關于在一台實體伺服器上部署多個 的原則

來自：MSN群-郵件技術咨詢網 殷傑

首先我來說一下角色部署的道理，我們知道每個産品或者應用的特點是不一樣的，比如說，Exchange側重郵件，ISA側重安全，是以，每個産品對于伺服器得要求也是不同的，這裡的要求不單是硬體需求，更重要的是軟體需求和安全需求以及環境要求等等。

在早期，我們看到很多産品都需要安裝者在安裝後進行很多的配置， 這顯然降低了産品的易用性，是以，從2003時代以後，微軟就把所有的産品都變成了角色部署的方式，也就是說，微軟事先定義好了很多的伺服器角色，比如：域控制器， 郵箱伺服器，客戶通路伺服器，傳輸伺服器，DNS伺服器，應用伺服器等等，，這些都是角色，同時微軟在内部定義了一套完整的基于角色的措施， 包括安裝的元件，安全設定，政策定義，連接配接等等，這樣，管理者要做的就是，确定我要安裝的角色，選擇該角色安裝即可，系統會自動根據你選擇的角色進行所有的必要的配置，這樣就簡化了部署，

你們了解了嗎，但是，問題來了

由于角色劃分部署的專有性，使得不得不為了部署一個系統花費多台伺服器，這對于小企業來說是一個很大的問題，是以微軟允許你将多個角色部署在同一實體伺服器上，但是，這部等于說你可以随意組合這些角色的，角色之間，我們前面提到有個體的差異，是以組合他們的時候，要根據他們的特點來進行組合，原則如下：

1、負載高的角色不能放在一起

2、安全性差别大的角色不能放在一起

3、特殊角色必須分離

4、基于管理需求合并角色

好，一個一個來解釋一下

第一，負載高的角色要分離。每個角色的工作負載是不一樣的，比如說，郵箱角色就要比客戶通路角色的負載低，但是郵箱角色對磁盤的I/O比傳輸角色就要大

是以這時，如果你要合并，那麼就不能把對磁盤I/O大的角色放在一起，比如exchange郵箱和資料庫SQL

2、安全性不一緻的要分離，每個角色對于網絡得安全和自身的安全設定是不同的，

是以我們要盡量分離安全要求不比對的角色，比如：ISA和DC

因為ISA是一個防火牆角色，它主要側重安全性，是以會關閉大部分的端口，應用必要的安全政策

而DC是一個服務類角色，它要求和很多的伺服器進行通訊，要求開放動态通訊端口并設定較少的安全政策

是以這兩者不能放在一起，否則

ISA會影響DC的工作，而要想讓DC正常工作，就必須降低ISA的安全保護級别

3、特殊角色分離，

一些擔任特殊功能的角色必須分離，比如邊緣傳輸伺服器

由于邊緣傳輸伺服器是企業對外的一個屏障，是以為了安全起見，它應該是獨立的，且不加入本地域的，是以建議分離，類似的角色還有群集伺服器

4、角色合并和管理相關，根據管理最小化原則，每個伺服器的管理者應盡量最少，是以近來将屬于一個人管理的角色合并在一起

比如DHCP和DNS一般是一個人管理的，可以合并

完了，大家有意見嗎