none
AD Connect a DC role RRS feed

  • Dotaz

  • Prosím o názor. Na serveru 2008 se nedoporučovalo instalovat AD Connect na server, který byl zároveň DC. Jak je to nyní s verzí 2019? Platí to stále? Na webu MS jsou protichůdné informace.

    1. Instalace Azure AD Connect na řadiči domény se nedoporučuje kvůli postupy zabezpečení a víc omezující nastavení, které mohou zabránit v instalaci správně Azure AD Connect.

    a o pár řádků níže je uvedeno

    2. Azure AD Connect musí být nainstalována v systému Windows Server 2008 R2 nebo novější. Tento server musí být připojené k doméně a může být řadič domény nebo členském serveru.

    Tak a teď si mám vybrat. Pro mě by bylo výhodné mít to na serveru, kde běží DC, protože na dalším poběží RDS a na další SQL.

    Děkuji.

    úterý 10. září 2019 13:42

Odpovědi

  • Technicky to fungovat bude. Rozhodně je to ale nedoporučený postup. Na DC nepatří nic než věci spojené s DC. Navíc DC by vůbec nemělo být připojené k internetu, což je v rozporu s požadavky AAD Connect, který naopak připojení z logiky věci vyžaduje. A tohle jsou jen naprosto základní doporučení z pohledu bezpečnosti - ještě jsme se nedostali k třívrstvému modelu :-) Ale na druhou stranu jsou firmy, které mají jeden server, kde mají vše - DC, RDS, file server, print server, databáze, nedejbože web, ...

    Suma sumárum - chceš-li doporučení, pak to na DC rozhodně nepatří. Chceš-li kašlat na doporučení, pak to technicky fungovat bude.


    • Upravený Lukas Beran středa 11. září 2019 19:34
    • Navržen jako odpověď Filip Švejcar středa 11. září 2019 20:54
    • Označen jako odpověď Michal13 pátek 13. září 2019 8:32
    středa 11. září 2019 19:34

Všechny reakce

  • Náš implementátor také nedoporučoval AD Connect na DC a tak jsme jej provozovali na jiném serveru, updatem databáze jsem AD Connect rozbil a následně po konzultaci (lehké skřípění zuby ohledně best practice) jsem jej rozjel na jednom z našich DC (aktuálně Win 2016) a již dlouhou dobu žádný problém, občas jen updatnu verzi.

    Filip

    úterý 10. září 2019 16:12
  • Technicky to fungovat bude. Rozhodně je to ale nedoporučený postup. Na DC nepatří nic než věci spojené s DC. Navíc DC by vůbec nemělo být připojené k internetu, což je v rozporu s požadavky AAD Connect, který naopak připojení z logiky věci vyžaduje. A tohle jsou jen naprosto základní doporučení z pohledu bezpečnosti - ještě jsme se nedostali k třívrstvému modelu :-) Ale na druhou stranu jsou firmy, které mají jeden server, kde mají vše - DC, RDS, file server, print server, databáze, nedejbože web, ...

    Suma sumárum - chceš-li doporučení, pak to na DC rozhodně nepatří. Chceš-li kašlat na doporučení, pak to technicky fungovat bude.


    • Upravený Lukas Beran středa 11. září 2019 19:34
    • Navržen jako odpověď Filip Švejcar středa 11. září 2019 20:54
    • Označen jako odpověď Michal13 pátek 13. září 2019 8:32
    středa 11. září 2019 19:34