虛擬AD的配置

ad windows server hyper-v 3cx synology

brisingr 2016-10-05 00:11:52 ‧ 6041 瀏覽

當初在設定AD時在這裡找到好多實用的資料
先謝謝大家!
因為小弟只是公司相對比較了解MIS就被多指派了這份工作
因此想請教大家一些問題

目前公司server是Dell的T630 E5-2620 v3*1 記憶體18G
裡面已經有ERP(但只有倉儲管理)
使用的電腦數量在15台左右
因為當初升級windows 10便想說剛好趁這個機會引入AD來管理電腦

目前已經設好AD
但有一些疑問google找了滿久也沒有太多答案
因此想上來詢問大家專業的意見

因為DC應該是要有一台備援，但公司只有一台server，而15台存取的AD應該不會很占資源吧，所以是想詢問如果是這樣的情況下，會建議直接安裝兩台Hyper-v然後一台當主要DC一台當備援嗎? (主要是因為看別人資料說還是要有一台實體，但微軟官方也沒有明確指出一定要有一台實體)
這台server沒有對外服務，為了減少不必要的危險，目前是從路由器那裡把對外網路鎖起來，想請問大家有沒有這個必要呢?
已這樣的效能來說如果已經裝了兩台虛擬DC還可以再裝VDI來做文書處理嗎? (因為對於這部分並沒有概念)，因為如果可行是想把目前電話系統3CX也移到這上面來使用
對於檔案保護這一塊還不是很了解，google了一下大多是走解決方案配套，那在公司還沒有這方面的預算下，有甚麼比較可行的作為嗎? (目前是用群輝的NAS配合AD權限管理)

問題有點多，麻煩大家解答了，謝謝

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2016-10-05 09:30:41 檢舉

1. 我公司 8年前就把 AD 主機虛擬化了，當時人數是 20人，也沒做備援，用到現在很正常
重點在於服務單一化，平時不要濫用他，做一些必要的維護動作就行了
2. 沒有必要這麼做，因為你 15台用戶端，你也許會想掛 WSUS 更新主機，伺服器無法上網，要如何取得更新給用戶端更新呢?
3. 這個等級的電腦不建議拿來當 VDI 主機，效能會很差的
4. 檔案保護你要看要做到什麼程度，單單光是加密就讓人很頭痛，你們的資料假如非常專業不能怕被盜用，那麼才要去考慮加密這件事，否則只要考慮備份就好，把資料備份好，做好備援政策才是正途，至於檔案加密，有時候預算考量會讓你根本無法施行

brisingr iT邦新手 5 級 ‧ 2016-10-06 12:16:26 檢舉

謝謝你的回覆
大致上了解了，因為最近偶而會有問題但用dcdiag和官方的套件檢查都沒有問題，因此才想說是不是應該要備援比較妥當
對,因為我目前也是卡在這個問題,想要他控制更新,但公司希望越少資料暴露在網路環境中越好
對阿,預算是一個很大的考量,因此才想說問看看有沒有可以先實行的方式,不然也只能等之後有編列這項預算了
感謝你的回覆

窮嘶發發發 iT邦高手 1 級 ‧ 2016-10-11 15:28:02 檢舉

檔案加密你要考量的是後續的存取方便性，以微軟的 RMS 來說，他對微軟文件的保護會比較方便，如果是繪圖檔案，他很雞肋，沒那麼的好用，至於 EFS ，那是本機加密，但常常看到有人忘記備份本機金鑰，造成一旦重灌，資料就再也回不來了，所有的加密方式你都要特別注意金鑰的問題，因為檔案解鎖就靠他，沒了就沒了，再也找不回來的，當然很多第三方的檔案加密系統可以去評估，只有根據需求評估之後，才能找到你們要的，很多廠商都有很多的加密保護解決方案可以參考，有興趣就自己找找吧
但個人認為，小公司真的靠備份，備份能做好，就非常不容易了，如果要衡量加密，沒預算真的很難施行的，甚至光是備份的預算衡量，對很多的中小企業就蠻吃重的
這些都是管理人員要去思考的問題

brisingr iT邦新手 5 級 ‧ 2016-10-13 23:27:54 檢舉

對!因為目前就是很兩難，謝謝你提供這個解釋，我會多去了解，目前應該就是先把備份做好，以後再慢慢規劃

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

WilliamHuang

iT邦研究生 1 級 ‧ 2016-10-05 15:34:07

【＊＊此則訊息已被站方移除＊＊】

begize

iT邦新手 4 級 ‧ 2016-10-06 09:21:25

預算不足的狀況下，一台實體一台虛擬AD是可以的，甚至一台SERVER一台PC也沒有關係，五大角色記得要設定在SERVER上，但還是要單純化使用~~~
虛擬化，我個人還是比較建議使用VMWARE ESXI，免費版的其實已經夠用了，管理工具安裝好就可以用，至於HPYER-V卡在管理介面環境很麻煩，要設定一堆有的沒有的，而且只能在LAN端使用，跨網段就有問題，VPN也不能用，公司的虛擬我會慢慢的把它弄成VMWARE~~

回應 2
分享
檢舉

brisingr iT邦新手 5 級 ‧ 2016-10-06 12:21:33 檢舉

了解,我目前也是想朝向這個方向,因為只有一台server,好的,因為對虛擬化這塊比較不熟悉,我對針對vm在去做更多了解,謝謝你得回覆

morryboy iT邦新手 1 級 ‧ 2016-10-15 11:02:14 檢舉

個人認為，也建議你的AD的DC(網域控制站)要多建一部實體的比較好，倘若只有建虛擬化過的AD DC，此時放虛擬機器(guest)的主機(Host)若也同時加入AD，又萬一虛擬的AD DC未啟動，那可能會造成驗證及尋找DC的問題..

登入發表回應

darkslayer

iT邦好手 1 級 ‧ 2016-10-06 17:27:29

兩個VM放在同一實體機上意義不大, 因為實體機掛了也都不能動了.
確實是會好一點點, 增加了被親難度一點點, 你覺得有必要就鎖吧.
就你的主機來看, VDI應該開不了幾台, 除非非常必要, 不建議開. 至於電話系統, 因為不清楚他的LOADING, 沒有看法.
在沒有預算的情況下, 也就只有這樣做了.

回應 1
分享
檢舉

darkslayer iT邦好手 1 級 ‧ 2016-10-06 17:28:58 檢舉

=.= 漏字. 第二點. 被親 ==> 被入侵.

登入發表回應

as900

iT邦研究生 4 級 ‧ 2016-10-08 09:53:14

1、建议使用两台 DC ，15 台 Client 使用率不会太高的，置于内存，可以启用 Hyper-v 的 Dynamic memory；（DC 可以完全虚拟化的，建议角色单一，不要安装不必要的角色。）

2、这个一般没什么必要的，因为如果你没有做 NAT 的话，应该不会暴露在外網的；

3、就目前的主机资源，就不要考虑 VDI 了，这个很费资源的；

4、关于“檔案保護” 可以使用 AD 结合 NTFS 权限来做；

回應
分享
檢舉

登入發表回應

bingo77

iT邦新手 4 級 ‧ 2016-10-09 23:44:08

你的環境不是很明確，只知道你們有Dell T630一台(？)算很新的，ERP給15人用應該沒有問題，其實可以將備用AD和DHCP放在此機上。如果要虛擬化，可能要重新規劃安裝。
另外備份很重要，除了伺服器本身的備份外，如果沒有第二台伺服器，至少最好將備份的資料copy到另一台電腦上(外接硬碟也好)，避免硬體掛掉。