具体来说,我应该将哪些角色与其他人隔离开来,等等我是Windows Server管理的新手,但已经做了一些阅读.我已经读过的东西包括

>不要在域控制器上运行RRAS
>尽量避免在域控制器上运行Exchange

我们的办公室有40-50个用户,大约100台个人电脑 – 应该可以了解工作量.

以下是角色列表：

> AD(单林,单域) – 在单独的硬件上冗余
> DNS – 在单独的硬件上冗余
> DHCP
> RADIUS的IAS
> RRAS for VPN
> WSUS
>交流
> IIS(仅限网络邮件)
> KMS
>证书管理器/密钥库服务(不确定名称)

我目前的计划是：

> VM 1：AD,DNS1,DHCP1,IAS,证书管理器
> VM 2：AD,DNS2,KMS,WSUS
> VM 3：Exchange 2010(所有3个角色,我认为我们足够小),IIS
> VM 4：RRAS

我原本希望从2台服务器/虚拟机开始,然后从那里开始,但鉴于我不想在DC上使用Exchange或RRAS,我的假设是配置和安全性的额外服务器许可证的价值是值得的.我不知道是否值得保持一个DC尽可能纯净并且用另一个基本系列加载另一个DC,或者我应该将它们分成50/50.

我应该做出什么样的改变？在少于4个虚拟机中执行此操作是否可行？我还没有发现任何冲突吗？

更新：我正在将两个物理主机之间的VM分开.每个物理主机上有一个DC.