드시 그럴 필요는 없습니다. 도메인 컨트롤러는 AD 데이터베이스를 보유하고 있으므로 파일 공유로 인쇄를 중단하고 위험을 감수하려면 자신을 평가해야 할 위험이 있습니다. 안전하게 재생하려면 Linux 서버를 무료로 세우고 네트워크 파일 공유 또는 인쇄 서버로 사용하고 도메인 서버 상자를 그대로 유지하십시오.

그렇습니다.하지만 보안 측면에서 일반적인 대답은 '아니요'입니다. 그 이유는 단순한 것입니다. 도메인 컨트롤러에서 실행되는 것이 많을수록 더 많은 표면 영역을 활용할 수 있습니다. 상자를 가져 가면 도메인이 있습니다. 일반적으로 DNS가 Active Directory 통합 영역에서 실행되는 것을 보는 것은 드문 일이 아닙니다. 그러나 작은 상점이 아니고 단순히 서비스를 중단 할 여유가 없다면 다른 말은 아닙니다.

(나를 진지하게 생각하지 말고 요점을 알고있다)

물론 VMware를 설치하고 데비안에 설치하면 훌륭한 다목적 서버가 있습니다. 즉, 호스트의로드가 충분히 작은 경우입니다.

도메인 컨트롤러를 하나만 선택하거나 다른 DC를 실행하여 SQL 상자에서 말하기를 선택했다면 해당 옵션을 사용합니다.

실제로 워크 스테이션에서만 실행 되더라도 실제로 작동하는 다른 서버를 도메인 컨트롤러로 전환하는 것보다 가상 서버를 실행하는 것이 좋습니다.

내 개인적인 의견은 안정성을 위해 운영 마스터 역할을 분할 할 수있는 최소 3 개의 도메인 컨트롤러가 필요하고 적어도 2 개의 글로벌 카탈로그가 있어야하지만 인프라 마스터는 GC가 아니어야한다는 점을 고려한다는 것입니다 .

일반적으로 도메인 컨트롤러에서 DNS와 DHCP를 실행하고 DC가 두 개 이상 있습니다. 개인적으로 2 개의 가상 호스트 (VMware ESXi 실행, 총 3 개의 가상 호스트)와 1 개의 물리적 호스트에서 가상 DC를 실행하고 있습니다. 모든 DC는 DNS 서버이고 그 중 두 개는 DHCP 서버입니다 (각각 범위의 절반을 제공). 가상화를 사용하면 작업 별 VM을 쉽게 (및 Windows 라이센싱 비용을 지불하는 방식에 따라) 쉽게 할 수 있으며 한 서버를 재부팅해도 다른 서버에는 영향을 미치지 않기 때문에 분할하는 것이 좋습니다.

그러나 SBS 2003을 다른 (더 작은) 사무실에서 실행 중이며 재부팅 예약 문제가 때로는 성가 시긴하지만 강력한 서버에서 잘 작동합니다. SBS는 물리적이지만 DC 인 Windows VM이있는 VMware ESXi를 실행하는 두 번째 서버가 있으므로 보조 서버가 있습니다 (SBS에 FSMO 역할이있는 한 SBS에서 두 번째 DC가 허용됨). 하나의 DC를 사용하는 것이 싫습니다. 복구가 더 어려워지고 중단 시간이 더 길어집니다!

가능한 경우 DNS 및 DHCP 외에 인쇄 및 / 또는 파일을 DC에 제공하는 것과 같은 것을 시도하고 추가하려고합니다. 다른 것들은 신중하게 무게를 측정해야합니다 ... 가능하다면, 데스크탑 / 로우 엔드 서버조차도 2 차 DC / DNS 전용 박스에 꽂아 주 하드웨어에 혼합해야합니다. 기본 시스템이 다운 된 경우 (이는 재부팅 또는 충돌 여부에 관계없이) 비 중복 하드웨어도 작동 될 수 있습니다.