विंडोज: क्या डोमेन नियंत्रक अन्य कार्यों को भी पूरा कर सकते हैं?

यह प्रश्न इस बारे में चर्चा थी कि टर्मिनल सेवा को चलाने के लिए सक्रिय निर्देशिका आवश्यक है या नहीं। लेकिन जवाब और टिप्पणियों की एक श्रृंखला (ज्यादातर मेरे द्वारा) डोमेन नियंत्रक के आसपास एक संबंधित प्रश्न लाया।

AD वातावरण में केवल एक डोमेन नियंत्रक होना स्पष्ट रूप से खराब अभ्यास है। यह एक अलग (भौतिक या आभासी) एकल फ़ंक्शन सर्वर पर प्रत्येक डोमेन नियंत्रक के लिए स्पष्ट रूप से सबसे अच्छा अभ्यास है। हालांकि, हर कोई हर समय सर्वोत्तम प्रथाओं का पालन नहीं कर सकता है।

क्या डोमेन नियंत्रक के रूप में अन्य भूमिकाओं को भरने वाले सर्वर का उपयोग करना ठीक है?

यह निर्धारित करने में किन चीजों पर विचार किया जाना चाहिए कि क्या "दोहरे उद्देश्य" एक सर्वर है?

क्या डोमेन नियंत्रक भूमिका बदलती है कि विंडोज फाइल सिस्टम या हार्डवेयर पर कैसे संचालित होता है?

क्या विंडोज सर्वर के संस्करणों में अंतर है?

आप कर सकते हैं और यह काम करता है। मेरे पास लगभग 40 शाखा कार्यालय हैं और - राजनीतिक कारणों से - प्रत्येक पूर्ण सर्वर अवसंरचना देने के लिए एक प्रबंधन निर्णय किया गया था। वित्तीय कारणों से यह प्रत्येक में एकल-सर्वर वातावरण था, इसलिए यह सभी डीसी / फ़ाइल / एक्सचेंज है (यह विंडोज 2000 दिनों में था)।

हालांकि, इसका प्रबंधन एक बुरा सपना है, और मेरा पसंदीदा नियम है "एक डीसी एक डीसी है और इस पर कुछ और नहीं चलता है"। ये आपके सबसे महत्वपूर्ण सर्वर हैं, और यदि आपका विज्ञापन मज़ेदार है, तो आपके पास इसे वापस सही समय पर प्राप्त करने का एक भयानक समय होगा। यदि आप कर सकते हैं, तो अपने आप को समर्पित डीसी भूमिकाएं करके इससे बचने का सबसे अच्छा मौका दें। अगर आप भीख नहीं मांग सकते, चीख-चीखकर, फुसफुसाते हुए, रिश्वत देते हुए, धमकाते हुए, भविष्यद्वाणी करते हैं, या जो कुछ भी अपने आप को उस स्थिति में डाल देता है, जहां आप कर सकते हैं।

मल्टी-रोल डोमेन नियंत्रक बहुत आम हैं। हालाँकि, वे जो भी भूमिकाएँ निभाते हैं, वे नेटवर्क इन्फ्रास्ट्रक्चर की भूमिकाएँ होती हैं। अच्छे उदाहरण फ़ाइल सर्वर, डीएचसीपी और डीएनएस हैं। वे टर्मिनल सर्वर जैसी चीजों के लिए खराब विकल्प हैं (उपयोगकर्ताओं के पास डोमेन नियंत्रक में प्रवेश करने के अधिकार नहीं हैं और उन्हें कहा कि अधिकार अनुदान के लिए डोमेन व्यवस्थापक की आवश्यकता है), वेब एप्लिकेशन सर्वर, व्यावसायिक ऐप सर्वर की लाइन, फ़ायरवॉल / प्रॉक्सी / आईएसए सर्वर, आदि।

अपने वातावरण में, मैं सभी आंतरिक डीएनएस सर्वर को डोमेन कंट्रोलरों के साथ-साथ मेरी डीएचसीपी सेवाओं पर चलाना पसंद करता हूं। यह लागत को कम करने और हार्डवेयर का सर्वोत्तम उपयोग संभव बनाने के लिए डीसी पर भूमिकाओं का एक अच्छा मिश्रण प्रतीत होता है।

• क्या डोमेन नियंत्रक के रूप में अन्य भूमिकाओं को भरने वाले सर्वर का उपयोग करना ठीक है?

"आप इसके साथ एक टिन काट भी सकते हैं, लेकिन आप ऐसा नहीं करना चाहेंगे!" - श्री पोपिल , गीत अजीब अल यांकोविक

मुझे लगता है कि सवाल यह है: क्या आप चाहते हैं? ज़रूर, आप अपने डोमेन नियंत्रक को फ़ाइल और प्रिंट सर्वर, या SQL सर्वर बॉक्स, या किसी भी अन्य कार्यों में बदल सकते हैं। लेकिन इसके लिए एक नकारात्मक पहलू है, उस बॉक्स पर अपमानित कार्यक्षमता के रूप में भुगतान करने की कीमत। यदि आपके पास बहुत कम उपयोगकर्ता हैं (25-50 के तहत कहते हैं), या आप बजट की कमी से परेशान हैं और आपको इसे "सभी में एक" बॉक्स बनाने की आवश्यकता है, तो आप ऐसा करने से दूर हो सकते हैं। लेकिन प्रदर्शन मुद्दों, सुरक्षा मुद्दों, और यहां तक ​​कि सेवाओं के बीच असंगतियों के लिए क्षमता भी हैं। "ऑल इन वन" बॉक्सों को रखने वाले बर्ड्स का एक कार्य है, जो कि पर्सर्स-ऑफ-द-पुरस्ट्रेस द्वारा निर्धारित किया जाता है जो उस कीमत को नहीं समझते हैं जो वे भुगतान करेंगे।

यदि आप इसे वहन कर सकते हैं, तो डोमेन नियंत्रक को एक अलग बॉक्स पर रखें। बिल्ली, यदि संभव हो तो, एक सस्ता अभी तक सर्वर-ग्रेड बॉक्स, शायद एक विभाग-स्तरीय बॉक्स प्राप्त करें, और उस पर अपनी डीसी सेवाएं डालें; फिर उस बॉक्स का एक जुड़वा लें, और उस पर भी डीसी सेवाएं डालें। यह वह मॉडल है जो विंडोज आपको पसंद करेगा, और आप वास्तव में, वास्तव में , प्रत्येक डोमेन के लिए कम से कम दो डोमेन नियंत्रक होना चाहिए।

उन सेवाओं के लिए मधुमक्खी के बक्से खरीदें जो सबसे अधिक उपयोग किए जाते हैं - डेटाबेस, ईमेल, फ़ाइल और प्रिंट, आदि। ये "रोज़" बक्से हैं जो उपयोगकर्ता नियमित रूप से देखते हैं; डोमेन नियंत्रकों को डोमेन के दौरान सबसे अच्छा रबर-स्टैम्पिंग उपयोगकर्ता क्रेडेंशियल्स छोड़ दिया जाता है।

• यह निर्धारित करने में किन चीजों पर विचार किया जाना चाहिए कि क्या "दोहरे उद्देश्य" एक सर्वर है?

आप प्रदर्शन के स्तर में गिरावट के साथ दूर कर सकते हैं? क्या आपके द्वारा इंस्टॉल की जा रही सेवा और चलने वाली किसी भी अन्य सेवाओं के बीच असंगति होगी? क्या यह AD प्रमाणीकरण के साथ हस्तक्षेप करेगा?

• क्या डोमेन नियंत्रक भूमिका बदलती है कि विंडोज फाइल सिस्टम या हार्डवेयर पर कैसे संचालित होता है?

नहीं, लेकिन यह उसके कार्यभार को बढ़ाएगा। और यदि आप अन्य गैर-विंडोज़ फ़ंक्शंस को एकीकृत करते हैं (कहते हैं, एक IMAM सेवा के हिस्से के रूप में कर्बेरोस के माध्यम से एक लिनक्स बॉक्स को प्रमाणित करने के लिए PAM स्टैक का उपयोग करते हैं) तो उम्मीद है कि वर्कलोड में वृद्धि होगी।

• क्या विंडोज सर्वर के संस्करणों में अंतर है?

प्रत्येक रिलीज़ सुविधाओं की संख्या को बढ़ाता है, हालांकि यह कहना सुरक्षित है कि आप कम से कम विंडोज 2000 चाहते हैं यदि बेहतर नहीं है। अधिकांश लोग विंडोज 2003 (और चचेरे भाई) पर हैं, जिसमें फ़ाइल सेवाओं के लिए एन्हांसमेंट शामिल हैं, वॉल्यूम छाया प्रतिलिपि, आदि 2008 और भी अधिक एन्हांसमेंट प्रदान करता है।

Microsoft छोटा व्यवसाय सर्वर AD + Exchange + फ़ाइल सर्वर + राउटर / VPN सर्वर + शेयरपॉइंट + SQL सर्वर .. और सभी एक ही सर्वर में लुढ़का हुआ है। इसलिए मैं इसके 'सबसे अच्छे अभ्यास' को किसी भिन्न सर्वर पर प्रत्येक फ़ंक्शन के लिए नहीं कहूंगा। छोटे ऑपरेशन के लिए यह अलग हार्डवेयर में सब कुछ चलाने के लिए समझ में नहीं आता है।

ऐसा लगता है कि यह सुरक्षा और प्रदर्शन के लिए उबलता है। मुझे नहीं लगता कि प्रदर्शन छोटे नेटवर्क पर बहुत अधिक समस्या है, ईडी सबसे सस्ता सर्वर की एक छोटी राशि का उपयोग करता है जिसे आप अभी एक साथ रख सकते हैं।

उस बिंदु पर, आप बस सुरक्षा बनाम लागत का वजन कर सकते हैं - जो कि सभी सुरक्षा प्रश्नों को एक छोटे नेटवर्क में उबालने के लिए है ...

मुझे लगता है कि सभी उत्तर लघु व्यवसाय सर्वर द्वारा अभिव्यक्त किए जा सकते हैं।

ज़रूर, एमएस एक बॉक्स पर लगभग हर (एडी, एक्सचेंज, एसक्यूएल, आदि) को फेंकने में सक्षम था। लेकिन यह बकवास की तरह चलता है और बहुत सीमित स्थितियों में ही उपयोगी होता है।

संक्षेप में, क्या आप इसे कर सकते हैं? हाँ। क्या आपको करना चाहिए? मैं इसकी अनुशंसा नहीं करता, लेकिन यदि आप किसी बंधन में हैं तो यह काम कर सकता है।

एक प्रदर्शन के दृष्टिकोण से, यह दो सेवाओं के भार पर निर्भर करता है। एक छोटे नेटवर्क पर, कोई DC बिना किसी समस्या के DNS या DHCP सर्वर के रूप में दोगुना हो सकता है। एक बड़े नेटवर्क पर, यह परेशानी पूछ रहा है।

मैं अत्यधिक इस बात पर जोर दूंगा कि आप एक ही "प्राथमिक" सर्वर को एक ही भौतिक बॉक्स पर नहीं डालते हैं। IE, यदि यह आपका मास्टर डीसी है, तो इसे द्वितीयक DNS सर्वर या बैकअप डीएचसीपी सर्वर के रूप में उपयोग करना स्वीकार्य होगा। कारण, आप दो सेवाओं को लेने के लिए एक बॉक्स पर एक विफलता नहीं चाहते हैं।

मैं किसी को भी अधिक मांग वाली सेवाओं, जैसे वेब सर्वर (IIS या Apache, आदि) या किसी भी प्रकार के डेटाबेस को चलाने से बहुत हतोत्साहित करूंगा।

यदि आप एक ही भौतिक बॉक्स पर एक से अधिक प्रकार की सेवा चलाने का निर्णय लेते हैं, तो मैं बहुत संभव है कि एक बॉक्स के "मांसल" के रूप में प्राप्त करूं, और वर्चुअलाइज्ड सर्वर के लिए एक मेजबान के रूप में इसका उपयोग करूं। इस तरह, आपकी सभी सेवाएँ अभी भी OS स्तर पर एक दूसरे से कुछ हद तक स्वतंत्र हैं।

ऐसा कुछ भी नहीं है जो अन्य क्षमताओं में कार्य करने से डोमेन नियंत्रक से स्वाभाविक रूप से इनकार करता है।

यदि आपके पास एक मौजूदा AD अवसंरचना है और आपके पास केवल एक डोमेन नियंत्रक है, तो मैं कहूंगा कि किसी अन्य सर्वर को बढ़ावा देने की कोई भी कमियां किसी अन्य डीसी को मिलने वाले लाभों से प्रभावित होंगी।

याद रखें कि आप dcpromo चलाने के बाद, आपको रिबूट करना होगा, इसलिए नई पदोन्नत मशीन द्वारा प्रदान की गई कोई भी सेवा बाधित होगी। साथ ही, यदि आपके पास कोई डोमेन नियंत्रक सुरक्षा नीतियाँ हैं, तो वे उस सर्वर पर लागू होंगी।

आप COULD करें लेकिन आप क्यों करना चाहेंगे? सैद्धांतिक रूप से आपके पास एक ही बॉक्स (स्माल बिज़नेस सर्वर) पर सेवाओं की पूरी शेबंग हो सकती है। सिर्फ इसलिए कि आप कुछ कर सकते हैं, हालांकि, जरूरी नहीं कि आपको इसका मतलब होना चाहिए। डोमेन कंट्रोलर AD डेटाबेस को रखता है इसलिए यदि आप उस बोगिंग को जोखिम में डालना चाहते हैं जो मुद्रण (और भगवान न करे) फ़ाइल शेयरिंग के साथ है तो यह एक जोखिम है जिसका आपको खुद आकलन करना होगा। यदि आप इसे सुरक्षित रूप से खेलना चाहते हैं तो एक लिनक्स सर्वर को मुफ्त में खड़ा करें और इसका उपयोग नेटवर्क फाइल शेयर या प्रिंट सर्वर के रूप में करें और अपने डोमेन सर्वर बक्से को बस के रूप में रखने का प्रयास करें।

हां, वे कर सकते हैं, लेकिन सुरक्षा के दृष्टिकोण से, सामान्य उत्तर नहीं है। कारण एक सरल है: एक डोमेन नियंत्रक पर जितना अधिक चल रहा है, उतना अधिक सतह क्षेत्र जो बॉक्स लेने के लिए शोषण किया जा सकता है। बॉक्स लें और आपको डोमेन मिल गया है। आमतौर पर DNS को सक्रिय निर्देशिका एकीकृत ज़ोन के साथ चलते देखना असामान्य नहीं है। हालाँकि, कुछ और, मैं कहूंगा कि जब तक आप एक छोटी दुकान नहीं हैं और बस सेवाओं को तोड़ने का जोखिम नहीं उठा सकते।

(मुझे बहुत गंभीरता से न लें, लेकिन आप जानते हैं कि मेरे पास एक बिंदु है)

ज़रूर, बस VMware स्थापित करें, और उस पर डेबियन और आपके पास एक महान बहुउद्देश्यीय सर्वर है। यही है, अगर मेजबान पर लोड काफी छोटा है।

अगर मेरे पास सिर्फ एक डोमेन कंट्रोलर होने का विकल्प होता है, या SQL बॉक्स पर किसी अन्य DC को चलाने का विकल्प होता है, तो मैं वह विकल्प चुनूंगा।

वास्तव में, मैं शायद एक वर्चुअल सर्वर को चलाने की तुलना में वास्तव में किसी भी अन्य कार्यशील सर्वर को एक डोमेन नियंत्रक में बदल रहा हूं - भले ही वह सिर्फ एक कार्य केंद्र पर चल रहा हो।

मेरी व्यक्तिगत राय है कि स्थिरता के लिए आपको न्यूनतम तीन डोमेन नियंत्रकों की आवश्यकता होती है, जो आपको ऑपरेशन मास्टर भूमिकाओं को विभाजित करने की अनुमति देता है, और आपके पास हमेशा कम से कम दो वैश्विक कैटलॉग होने चाहिए - लेकिन यह ध्यान में रखते हुए कि घुसपैठ मास्टर जीसी नहीं होना चाहिए ।

मैं आमतौर पर DNS और डीएचसीपी को डोमेन कंट्रोलर पर चलाता हूं, और कम से कम दो डीसी हैं। व्यक्तिगत रूप से, मेरे पास मेरे दो वर्चुअल होस्ट्स (VMware ESXi, तीन वर्चुअल होस्ट कुल मिलाकर) चल रहे हैं और एक फिजिकल डीसी भी है। सभी डीसी DNS सर्वर हैं, और उनमें से दो डीएचसीपी सर्वर हैं (प्रत्येक सीमा के आधे हिस्से की सेवा)। वर्चुअलाइजेशन यह आसान बनाता है (और यह निर्भर करता है कि आप कार्य-विशिष्ट VMs के लिए Windows लाइसेंसिंग, सस्ती के लिए कैसे भुगतान करते हैं), और मैं बहुत से चीजों को विभाजित करना पसंद करता हूं क्योंकि एक सर्वर रिबूट करने से दूसरों पर कोई प्रभाव नहीं पड़ेगा।

हालांकि, मैं SBS 2003 को दूसरे (छोटे) कार्यालय में चला रहा हूं और यह एक बीफ सर्वर पर अच्छी तरह से काम करता है, हालांकि रिबूट शेड्यूलिंग मुद्दा कभी-कभी कष्टप्रद होता है। SBS भौतिक है, लेकिन मेरे पास एक दूसरा सर्वर है जो VMware ESXi पर चल रहा है, जिसमें एक Windows VM है जो एक DC भी है, इसलिए मेरे पास एक सेकंडरी है (SBS के साथ SBS के रूप में लंबे समय तक SBS की FSMO भूमिकाएँ निभाने की अनुमति है)। मुझे एक डीसी होने से नफरत है, यह वसूली को और अधिक कठिन और किसी भी समय को कम कर देगा!

मैं कोशिश करूंगा कि DNS और डीएचसीपी के अलावा, यदि संभव हो तो केवल एक डीसी को प्रिंट और / या फ़ाइल की तरह कुछ जोड़ें। दूसरों को सावधानी से तौला जाना चाहिए ... और यदि संभव हो, तो एक माध्यमिक डीसी / डीएनएस बॉक्स के रूप में एक डेस्कटॉप / कम अंत सर्वर भी छड़ी करें यदि आपको प्राथमिक हार्डवेयर पर मिश्रण करना होगा। यहां तक ​​कि यदि आपका प्राथमिक नीचे है और इसके विपरीत (चाहे वह रिबूट या क्रैश के लिए हो) गैर-निरर्थक हार्डवेयर होने की संभावना है।