ActiveDirectoryServer и WSUSServer на одном сервере
Я нашел исправление (также Ubuntu 18.04), я понизил рейтинг пакета php-symfony-polyfill-apcu до 1.6.0-2. Похоже, обновленная версия больше не включает все те же файлы, включая файл Symfony/Polyfill/Apcu/autoload.php ', который вызывает эту проблему.
Обычно Devstack подключается к внешнему миру путем конфигурирования внешней сети, не являющейся сетью по умолчанию. См. инструкции в документации Devstack. Ваш FLOATING_RANGE будет 88.198.33.0/27, если я правильно рассчитаю подсеть.
Проблема заключается в параметре Q_FLOATING_ALLOCATION_POOL. Он настраивает один диапазон плавающих IP-адресов, но Hetzner предоставляет четыре отключенных адреса, а не диапазон. Хотя Нейтрон может быть настроен с несколькими диапазонами, Девстак, похоже, не поддерживает это.
Таким образом, у меня есть три предложения. Сначала после настройки Devstack удалите общедоступную подсеть и создайте новую. Также необходимо удалить маршрутизаторы, подключенные к сети общего пользования, и создать новые маршрутизаторы с новой подсетью. Вы, вероятно, можете попробовать это сразу в текущей настройке:
openstack router delete ....
openstack subnet-delete public-subnet
openstack subnet-create \
--subnet-range 88.198.33.0/27 \
--allocation-pool start=88.198.33.10,end=88.198.33.11 \
--allocation-pool start=88.198.33.16,end=88.198.33.16 \
--allocation-pool start=88.198.33.24,end=88.198.33.24 \
--allocation-pool start=88.198.33.26,end=88.198.33.26 \
(other parameters identical to the original subnet)
Second , следуйте инструкциям и установите для FLOATING_RANGE и Q_FLOATING_ALLOCATION_POOL значение 88,198,33,0/27. Затем при создании плавающих IP-адресов укажите IP-адрес
openstack floating ip create --floating-ip-address 88.198.33.11 ...
По умолчанию это может сделать только пользователь admin. Чтобы разрешить пользователю, не являющемуся администратором, указывать IP-адрес, необходимо изменить политику Нейтрона. Я считаю, что соответствующее правило политики - create _ floatingip: floating _ ip _ address .
В-третьих , выполните функцию настройки подсети. Он называется _ neutron _ create _ public _ subnet _ v4 и находится в lib/neutron _ plugins/services/l3 (версия Уссури, но должна быть такой же в более поздних версиях). Это требует немного навыков программирования Баша и некоторого мужества:)
Честно говоря, я ничего из этого не пробовал. Ваш пробег может варьироваться.
-121--479229-Нет. Приложения, отличные от файлового сервера AD DS + DNS +, увеличивают поверхность атаки. Кроме того, управление базой данных управления обновлениями несколько отличается от управления AD DS с точки зрения развертывания, обслуживания и планирования емкости.
Вам нужна очень хорошая причина, чтобы переопределить изоляцию уровня хоста здесь, и вы не предоставили ее.
В контрольных списках соответствия нормативам указывается причина безопасности, если вы хотите что-то указать. STIG, например: Контроллеры домена Windows Server должны работать на компьютере, выделенном для этой функции
Выполнение серверов приложений на одном хост-компьютере с сервер каталогов может существенно ослабить безопасность сервер каталогов. Приложения веб-сервера или сервера баз данных обычно требуют добавление множества программ и учетных записей, усиление атаки поверхность компьютера.
Технически да, вы можете это сделать.
Но не стоит.
Контроллер домена должен делать это и только это (и, конечно, DNS).
Дополнительные технические детали: WSUS требуется IIS, что означает запуск веб-сервера на машине; определенно то, чего следует избегать на DC.
Кстати, если у вас только один DC, создайте еще один. Работа с одним контроллером домена - это самая большая точка отказа, которую вы можете создать в Windows.
Если у вас ограниченные ресурсы, установите Hyper-V в системе и создайте виртуальные машины для каждой службы. Это все еще небезопасно (если сервер сломается, вы облажались), но, по крайней мере, он намного чище. А если что-то пойдет не так, вы можете просто переустановить Windows (или использовать другой физический сервер) и перезапустить виртуальные машины. Обязательно делайте резервные копии.