Вопросы Теги

Каковы недостатки создания всех моих контроллеров домена серверов окон?

Проверьте первый хит Google для "эквивалента откуда окна". Необходимо будет записать маленькую утилиту, чтобы сделать это.

5
задан 30 September 2010 в 01:01
3 ответа
  • Контроллеры домена не имеют никаких локальных учетных записей. Таким образом, все работающее на тех машинах должно будет быть реконфигурировано для работы с учетными записями домена.
  • Контроллеры домена никогда не должны создаваться снимки или вернулись к предыдущему изображению любой формы, или Вы встретитесь, USN откатывает сценарии. Это означает при выполнении какого-либо вида решения по оцифровке или виртуализации потерю использования функций создания снимков.
  • Любой локальный администратор контроллера домена является администратором домена.
  • Сетевой трафик и трафик репликации значительно увеличатся.
  • Серверы, расположенные в сегментах сети, разделенных переключателем ACLs или брандмауэры, потребуют, чтобы много дополнительного конфигурирования правил доступа поддерживали достаточный трафик репликации.
  • Ваши разногласия повреждения в увеличениях баз данных AD
  • Вы нарушаете общий принцип защиты наименьшего количества priveledge.
  • Когда в будущем Вы хотите обновить свой доменный уровень функциональности, необходимо будет обновить каждый сервер, который Вы имеете к соответствующей версии, а не просто выделенным контроллерам домена.
  • Годная для использования площадь поверхности Вашего домена увеличится порядками величины, поскольку любые приложения на любом из этих серверов затем станут векторами потенциальной атаки для Вашей доменной инфраструктуры (например, использование SQL может впоследствии привести к Вашему всему поставленному под угрозу домену),
  • Некоторые сервисы не будут функционировать или сильно препятствуются на контроллерах домена (например, Службы удаленных рабочих столов).

Лучший совет, который я могу дать Вам, состоит в том, чтобы выполнить контроллеры домена как очень дискретные объекты везде, где возможный т.е. не загружают сервисов на контроллер домена, который не важен для эксплуатации контроллера домена. Это обычно пропускается с очень небольшими магазинами и особенно Малым бизнесом Сервер по практическим причинам / причинам стоимости, но после того как Вы масштабируетесь кроме того, Вы идеально хотите направиться к точке, где DCS является ПРОСТО DCS, и Вы только выполняете столько DCS, сколько Вам реалистично нужно для соответствующей репликации и отказоустойчивости.

16
ответ дан 3 December 2019 в 00:52
  • 1
    +1 для принципа наименьшего количества priveledge –  knitti 30 September 2010 в 02:49
  • 2
    Добавить примеры до последнего патрона Точки: SharePoint 2010 требует, чтобы некоторая (недокументированная) дополнительная процедура включила Поигравшие в песочнице Решения при работе DC. Кроме того, SQL Server предостережет от установки на DC, по-видимому, из-за "Никаких Локальных Учетных записей" ограничение –  Michael Stum♦ 30 September 2010 в 04:23
  • 3
    Еще один пункт маркированного списка для добавления к списку...... Srsly????????? –  ThatGraemeGuy 30 September 2010 в 11:11

Для добавления к очень хорошему списку, отправленный Chris Thorpe, вот является еще некоторыми причинами, почему выполнение, которое является плохой идеей:

  • Каждый сервер должен будет затем быть уведомлен относительно изменений в Домене.
  • Серверы, которые снижаются в течение любого значительного отрезка времени, могут доставить неприятности репликации.
  • В зависимости от того, насколько большой Ваш домен, это может быть довольно значительная память, сосут.
  • Каждый сервер затем будет в DNS как разрешимый доменным доменом DNS. Получите достаточно серверов, и некоторые клиенты DNS начнут рвать в размере Reponse DNS.
  • Каждый сервер затем разместит все Групповые политики, который имеет его собственный трафик репликации, таким образом, Вы получите непоследовательное покрытие GPO, пока репликация не сходилась, который может занять несколько часов в большой сети DCS.

Действительно, "репликация наверху" аргумент является действительно сильной. Если Вы имеете небольшое количество серверов, локальных друг для друга, говорите под 10, это не столь плохо. После того как Вы добираетесь до больших количеств, особенно если они являются удаленными друг от друга, проблемы начинают увеличивать. Репликация в AD Сайте является one-many, и между сайтами обычно настраиваются с хостами плацдарма, направляющими обновления. Не только AD информация должна копироваться, также - вся информация о Групповой политике (это - то, что хранится в "SYSVOL"), должен копироваться в каждый DC. Это - сетка очень сложной репликации, когда Вы получаете многих DCS в среде, и это намного легче для вещей пойти не так, как надо.

С точки зрения безопасности Вы действительно не хотите потенциальных взломщиков, получающих локальный доступ к DC. Намного легче извлечь хэши пароля всего домена, когда Вы локальны для DC, и с Таблицами Радуги это в значительной степени игра закончена, если Ваши политики паролей не намного более строги, чем являются наиболее часто используемыми сегодня.

7
ответ дан 3 December 2019 в 00:52

Это - очень плохая идея. Я не могу действительно думать о причине сделать это. Многие услуги MS не будут работать или не поддерживаются на DCS. Также любая ошибка или дыра в любом программном обеспечении, которое Вы устанавливаете на DC, рискуют безопасностью Вашего всего домена.

0
ответ дан 3 December 2019 в 00:52
  • 1
    я знаю Exchange, является одним приложением, которое не поддержано на DCS. До другой "очень плохой идеи" - воображают репликацию наверху. –  Cypher 30 September 2010 в 02:10
  • 2
    Exchange поддерживается на DCS, ему просто препятствуют. –  ThatGraemeGuy 30 September 2010 в 11:16

Теги

Похожие вопросы