关于在一台物理服务器上部署多个 的原则

来自：MSN群-邮件技术咨询网 殷杰

首先我来说一下角色部署的道理，我们知道每个产品或者应用的特点是不一样的，比如说，Exchange侧重邮件，ISA侧重安全，因此，每个产品对于服务器得要求也是不同的，这里的要求不单是硬件需求，更重要的是软件需求和安全需求以及环境要求等等。
在早期，我们看到很多产品都需要安装者在安装后进行很多的配置， 这显然降低了产品的易用性，因此，从2003时代以后，微软就把所有的产品都变成了角色部署的方式，也就是说，微软事先定义好了很多的服务器角色，比如：域控制器， 邮箱服务器，客户访问服务器，传输服务器，DNS服务器，应用服务器等等，，这些都是角色，同时微软在内部定义了一套完整的基于角色的措施， 包括安装的组件，安全设置，策略定义，连接等等，这样，管理员要做的就是，确定我要安装的角色，选择该角色安装即可，系统会自动根据你选择的角色进行所有的必要的配置，这样就简化了部署，
你们理解了吗，但是，问题来了
由于角色划分部署的专有性，使得不得不为了部署一个系统花费多台服务器，这对于小企业来说是一个很大的问题，因此微软允许你将多个角色部署在同一物理服务器上，但是，这部等于说你可以随意组合这些角色的，角色之间，我们前面提到有个体的差异，因此组合他们的时候，要根据他们的特点来进行组合，原则如下：
1、负载高的角色不能放在一起
2、安全性差别大的角色不能放在一起
3、特殊角色必须分离
4、基于管理需求合并角色
好，一个一个来解释一下
第一，负载高的角色要分离。每个角色的工作负载是不一样的，比如说，邮箱角色就要比客户访问角色的负载低，但是邮箱角色对磁盘的I/O比传输角色就要大
因此这时，如果你要合并，那么就不能把对磁盘I/O大的角色放在一起，比如exchange邮箱和数据库SQL
2、安全性不一致的要分离，每个角色对于网络得安全和自身的安全设置是不同的，
因此我们要尽量分离安全要求不匹配的角色，比如：ISA和DC
因为ISA是一个防火墙角色，它主要侧重安全性，因此会关闭大部分的端口，应用必要的安全策略
而DC是一个服务类角色，它要求和很多的服务器进行通讯，要求开放动态通讯端口并设置较少的安全策略
因此这两者不能放在一起，否则
ISA会影响DC的工作，而要想让DC正常工作，就必须降低ISA的安全保护级别
3、特殊角色分离，
一些担任特殊功能的角色必须分离，比如边缘传输服务器
由于边缘传输服务器是企业对外的一个屏障，因此为了安全起见，它应该是独立的，且不加入本地域的，因此建议分离，类似的角色还有群集服务器
4、角色合并和管理相关，根据管理最小化原则，每个服务器的管理员应尽量最少，因此近来将属于一个人管理的角色合并在一起
比如DHCP和DNS一般是一个人管理的，可以合并
完了，大家有意见吗