Windows：域控制器还可以提供其他功能吗？

这个问题是关于是否需要Active Directory来运行终端服务的讨论。但是一连串的答案和评论（主要是我本人）提出了有关域控制器的一个相关问题。

显然，在AD环境中仅拥有一个域控制器是不明智的做法。显然，最好的做法是将每个域控制器都放在单独的（物理或虚拟）单功能服务器上。但是，并非所有人都能始终遵循最佳做法。

可以使用充当其他角色的服务器作为域控制器吗？

在确定是否“双重用途”服务器时应考虑哪些事项？

域控制器角色是否会更改Windows操作文件系统或硬件的方式？

Windows Server的版本之间有区别吗？

您可以并且它有效。我有大约40个分支机构，并且出于政治原因，还做出了管理决定，为每个分支机构提供完整的服务器基础结构。出于财务原因，每个环境都是一个单服务器环境，因此都是DC / File / Exchange（在Windows 2000时代）。

但是，对其进行管理是一场噩梦，我的首选规则是“ DC是DC，而没有其他事情要做”。这些是您最重要的服务器，如果您的广告变得有趣，您将花费大量的时间将其恢复正常。如果可以的话，请通过扮演专门的DC角色来最大程度地避免这种情况。如果不能，请乞讨，尖叫，抱怨，贿赂，威胁，预言，或采取任何措施使自己处于可以的位置。

多角色域控制器非常常见。虽然，他们执行的大多数角色是网络基础结构角色。文件服务器，DHCP和DNS是很好的例子。对于终端服务器（用户没有登录域控制器的权限，并且授予他们所说的授予权限需要域管理员的权限），Web应用程序服务器，业务线应用程序服务器，防火墙/代理/ ISA服务器等而言，它们是糟糕的选择。

在我的环境中，我希望所有内部DNS服务器以及DHCP服务都在域控制器上运行。这似乎是DC角色的良好组合，可以降低成本并充分利用硬件。

• 可以使用充当其他角色的服务器作为域控制器吗？

“你甚至可以用它切一个锡罐，但是你不想！” - Popeil先生，歌词古怪的Al Yankovic的

我想问题是：您想要吗？当然，您可以将域控制器转换为文件和打印服务器，SQL Server框或许多其他功能。但这有一个缺点，那就是要以降低盒子功能的形式付出代价。如果您的用户很少（例如25-50岁以下），或者您受预算限制的困扰，并且需要将其设置为“多合一”框，则可以避免这样做。但是存在性能问题，安全性问题，甚至存在服务之间不兼容的可能性。“合而为一”框是坏账预算的一个功能，这些预算是由不了解自己所要付出的代价的钱包老板制定的。

如果负担得起，请将域控制器放在单独的盒子中。如果可能的话，买个便宜又服务器级的盒子，可能是部门级的盒子，并在上面放置DC服务。然后得到那个盒子的双胞胎，并在上面放置DC服务。这是模型的Windows想你，你真的，真的，应该至少有两个域控制器为每个域。

为那些最常用的服务购买更强壮的盒子-数据库，电子邮件，文件和打印等。这些是用户经常看到的“日常”盒子；域控制器最好是在整个域上留下橡皮图章的用户凭据。

• 在确定是否“双重用途”服务器时应考虑哪些事项？

您能摆脱性能下降的困扰吗？您正在安装的服务与可能运行的任何其他服务之间是否存在不兼容性？会干扰AD身份验证吗？

• 域控制器角色是否会更改Windows操作文件系统或硬件的方式？

不会。但这会增加工作量。并且，如果您集成其他非Windows功能（例如，使用IAM服务的一部分，使用PAM堆栈通过Kerberos验证linux盒），则预计工作量会增加。

• Windows Server的版本之间有区别吗？

每个版本都会增加功能的数量，尽管可以肯定地说您至少需要Windows 2000（如果不是更好的话）。大多数人都使用Windows 2003（和表亲），其中包括对文件服务，卷影复制等的增强。2008年提供了更多增强。

Microsoft小型企业服务器是AD + Exchange +文件服务器+路由器/ VPN服务器+ Sharepoint + SQL Server ..并且更多都集成到单个服务器中。因此，我不会说将所有功能都放在不同服务器上的“最佳实践”。对于小型操作，没有必要在不同的硬件上运行所有内容。

看起来归结为安全性和性能。我认为在小型网络上性能不是什么大问题，AD使用的微薄数量的最便宜服务器现在可以组装在一起。

到那时，您可以权衡安全性与成本之间的关系-这就是所有安全性问题归结为一个小型网络中的原因...

我认为所有答案都可以由Small Business Server总结。

当然，MS能够将几乎所有东西（AD，Exchange，SQL等）扔到一个盒子上。但是它像废话一样运行，仅在非常有限的情况下有用。

简而言之，你能做到吗？是。你应该做吗？我不建议这样做，但是如果您处于绑定状态，它可以工作。

从性能的角度来看，它取决于两个服务的负载。在较小的网络上，DC也可以兼作DNS或DHCP服务器，而不会出现问题。在更大的网络上，它会带来麻烦。

我强烈建议您不要在同一物理设备上放置多个“主”服务器。IE，如果这是您的主DC，则可以将其用作辅助DNS服务器或备用DHCP服务器。原因是，您不希望一个盒子出现故障就取出两个服务。

我强烈不鼓励任何人运行要求更高的服务，例如Web服务器（IIS或Apache等）或任何类型的数据库。

如果您确实决定在同一个物理机箱上运行多种类型的服务，我强烈建议您尽可能“轻松”地使用机箱，并将其用作虚拟服务器的主机。这样，您的所有服务在操作系统级别上仍然彼此独立。

没有任何事情会固有地拒绝域控制器以其他身份运行。

如果您有一个现有的AD基础结构，并且只有一个域控制器，那么说升级另一台服务器的任何缺点将被获得另一个DC的优点所抵消。

请记住，在运行dcpromo之后，您将必须重新启动，因此新升级的计算机提供的任何服务都将被中断。另外，如果您有任何域控制器安全策略，它们将应用于该服务器。

您可以，但是为什么要这么做？从理论上讲，您可以在同一个盒子（小型企业服务器）上拥有整个服务。但是，仅仅因为您可以做某事，并不一定意味着您应该这样做。域控制器拥有AD数据库，因此，如果您想冒着因打印（而禁止）文件共享而陷入困境的风险，则必须评估自己。如果您想安全地使用它，请免费站在Linux服务器上免费使用，并将其用作网络文件共享或打印服务器，并尝试将Domain Server保持原样。

是的，他们可以，但是从安全角度来看，通常的答案是“否”。原因很简单：域控制器上运行的程序越多，则可以利用它来占用更大的表面积。带上盒子，您便拥有了域名。通常，看到DNS与Active Directory集成区域一起运行并不罕见。但是，除此之外，除非您是一家小商店并且根本负担不起提供服务的费用，否则我会拒绝。

（别太把我当回事，但你知道我的意思）

当然，只需安装VMware，然后在其上安装Debian，您将拥有一台出色的多功能服务器。也就是说，如果主机上的负载足够小。

如果我可以选择只使用一个域控制器，或者在SQL框上运行另一个DC，则可以选择该选项。

实际上，我宁愿运行虚拟服务器，也不愿实际上将任何其他工作服务器转换为域控制器-即使该服务器仅在工作站上运行。

我个人的观点是，为了稳定起见，您至少需要三个域控制器，这些域控制器允许您拆分操作主机角色，并且应该始终至少有两个全局目录-但要考虑到基础架构主机不应是GC 。

我通常会在域控制器上运行DNS和DHCP，并且至少有两个DC。就个人而言，我有一个虚拟DC运行在我的两个虚拟主机（运行VMware ESXi，总共三个虚拟主机）和一个物理主机上。所有DC都是DNS服务器，其中两个是DHCP服务器（每个服务器服务范围的一半）。虚拟化使拥有特定任务的VM变得容易（并且取决于您为Windows许可所支付的价格，价格合理），而且我更喜欢将事情分解开来，因为重新启动一台服务器不会影响其他服务器。

但是，我在另一个（较小的）办公室运行SBS 2003，它在强大的服务器上运行良好，尽管重新启动调度问题有时很烦人。SBS是物理的，但是我有第二台运行VMware ESXi的服务器，该服务器具有Windows VM，该Windows VM也是DC，所以我有一个服务器（只要SBS担任FSMO角色，SBS便可以使用第二DC）。我讨厌拥有一个DC，这将使恢复更加困难，并且停机时间更长！

如果可能的话，除了DNS和DHCP外，我将尝试仅将类似打印和/或文件服务的内容添加到DC。其他的则必须仔细权衡...如果可能的话，如果您必须在主要硬件上混合使用，甚至将台式机/低端服务器也用作辅助DC / DNS专用盒。如果您的主服务器关闭，那么即使非冗余硬件也可能启动，反之亦然（无论是重新启动还是崩溃）。