Zum Inhalt wechseln


Foto

Für jede Windows Rolle eine eigene VM?


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 See182

See182

    Newbie

  • 9 Beiträge

 

Geschrieben 07. September 2016 - 10:06

Hallo zusammen,

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

 

Gibt es auch eine Art Best Practice für solche Sachen? Bin da relativ neu in solchen Sachen und wollte daher mal Fragen  :D

 

Viele Grüße



#2 DavidS

DavidS

    Newbie

  • 145 Beiträge

 

Geschrieben 07. September 2016 - 10:13

Backup Software = keine Windows Rolle

 

Firewall Software = keine Windows Rolle

 

Druckertreiber = keine Windows Rolle

 

Nur mal so nebenbei.



#3 See182

See182

    Newbie

  • 9 Beiträge

 

Geschrieben 07. September 2016 - 10:44

Backup Software = keine Windows Rolle

 

Firewall Software = keine Windows Rolle

 

Druckertreiber = keine Windows Rolle

 

Nur mal so nebenbei.

 

Ich weiß, dass die Software keine Windows Rolle per se, ich wollte nur ein paar Beispiele nennen. Ein Printserver ist eine Rolle, findet man in den Rollen unter Druck- und Dokumentdienste.



#4 Dukel

Dukel

    Board Veteran

  • 9.252 Beiträge

 

Geschrieben 07. September 2016 - 10:49

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.


Stop making stupid people famous.


#5 See182

See182

    Newbie

  • 9 Beiträge

 

Geschrieben 07. September 2016 - 10:57

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

 

Also wir haben auch ein DC und eine Backup Server physikalisch. :-D Aber gut prinzipiell stimmt es ja, wenn wirklich alles getrennt ist, dann ist da die Ausfallsicherheit geringer.



#6 magheinz

magheinz

    Newbie

  • 1.323 Beiträge

 

Geschrieben 07. September 2016 - 11:26   Lösung

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund...m04/m04097.html


  • der-poth gefällt das

#7 Sunny61

Sunny61

    Expert Member

  • 22.096 Beiträge

 

Geschrieben 07. September 2016 - 12:38

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.
Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.
Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?


Überleg doch einfach mal. Du hast einen DC und konfigurierst ihn als Printserver. Jetzt macht der Printserver die Grätsche, aus welchen Gründen auch immer, Du mußt jetzt also einen DC demoten und anschließend das AD und DNS bereinigen. Zusätzlich hast Du noch den Quatsch mit dem PS. Wäre es nur ein PS, geht vieles schneller. Genau deshalb sollte man das so machen. Geht nicht immer, aber sobald die Möglichkeit gegeben ist, umstellen.

Bearbeitet von Sunny61, 07. September 2016 - 14:17.

  • s_sonnen, NilsK und der-poth gefällt das
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 DavidS

DavidS

    Newbie

  • 145 Beiträge

 

Geschrieben 07. September 2016 - 14:47

@See182

 

Ich schrieb Druckertreiber = keine Windows Rolle, nicht Printserver = Keine Windows Rolle

 

Druckertreiber stammen von den unterschiedlichsten Herstellern und können die merkwürdigsten Schwierigkeiten verursachen, bis hin zu einem Bluescreen und damit die Systemstabilität maßgeblich beeinträchtigen.

 

Was ist also besser, der Ausfall lediglich eines Printservers oder ein notwendiger Neustart nur eines Printservers bei Wartungsarbeiten, oder aber ein mitreißen komplett aller Dienste auf einem Serversystem wie AD, WaWi, etc.?

 

Aber es ist okay, Du bist neu und musst das Wissen erst erlangen und das geht am besten in dem das Kind in den Brunnen fällt.



#9 Marco31

Marco31

    Junior Member

  • 375 Beiträge

 

Geschrieben 07. September 2016 - 18:31

Auch beim Backup Server immer bedenken: wie kann ich VM's wiederherstellen wenn die Backup-Server VM down/kaputt ist? Ich bevorzuge da einen physischen Server inkl zusätzlichem Backup ausser Haus

#10 Doso

Doso

    Board Veteran

  • 2.453 Beiträge

 

Geschrieben 08. September 2016 - 07:43

Ein Dienst, eine VM. Ein AD DC kann auch immer gut DNS Server sein, aber dann hört es auch schon auf. Das erspart im Fehlerfall viel Arbeit. DC kaputt? In einer Stunde neu installiert. Hatten wir erst vor ein paar Monaten hier. Reduziert Komplexität und Ausfallzeiten und das wollen wir doch alle.


Bearbeitet von Doso, 08. September 2016 - 07:45.


#11 See182

See182

    Newbie

  • 9 Beiträge

 

Geschrieben 13. September 2016 - 11:01

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund...m04/m04097.html

 

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.



#12 Sunny61

Sunny61

    Expert Member

  • 22.096 Beiträge

 

Geschrieben 13. September 2016 - 12:05

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

 

Und zusätzlich noch der Hinweis auf die Berechtigungen. So viel wie nötig, so wenig wie möglich. D.h. bei einem Printserver reicht es IMO aus, dass der angemeldete Benutzer auf dem System Adminrechte hat, er muss nicht Domain Adminrechte haben. Falls der Benutzer dann auf einem Share Zugriffsrechte braucht, einfach in eine passende Gruppen packen, die auf dem Share eingetragen ist.


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/