Что учесть при поднятии домена на Windows Server?

Question

[UlarSur]

Стоит задача развернуть домен для взаимодействуя с разными микросистемами с помощью технологии LDAP чтобы решить проблему миллион разных учетных записей. Но перед этим встает несколько вопросов.
1. Какова должна быть мощность сервера для основного контроллера домена ? Например подойдет ли 1 юнитовый 2 процессорный сервер например с ОЗУ 32? (ориентировочно 2к - 5к учеток)
2. Какую выбрать ОС (думаю про Windows Server 2016) ?
3. Сколько резервных контроллеров домена поднять чтобы не терять отказоустойчивость ? (Планировал основной контроллер домена делать на физическом сервере, и еще два поднять на виртуальных машинах. Все хочу попробовать поднять резервные контроллеры домена на Linux с помощью Kerberos. Стоит ли игра свеч ?)
4. Должны ли быть аналогичными по характеристике резервные контроллеры домена ? (Прим. Физ.сервер с ОЗУ 32, если ВМ будет с 16 гб?)
5. Будет ли достаточно иметь 1 физический сервер и 2 на виртуальных машинах ?
6. Операционная система на основном КТ и резервном КТ должны быть аналогичными ? (Можно ли использовать WS 2016 для основного КТ и WS 2012 для резервного КТ ?)
7. Если я здесь что - то не учел посоветуйте на что обратить внимание.

Comments

[Александр]

Я бы учел то. что поддержка Windows для русскоговорящего сегмента прекращена. Чисто из принципа не стал бы.

Answer 1

[pindschik]

Зайду немного с другой стороны и опишу неочевидные новичку вещи...
1) Про "мощность" забудьте, она ниже плинтуса. Но нужен ли вам только контроллер домена? А будет к нему файловый сервер? А желателен ли ему дисковый кэш? А будет дедупликация данных и DFS?
2) Да, старые ОС иногда есть смысл ставить сначала, создавать домен на них, но потом сразу и обязательно мигрировать на свежую ОС и выводить старый из работы. Иногда это решает проблему странных специфических глюков совместимости в разнородной среде. Но ваш ли это случай?
3) Лишнего избыточного не надо, но второй обязателен. И если будут филиалы - функцию запасного можно засчитать как второй контроллер в другом филиале, но... Будет у вас сервер DHCP? А как он будет дублирован? В общем сперва подумайте, сколько конкретно ВАМ надо контроллеров.
С виртуалками есть один нюанс - в домене время должно синхронизоваться, желательно И с внешним источником И внутри. Ставя машины на виртуалке, вы можете забыть снять галку "синхронизация времени", тогда ваша виртуалка станет жить не по времени домена, а по времени гипервизора. С печальным итогом... Еще не додумайтесь оживлять "консервы" - если контролер домена выбыл на ощутимое время из сети (например на месяц) - потом его лучше не возвращать. Он может попортить вам ключи шифрования в домене.
Про линукс забудьте, вам и так проблем на первое время хватит...
4) Характеристики, как я уже писал, пофиг, но если у вас есть DFS и есть несколько серверов с файловым ресурсом - то как минимум не должно случиться переполнения на меньшем по объему диске. А еще есть теневые копии. Стоит под них тоже рассчитывать пространство (например на одном диске в 5ТБ - выделить 1 ТБ, а остальные реплики DFS диски ставить по 4ТБ, но уже без теневых копий).
5) Собственно даже если у вас не будет ни одного сервера на физической машине - ничего страшного в этом нет. Делайте как надо лично вам, рекомендации - просто для сведения.
6) Операционки не имеют значения, но есть такое понятие, как режим контроллера домена - т.е. к первому 2012-му вы сможете потом добавить 2022, но к первому 2022 добавить 2012 не выйдет, если явно не ставить сразу старый режим.
7) Много:

Миграция пользователей - начинайте с молодых и однотипных.

Перемещаемые профили. Раскурите. Очень хорошо потом помогает от воплей ВСЁ ПРОПАЛО! ВСЯ РАБОТА БЫЛА ТОЛЬКО НА РАБОЧЕМ СТОЛЕ! ДИСК СДОХ! ПОЧЕМУ МНЕ КУПИЛИ ДИСК, КОТОРЫЙ ЧЕРЕЗ 8 ЛЕТ СДОХ?! Есть минусы, но там не так всё плохо, и всё настраивается.

Политики безопасности - ВНАЧАЛЕ продумайте, разделяйте и властвуйте. Это ОЧЕНЬ важно.

Ни в коме случае не работайте под админкой администратора домена и не давайте ее пользователям. Организуйте группу локальных админов, которые могут админить только свои ПК. И лучше всего им запретить доступ на всё рабочие станции по сети (от сетевых червей спасёт). А для целей доступа админа по сети - лучше сделать третью группу (например для автоматизированного развертывания ПО).

Сервер печати - сразу все принтеры собирайте на него и раздавайте их через политику. Не надо бегать к каждому пользователю.

Сетевые диски - сразу разворачивайте через DFS и цепляйте через политики. Не делайте по старинке через "расшаривание".

Резервное копирование данных - рассматривайте все, вообще все негативные сценарии, а не только отказ одного диска в RAID массиве. Это может и полный отказ массива, и вполне легитимное удаление данных пользователем, и работа злоумышленника (оборудованного ГОЛОВНЫМ МОЗГОМ), и шифрование в каникулы, чтоб к выходу с них у вас зашифрованные данные оказались и в резервной копии тоже, и т.д. и т.п.

Удаленка - учтите ограничения программ, типа anydesk и сразу думайте про переход на серверы терминалов. А потом вы поймете, что пользователи ВСЕГДА сливают пароли. И к вам на удаленку полезут злоумышленники с головным мозгом. Поэтому для таких случаев двухфакторная авторизация (без паники, это бесплатно).

Себе админку на удаленке не открывайте в интернет. Только VPN, IPSec, Wireguard и т.п.

Гадящие мессенджеры и яндекс-диски - создают 100500 тыщ мильёнов файлов в профиль пользователя. Убираем из синхронизации с серверной копией сразу.

Answer 2

[Роман Безруков]

1. Может и подойдёт - есть документ для расчета необходимых ресурсов.
2. Основная поддержка Windows Server 2016 завершена 11 января 2022г., сейчас он в состоянии расширенной поддержки до 2027 года, при этом получает только обновления безопасности. Обновления, изменяющие/улучшающие функциональность, более недоступны.
3. Это зависит от, например, географической распределенности вашей организации. Если все, условно, в одном городе, то можно и парой КД обойтись. Если в разных городах - то каждый город лучше посадить в отдельный AD-сайт, в каждом сайте - свой КД. Резервные КД на линухе - а зачем? Вы же поднимаете Active Directory явно не просто только для LDAP - захотите политики групповые и т.д. Если вам нужен только LDAP - тогда можно все КД только на линухе поднять (Samba, FreeIPA, OpenLDAP).
4. Рекомендуется иметь одинаковые контроллеры и п.1 в помощь.
5. Вполне может быть достаточно, п.1 в помощь.
6. Можно, но рекомендуется иметь одинаковые ОС на всех КД.
7. География компании (один город/несколько городов) = количество AD-сайтов. Общие корпоративные сервисы (почта, корпоративный портал, документооборот, 1С и т.д). Какие-то специальные сервисы и службы, которые привязываются или могут привязываться к AD...

Answer 3

[hint000]

По мощностям минимум 8 ОЗУ, 2 CPU по 4 ядра, SSD 100GB

У меня на виртуальных машинах работают контроллеры домена, я им выделял по 2 ГБ ОЗУ и по 2 виртуальных ядра. Уже 7+ лет полёт нормальный. Первый год вообще по 1 виртуальному ядру выделял и тоже они нормально выполняли свои функции, но немного напрягало, что когда я заходил внести какие-то изменения, то медленно выполнялись действия, поэтому я увеличил до 2 ядер и стало вообще нормально. Что касается SSD 100GB, у меня контроллеру выделено 30..50 ГБ, из них реально занято 20..25.
До эпохи всеобщей виртуализации в разных конторах ставили контроллеры домена на первые попавшиеся Целероны, которые были слишком слабыми для работы пользователей, а выкидывать было жалко. :) Контроллер домена - одна из самых нетребовательных к железу ролей. Если в принципе серверная винда устанавливается на какое-то железо, то этого хватит и для контроллера домена.
2. 2019. И да, ей хватает 2 ГБ оперативки.
3. Как уже сказали, нет основного и резервного, все равноправны. Для начала достаточно двух. Если сеть распределена географически (не на одной площадке, а в разных частях города или в разных городах), то желательно на каждой площадке иметь контроллер домена.

Все хочу попробовать поднять резервные контроллеры домена на Linux с помощью Kerberos.

Сомневаюсь, что линуксовые контроллеры будут хорошо дружить с виндовым. Или все контроллеры на Linux, или все контроллеры на винде.
4. Как уже сказано выше, резервных нет, все равноправные. Характеристики железа не принципиальны, лишь бы выбранная ОС запускалась и шевелилась на этом железе.
5. Будет достаточно иметь два на виртуальных машинах, но эти ВМ - на разных физических хостах. И эти хосты желательно не включать в домен. С контроллером на голом железе нет проблем, просто это расточительно, если железо приличное; ведь на нём можно было поднять ещё одну или несколько ВМ.
6. Можно разные. У меня так, потому что контроллеры поднимались в разные годы. (Да, в принципе в планах есть поменять старые на новые, но работает и так). Главное, чтобы не было такой древности, как 2003, с ней уже нет совместимости по уровню домена и уровню леса. Даже 2008R2 и 2019 вполне уживаются в реальных условиях. Просто не вижу смысла делать новую установку старой ОС. По потребляемым ресурсам нет разницы, они в любом случае мизерные; устанавливая 2012, вы ничего не выиграете.

Answer 4

[CityCat4]

Что учесть при поднятии домена на Windows Server?

Тот факт, что M$ уже год как не продает лицензии на свои продукты, а с 30 сентября перестанет продлять существующие контракты.
Коробочные продукты - офис, визио - еще продаются, правда цены злющие как собаки.