Windows-Server-2008

將我的所有 Windows 伺服器都設為域控制器有什麼缺點?

  • September 30, 2010

正如問題所述,使我的組織中每個功能強大的 Windows 2003 或 2008 Server 都成為域的域控制器有什麼缺點?只是矯枉過正嗎?許多第三方應用程序會爆炸嗎?還有什麼我沒有想到的?

有什麼優勢嗎?

  • 域控制器沒有本地帳戶。因此,在這些機器上執行的所有東西都必須重新配置才能使用域帳戶。
  • 永遠不要對域控制器進行快照或恢復為任何形式的先前映像,否則您將遇到 USN 回滾場景。這意味著,如果您執行任何類型的映像解決方案或虛擬化,您將無法使用快照功能。
  • 域控制器的任何本地管理員都是域管理員。
  • 網路和複製流量將顯著增加。
  • 位於由交換機 ACL 或防火牆分隔的網段中的伺服器將需要配置許多額外的訪問規則以支持足夠的複制流量。
  • AD 數據庫損壞的機率增加
  • 您違反了最小特權的一般安全原則
  • 如果將來您希望升級域功能級別,則必須將您擁有的每台伺服器升級到適當的版本,而不僅僅是專用域控制器。
  • 您的域的可利用表面積將增加幾個數量級,因為任何這些伺服器上的任何應用程序都將成為您域基礎設施的潛在攻擊媒介(例如,SQL 漏洞隨後可能導致您的整個域受到損害)
  • 某些服務在域控制器(例如終端服務)上將無法執行或強烈反對。

我能給你的最佳建議是盡可能將域控制器作為非常離散的實體執行,即不將任何服務載入到域控制器上,這對於域控制器的操作不是必需的。出於實際/成本原因,非常小的商店,尤其是小型企業伺服器通常會忽略這一點,但是一旦超出此範圍,您理想地希望朝著 DC 只是 DC 的方向前進,並且您只執行與實際一樣多的 DC需要足夠的複制和容錯。

引用自:https://serverfault.com/questions/185990