Zum Inhalt wechseln


Foto

mehr als 1 Domain Controller in virtuellen Umgebungen?

Active Directory

  • Bitte melde dich an um zu Antworten
42 Antworten in diesem Thema

#31 lefg

lefg

    Expert Member

  • 20.478 Beiträge

 

Geschrieben 17. Januar 2015 - 19:21

Danke Norbert :)


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#32 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 17. Januar 2015 - 22:29

Moin,

 

also, bitte mal langsam. Hier gehen dann doch ein paar Dinge durcheinander.

 

  • Es spricht nichts dagegen, DCs als VM zu betreiben.
  • Wenn man DCs virtuell betreibt, sollte man ein paar Sachen bleiben lassen. Snapshots gehören immer noch dazu, auch mit Windows Server 2012.
  • Windows Server 2012 und VM-Generation-ID schaffen das Risiko von Fehlern nicht aus der Welt.
  • Auch mit VM-Generation-ID sind Snapshots zum DC-Recovery nicht empfohlen.
  • VM-Snapshots sind für die meisten Applikationen nicht unterstützt.
  • VM-Snapshots sind in der Regel nicht als Recovery-Methode geeignet.
  • Es gibt mehr als nur einen Grund, einen DC pro Domäne physisch zu betreiben, mindestens aber außerhalb der "zentralen" Virtualisierungsumgebung.
  • Man sollte mehr als nur ein Backup von einer Domäne haben.
  • Es ist von Vorteil, (mindestens) ein Systemstate Backup auf einer VM zu erzeugen.
  • Es ist durchaus möglich, den Systemstate eines physischen DC auf einem anderen Server wiederherzustellen, meist aber deutlich aufwändiger als einen VM-Systemstate auf einer anderen, gleichartigen VM wiederherzustellen.
  • Windows-Clusterserver müssen Mitglied einer Domäne sein.
  • Sofern die Clusterserver als Domänenmitglieder ordentlich laufen und nach der vollständigen Einrichtung sich an die Domäne erfolgreich angemeldet haben, brauchen sie bei späteren Neustarts nicht zwingend Kontakt zu einem DC. Sie kommen aber auch weiter nicht dauerhaft ohne Domäne aus.
  • Es ist technisch nicht nötig, Hyper-V-Hostserver in eine Domäne aufzunehmen. Es ist in den meisten Situationen aber mit vielen Vorteilen für Betrieb und Verwaltung verbunden.
  • Hyper-V-Hostserver müssen nicht in derselben Domäne sein wie die VMs, die auf ihnen laufen.
  • Auch Virtualisierungsumgebungen, die nicht unter Hyper-V laufen, haben in der Praxis meist faktische Abhängigkeiten zum AD bzw. den Komponenten des AD, was einer der Gründe für mindestens einen phyisischen bzw. mindestens "separaten" DC ist.
  • Und um zum Thread zurückzukehren: In Umgebungen mit mehr als ca. 10 Benutzern ist es dringend anzuraten, mehr als einen DC pro Domäne zu betreiben. Anderenfalls kann der Ausfall eines "einzigen" DCs unangemessen hohen Aufwand nach sich ziehen.
  • Auch bei knappen Budgets ist ein zusätzlicher DC nicht unerschwinglich. Man kann ihn durchaus sinnvoll für einen Betrag von 1000 Euro inkl. Lizenz bekommen, wobei 1500 Euro i.d.R. schon ein wirklich brauchbares System ergeben.

So.

 

Gruß, Nils


  • Doso gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#33 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 17. Januar 2015 - 22:35

Das hast du schön gesagt.

Make something i***-proof and they will build a better i***.


#34 NeMiX

NeMiX

    Board Veteran

  • 1.356 Beiträge

 

Geschrieben 17. Januar 2015 - 22:56

 

  • VM-Snapshots sind für die meisten Applikationen nicht unterstützt.
  • VM-Snapshots sind in der Regel nicht als Recovery-Methode geeignet

 

Wenn nur diese beiden Punkte verinnerlicht werden würden.

Gerade wenn Firmen neu beim Thema Virtualisierung sind, werden Snapshots mit Recovery verglichen und es kommt schnell die Idee auf das derzeitige Backup wegzuwerfen. Leider mehr als 1x erlebt...



#35 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 18. Januar 2015 - 08:31

Die Diskussion ist sehr interessant, so lasse ich mich noch etwas hinzufügen.

 

  • Ich habe nicht gemeint, dass Snapshots als eine Methode von Sicherungskopien verwenden soll - ganz im Gegenteil. Aber das heißt, dass Microsoft die Virtualisierung der DCs noch mehr als früher unterstützt. Das Backup von "system state" ist notwendig und dies steht außer Zweifel.
  • Ich empfehle nicht, einen virtuellen DC auf einem Windows Cluster zu betreiben. In meiner Umgebung läuft jeder DC auf dem selbständigen physischen Server.
  • Ich sehe keinen Grund, den physischen DC zu halten. Die Wiederherstellung des "system state" Backups auf einem anderen Server (anderen Hardware) ist auf keinen Fall zuverlässig und Microsoft unterstützt diese Methode nicht. Der Unterschied in der Schicht der Hardware kann verursachen, dass das wiederherstellene System überhaupt nicht startet.

 

Grüße
Marcin



#36 lefg

lefg

    Expert Member

  • 20.478 Beiträge

 

Geschrieben 18. Januar 2015 - 08:40

Wozu aber ist ein Snapshot eines DC gut? Für nichts, unbrauchbar? Warum, was ist der Grund? Snapshot aber für anderes, andere Server?


Bearbeitet von lefg, 18. Januar 2015 - 08:59.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#37 NeMiX

NeMiX

    Board Veteran

  • 1.356 Beiträge

 

Geschrieben 18. Januar 2015 - 09:40

Da der HyperVisor bzw. die Mgmt Tools nicht wissen das es sich um einen DC handelt und Snapshots in anderen Bereichen ein sinnvolles Feature sein können wird dieses generelle Feature bei einem DC nicht ausgegraut oder deaktiviert.



#38 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 18. Januar 2015 - 12:20

Moin,

 

 

Ich sehe keinen Grund, den physischen DC zu halten. Die Wiederherstellung des "system state" Backups auf einem anderen Server (anderen Hardware) ist auf keinen Fall zuverlässig und Microsoft unterstützt diese Methode nicht.

 

das ist falsch. Oder es wäre mir neu - was mich nach über 15 Jahren AD überraschen würde. Hast du Belege für diese Aussage?

 

Wozu aber ist ein Snapshot eines DC gut? Für nichts, unbrauchbar? Warum, was ist der Grund? Snapshot aber für anderes, andere Server?

 

"Für nichts" trifft es ganz gut. Man sollte hinzufügen: Snapshots (oder Images) von DCs sind eine Methode, die sehr schnell dem AD gravierende Schäden zufügt. Die Argumente sind in diesem Board ja schon sehr oft gebracht worden. Hier noch mal eine übersicht:

 

[Warum Images nicht als Datensicherung taugen | faq-o-matic.net]
http://www.faq-o-mat...cherung-taugen/

 

In diesem Video zeige ich das auch, etwa ab Minute 38.

 

[Active Directory – "Tu mir das nicht an", sagte der Domänencontroller | Techday@ice:2011]
http://technet.micro...manencontroller

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#39 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 18. Januar 2015 - 13:03

Moin,

 

 

das ist falsch. Oder es wäre mir neu - was mich nach über 15 Jahren AD überraschen würde. Hast du Belege für diese Aussage?

 

 

 

 

Sprichst du über die Wiederherstellung vom "system state" Backup auf einer anderen Hardware? Ja, meine Versuche mit den HP Proliant Servers sind die Belege. Ich habe das gerade in Zusammenhang mit das Testen der Wiederherstellung von Active Directory (disaster recovery) gemacht. Ich gebe zu, dass es um Windows 2008R2 handelt. Ich habe mit 2012R2 nicht geprüft - ich vertraue dieser Methode nicht und habe mich, bei der Migration von AD auf 2012R2 im letzten Jahr, auf zwei virtuelle DCs auf zwei getrennten physischen Hosts entschieden.

Und noch ein Beitrag von Microsoft:

http://support2.micr...om/kb/249694/de

Was den physischen DC betrifft - ständig weiß ich nicht, warum zumindest ein solcher DC notwendig oder ratsam ist.

 

Grüße

Marcin



#40 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 18. Januar 2015 - 15:18

Moin,

 

 

Sprichst du über die Wiederherstellung vom "system state" Backup auf einer anderen Hardware?

[...]

Und noch ein Beitrag von Microsoft:

http://support2.micr...om/kb/249694/de

Was den physischen DC betrifft - ständig weiß ich nicht, warum zumindest ein solcher DC notwendig oder ratsam ist.

 

nein, ich spreche von deiner Behauptung, dass Microsoft das WIederherstellen des Systemstate auf anderer Hardware nicht unterstützen würde. Diese Aussage ist falsch, was ja auch der von dir angeführte Link belegt.

 

Zu deiner erneut gestellten Frage ist mittlerweile alles gesagt worden, was es sinnvoll auf dieser Ebene dazu zu sagen gibt. Teilweise mehrfach. Du musst es ja nicht befolgen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#41 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 18. Januar 2015 - 17:38

Moin,

 

 

nein, ich spreche von deiner Behauptung, dass Microsoft das WIederherstellen des Systemstate auf anderer Hardware nicht unterstützen würde. Diese Aussage ist falsch, was ja auch der von dir angeführte Link belegt.

 

 

 

"Die Wiederherstellung einer Sicherungskopie des Systemstatus eines Computers auf einem anderen Computer, bei dem es sich um ein anderes Fabrikat oder Modell handelt oder der eine andere Hardwarekonfiguration hat, wird von Microsoft nicht unterstützt."

Das ist das Zitat von Microsoft - schwarz auf weiß.

Aber es ist nicht nötig, sich miteinander zu überzeugen, das führt zu nichts :-) Ich halte diese Methode für unzuverlässig, habe sie getestet, usw. Ich mag lieber meine virtuellen DCs :-)

Danke für deine Antworten.

Marcin



#42 lefg

lefg

    Expert Member

  • 20.478 Beiträge

 

Geschrieben 18. Januar 2015 - 18:07

Wat denn een sien Uhl is des anner sin Nachtigall.


Bearbeitet von lefg, 18. Januar 2015 - 18:10.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#43 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 18. Januar 2015 - 20:16

Moin,

 

"Die Wiederherstellung einer Sicherungskopie des Systemstatus eines Computers auf einem anderen Computer, bei dem es sich um ein anderes Fabrikat oder Modell handelt oder der eine andere Hardwarekonfiguration hat, wird von Microsoft nicht unterstützt."

Das ist das Zitat von Microsoft - schwarz auf weiß.

 

dann aber bitte vollständig und nicht den nächsten, entscheidenden Satz unterschlagen:

 

"Microsoft gewährt in diesem Zusammenhang nur Unterstützung in angemessenem Rahmen."

 

Das bedeutet, dass Microsoft nicht dafür geradestehen kann, wenn die Treiber auf der Zielplattform nicht so wollen oder wenn Treiber so tief ins System integriert sind, dass man sie nur mit viel Aufwand ausgetauscht kriegt. Microsoft gewährt dann "Best effort"-Support, kann aber ggf. nicht in jedem Fall bis zum Ende supporten (einfach weil in solchen Situationen Drittanbieter im Boot sind). Es bedeutet eben nicht, dass Microsoft den Support für die Methode als solche verweigert! (Sonst gäbe es ja schließlich den Artikel nicht ...)

 

Man sollte schon fair bleiben. Im Übrigen hat in diesem Thread auch niemand gefordert, dass der physische DC derjenige sein müsse, auf dem das Systemstate-Backup läuft. Ganz im Gegenteil, wurde hier deutlich und mehrfach darauf hingewiesen, dass es von Vorteil ist, das Backup (und das Recovery) auf Basis von VMs zu machen. Aber das spricht ja nicht gegen die Argumente, die einen physischen (bzw. separat betriebenen) DC sinnvoll machen.

 

Und jetzt sollte endlich mal Schluss sein, es ist alles gesagt. Mittlerweile auch praktisch von jedem.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory