ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

AD、ドメインコントローラーにその他のアプリケーション、役割を入れないほうがいい理由

AD、ドメインコントローラーにその他のアプリケーション、役割を入れないほうがいい理由について、いざ調べてみてもあんまり文書化されている情報がないかもしれませんが、ADは単体で動作させた方がいいとされています。

 

ではAD、ドメインコントローラーにその他のアプリケーション、役割を入れないほうがいい理由について論じられた内容があったので、シェアします。

 

情報元はこちら、海外のテックフォーラムです。

Is it recommended to run other applications on a Domain Controller?

 

以下は質問の抜粋です。

 

古い質問かもしれませんが、ドメインコントローラ上で他のアプリケーションを実行することが推奨されるかどうかを尋ねたいと思います。

 

そして、色々と意見が書かれていてなるほどという感じです。

 

 

以下の回答が分かりやすいですね。

 

一般的に、DCは他に何もない、ただのDCであることが望ましいとされています。そうすることで、リソースの競合や脆弱性の悪用を防ぎ、ダウンタイムの原因となる他のアプリケーションへのパッチ適用を最小限に抑えることができます。また、他のDCを立ち上げるだけで、簡単にDCを交換できることが理想です。DCに他のソフトウェアや役割を持たせると、DCの交換が難しくなります。

 

おそらくドメインコントローラー上で実行するであろうソフトウェアや役割には、通常のものがある。

 

・アンチウィルスソフト(このページで詳しく説明しているように、ADとの衝突を避けるために正しい例外を設定していることを確認すること)
・バックアップエージェント(例:System Center Data Protection Manager)
・監視エージェント(例:System Center Operations Manager)
・パッチ適用と管理(例:System Center Configuration Manager
アイデンティティ管理エージェントまたはコード (例: Forefront Information Lifecycle Management)
DNSロール(Active Directoryとの統合が可能なため)
・ファイルレプリケーションサービスおよび分散ファイルシステムレプリケーション(SYSVOLのレプリケーションに使用される
・管理スクリプト

 

必ずしも推奨されるものではありませんが、DCでは以下のようなものを見かけることがありますが、大きな問題にはならないはずです。

 

・グループポリシーが主要なツールではない場合のセキュリティポリシーソフトウェア
DHCPサービス
トラブルシューティングのためのネットワークパケットキャプチャソフトウェア
・WINS
・パスワードフィルタ
・イベントログ統合プログラム
・鍵管理サービス(KMS)

 

以上、すべてを網羅しているわけではありませんが、一般的なものについては適切なアイデアが得られるでしょう。ただ、DCは交換しやすいように軽くしておくことを忘れないでください。

 

基本的にはセキュリティも重要になりますね。ADは狙われやすいですし、侵害されると被害が大きいので、強固にしておく必要があります。

 

HOMIEE ビジネスバッグ メンズ 就活 リクルートバッグ 大容量 自立 紳士 A4対応 防水 15.6インチ 2WAY ブリーフケース 通勤 出張 男性 カバン 仕事 就職祝い 父の日