Besser die Dateidienstrolle mit der Active Directory DC-Rolle ODER mit der RDS Terminal Server-Rolle teilen?

7

Wir sind ein kleines Unternehmen, das einen neuen Server einrichtet ... das Budget ist natürlich begrenzt.

Ich muss ca. 500 GB Daten freigeben, die lokal auf dem einzelnen Server gespeichert werden müssen.

Host-Server: Dell Poweredge T610, 24 GB RAM, Xeon-CPU, RAID6 4 TB usw.

Windows Server 2012 R2 STANDARD-Lizenz, auf dem Host installierte HYPER-V-Kernrolle. ' -VM1: Active Directory DC / DNS / DHCP -VM2: RDS-Terminalserver

Meine Frage ist, auf welcher VM soll ich die Dateidienstrolle und die Dateiserverdaten VHDX speichern? Ich würde eine zweite VHDX für die Dateien erstellen, aber an welche sollte ich sie anhängen und die Rolle ausführen?

Mein erster Gedanke war der RDS-Server, weil Sie keine Dateiserver auf einem DC ausführen sollten, da er den Schreibcache usw. deaktiviert. Ich befürchte jedoch, dass einige unserer schrecklichen Legacy-Apps möglicherweise lokalen Administratorzugriff auf den RDS-Server erfordern, der diese Datei erstellt Berechtigungen sind nutzlos, daher ist es besser, sie von der DC-VM aus zu hosten, damit wir Berechtigungen erzwingen können (wir können uns keine andere Server 2012-Lizenz leisten, um Dateidienste auf einer separaten VM zu speichern) ... aber deaktiviert Active Directory das Schreib-Caching ALLE Festplatten / angeschlossene VHDX oder nur auf der, auf der sich die Verzeichnisdatenbank befindet?

Vielen Dank!

user181683
quelle
1
Warum nicht eine dritte VM für die Dateiserverrolle hochfahren?
Joeqwerty

Antworten:

12

Eine dritte VM wäre natürlich die wünschenswerteste, aber natürlich kostet eine andere Windows Server-Lizenz Geld.

Active Directory deaktiviert das Schreib-Caching nur auf Volumes, auf denen sich die Datenbankdateien befinden. Das Hinzufügen eines dedizierten Volumes für den Dateidienst wäre in dieser Hinsicht in Ordnung.

Von allen Rollen, die auf einem Domänencontroller "gemeinsam genutzt" werden sollen, ist ein Dateiserver aus Sicherheitsgründen wahrscheinlich am wenigsten besorgniserregend, da AD die Datei- und Druckfreigabe bereits für SYSVOL verwendet. Sie fügen keine Angriffsfläche hinzu, solange Sie AD-bezogene Dateien nicht unangemessen freigeben.

Evan Anderson
quelle
Vielen Dank für die Antwort - etwas, an das ich gerade gedacht habe, das ich möglicherweise berücksichtigen muss - was ist mit der SMB-Signierung? Wenn ich das ausschalten musste, um die Leistung auf der AD VM zu erhöhen, erhöht dies auch die Angriffsfläche :( obwohl dies nur ein kleines Unternehmen ist.
user181683
Ich habe noch nie von jemandem gehört, der jemals die SMB-Signierung in einer Umgebung aus Leistungsgründen deaktiviert hat. Ich kann mir nicht vorstellen, dass es ein Problem sein wird.
Evan Anderson