Windows: ¿Pueden los controladores de dominio también cumplir otras funciones?

Esta pregunta fue una discusión sobre si Active Directory es necesario para ejecutar Terminal Services. Pero una cadena de respuestas y comentarios (principalmente por mí) planteó una pregunta relacionada con los controladores de dominio.

Es claramente una mala práctica tener un solo controlador de dominio en un entorno AD. También es claramente la mejor práctica tener cada controlador de dominio en un servidor de función única separado (físico o virtual). Sin embargo, no todos pueden seguir las mejores prácticas todo el tiempo.

¿Está bien usar servidores que cumplen otros roles como controladores de dominio?

¿Qué cosas se deben considerar para determinar si se debe "hacer doble propósito" a un servidor?

¿El rol del controlador de dominio cambia la forma en que Windows opera el sistema de archivos o en el hardware?

¿Hay alguna diferencia entre las versiones de Windows Server?

Puedes y funciona. Tengo alrededor de 40 sucursales y, por razones políticas, se tomó una decisión administrativa para dar a cada uno una infraestructura de servidor completa. Por razones financieras, era un entorno de servidor único en cada uno, por lo que todo es DC / File / Exchange (esto fue en los días de Windows 2000).

Sin embargo, su gestión es una pesadilla, y mi regla preferida es "un DC es un DC y nada más sucede". Estos son sus servidores más importantes, y si su anuncio se vuelve divertido, tendrá un momento horrible para recuperarlo correctamente. Si puedes, date la mejor oportunidad de evitar esto teniendo roles dedicados de DC. Si no puedes, suplica, grita, gime, soborna, amenaza, profetiza o lo que sea necesario para ponerte en una posición donde puedas.

Los controladores de dominio de roles múltiples son bastante comunes. Aunque, la mayoría de los roles que desempeñan son roles de infraestructura de red. Buenos ejemplos son los servidores de archivos, DHCP y DNS. Son malas opciones para cosas como servidores de Terminal Server (los usuarios no tienen derechos para iniciar sesión en un controlador de dominio y otorgarles dichos derechos requiere administradores de dominio), servidores de aplicaciones web, servidores de aplicaciones de línea de negocio, servidores de firewall / proxy / ISA, etc.

En mis entornos, prefiero que todos los servidores DNS internos se ejecuten en controladores de dominio, así como en mis servicios DHCP. Esto parece ser una buena combinación de roles en los DC para reducir los costos y hacer el mejor uso posible del hardware.

• ¿Está bien usar servidores que cumplen otros roles como controladores de dominio?

"Incluso puedes cortar una lata con ella, ¡pero no querrás hacerlo!" - Mr. Popeil , letra de Weird Al Yankovic

Supongo que la pregunta es: ¿quieres? Claro, puede convertir su controlador de dominio en un servidor de archivos e impresión, o un cuadro de SQL Server, o cualquier otra función. Pero hay una desventaja en esto, un precio a pagar en forma de funcionalidad degradada en esa caja. Si tiene muy pocos usuarios (por ejemplo, menores de 25-50), o está limitado por las restricciones presupuestarias y necesita hacer de este un cuadro "todo en uno", puede salirse con la suya. Pero hay problemas de rendimiento, problemas de seguridad e incluso la posibilidad de incompatibilidades entre los servicios. Hacer cajas "todo en uno" es una función de los presupuestos malvados establecidos por los guardianes de las bolsas que no entienden el precio que pagarán.

Si puede permitírselo, coloque el controlador de dominio en una caja separada. Diablos, si es posible, obtenga una caja barata pero de calidad de servidor, probablemente una caja de nivel de departamento, y ponga sus servicios de DC en eso; luego obtenga un gemelo de esa caja y ponga los servicios de DC en eso también. Este es el modelo que Windows quisiera que tuviera, y realmente, realmente , debería tener al menos dos controladores de dominio para cada dominio.

Compre las cajas de beefer para los servicios que más se utilizan: bases de datos, correo electrónico, archivo e impresión, etc. Estas son las cajas "cotidianas" que los usuarios ven regularmente; los controladores de dominio son las mejores credenciales de usuario con sello de goma en todo el dominio.

• ¿Qué cosas se deben considerar para determinar si se debe "hacer doble propósito" a un servidor?

¿Se puede salir con niveles degradados de rendimiento? ¿Habrá una incompatibilidad entre el servicio que está instalando y cualquier otro servicio que pueda ejecutarse? ¿Interferirá con la autenticación AD?

• ¿El rol del controlador de dominio cambia la forma en que Windows opera el sistema de archivos o en el hardware?

No. Pero aumentará su carga de trabajo. Y si integra otras funciones que no son de Windows (por ejemplo, usando una pila PAM para autenticar una caja de Linux a través de Kerberos como parte de un servicio IMAP), entonces espere que la carga de trabajo aumente.

• ¿Hay alguna diferencia entre las versiones de Windows Server?

Cada versión aumenta el número de características, aunque es seguro decir que desea al menos Windows 2000, si no mejor. La mayoría de la gente está en Windows 2003 (y primos), que incluye mejoras en los servicios de archivos, instantáneas de volumen, etc. 2008 proporciona aún más mejoras.

Microsoft Small Business Server es AD + Exchange + Servidor de archivos + enrutador / Servidor VPN + Sharepoint + SQL Server ... y más, todo en un solo servidor. Por lo tanto, no diría que es 'la mejor práctica' tener todas las funciones en un servidor diferente. Para operaciones pequeñas no tiene sentido ejecutar todo en hardware diferente.

Parece que se reduce a Seguridad y Rendimiento. No creo que el rendimiento sea un gran problema en las redes pequeñas, AD usa una cantidad minúscula del servidor más barato que podría reunir en este momento.

En ese momento, puede sopesar la seguridad frente al costo, que es a lo que se reducen todas las preguntas de seguridad en una red pequeña ...

Creo que Small Business Server puede resumir todas las respuestas.

Claro, MS pudo lanzar casi TODO (AD, Exchange, SQL, etc.) en una sola caja. Pero funciona como basura y solo es útil en situaciones muy limitadas.

En resumen, ¿puedes hacerlo? Si. ¿Deberías hacerlo? No lo recomiendo, pero puede funcionar si estás en apuros.

Desde el punto de vista del rendimiento, depende de la carga de los dos servicios. En una red más pequeña, un DC también podría funcionar como un servidor DNS o DHCP sin problemas. En una red más grande, está pidiendo problemas.

Recomiendo encarecidamente que no coloque más de un servidor "primario" en la misma caja física. IE, si este es su DC maestro, sería aceptable usarlo como un servidor DNS secundario o servidor DHCP de respaldo. La razón es que no desea que se elimine una falla en una caja para sacar dos servicios.

Desanimaría a cualquiera que ejecute servicios más exigentes, como un servidor web (IIS o Apache, etc.) o bases de datos de cualquier tipo.

Si decide ejecutar más de un tipo de servicio en la misma caja física, recomendaría encarecidamente obtener una caja lo más "robusta" posible y usarla como host para servidores virtualizados. De esta manera, todos sus servicios siguen siendo independientes entre sí en el nivel del sistema operativo.

No hay nada que inherentemente niegue que un controlador de dominio funcione en otras capacidades.

Si tiene una infraestructura AD existente y solo tiene un controlador de dominio, diría que cualquier inconveniente de promover otro servidor se vería compensado por las ventajas de obtener otro DC.

Recuerde que después de ejecutar dcpromo, tendrá que reiniciar, por lo que se interrumpirá cualquier servicio proporcionado por la máquina recién promovida. Además, si tiene políticas de seguridad de controlador de dominio, se aplicarán a ese servidor.

PODRÍAS, pero ¿por qué quieres hacerlo? Teóricamente, puede tener todo el shebang de servicios en la misma caja (Small Business Server). Sin embargo, el hecho de que PUEDE hacer algo no significa necesariamente que deba hacerlo. El controlador de dominio contiene la base de datos de AD, por lo que si desea arriesgarse a empantanarlo con la impresión (y Dios no lo quiera), entonces es un riesgo que tendrá que evaluar usted mismo. Si quiere jugar de forma segura, ponga de pie un servidor Linux de forma gratuita y úselo como un recurso compartido de archivos de red o servidor de impresión e intente mantener sus cuadros de Servidor de dominio como eso.

Sí, pueden, pero desde una perspectiva de seguridad, la respuesta habitual es no. La razón es simple: cuanto más se ejecuta en un controlador de dominio, mayor es el área de superficie que se puede explotar para tomar la caja. Toma la caja y tendrás el dominio. Por lo general, no es inusual ver DNS ejecutándose con zonas integradas de Active Directory. Sin embargo, cualquier otra cosa, diría que no, a menos que sea una tienda pequeña y simplemente no pueda permitirse el lujo de dividir los servicios.

(No me tomes demasiado en serio, pero sabes que tengo razón)

Claro, solo instale VMware, y en él Debian y tendrá un gran servidor multipropósito. Es decir, si la carga en el host es lo suficientemente pequeña.

Si tuviera la opción de tener un solo controlador de dominio, o ejecutar otro DC en un cuadro SQL, entonces tomaría esa opción.

De hecho, probablemente prefiera ejecutar un Servidor Virtual que convertir cualquier otro servidor en funcionamiento en un controlador de dominio, incluso si solo se ejecuta en una estación de trabajo.

Mi opinión personal es que para la estabilidad necesita un mínimo de tres controladores de dominio que le permitan dividir las funciones del maestro de operaciones, y siempre debe tener al menos dos catálogos globales, pero teniendo en cuenta que el maestro de infraestructura no debe ser un GC .

Por lo general, ejecutaría DNS y DHCP en los controladores de dominio y tendría al menos dos DC. Personalmente, tengo un DC virtual ejecutándose en dos de mis hosts virtuales (ejecutando VMware ESXi, tres hosts virtuales en total) y uno físico también. Todos los DC son servidores DNS, y dos de ellos son servidores DHCP (que sirven a la mitad del rango cada uno). La virtualización hace que sea fácil (y según cómo pague por las licencias de Windows, asequible) tener máquinas virtuales específicas de la tarea, y prefiero dividir las cosas ya que reiniciar un servidor no afectará a otros.

Sin embargo, estoy ejecutando SBS 2003 en otra oficina (más pequeña) y funciona bien en un servidor robusto, aunque el problema de la programación de reinicio a veces es molesto. SBS es físico, pero tengo un segundo servidor que ejecuta VMware ESXi que tiene una VM de Windows que también es un DC, por lo que tengo un secundario (se permite un segundo DC con SBS siempre que SBS tenga roles FSMO). Odio tener un DC, ¡haría la recuperación más difícil y cualquier tiempo de inactividad más largo!

Intentaría agregar solo algo como imprimir y / o servir archivos a un DC si es posible, además de DNS y DHCP. Otros tendrían que ser pesados ​​cuidadosamente ... y si es posible, pegue incluso un servidor de escritorio / de gama baja como una caja secundaria de DC / DNS solo si debe mezclar en el hardware primario. Es probable que incluso el hardware no redundante esté activo si su primario está inactivo y viceversa (ya sea para un reinicio o un bloqueo).