关于在一台物理服务器上部署多个角色的原则
 
    首先我来说一下角色部署的道理,我们知道每个产品或者应用的特点是不一样的,比如说,Exchange侧重邮件,ISA侧重安全,因此,每个产品对于服务器得要求也是不同的,这里的要求不单是硬件需求,更重要的是软件需求和安全需求以及环境要求等等。
    在早期,我们看到很多产品都需要安装者在安装后进行很多的配置, 这显然降低了产品的易用性,因此,从2003时代以后,微软就把所有的产品都变成了角色部署的方式,也就是说,微软事先定义好了很多的服务器角色,比如:域控制器, 邮箱服务器,客户访问服务器,传输服务器,DNS服务器,应用服务器等等,这些都是角色,同时微软在内部定义了一套完整的基于角色的措施, 包括安装的组件,安全设置,策略定义,连接等等,这样,管理员要做的就是,确定我要安装的角色,选择该角色安装即可,系统会自动根据你选择的角色进行所有的必要的配置,这样就简化了部署但是,问题来了由于角色划分部署的专有性,使得不得不为了部署一个系统花费多台服务器,这对于小企业来说是一个很大的问题,因此微软允许你将多个角色部署在同一物理服务器上,但是,这部等于说你可以随意组合这些角色的,角色之间,我们前面提到有个体的差异,因此组合他们的时候,要根据他们的特点来进行组合,原则如下:
    1、负载高的角色不能放在一起
    2、安全性差别大的角色不能放在一起
    3、特殊角色必须分离
    4、基于管理需求合并角色
好,一个一个来解释一下
    第一,负载高的角色要分离。每个角色的工作负载是不一样的,比如说,邮箱角色就要比客户访问角色的负载低,但是邮箱角色对磁盘的I/O比传输角色就要大
因此这时,如果你要合并,那么就不能把对磁盘I/O大的角色放在一起,比如exchange邮箱和数据库SQL
      第二,安全性不一致的要分离,每个角色对于网络得安全和自身的安全设置是不同的,因此我们要尽量分离安全要求不匹配的角色,比如:ISA和DC因为ISA是一个防火墙角色,它主要侧重安全性,因此会关闭大部分的端口,应用必要的安全策略而DC是一个服务类角色,它要求和很多的服务器进行通讯,要求开放动态通讯端口并设置较少的安全策略因此这两者不能放在一起,否则ISA会影响DC的工作,而要想让DC正常工作,就必须降低ISA的安全保护级别
    第三,特殊角色分离,一些担任特殊功能的角色必须分离,比如边缘传输服务器由于边缘传输服务器是企业对外的一个屏障,因此为了安全起见,它应该是独立的,且不加入本地域的,因此建议分离,类似的角色还有群集服务器
    第四,角色合并和管理相关,根据管理最小化原则,每个服务器的管理员应尽量最少,因此近来将属于一个人管理的角色合并在一起比如DHCP和DNS一般是一个人管理的,可以合并
   
    附上Exchange部署时的一些推荐:
   
    部署07系统一般推荐最少是1台服务器(不含DC),建议是2+2+2+1=7个*(2个邮箱(可以做CCR或SCC)+2个HUB+2个CAS+1个EDGE)*
      
      所以我们现在建议再小企业可以使用虚拟化技术来部署产品,这样既能保证角色部署,又不至于浪费硬件,对于小企业,不建议建立容错机制,可以采用冷备