Zum Inhalt wechseln


Foto

mehr als 1 Domain Controller in virtuellen Umgebungen?

Active Directory

  • Bitte melde dich an um zu Antworten
42 Antworten in diesem Thema

#16 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Januar 2015 - 18:40

Und was hat ein Windows UPdate damit zu tun, dass deine VMs nicht laufen? Kann das bei ESX oder Xen und anderen nicht passieren mit deren Updates? Warum wärest du für physische DCs? Warum sollte man ausgerechnet eventuelle SQL Server von den DCs getrennt halten?

Du sprichst in Rätseln ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#17 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 16. Januar 2015 - 19:12

Na ja... ein SQL-Server ist in der Regel an ein lokales Administratorkonto gebunden, das ein DC nicht mehr hat. Diese Tatsache kann unter Umständen zu einem Problem werden. Zum Beispiel dann, wenn man relativ unbedarft sein Passwort für den Domänenadmin ändert.

 

Ansonsten war mein konkretes Problem mit Virtualbox wie hier beschrieben:

https://www.virtualb...rg/ticket/13677

 

Update entfernen und die Sache lief wieder. Wenn die VM einen kritischen Bereich abdeckt, wird sowas dann sehr schnell sehr stressig. Könnte ich mir zumindest vorstellen.

 

Ob das bei anderen Virtualisierungsmethoden nicht auch passieren kann, weiß ich nicht. Aber ich könnte mir das ähnlich problematisch vorstellen. Außerdem kann ich mich noch gut an das "Gejammere" eines ehemaligen Studienkollegen erinnern. Er sollte als Bachelorarbeit einen Teamcenter Server virtualisieren. Das war wohl nicht gerade einfach.

 

Aus diesen Gründen wäre ich im Moment eher für die physischen Varianten bei einem DC.


Bearbeitet von willy-goergen, 16. Januar 2015 - 19:20.


#18 Doso

Doso

    Board Veteran

  • 2.508 Beiträge

 

Geschrieben 16. Januar 2015 - 19:21

Ich habe das schon mehrfach gelesen, wird wie eine Mantra vorgetragen, was ich vermisse ist die logische Begründung.

 

Alles vor 2012 hatte da ein paar böse Fallen in der Virtualisierung. Snapshot gemacht, Snapshot zurückgespielt, AD kaputt. Alle DCs virtualisiert im Failover Cluster mit Cluster Shared Volume, Stromausfall alles down. Hyper-V Cluster braucht AD zum starten des Clusters und des CSV, aber AD kann nicht gestartet werden weil die ja virtualisiert sind. Bin mir nicht sicher ob das nun bei 2012 (R2) so noch seine Berechtigung hat, aber Schaden kann es wohl nicht.


Ob das bei anderen Virtualisierungsmethoden nicht auch passieren kann, weiß ich nicht.

 

Ach sowas kommt überall vor, selten zwar, aber kommt vor:

http://www.hyper-v-s...uster-abstrzen/

http://up2v.nl/2014/...-v2-e7-v2-cpus/



#19 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Januar 2015 - 19:41

Na ja... ein SQL-Server ist in der Regel an ein lokales Administratorkonto gebunden, das ein DC nicht mehr hat. Diese Tatsache kann unter Umständen zu einem Problem werden. Zum Beispiel dann, wenn man relativ unbedarft sein Passwort für den Domänenadmin ändert.


Ähm 1. gibt's auch auf Domänencontrollern die Möglichkeit mehr als einen Admin zu erstellen und zweitens trifft das für alles zu, nicht nur für SQL Server. ;)

Ansonsten war mein konkretes Problem mit Virtualbox wie hier beschrieben:
https://www.virtualb...rg/ticket/13677


Weißt du den Unterschied zwischen Typ-1 und Typ-2 Hypervisor? ;)
 
 

Ob das bei anderen Virtualisierungsmethoden nicht auch passieren kann, weiß ich nicht. Aber ich könnte mir das ähnlich problematisch vorstellen.


Siehe Frage nach dem Typ. Probleme gibt's immer mal, aber auf welcher Ebene ist manchmal entscheidend. ;)

Außerdem kann ich mich noch gut an das "Gejammere" eines ehemaligen Studienkollegen erinnern. Er sollte als Bachelorarbeit einen Teamcenter Server virtualisieren. Das war wohl nicht gerade einfach.


Ach Gottchen. ;) Wenn ich mich an diverses "Gejammere" von diversen Leuten immer erinneren würde... ;)

 

Aus diesen Gründen wäre ich im Moment eher für die physischen Varianten bei einem DC.


Das sind doch keine plausiblen Gründe. ;) Wie wärs denn bspw. mit den Vorteilen, dass du einen virtuellen DC quasi hardwareunabhängig einfach weiterbetreiben kannst, obwohl sich dein Server grad verabschiedet hat und du jetzt statt eines IBM einen neuen Dell Server bekommen hast? Oder dass du die Hardwareressourcen sinnvoller nutzen kannst, denn ein DC, der nur DC ist idlet ja nur rum auf einem halbwegs aktuellen Server. Und jetzt komm nicht mit dem Argument, dass eine wichtige Rolle wie der DC auf irgendeiner Gurkenhardware laufen sollte. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#20 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 16. Januar 2015 - 19:55

Ähm 1. gibt's auch auf Domänencontrollern die Möglichkeit mehr als einen Admin zu erstellen und zweitens trifft das für alles zu, nicht nur für SQL Server. ;)
 

 

Das setzt aber auch das entsprechende Wissen voraus. Das weiß sicher nicht jeder. Ebenso könnte man sagen, man passt das Anmeldekonto für den Dienst an. 

 

 

Weißt du den Unterschied zwischen Typ-1 und Typ-2 Hypervisor?  ;)
...

Siehe Frage nach dem Typ. Probleme gibt's immer mal, aber auf welcher Ebene ist manchmal entscheidend.  ;)
 

 

Leider nein... Ich hab sicher noch viel zu lernen. Aber leider auch einen Job, der mich persönlich interessiert. ;)

 

 

Das sind doch keine plausiblen Gründe.  ;) Wie wärs denn bspw. mit den Vorteilen, dass du einen virtuellen DC quasi hardwareunabhängig einfach weiterbetreiben kannst, obwohl sich dein Server grad verabschiedet hat und du jetzt statt eines IBM einen neuen Dell Server bekommen hast?

 

 

Bei dieser Fragestellung denke ich eigentlich an ein geeignetes Backup, das sich sehr schnell auf neue Hardware aufspielen lässt.

 

Virtualsierung macht durchaus Sinn. Du schreibst es ja schon. Aktuelle Hardware langweilt sich schon fast mit nur einem Betriebssystem. Wie ich das genau angehen könnte, darüber muss ich nochmal nachdenken.



#21 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 16. Januar 2015 - 20:02

Das setzt aber auch das entsprechende Wissen voraus. Das weiß sicher nicht jeder. Ebenso könnte man sagen, man passt das Anmeldekonto für den Dienst an.


Wo ist bei obigen "Varianten" der Unterschied? 
 
 

Leider nein... Ich hab sicher noch viel zu lernen. Aber leider auch einen Job, der mich persönlich interessiert. ;)


Und der Weg zu Wikipedia war dir jetzt zu weit, oder wie? ;)
 

Bei dieser Fragestellung denke ich eigentlich an ein geeignetes Backup, das sich sehr schnell auf neue Hardware aufspielen lässt.


Dann hast du 1. eine Abhängigkeit mehr (nämlich von Hardware _und_ Backup/Restore-Software) und 2.hoffentlich schonmal versucht im "Notfall" einen physischen DC auf unterschiedlicher Hardware zum Fliegen zu bringen. Ich würde sagen ich bin mit einer VM deutlich fixer wieder am Start. Versteh mich nicht falsch, ich hab auch gern noch einen physischen DC, aber der ist weder zwingend noch unbedingt bei allem nur mit Vorteilen behaftet. ;)

Virtualsierung macht durchaus Sinn. Du schreibst es ja schon. Aktuelle Hardware langweilt sich schon fast mit nur einem Betriebssystem. Wie ich das genau angehen könnte, darüber muss ich nochmal nachdenken.


Dann denk nochmal.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#22 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 16. Januar 2015 - 20:32

 

Wo ist bei obigen "Varianten" der Unterschied? 
 

 

Den Unterschied gibt's vielelicht nicht. Stimmt...

In solchen Situationen weiß man hoffentlich, wohin die Reise gehen soll.

 

 

 

Und der Weg zu Wikipedia war dir jetzt zu weit, oder wie? ;)
 

Dann hast du 1. eine Abhängigkeit mehr (nämlich von Hardware _und_ Backup/Restore-Software) und 2.hoffentlich schonmal versucht im "Notfall" einen physischen DC auf unterschiedlicher Hardware zum Fliegen zu bringen. Ich würde sagen ich bin mit einer VM deutlich fixer wieder am Start. Versteh mich nicht falsch, ich hab auch gern noch einen physischen DC, aber der ist weder zwingend noch unbedingt bei allem nur mit Vorteilen behaftet. ;)


Dann denk nochmal.

Bye
Norbert

 

Den Ernstfall müsste ich mal simulieren. Sehr angenehm wird das wahrscheinlich nicht.

Allerdings glaube ich, dass ein neuer Server kaum sehr schnell abrauchen wird und ich ihn deswegen auf anderer Hardware wieder herstellen müsste. 

 

Auf jeden Fall würde ich für so einen DC einen Wartungsvertrag abschließen, der mir garantiert, dass ich die defekte Hardware möglichst zeitnah ersetzt bekomme.

 

Ansonsten bin ich manchmal wohl eher faul. Das hast du gar nicht so falsch erkannt. ;)


Bearbeitet von willy-goergen, 16. Januar 2015 - 20:32.


#23 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 16. Januar 2015 - 22:35

Na ja... ein SQL-Server ist in der Regel an ein lokales Administratorkonto gebunden, das ein DC nicht mehr hat. Diese Tatsache kann unter Umständen zu einem Problem werden. Zum Beispiel dann, wenn man relativ unbedarft sein Passwort für den Domänenadmin ändert.


Hmm, dann hab ich ja alles falsch gemacht. Das lokale Adminkonto wird nicht für den SQL Server verwendet, der SQL Server wird mit einem eigenen Domain-Account betrieben. Wer den SQL Server mit dem Domain-Admin Account im Einsatz hat, hat etwas falsch gemacht.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#24 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 17. Januar 2015 - 16:43

 

Ich habe das schon mehrfach gelesen, wird wie eine Mantra vorgetragen, was ich vermisse ist die logische Begründung.

 

Edgar, wenn Du mit Hpyer-V virtualisierst und die Hosts Mitglied der Domäne sind, deren virtuelle DCs auf ihnen laufen, kann das ganz leicht ein Henne-Ei-Problem werden, wenn Du die Hosts booten mußt... Oder "ein Host fällt aus, der andere bootet versehentlich neu". Während des Boots gibt es dann keine DCs, und wenn Du cached credentials abgeschaltet und den -500 deaktiviert hast, kann das böse werden.

Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#25 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 17. Januar 2015 - 17:04

Alle diese Probleme lassen sich aber auch lösen, ohne einen physischen DC zu nutzen. ;)

Make something i***-proof and they will build a better i***.


#26 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 17. Januar 2015 - 17:13

Ja - man muß nur "vorher" dran denken und nicht "hinterher" :D

Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#27 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 17. Januar 2015 - 17:50

Ja das nennt man "Planung"

Make something i***-proof and they will build a better i***.


#28 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 17. Januar 2015 - 18:05

Edgar, wenn Du mit Hpyer-V virtualisierst und die Hosts Mitglied der Domäne sind, ......

 

Martin, müssen die Hosts denn Mitglied der Domäne sein? Ist das zwingend?


Bearbeitet von lefg, 17. Januar 2015 - 18:09.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#29 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 17. Januar 2015 - 18:33

Der größte Nachteil von einem physischen Domänecontroller ist eine potentielle Wiederherstellung. Sie besteht in der Wiederherstellung vom "system state" Backup. Wenn man das auf einer anderen Hardware durchführt, gibt es eine große Wahrscheinlichkeit, dass es nicht klappt. Glaubt mir, ich habe diese Versuche auf HP Proliant Servers von den verschiedenen Generationen gemacht und es hat nicht funktioniert. Bei den virtuellen DCs gibt es dieses Problem nicht. Wenn man ein wirklicher Plan von "disaster recovery" vorbereiten will, soll man diese Situation einbeziehen.

Außerdem unterstützt Microsoft vollauf die Virtualisierung der DCs. Lest über "VM Generation ID" Attribut - http://technet.micro...y/hh831734.aspx. Man kann sogar ein Snapshot vom DC wiederherstellen und Hyper-V erkennt diese Lage so es keinen Replikationfehler auftreten wird.

 

Grüße

Marcin



#30 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 17. Januar 2015 - 19:11

Martin, müssen die Hosts denn Mitglied der Domäne sein? Ist das zwingend?


Bei hyper-v Cluster ja.

Bearbeitet von NorbertFe, 17. Januar 2015 - 19:11.

Make something i***-proof and they will build a better i***.




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory