来自:MSN群-邮件技术咨询网 殷杰
 
首先我来说一下角色部署的道理,我们知道每个产品或者应用的特点是不一样的,比如说,Exchange侧重邮件,ISA侧重安全,因此,每个产品对于服务器得要求也是不同的,这里的要求不单是硬件需求,更重要的是软件需求和安全需求以及环境要求等等。
在早期,我们看到很多产品都需要安装者在安装后进行很多的配置, 这显然降低了产品的易用性,因此,从2003时代以后,微软就把所有的产品都变成了角色部署的方式,也就是说,微软事先定义好了很多的服务器角色,比如:域控制器, 邮箱服务器,客户访问服务器,传输服务器,DNS服务器,应用服务器等等,,这些都是角色,同时微软在内部定义了一套完整的基于角色的措施, 包括安装的组件,安全设置,策略定义,连接等等,这样,管理员要做的就是,确定我要安装的角色,选择该角色安装即可,系统会自动根据你选择的角色进行所有的必要的配置,这样就简化了部署,
你们理解了吗,但是,问题来了
由于角色划分部署的专有性,使得不得不为了部署一个系统花费多台服务器,这对于小企业来说是一个很大的问题,因此微软允许你将多个角色部署在同一物理服务器上,但是,这部等于说你可以随意组合这些角色的,角色之间,我们前面提到有个体的差异,因此组合他们的时候,要根据他们的特点来进行组合,原则如下:
1、负载高的角色不能放在一起
2、安全性差别大的角色不能放在一起
3、特殊角色必须分离
4、基于管理需求合并角色
好,一个一个来解释一下
第一,负载高的角色要分离。每个角色的工作负载是不一样的,比如说,邮箱角色就要比客户访问角色的负载低,但是邮箱角色对磁盘的I/O比传输角色就要大
因此这时,如果你要合并,那么就不能把对磁盘I/O大的角色放在一起,比如exchange邮箱和数据库SQL
2、安全性不一致的要分离,每个角色对于网络得安全和自身的安全设置是不同的,
因此我们要尽量分离安全要求不匹配的角色,比如:ISA和DC
因为ISA是一个防火墙角色,它主要侧重安全性,因此会关闭大部分的端口,应用必要的安全策略
而DC是一个服务类角色,它要求和很多的服务器进行通讯,要求开放动态通讯端口并设置较少的安全策略
因此这两者不能放在一起,否则
ISA会影响DC的工作,而要想让DC正常工作,就必须降低ISA的安全保护级别
3、特殊角色分离,
一些担任特殊功能的角色必须分离,比如边缘传输服务器
由于边缘传输服务器是企业对外的一个屏障,因此为了安全起见,它应该是独立的,且不加入本地域的,因此建议分离,类似的角色还有群集服务器
4、角色合并和管理相关,根据管理最小化原则,每个服务器的管理员应尽量最少,因此近来将属于一个人管理的角色合并在一起
比如DHCP和DNS一般是一个人管理的,可以合并
完了,大家有意见吗