Jakie są przeciwwskazania do uruchomienia Usług Certyfikacji na kontrolerze domeny?
Czy spotyka się takie rozwiązania w systemach produkcyjnych?
Jakie są przeciwwskazania do uruchomienia Usług Certyfikacji na kontrolerze domeny?
Czy spotyka się takie rozwiązania w systemach produkcyjnych?
Idealnie by było, gdyby CA było osobną maszyną. Jeśli nie możemy przeznaczyć na nie osobnej maszyny, to wtedy DC jest drugim z kolei wyborem. W warunkach produkcyjnych (w laboratoriach MS na autoryzowanych szkoleniach również) regularnie spotyka się CA uruchomione na kontrolerze domeny. Przemawia za tym następujące rozumowanie: skoro CA musi być szczególnie chronione, to która maszyna, z tych które posiadam jest naprawę dobrze chroniona? I odpowiedź nasuwa się przeważnie ta sama: DC.
Pozdrawiam.
Paweł.
Tak, dokładnie zgadzam się w 100% z powyższym wpisem.
Warto jeszcze zaznaczyć jeden istotny fakt, jakim jest brak możliwości dokonywania zmian ról i pewnych ustawień (np. zmiana nazwy serwera), po zainstalowaniu AD CS.
Czyli, mając kontroler domeny z zainstalowanym CA (czy to standalone, czy enterprise) w przypadku dekomisji kontrolera, nie będzie to możliwe (zdjęcie roli AD DS). W pierwszej kolejności należy usunąć/odinstalować role serwera certyfikatów.
Z praktyki wynika, że kontrolery domeny mają krótszy cykl życia niż serwery certyfikatów, więc instalując tę rolę na innym niż dedykowany serwer, szykujemy sobie dodatkową pracę w "niedalekiej" przyszłości.
W przypadku środowisk testowych, to oczywiście jak najbardziej dopuszczalne, gdyż zależy nam na jak najmniejszej ilości wykorzystanych zasobów oraz nie stanowi dla nas większych problemów ewentualne przekonfigurowanie środowiska.
Pozdrowienia.
Krzysztof Pytko.