Jump to content

Für jede Windows Rolle eine eigene VM?


See182
Direkt zur Lösung Gelöst von magheinz,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

 

Gibt es auch eine Art Best Practice für solche Sachen? Bin da relativ neu in solchen Sachen und wollte daher mal Fragen  :D

 

Viele Grüße

Link zu diesem Kommentar

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

Link zu diesem Kommentar

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

 

Also wir haben auch ein DC und eine Backup Server physikalisch. :-D Aber gut prinzipiell stimmt es ja, wenn wirklich alles getrennt ist, dann ist da die Ausfallsicherheit geringer.

Link zu diesem Kommentar
  • Beste Lösung

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

Link zu diesem Kommentar

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

Überleg doch einfach mal. Du hast einen DC und konfigurierst ihn als Printserver. Jetzt macht der Printserver die Grätsche, aus welchen Gründen auch immer, Du mußt jetzt also einen DC demoten und anschließend das AD und DNS bereinigen. Zusätzlich hast Du noch den Quatsch mit dem PS. Wäre es nur ein PS, geht vieles schneller. Genau deshalb sollte man das so machen. Geht nicht immer, aber sobald die Möglichkeit gegeben ist, umstellen.

bearbeitet von Sunny61
Link zu diesem Kommentar

@See182

 

Ich schrieb Druckertreiber = keine Windows Rolle, nicht Printserver = Keine Windows Rolle

 

Druckertreiber stammen von den unterschiedlichsten Herstellern und können die merkwürdigsten Schwierigkeiten verursachen, bis hin zu einem Bluescreen und damit die Systemstabilität maßgeblich beeinträchtigen.

 

Was ist also besser, der Ausfall lediglich eines Printservers oder ein notwendiger Neustart nur eines Printservers bei Wartungsarbeiten, oder aber ein mitreißen komplett aller Dienste auf einem Serversystem wie AD, WaWi, etc.?

 

Aber es ist okay, Du bist neu und musst das Wissen erst erlangen und das geht am besten in dem das Kind in den Brunnen fällt.

Link zu diesem Kommentar

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

 

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

Link zu diesem Kommentar

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

 

Und zusätzlich noch der Hinweis auf die Berechtigungen. So viel wie nötig, so wenig wie möglich. D.h. bei einem Printserver reicht es IMO aus, dass der angemeldete Benutzer auf dem System Adminrechte hat, er muss nicht Domain Adminrechte haben. Falls der Benutzer dann auf einem Share Zugriffsrechte braucht, einfach in eine passende Gruppen packen, die auf dem Share eingetragen ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...