Dunkelmann

Moin,

bei einer RDS Bereitstellung unter 2012R2 benötigen die Session Hosts das Zertifikat nicht. Die Clients verbinden sich nicht direkt mit den Session Hosts.

Das Broker Zertifikat wird in den Bereistellungseigenschaften festgelegt.

https://ryanmangansitblog.com/2013/03/10/configuring-rds-2012-certificates-and-sso/

Wenn dennoch das Zertifikat auf die Hosts verteilt werden soll, kannst Du Dir mal das Skipt anschauen:

https://ryanmangansitblog.com/2014/05/20/rds-2012-rdsh-certificate-deployment-script/

Moin,

der DPM benötigt lokalen Blockspeicher als Sicherungsziel. Lokales Array, iSCSI oder FC

Ebenfalls möglich ist eine vhdx in einem Netzwerkpfad. Hier würde ich mich jedoch nicht auf ein einfaches NAS verlassen.

Schon Mal überlegt, das alte IBM DS durch etwas Aktuelleres zu ersetzen? Alternativ gibt es auf dem Gebrauchtmarkt ab und an Expansion Drawers (refurbished mit Garantie)

Moin,

bei der Storage Live Migration ist i.d.R. keine signifikante Unterbrechung zu erwarten. Die VM wird einmal kurz angehalten um die letzten Datenblöcke zu synchronisieren und den Schwenk auf den neuen Speicherpfad vorzunehmen. Es kann vorkommen, dass die VM kurz eingefroren wirkt oder ein ping verloren geht. Das Ganze spielt sich im Bereich von wenigen Millisekunden ab.

Falls Gast Cluster eingesetzt werden, sollten diese gesondert betrachtet werden. Bspw. unterstützen shared vhdx aktuell keine Storage Live Migration.

Moin,

 

jaja, das alte Missverständnis, dass man Live Migration auch dann erwartet, wenn ein Host ausfällt. Kann nicht gehen. In keiner Hypervisor-Welt.

 

Man sollte auch beachten, dass Hochverfügbarkeit (HA) nicht dasselbe ist wie Fault Tolerance (FT). FT kann Hyper-V nicht ohne Zusatztools. In vSphere geht das (abhängig von der Lizenz), wird aber in der Praxis so gut wie nie eingesetzt, weil die Einschränkungen in den meisten Szenarien zu umfassend sind.

 

Gruß, Nils

Moin,

hier muss ich mal ein Jein einwerfen. Ein Virtualisierungscluster kann auch mit fehlertolleranter Hardware aufgebaut werden.

Ist nur eine Frage des Budgets und ob die 5 oder 6 Neunen Uptime wirklich benötigt werden ;)

Wenn das so ist, muss sich wohl jemand Gedanken gemacht haben.

Um auf die Frage zurückzukommen: Der NetBios Name kann sich prinzipiell vom Domänennamen unterscheiden.

Ich würde dennoch mal einen Blick auf diese Artikel werfen:

https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

http://social.technet.microsoft.com/wiki/contents/articles/17974.active-directory-domain-naming-considerations.aspx

Moin,

ich schließe mich magheinz Empfehlung an. Das Backupsystem sollte unabhängig von den zu schützenden Systemen sein.

Entweder ein Stück Blech für's Backup oder eine VM auf einem unabhängigen Host/Cluster; dann natürlich die Backups auch auf einem separaten Storage ablegen.

Moin,

welchen Hintergrund gibt es für die neue Nomenklatur? Warum wird überhaupt eine neue Domäne eingerichtet und nicht die bestehende Domäne migriert?

'firma.standort.tld' wiederspricht oberflächlich betrachtet dem hierarchischen Aufbau von DNS und erscheint wenig sinnvoll.

Mit deutschen Quellen wird es schwer, aber es gibt google translate

Auf Ryans blog finden sich einige gute Artikel zum Thema RDS; die 2012'er Artikel passen zum größten Teil auch für 2012 r2

https://ryanmangansitblog.com/2013/03/10/configuring-rds-2012-certificates-and-sso/

https://ryanmangansitblog.com/2013/03/27/deploying-remote-desktop-gateway-rds-2012/

Ich würde grundsätzlich alle Rollen trennen. Das verbessert die Skalierbarkeit der Umgebung und erleichtert ggf. künftige Migrationen.

Die Benutzer benötigen keine weitere url, wenn der Gateway auf einer anderen Maschine läuft. Die Benutzer brauchen nur die WebAccess Adresse, der Rest läuft im Hintergrund und ist für den Anwender transparent.

Wie man es im Deatil umsetzen kann, mehrere Hostnamen, Reverseproxy, mehrere öffentliche IPs etc., müsste noch überlegt werden.

Mit 'dnscmd /zoneadd'

https://technet.microsoft.com/en-us/library/cc772069%28v=ws.11%29.aspx#BKMK_22

Moin,

 

Ich habe hier neben dieser "Anleitung" so einige andere gelesen und praktisch keine davon geht auf diesen Umstand ein. Mal salopp formuliert - sind die jetzt alle b***d - oder ist das nur "übertriebene" Vorsicht seitens des TechNet Artikels?

Der im Technet beschriebene Weg ist eine Failsafe Migration. Je nach Aufbau der PKI können auch andere Wege funktionieren.

 

In den "sonstigen" Anleitung wird i.d.R. "einfach" auf einem neuen Server die CA installiert und dann das vorherige Backup zurück gespielt. In der Registry (im relevanten zuvor gesicherten Eintrag) gibt es einen Punkt, wo der FQDN des alten Quellservers drin steht - dieser wird, je nach Anleitung, dann mal händisch überschrieben...

Ohne weitere Quellenangabe der "sonstigen Anleitungen" und Kenntnisse der genauen Konfiguration eurer PKI kann der Punkt nicht bewertet werden.

 

Hat das nicht Folgen für "den laufenden Betrieb"?! Mal ganz davon ab, dass es im Wiederherstellungsprozess ja auch Probleme geben könnte und man möglicherweise gezwungen wird, zurück auf die alte CA zu gehen...

Wie lange ist die zu erwartende Downtime? Bei guter Vorbereitung ist die Migration in maximal 30 Minuten erledigt. Bestehen höhere Ansprüche an die Verfügbarkeit, sollten ohnehin mehrere Online CAs im Einsatz sein.

Für das Rollback gibt es das Backup der alten CA. Regelmäßiges Testen von Backup und Restore hat noch nie geschadet ;)

Moin,

setz Dir eine billige NAT Kiste (alter Router aus der Wühlkiste) vor die Testumgebung oder tausch den SpeedPort gegen eine vernünftige Firewall.

Das Provider Consumer Geraffel macht nur Ärger und jedes FW Update kann neue Überraschungen mitbrigen.

Was für ein Zertifikat wird verwendet? Ein offizielles, aus einer internen PKI oder ein selbstsigniertes?

Moin,

bei drei Session Hosts würde ich eine vernünftige RDS Umgebung mit entsprechenden Sammlungen aufbauen und nicht mit 'Anmelden an' rumwerkeln.

Zum Einstieg und Kennenlernen vielleicht mal das TLG nachbauen:

https://technet.microsoft.com/en-us/library/hh831610.aspx

Moin,

wenn es nur einen Eintrag gibt ist die Zone schnell wieder eingerichtet.

Backup kann nicht schaden: dnscmd /ZoneExport

https://technet.microsoft.com/de-de/library/ee649198%28v=ws.10%29.aspx

Moin,

ein Hyper-V Cluster ist kein Active/Passive sondern ein Active/Active Cluster.

Ab Server 2016 gibt es Storage Spaces Direct. Ob das für Deine recht wage beschriebenen Anforderungen ausreicht bzw. geeignet ist, bleibt abzuwarten.

Wenn der Cluster nur aus zwei Knoten bestehen soll, könnte man auch über ein Shared SAS nachdenken. Je nach Anzahl und Art der HDDs/SSDs könnte es sogar preiswerter sein als zwei lokale Arrays.

cooles Projekt. Was ist denn das erklärte Ziel? Davon lese ich hier leider nichts. :(

Würstchen mit der Mikrowellenkanone grillen :D

Moin,

der E2 ist seit geraumer Zeit abgekündigt. Hierzu sollte dem Kunden auch eine entsprechende Information zugegangen sein.

https://community.office365.com/en-us/f/156/t/257627

Ich habe noch eine alte Übersicht gefunden:

Moin,

für die Ausführung von VMs sind vmms.exe (Verwaltungsdienst) und vmwp.exe (Instanz der VM) zuständig. Im Cluster noch die CLusterprozesse clussvc.exe (Clusterservice) und rhs.exe (Ressource Hosting Subsystem)

Moin,

ich muss zugeben, dass ich den Aufbau nicht ganz durchschaue.

Warum gibt es zwei WebAccess?

Du benötigst zusätzlich einen RDS Gateway für den externen Zugriff.

WebAccess und RDS Gateway benötigen einen externen FQDN; der Connection Broker benötigt einen externen Client Access Name. Für den internen Zugriff muss ggf. Split DNS eingerichtet werden.

https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create-a-mostly-seamless-logon-experience-for-your-remote-desktop-services-environment/

Moin,

ohne weitere Kenntnisse des Setups ist es schwer zu bewerten. Die Möglichkeit von Teaming und Teaminterfaces wurde ja schon erwähnt.

Grundsätzlich würde ich eher das Heartbeat Netz nutzen und das Management nur als Fallback verwenden.

Moin,

wenn Du über vmconnect (also direkt mit der Konsole) verbunden bist, kannst Du den Updatefortschritt beobachten. Beim erweiterten Sitzungsmodus oder RDP siehst Du nur den Anmeldebildschirm ohne Fortschrittsanzeige.

Moin,

versuche möglichst viele Multiple Choice Fragen mit geradem Rating (1-4 oder 1-6) zu verwenden. Damit erzwingst Du immer eine 'eher positiv' oder 'eher negativ' Aussage. Bei einem ungeradem Rating (1-3, 1-5 etc.) kommt übermäßig häufig die Mitte und die ist nicht aussagekräftig.

Ich würde nicht viele Freitextfeder anbieten. Lieber je Abschnitt oder am Ende ein Bemerkungsfeld.

http://www.userfocus.co.uk/articles/surveys.html

Und was passiert bei Malwarebefall oder wenn das AD kompromittiert wurde?

Dann habe ich ein anderes Szenario, für das ich einen eigenen DR Plan benötige.

Im Eingangspost geht es um eine 1:1 Wiederherstellung an einer DR Site. Also um eine Umgebung, die noch als vertrauenswürdig einzustufen ist.

Eine Wiederherstellung nach einem Malwarebefall oder einer Kompromittierung bedeutet, ich muss erst das Vertrauen wiederherstellen. Wie das umzusetzen ist, hängt von der Art des Vorfalls ab.

Moin,

man könne auch einen DC an der DR Site laufen lassen, sich das ganze Thema AD Wiederherstellung sparen, die FSMO kurz per 'size' rüberziehen und sich auf das Restore der Geschäftsanwendungen konzentrieren. ;)