Как правильно распределить серверные функциональности?
Кто подскажет, что можно лепить на один сервер, а что нет?
С точки зрения надежности, безопасности, управления.
Например:
Понятно что веб-сервер и AD будут на разных железяках.
Но вот не понятно:
AD и Radius сервер?
AD и AD Federation Services?
Можно ли FS и CA держать на одном сервере?
Можно ил FS держать там же где и IIS?
Или CA и RDP-сервер?
AD, DHCP+DNS или DHCP с DNS вообще лучше на маршрутизаторах держать?
Понятно что самая глупая мысль - держать всё на одном сервере, но не нашёл где-то рекомендаций что с чем может дружить на одном сервере, а что лучше разделить, даже в рамках служб Microsoft
Лучше всего один сервер - одна роль. СА - точно отдельно; IIS - точно отдельно; TS - точно отдельно; DC+DNS+DHCP+NAP - можно на одном совмещать и лучше больше ничего на DC не ставить.
AD и Radius сервер? - можно, но не рекомендуется
AD и AD Federation Services? - можно. Если поднимается ADFS ферма - то лучше отдельно
Можно ли FS и CA держать на одном сервере? - можно, но не рекомендуется. CA - критичный сервис, лучше держать отдельно
Можно ил FS держать там же где и IIS? - можно, но не рекомендуется
Или CA и RDP-сервер? - можно, но не рекомендуется. CA - критичный сервис, лучше держать отдельно. RDS тоже лучше держать отдельно от других сервисов
AD, DHCP+DNS или DHCP с DNS вообще лучше на маршрутизаторах держать? - все можно держать на DC, DNS интегрировать в AD
ITF,
AD + CA на одном сервере - можно совместить в рамках одного сервера, если организация небольшая. Но в целом - не рекомендуется
RDP и FS на втором, и там же IIS внутренний - это больно...
а внешний IIS на виртуалке? - да
ADFS обязан быть отдельно, более того, потребуется еще отдельно ADFS Proxy.
AD вполне совместим с CA - служба CA дает небольшую нагрузку. DNS лучше держать там же, где и AD - два AD, два DNS.
DHCP - в зависимости от того, чем привыкли управлять. На винде DHCP со свистелками и пукалками, на микротике скажем попроще, на линухе совсем брутальный текстовый конфиг :D
RDP, то есть TS обычно держат отдельно.
ITF, Я настройкой федерации не занимался, это делали админы для того, чтобы работал Office 365. Насколько я знаю, чтобы работала авторизация в офисе, чтобы можно было лицензии назначать в личном кабинете на сайте MS. Но сейчас оно может просто не понадобиться - у нас уже месяц как доступ в ЛК заблокирован, мы ударными темпами планируем переход на российский дистриб линуха (ну в смысле, на дистриб из реестра минсвязи)
Я-бы предложил нарисовать граф зависимостей. Картинку со стрелками кто от чего зависит.
И дальше раскидать софт по железкам так чтобы при выходе из строя железки упало по минимуму
зависимых сервисов.
Вот нарисовать такой граф я не могу. Это наверное автор может.
Что бы нарисовать такой граф, нужно понимать зависимость служб друг от друга.
Вопрос вырос из чтения документации, например:
Microsoft не рекомендует размещать контроллер домена и центров сертификации на одном сервере. В
противном случае можно столкнуться со следующими проблемами:
Домен контроллер, установленный на одном сервере с центром сертификации, невозможно
будет ни переименовать, ни понизить. При вызове dcpromo.exe появится сообщение о
необходимости сначала удалить центр сертификации;
На домен-контроллере не установить автономный центр сертификации;
Требуется тщательнее продумывать резервное копирование и восстановление из копии;
Совмещение роли корневого центра сертификации с другими ролями считается
нежелательным с точки зрения безопасности
или
Развернуть AD FS на одном сервере с WAP все равно не получится, мастер установки WAP, обнаружив AD FS, прерывает работу.
И тут по больше части вопрос не в отказоустойчивости, а в тем что они в каком-то смысле будут мешать друг другу.
Средний
