Windows：ドメインコントローラは他の機能も提供できますか？

この質問は、ターミナルサービスを実行するためにActive Directoryが必要かどうかについての議論でした。しかし、一連の回答とコメント（主に私）は、ドメインコントローラーに関する関連する質問を持ち出しました。

AD環境でドメインコントローラーを1つだけにするのは明らかに悪い習慣です。また、各ドメインコントローラを個別の（物理または仮想）単一機能サーバーに配置することも明らかにベストプラクティスです。ただし、誰もが常にベストプラクティスに従うことができるとは限りません。

ドメインコントローラーとして他の役割を果たしているサーバーを使用しても問題ありませんか？

サーバーを「デュアルパーパス」にするかどうかを決定する際に考慮すべきことは何ですか？

ドメインコントローラーの役割は、Windowsがファイルシステムまたはハードウェア上で動作する方法を変更しますか？

Windows Serverのバージョンに違いはありますか？

あなたはでき、それは機能します。私には約40の支社があり、政治的な理由により、それぞれに完全なサーバーインフラストラクチャを提供するという管理上の決定がなされました。経済的な理由で、それぞれが単一サーバー環境であったため、すべてDC / File / Exchangeでした（これはWindows 2000の時代でした）。

ただし、その管理は悪夢であり、私の優先ルールは「DCはDCであり、他には何もしない」です。これらはあなたの最も重要なサーバーであり、ADがおかしくなった場合、それを正しく戻すのに恐ろしい時間がかかります。可能であれば、専用のDCの役割を持つことで、これを回避するための最良の機会を自分に与えてください。できない場合は、物乞い、悲鳴、ささやき、賄賂、脅迫、預言、または自分ができる位置に身を置くために必要なことは何でも。

マルチロールドメインコントローラーはかなり一般的です。ただし、実行するほとんどの役割はネットワークインフラストラクチャの役割です。良い例は、ファイルサーバー、DHCP、DNSです。これらは、ターミナルサーバー（ユーザーにはドメインコントローラーにログインする権限がなく、権利の付与にはドメイン管理者が必要であると言われる）、Webアプリケーションサーバー、基幹業務アプリケーションサーバー、ファイアウォール/プロキシ/ ISAサーバーなどには適していません。

私の環境では、DHCPサービスだけでなく、すべての内部DNSサーバーをドメインコントローラーで実行することを好みます。これは、コストを削減し、ハードウェアを最大限に活用するための、DCでの適切な役割の組み合わせのようです。

• ドメインコントローラーとして他の役割を果たしているサーバーを使用しても問題ありませんか？

「ブリキ缶でそれを切ることさえできますが、あなたはしたくないでしょう！」- ポピール氏、歌詞奇妙なアルヤンコビッチ

問題は、おそらくあなたがしたいですか？確かに、ドメインコントローラーをファイルおよびプリントサーバー、SQL Serverボックス、またはその他の任意の数の機能に変えることができます。しかし、これにはマイナス面があります。それは、そのボックスの機能低下の形で支払う代償です。ユーザー数が非常に少ない（25歳から50歳など）場合、または予算の制約に圧迫されており、これを「オールインワン」ボックスにする必要がある場合は、そうすることで回避できます。ただし、パフォーマンスの問題、セキュリティの問題、さらにはサービス間の非互換性の可能性さえあります。「オールインワン」ボックスを実行することは、支払う価格を理解していない巾着屋によって示される邪悪な予算の関数です。

余裕がある場合は、ドメインコントローラを別の箱に入れてください。できれば、可能であれば、サーバーレベルの安価なボックス（おそらく部門レベルのボックス）を入手して、DCサービスをその上に置いてください。次に、そのボックスのツインを取得し、それにDCサービスも配置します。これは、Windowsで必要なモデルであり、実際には、各ドメインに少なくとも2つのドメインコントローラーが必要です。

データベース、電子メール、ファイルと印刷など、最もよく使用されるサービスのビーファーボックスを購入します。これらは、ユーザーが定期的に表示する「毎日」のボックスです。ドメインコントローラーは、ドメイン全体のユーザー資格情報にゴム印を付けるのが最善です。

• サーバーを「デュアルパーパス」にするかどうかを決定する際に考慮すべきことは何ですか？

パフォーマンスレベルの低下を回避できますか？インストールするサービスと他の実行可能なサービスとの間に互換性はありませんか？AD認証に干渉しますか？

• ドメインコントローラーの役割は、Windowsがファイルシステムまたはハードウェア上で動作する方法を変更しますか？

いいえ。ただし、作業負荷が増加します。また、他のWindows以外の機能を統合する場合（たとえば、PAMスタックを使用して、IMAPサービスの一部としてKerberos経由でLinuxボックスを認証する）、そのワークロードが増加すると予想されます。

• Windows Serverのバージョンに違いはありますか？

リリースごとに機能の数が増加しますが、少なくともWindows 2000がより良いとは言えないとしても安全だと言えます。ほとんどの人はWindows 2003（およびいとこ）を使用しており、ファイルサービス、ボリュームシャドウコピーなどの機能強化が含まれています。2008では、さらに機能が強化されています。

Microsoft Small Business Serverは、AD + Exchange +ファイルサーバー+ルーター/ VPNサーバー+ Sharepoint + SQLサーバーなどで、1台のサーバーにまとめられています。そのため、すべての機能を別のサーバーで実行することは、「ベストプラクティス」とは言えません。小さな操作の場合、すべてを異なるハードウェアで実行するのは意味がありません。

まとめると、セキュリティとパフォーマンスのようです。小規模なネットワークでは、パフォーマンスはそれほど問題ではないと思います。ADは、現在組み立て可能な最も安価なサーバーをごくわずかに使用しています。

その時点で、セキュリティとコストを比較検討することができます。これは、すべてのセキュリティの質問が小規模ネットワークで解決するものです...

答えはすべてSmall Business Serverで要約できると思います。

確かに、MSはほぼすべて（AD、Exchange、SQLなど）を1つのボックスに投入できました。しかし、それはがらくたのように実行され、非常に限られた状況でのみ役立ちます。

要するに、あなたはそれを行うことができますか？はい。あなたはそれをすべきですか？私はそれをお勧めしませんが、束縛されている場合は機能します。

パフォーマンスの観点からは、2つのサービスの負荷に依存します。小規模なネットワークでは、DCは問題なくDNSまたはDHCPサーバーとしても機能します。大規模なネットワークでは、問題が発生します。

同じ物理ボックスに複数の「プライマリ」サーバーを配置しないことを強くお勧めします。IE、これがマスターDCである場合、それをセカンダリDNSサーバーまたはバックアップDHCPサーバーとして使用することは許容されます。理由は、1つのボックスで障害が発生して2つのサービスを削除したくない場合です。

Webサーバー（IISやApacheなど）やあらゆる種類のデータベースなど、より要求の厳しいサ​​ービスを実行することはお勧めしません。

同じ物理的なボックスで複数のタイプのサービスを実行することにした場合は、できるだけ「ボックス」のようにボックスを取得し、仮想化サーバーのホストとして使用することを強くお勧めします。このようにして、すべてのサービスは依然としてOSレベルで互いにある程度独立しています。

ドメインコントローラーが他の機能で機能することを本質的に拒否するものはありません。

既存のADインフラストラクチャがあり、ドメインコントローラーが1つしかない場合、別のサーバーを昇格することの欠点は、別のDCを取得することの利点よりも重要であると言えます。

dcpromoを実行した後は、再起動する必要があるため、新しく昇格したマシンによって提供されるサービスはすべて中断されることに注意してください。また、ドメインコントローラのセキュリティポリシーがある場合、それらはそのサーバーに適用されます。

あなたはできるかもしれませんが、なぜあなたはそうしたいのですか？理論的には、サービス全体を同じボックス（Small Business Server）に置くことができます。ただし、何かを実行できるからといって、必ずしもそうする必要があるわけではありません。ドメインコントローラーはADデータベースを保持しているので、印刷（および禁じられた）ファイル共有によってそれを行き詰まらせるリスクを負う場合は、リスクを自分で評価する必要があります。安全にプレイしたい場合は、Linuxサーバーを無料で立ち上げ、それをネットワークファイル共有またはプリントサーバーとして使用し、ドメインサーバーボックスをそのままにしてください。

はい、できますが、セキュリティの観点からは、通常の答えは「いいえ」です。その理由は単純なものです。ドメインコントローラーで実行されている数が多いほど、ボックスを利用するために利用できる表面積が大きくなります。ボックスを取得し、ドメインを取得します。通常、Active Directory統合ゾーンでDNSが実行されているのは珍しいことではありません。ただし、それ以外のことは、小さなお店でサービスを提供するだけの余裕がない場合を除いて、私はノーだと思います。

（私をあまり真剣に受け止めないでください、しかしあなたは私がポイントを持っていることを知っています）

もちろん、VMwareをインストールするだけで、その上にDebianをインストールすれば、優れた多目的サーバーができます。つまり、ホストの負荷が十分に小さい場合です。

ドメインコントローラーを1つだけにするか、SQLボックスで別のDCを実行するかを選択した場合、そのオプションを選択します。

実際、ワークステーションで実行されていたとしても、実際に他の稼働中のサーバーをドメインコントローラーに変換するよりも、仮想サーバーを実行した方がよいでしょう。

私の個人的な意見では、安定性のためには、操作マスターの役割を分割できるようにする最低3つのドメインコントローラーが必要であり、常に少なくとも2つのグローバルカタログが必要ですが、インフラストラクチャマスターはGCであってはならないことを考慮してください。

通常、ドメインコントローラでDNSとDHCPを実行し、少なくとも2つのDCを使用します。個人的には、2つの仮想ホスト（VMware ESXiを実行し、合計3つの仮想ホスト）と1つの物理ホストで仮想DCを実行しています。すべてのDCはDNSサーバーであり、そのうちの2つはDHCPサーバーです（それぞれの範囲の半分を処理します）。仮想化により、タスク固有のVMを簡単に（およびWindowsライセンスの支払い方法に応じて手頃な価格で）作成できます。1つのサーバーを再起動しても他のサーバーに影響を与えないため、分割することをお勧めします。

ただし、私は別の（小規模な）オフィスでSBS 2003を実行しており、再起動のスケジューリングの問題がときどき煩わしいものの、頑丈なサーバーでうまく機能します。SBSは物理的ですが、DCでもあるWindows VMを備えたVMware ESXiを実行している2番目のサーバーがあるため、セカンダリがあります（SBSがFSMOの役割を保持している限り、SBSでは2番目のDCが許可されます）。私はDCが1つあるのが嫌いです。それは回復をより困難にし、ダウンタイムを長くします！

DNSとDHCPに加えて、可能であればDCに提供する印刷物やファイルのようなものだけを追加してみます。他のものは慎重に比較検討する必要があります...そして、可能であれば、プライマリハードウェアで混合する必要がある場合は、デスクトップ/ローエンドサーバーでさえ、セカンダリDC / DNS専用ボックスとして固定します。プライマリがダウンしている場合、非リダンダントハードウェアでさえもアップしている可能性が高く、その逆も同様です（再起動であれ、クラッシュであれ）。