Alle Aktivitäten

Moin an Board, so starten wir dann in den Tag - ich koche Kaffee Allen einen ruhigen Donnerstag, bleibt gesund! Hier derzeit klar bei 13°C, es wird ein meist sonniger Tag bis etwa 20°C

das ist falsch! Bei einem SAN reichen auch bei VMware zwei Hosts! Für vSAN und vVol sind mindestens drei angesagt. Was Hyper-V angeht ... klar geht das als Cluster mit zwei Nodes und SAN

So langsam gehts mir trotzdem auf die Nerven: Ja, man muss dann nur noch den Sync auf Cloud-Sync umstellen, damit man all die neuen Features nutzen kann. Ich bezweifle, dass es wirklich technische Gründe gibt, das nicht auch in Entra Connect zu implementieren, abgesehen davon, dass man Entra Connect insgesamt eigentlich gar nicht mehr haben möchte.

Moin, siehe: Introducing Cloud-Managed Remote Mailboxes: a Step to Last Exchange Server Retirement | Microsoft Community Hub Gruß Jan

Mag sein, nur ist der Exchange nicht der Grund für das Zertifikat auf dem dc.

Da hast du ohne Frage Recht, ich kann nur sagen dass es vom RZ so eingerichtet wurde Die werden ihre Gründe haben.

Exchange funktioniert problemlos ohne Zertifikate auf den dcs.

Du musst dich doch nur selber um Zertifikate kümmern, sofern du anstelle per NTLM halt zertifikatsbasiert authentifizieren möchtest. Theoretisch sollte "bald" aber auch IAKerb / LocalKDC kommen, um auch lokal Kerberos zu können. Da die Nodes (im WG) Cluster so oder so in einem eigenen Management VLAN hängen (sollten), sollte NTLM "kein Drama" sein. Das scheint mir aber genau der richtige Weg zu sein.

Moin, dafür müssten wir jetzt sehr weit ausholen, um die Zertifikats-Basics zu diskutieren, fürchte ich. Wäre vielleicht etwas viel für ein Forum. In aller Kürze: statt eine CA einzurichten, erzeugst du auf "irgendeinem" System mit einem lokalen Tool dein Root-Zertifikat. Mit diesem Root-Zertifikat stellst du mit demselben Tool das gewünschte Server-Zertifikat aus. Das Root-Zertifikat importierst du in die "Vertrauenswürdigen Zertifizierungsstellen" auf den beteiligten Systemen. Das Server-Zertifikat bindest du in den Dienst ein, der es nutzen soll. Da du ja nur Zertifikate brauchst und keine PKI, ist das für "kleine" Zwecke erheblich einfacher und sicherer. Gruß, Nils

Hmm. Ok. Genau für das habe ich ja bereits von meinem RZ (LDAPS wegen Exchange-Anbindung), Root-CA des RZ in den vertrauenswürdigen Stammzertifizierungsstellen sowie Zertifikate für die DC's jeweils in "Eigene Zertifikate". Ich bin aber ehrlich gesagt gerade zu b***d zu verstehen, wie mir das bei Mitgliedsservern oder dem Workgroup-Cluster weiterhelfen kann...?

Moin, na, und noch so ein Missverständnis, das wir ausräumen können. Für einzelne Server-Zertifikate brauchst du ja keine CA bzw. PKI. Im Gegenteil, für so einen Zweck würde ich sogar entschieden davon abraten. Es geht normalerweise darum, dass Zertifikate vorliegen, denen die Systeme vertrauen. Das kann man mit minimaler Infrastruktur einrichten, für die man keine komplexen und anfälligen Systeme braucht. Exemplarisch habe ich das hier mal skizziert: [LDAPS in einer Windows-Domäne ohne PKI | faq-o-matic.net] https://www.faq-o-matic.net/2024/06/18/ldaps-in-einer-windows-domne-ohne-pki/ Gruß, Nils PS. PKI ist böse.

Ok, alles gute Argumente. Habe aber gerade gelesen dass ich für Server 2025 Workgroup Cluster Zertifikate brauche... Keine CA, wird schwierig. Wenn mir da unser Rechenzentrum nicht gnädigerweise Zertifikate ausstellt wird das nix. Mal schauen. Gibt ja jetzt genug für und wieder, muss nur noch sehen welche "Probleme" ich lösen kann und mit welchen Einschränkungen ich leben kann/will. Auf jeden Fall schon mal danke für die Beteiligung!

Es gibt auch regelmäßig den Trend, dass man alle Management Maschinen (Hypervisor, egal welcher Hersteller; Server Remote Access (iLo, iDrac,...); Backup Server; etc.) mal ins AD aufnehmen sollte und dann wieder aus dem AD entfernen sollte usw. Hat halt beides vor und Nachteile.

Und hyper-v Hosts mit laps sind auch ein Stolperstein, wenn mal die komplette Umgebung down sein sollte. Und ja alles schon erlebt. Utilman.exe hilft zwar, dauert aber alles in solche Situationen. ;) seitdem sind die hyper-v Hosts bei den Kunden meist ohne laps konfiguriert und haben einfach komplexe lange Kennwörter, die man ja nie eingeben muss, solange die Dinger im ad hängen.

Moin, das hat jetzt aber schon was davon, das Haar in der Suppe zu suchen. Auf zwei Nicht-AD-Hosts kannst du auf beide genannten "Nachteile" ja gut verzichten. Auch ein lokales Adminkennwort muss man nicht per se regelmäßig wechseln, wenn es ausreichend stark ist. Der Witz an LAPS ist doch primär, dass man von massenweise verwendeten identischen Adminkennwörtern weg will - das kann man für den Use Case doch problemlos organisatorisch sicherstellen. Ähnlich bei Protected Users - die meisten Maßnahmen, die das umsetzt, kommen bei lokalen Systemen ja gar nicht in Betracht, und vom Rest lässt sich ein Großteil organisatorisch abfangen. Wenn ich mir ansehe, wie freimütig die meisten VMware-Systeme in der freien Wildbahn so eingerichtet sind, sehe ich da wirklich keinen grundsätzlichen Nachteil ... Gruß, Nils

Na ja, kein LAPS zum Beispiel. Logisch. Wieder das leidige Thema des regelmäßigen Passwort änderns auf lokalen Admin-Konten. Und logischerweise auch kein protected Users Gruppe, die ich bei meinen administrativen Konten verwende. Aber ist wie immer, einen Tod muss man sterben Werde mir das ganze nochmal in Ruhe anschauen und testen sobald die Hardware da ist.

WAC ist auch mit Workgroup möglich (man muss aber das Powershell Remoting konfigurieren). Was nicht funktioniert, ist den Hyper-V Cluster mittels WAC zu erstellen. Da wird im Wizard ein AD benötigt.

Solange wir nicht über S2D Cluster reden, kann ich gut und gerne aufs WAC verzichten. Ich könnte mir aber vorstellen, dass (früher oder) später auch ein WAC Support für Workgroup Cluster kommt. Welchen ein und anderen Nachteil siehst du / sehen Manfred und Carsten denn noch? Ich könnte mir bei den beiden allerdings auch vorstellen, dass wir über S2D / Azure Local reden.

Hmm. Habe mir gerade mal ein Video von Manfred Helber und Carsten Rachfahl zu dem Thema angeschaut... Hat ja schon den ein oder anderen Nachteil in Sachen Bedienung, u.a. wohl auch keine Remote-Verwaltung mit dem WAC... Klingt jetzt erstmal nicht so wie das was man gerne hätte

Gerade in eher kleinen Umgebungen würde ich tatsächlich den Workgroup Cluster bevorzugen. (Hängt am Ende dann aber auch "etwas" vom vorhandenen AD ab. Da trifft man ja auch auf Zu- / Umstände von bis...) Workgroup Cluster + (evtl. leicht angepasstes) OSconfig und man hat - meiner Meinung nach - eine brauchbare Grundlage.

Moin, nein, DCs sind Tier-0. Falls diese DCs auf einem VM-Host laufen, dann ist dieser VM-Host auch Tier-0, auch dann, wenn der Host selbst nicht dem AD angehört. (Und, der Vollständigkeit halber, dann ist auch das Storage Tier-0, das dieser Host nutzt.) Laufen keine Tier-0-VMs auf einem Host, dann ist der Host nicht Tier-0, auch nicht, wenn er selbst AD-Mitglied ist. Und, wie Evgenij schon betonte, das gilt für alle Hypervisoren, wäre also mit VMware, Proxmox et al. nicht anders. Gruß, Nils

Moin an Board, dann wollen wir mal - ich koche Kaffee Bergfest! Allen einen guten Mittwoch, bleibt gesund! Hier derzeit bedeckt bei 16°C, der Tag wird ein mix aus Sonne und Wolken bis etwa 24°C

Ok, danke erstmal für die zahlreichen Antworten Ich fasse mal zusammen: - mehrere Hosts gleichzeitig Schreiben/Lesen auf einem Nicht-SMB Storage geht nur mit Cluster - zwei Hosts sind ausreichend um einen Cluster zu erstellen - Cluster ohne AD ist möglich, will man aber eigentlich nicht... - Hyper-V Hosts im AD sind Tier 0 und daher entsprechend abzusichern - @NorbertFe: Wenn da nicht Broadcom wäre, hätte ich ESXI hier sicher noch lange im Einsatz Nützt aber nix, VMware muss raus, von Proxmox bin ich (noch) nicht überzeugt. Also Hyper-V.

Sehe ich auch so. Die Clustervalidierung sagt einem detailliert, wenn die Voraussetzungen nicht passen, bis auf Ebene "unterschiedliche Version der Netzwerktreiber". Man muss keine Bedenken haben, einen wichtigen Punkt vergessen zu haben, der einem später auf die Füsse fällt.

Moin, also ... die einfache Antwort ist: Nur weil es "Cluster" heißt, ist das heute nix Wildes mehr. Richtet sich einfach ein, lässt sich einfach verwalten - jedenfalls solange wir von so kleinen Umgebungen reden. Und ein automatisches Failover für VMs ist auch gleich mit drin. Ich würd da nicht lange nachdenken. Nur weil VMware die besseren Verwaltungstools hat, ist Hyper-V noch lange nicht schlecht. Einfach mal überwinden und machen, dann sieht man, dass man damit auch gut klarkommt. Gruß, Nils