iT邦幫忙

1

虛擬AD的配置

brisingr 6 月前1829 瀏覽

當初在設定AD時在這裡找到好多實用的資料
先謝謝大家!
因為小弟只是公司相對比較了解MIS就被多指派了這份工作
因此想請教大家一些問題

目前公司server是Dell的T630 E5-2620 v3*1 記憶體18G
裡面已經有ERP(但只有倉儲管理)
使用的電腦數量在15台左右
因為當初升級windows 10便想說剛好趁這個機會引入AD來管理電腦

目前已經設好AD
但有一些疑問google找了滿久也沒有太多答案
因此想上來詢問大家專業的意見

  1. 因為DC應該是要有一台備援,但公司只有一台server,而15台存取的AD應該不會很占資源吧,所以是想詢問如果是這樣的情況下,會建議直接安裝兩台Hyper-v然後一台當主要DC一台當備援嗎? (主要是因為看別人資料說還是要有一台實體,但微軟官方也沒有明確指出一定要有一台實體)
  2. 這台server沒有對外服務,為了減少不必要的危險,目前是從路由器那裡把對外網路鎖起來,想請問大家有沒有這個必要呢?
  3. 已這樣的效能來說如果已經裝了兩台虛擬DC還可以再裝VDI來做文書處理嗎? (因為對於這部分並沒有概念),因為如果可行是想把目前電話系統3CX也移到這上面來使用
  4. 對於檔案保護這一塊還不是很了解,google了一下大多是走解決方案配套,那在公司還沒有這方面的預算下,有甚麼比較可行的作為嗎? (目前是用群輝的NAS配合AD權限管理)

問題有點多,麻煩大家解答了,謝謝

看更多先前的討論...收起先前的討論...
窮嘶發發發 iT邦高手 1 級 ‧ 6 月前 檢舉
1. 我公司 8年前就把 AD 主機虛擬化了,當時人數是 20人,也沒做備援,用到現在很正常
重點在於服務單一化,平時不要濫用他,做一些必要的維護動作就行了
2. 沒有必要這麼做,因為你 15台用戶端,你也許會想掛 WSUS 更新主機,伺服器無法上網,要如何取得更新給用戶端更新呢?
3. 這個等級的電腦不建議拿來當 VDI 主機,效能會很差的
4. 檔案保護你要看要做到什麼程度,單單光是加密就讓人很頭痛,你們的資料假如非常專業不能怕被盜用,那麼才要去考慮加密這件事,否則只要考慮備份就好,把資料備份好,做好備援政策才是正途,至於檔案加密,有時候預算考量會讓你根本無法施行
brisingr iT邦新手 5 級 ‧ 6 月前 檢舉
謝謝你的回覆
大致上了解了,因為最近偶而會有問題但用dcdiag和官方的套件檢查都沒有問題,因此才想說是不是應該要備援比較妥當
對,因為我目前也是卡在這個問題,想要他控制更新,但公司希望越少資料暴露在網路環境中越好
對阿,預算是一個很大的考量,因此才想說問看看有沒有可以先實行的方式,不然也只能等之後有編列這項預算了
感謝你的回覆
窮嘶發發發 iT邦高手 1 級 ‧ 6 月前 檢舉
檔案加密你要考量的是後續的存取方便性,以微軟的 RMS 來說,他對微軟文件的保護會比較方便,如果是繪圖檔案,他很雞肋,沒那麼的好用,至於 EFS ,那是本機加密,但常常看到有人忘記備份本機金鑰,造成一旦重灌,資料就再也回不來了,所有的加密方式你都要特別注意金鑰的問題,因為檔案解鎖就靠他,沒了就沒了,再也找不回來的,當然很多第三方的檔案加密系統可以去評估,只有根據需求評估之後,才能找到你們要的,很多廠商都有很多的加密保護解決方案可以參考,有興趣就自己找找吧
但個人認為,小公司真的靠備份,備份能做好,就非常不容易了,如果要衡量加密,沒預算真的很難施行的,甚至光是備份的預算衡量,對很多的中小企業就蠻吃重的
這些都是管理人員要去思考的問題
brisingr iT邦新手 5 級 ‧ 6 月前 檢舉
對!因為目前就是很兩難,謝謝你提供這個解釋,我會多去了解,目前應該就是先把備份做好,以後再慢慢規劃
0
WilliamHuang
iT邦大師 1 級 ‧ 6 月前

一台實體一台虛擬是COST DOWN
回正題~~~
要兩台虛擬機
請不要再同一台
不然就失去備援的意義
若您是架在6U以上的高階機器另當別論
不然硬體停擺主備援都掛也沒意義

另外建議 主VMWARE 備援Hyper-V
因為VM要錢 Hyper-V有買OS授權就不用錢
(但有些進階功能要錢)

以上只是來打醬油
希望您能找家廠商詢問
但我有點感覺您是想不花錢達到

因為一開始就要用Hyper-V的人不多
(從VM4.0~5.0當初建LAB VM沒掛過Hyper-V掛N次)

希望有幫到您沒嚇到您

brisingr iT邦新手 5 級 ‧ 6 月前 檢舉

你好,謝謝你的回覆
對,因為公司沒有這類相關預算,以前也是電腦可以用就好
大家都推vmware,但以目前的伺服器效能也不足
之後有添購設備可以考慮
我知道很有多解決方案
但如果能自己掌握更能及時處理
謝謝你得回覆

0
begize
iT邦新手 5 級 ‧ 6 月前

預算不足的狀況下,一台實體一台虛擬AD是可以的,甚至一台SERVER一台PC也沒有關係,五大角色記得要設定在SERVER上,但還是要單純化使用~~~
虛擬化,我個人還是比較建議使用VMWARE ESXI,免費版的其實已經夠用了,管理工具安裝好就可以用,至於HPYER-V卡在管理介面環境很麻煩,要設定一堆有的沒有的,而且只能在LAN端使用,跨網段就有問題,VPN也不能用,公司的虛擬我會慢慢的把它弄成VMWARE~~

brisingr iT邦新手 5 級 ‧ 6 月前 檢舉

了解,我目前也是想朝向這個方向,因為只有一台server,好的,因為對虛擬化這塊比較不熟悉,我對針對vm在去做更多了解,謝謝你得回覆

morryboy iT邦新手 1 級 ‧ 6 月前 檢舉

個人認為,也建議你的AD的DC(網域控制站)要多建一部實體的比較好,倘若只有建虛擬化過的AD DC,此時放虛擬機器(guest)的主機(Host)若也同時加入AD,又萬一虛擬的AD DC未啟動,那可能會造成驗證及尋找DC的問題..

0
darkslayer
iT邦好手 1 級 ‧ 6 月前
  1. 兩個VM放在同一實體機上意義不大, 因為實體機掛了也都不能動了.
  2. 確實是會好一點點, 增加了被親難度一點點, 你覺得有必要就鎖吧.
  3. 就你的主機來看, VDI應該開不了幾台, 除非非常必要, 不建議開. 至於電話系統, 因為不清楚他的LOADING, 沒有看法.
  4. 在沒有預算的情況下, 也就只有這樣做了.
darkslayer iT邦好手 1 級 ‧ 6 月前 檢舉

=.= 漏字. 第二點. 被親 ==> 被入侵.

0
as900
iT邦新手 3 級 ‧ 6 月前

1、建议使用两台 DC ,15 台 Client 使用率不会太高的,置于内存,可以启用 Hyper-v 的 Dynamic memory;(DC 可以完全虚拟化的,建议角色单一,不要安装不必要的角色。)

2、这个一般没什么必要的,因为如果你没有做 NAT 的话,应该不会暴露在外網的;

3、就目前的主机资源,就不要考虑 VDI 了,这个很费资源的;

4、关于“檔案保護” 可以使用 AD 结合 NTFS 权限来做;

0
bingo77
iT邦新手 4 級 ‧ 6 月前

你的環境不是很明確,只知道你們有Dell T630一台(?)算很新的,ERP給15人用應該沒有問題,其實可以將備用AD和DHCP放在此機上。如果要虛擬化,可能要重新規劃安裝。
另外備份很重要,除了伺服器本身的備份外,如果沒有第二台伺服器,至少最好將備份的資料copy到另一台電腦上(外接硬碟也好),避免硬體掛掉。

我要發表回答

立即登入回答