H2000

Okay, das macht so herum tatsächlich mehr Sinn. Wie ist das wenn man z.Bsp. aus Home-Office administrieren will? Dann brauche ich ja auch eine, ich nenne es mal jetzt so, PAW-light. sprich Workstation die quasi nur Antivirus+vpn+rdp hat und sich auf die eigentliche PAW aufschaltet? Ja die Admin-Accounts bekommen sehr lange und unterschiedliche Passwörter. schau ich mir mal an, danke für den Tipp! Admin 1,5 (also mich und jemand mit eingeschränkten Adminrechten) + 12 User (davon 7 per VPN zugeschaltet) VLans wollte ich angehen sobald auch ein vlan-fähiger switch da ist, aber kurze Recherche zeigte mir, dass man ja breits in Hyper-V Vlans zuweisen kann. Dazu muss ich mich wohl unbedingt richtig informieren, mein Verständnis dazu war da ein anderes.. Credential Guard und TPM hatte ich noch nicht auf dem Schirm. Wobei Credential Guard ja wohl schon Standard sein sollte was ich so lese. Ohje, noch viel lesen ich muss :) Danke für die Punkte! Edit: Typo

Hallo zusammen, Bin ziemlicher Neuling und habe die letzten Wochen/Monate fleißig gelesen und getestet. Allerdings habe ich ein kleines Verständnisproblem, wahrscheinlich weil Best Practice eben nicht immer genau passt, ich mich aber daran gerade als Neuling stark orientieren möchte. Ich baue momentan einen Windows 2019 Standard Server auf. Laut Microsofts Dokumentation (leastprivelege,SAW/PAW) habe ich nun folgendes Konzept für das Verwalten des Serversystems vor: HyperV-Host (Domainjoined): AD-VM Applicationserver-Server-VM Fileserver-VM Management-Server-VM (Backup, WAC etc.) Terminalserver-Server-VM "PAW" -VM Windows 10 (RDP aktiv) Ich bin momentan der einzige Admin, habe aber schon 4 verschiedene Accounts (übertrieben?) 1) Daily User (mails, browsen etc.) 2) Lokaler Admin (im AD für jede nichtServer Workstation als local Admin gesetzt) / localAdminsGroup 3) Server Admin (im AD für jede Workstation inklusive Server als Admin gesetzt; ausser DC) / SrvAdminsGroup 4) Domain Admin (Mitglied in DomainAdmins) Auf der "PAW"-VM wird nicht gebrowst, mailed etc. sondern es sind lediglich RSAT und andere Management Tools installiert. Meine Vorgehensweise: RDP von Workstation A zu PAW mit dem normalen 1) DailyUser an (leastprivelege) und verwende die einzelnen Tools je nach Einsatzbereich mit "run as" bspw. 3)ServerAdmin. Macht das so Sinn? Ich bin ja auf der Workstation A mit meinem DailyUser aktiv und browse/maile munter vor mich hin. Ist es dann nicht gefährlich von dort aus per RDP auf die PAW zu schalten? Mir fällt aber ehrlich gesagt keine andere Lösung ein. Eine dedicated PAW wäre einfach zu übertrieben und müsste bspw. vom Homeoffice auch wieder Remote angesteuert werden. Schonmal Danke im Vorraus. LG Herb

Das wäre aus Sicherheitsgründen nicht zu empfehlen. Sprich sobald ich einen Terminalserver betreibe und eine Datenbank, brauche ich zwei ServerOS-Lizenzen, da DC immer mit dabei ist und alles getrennt sein müsste? Dass der TS weniger an Leistung braucht als die VM-Variante habe ich verstanden. Ich wollte lediglich auch gleich so planen, sodass auch noch Luft nach oben ist. Der jetzige "Server" fährt ziemlich an der Grenze. Ausserdem wollte ich es gerne verstehen wie man so eine Last am besten planen kann.

@muenster Erstmal großen Dank für deine ausführliche Zusammenfassung/Antwort! Das hat einiges für mich klarer werden lassen. Nur zum Verständnis: Ohne 2. Server Standard wären Datenbankserver und Fileserver mit auf TS richtig? Am Serverstandort ja. Wie sieht es mit den Außenstellen aus, reicht dort lediglich eine vernünftige VPN-Client Software? Da ich keinerlei Erfahrung mit TS habe wären die benötigten Resourcen pro Session interessant, da halte ich mal mit dem Wawi-hersteller wegen Erfahrungswerten Rücksprache. Grundsätzlich muss ich hier ja folgende Faktoren beachten : [Prozessorlast (MHz), RAM, Speicherplatz] / pro Session. Bitte korrigiert mich wenn ich falsch liege. Ist es denn "so einfach" mit der Lastverteilung? Gerade bei der Prozessorlast bin ich mir was TS angeht etwas unsicher. LG H2000

Das ist für den Fall, dass auf den VM's WinSERVER-OS läuft oder? In unserem Fall laufen ja lediglich Win10-Pro-Versionen. Und diese VM's verrichten afaik keine Serveraufgaben sondern sind lediglich Desktops auf den die User zugreifen um auf Wawi+office zuzugreifen. Sprich mit den entsprechenden User-Cal's sollte das so gehen oder? Das ist mal ein heißer Tipp. Danke dafür!

Naja, wir hätten uns den konfigurieren, zusammenbauen und evtl. vorinstallieren lassen von einem Händler wie "ServerSchmiede" o.ä.

Das ist klar, dass sowas immer ungelegen kommt. Beim momentan aktiven System gab es tatsächlich gar keine Hardware-basierten Ausfälle in den letzten 5 Jahren. Es wurde einmal eine HDD ausgetauscht, die dann dank Raid keine Probleme verursacht hat. Was ich nicht ganz verstehe, warum ist das jetzt so ein Thema ist? klar ist wichtig zu beachten, aber wenn die OS-ssd geraidet werden soll, dann mach ich das. Alles andere bleibt ja gleich bzw. ist besser im neuen System. Sprich, da das Mainboard nicht ECC-fähig ist und die Datenbank auf ServerOS laufen soll, muss auch hierfür eine neue Platte her? Wir würden gerne von der hohen Taktung profitieren, der Wawi-Hersteller hat uns dazu geraten.

Nein ist es nicht, kann nur manchmal nicht verstehen warum man dann überhaupt sowas raushaut. Naja, vielleicht ist mein Fell doch nicht so dick wie ich denke ;) Ja das will ich unbedingt ändern! Und dann gleich richtig machen. Händler bzw. Angebotsersteller war hier leider ein IT-Systemhaus, das uns beraten sollte. Soviel zu dieser Beratungsqualität :) VDA's sind aber auch notwendig um auf die VM's zuzugreifen oder? Die hat das Systemhaus nämlich auch nicht angeboten und ich stieß bei meiner Recherche darauf. Sie läuft auf TS. Hatte bisher keine Erfahrungen mit TS, deswegen wollte ich den Aufbau bisher mit den VMs soweit wie möglich "migrieren". Die Desktops sind nicht individualisiert, bis auf verschiedene Verknüpfungen auf das Filesystem. Wenn das möglich ist spricht nichts gegen TS. Warum genau? Muss nicht darauf bleiben, es werden lediglich Dokumente bereitgestellt die bisher auf dem Filesystem liegen.

Das waren jetzt Erfahrungswerte mit dem alten "nicht-Server"-System :) Hoffe ich auch. Btw. ich habe ja anfangs eingeleitet mit der Annahme das sei eine legitime Anfrage hier im Forum. Wenn es das nicht ist, sprich "lass es sein oder hol dir einen Profi" dann sag das ruhig und ich ziehe von dannen. Ich würde mir wünschen produktiv am Thema zu arbeiten und nicht mit Sarkasmus um sich zu schmeißen. Wie gesagt, kann verstehen wenn du da kein Bock drauf hast. Ist mir eben nicht ganz klar, da von einem Händler anders angeboten bei gleicher Systembeschreibung. Der meinte nämlich es wären lediglich CaL's für die VMs nötig, was ja laut deiner Aussage nicht stimmt, die lokalen Workstations brauchen ja dann auch CaL's.

Nein tun sie nicht, deswegen ja mein Anliegen das zu ändern. Dass das nicht sinnvoll ist einen "Server" auf ConsumerHardware laufen zu lassen mit einfachem OS ist mir klar und das gerade möchte ich ja ändern. Wie lange darf es dauern bis alles wieder läuft? - wie gesagt Stunden oder auch mal einen Tag. Ein Ausfall stellt ja keine Regel da. Sprich wenn es 1-2mal im Jahr jeweils einen Tag ausfällt ist das verschmerzbar.

Hallo, wir haben schon Angebote eingeholt, leider sprengen die etwas das Budget. Ziel ist es wieder mit dem System zu wachsen, sprich wir werden aktiv daran lernen müssen. Aber du hast schon recht, wir werden auf jeden Fall nochmal mit einem Profi sprechen der das ganze wenigstens absegnet. "Zu weit hinten" ist so eine Sache :) Das momentane System hat ja auch nur bedingte Verfügbarkeit, sprich wenn es mal einen Tag nicht läuft, ist das zwar bitter, aber kein Weltuntergang. Hochverfügbarkeit ist mMn zu teuer, wenn schon kein Profi eingeschaltet werden kann. Was genau meinst du mit Datenverlust? Die Daten die verloren gehen zwischen den Backups bei System/Hardware Ausfall? Das läuft momentan täglich, wollte ich aber verkürzen auf stündlich. Ja klar, fehlendes Raid im OS+Datenbank lässt das ganze anders aussehen. Aber auch hier wäre ein stündliches Backup ausreichend. Das ist so eine Sache die wir testen wollen. Theoretisch kann ich auch alle 10 Minuten ein Backup der Datenbank laufen lassen, allerdings ist fraglich ob es hier dann performance-Einbußen gibt zwecks Datenbankzugriff.

Servus, ich weiß nicht ob hier das richtige Board ist um sowas mal durchzusprechen, falls nicht lasst es mich bitte direkt wissen. Ich helfe einem Bekannten bei seinem Server-Aufbau für sein KMU. Der Aufbau ist etwas spezieller, da die Firma zwar klein ist, aber weit gestreut mit vielen Standorten. Die Anforderung besteht darin, die Wawi sowie Filesystem mehreren Standorten zur Verfügung zu stellen. Da weder mein Bekannter noch ich profis in dem Bereich sind, wollte ich mal eine kleine Rückmeldung für unsere Planung haben. Bisheriger Aufbau: 1x " Server" - I7-4790K, 32gb Ram, 1Gbit-Lan, 2x 2TB Raid 1, Win10 Pro (steht als Tower im 19"-Rack) - auf diesem laufen die Wawi-serverinstallation mitsamt Datenbank, 6xVMs(Virtualbox) mit Win10 für externen Zugriff der Standorte ca. 500GB Speicherplatz, sowie ein kleiner Webserver, Backuproutinen und drittanbieter vpn-server 5x Workstations mit win10 pro lokal am Serverstandort 6x Workstations extern verteilt auf die verschiedenen Standorte die für Wawi-Zugriff auf Server zugreifen (über drittanbieter vpn-client) Bem.: Auf den VMs laufen die Wawi-Clients sowie eine Office-suite. Mein Problem damit, es ist ein gewachsenes System das nicht auf die eigentliche Größe und Anforderungen des Netzwerks ausgelegt ist. Leistungstechnisch kommt man wohl auch mit den 6VMs öfter an seine Grenzen. Mein grober Plan: 1. Den "Server" weiterverwenden, aber ohne die VMs. Eventuell für die Datenbankabfragen das OS+Wawi auf eine Nvme SSD (oder auch sata ssd) upgraden. Wawi profitiert dann von dem hohen Takt des 4790K. Raid1 fällt zumindest für OS+Wawi weg. Stündliche Backups der Datenbank könnten die "Redundanz" hier ersetzen. Komplette Physical Backups sollen nächtlich laufen. 2. Server für die VMs kaufen: Dual-Sockel Platte mit 2x 8core Proc. ,64GB ecc Ram, 10gbit Anschluss (fraglich ob sinnvoll), 2x 500gb SSD für VMs und Filesystem 3. Storage-Nas kaufen: Entweder 4x 2TB Raid1 oder 4x 2TB Raid10. Hierauf sollen dann Backups für Datenbank (stündlich), Filesystem(stündlich), VMs (täglich), Server-full-physical (täglich) laufen. Das ganze dann mit einem richtigen ServerOS (vorr. Win Server 2019 Standard) und Hyper-V/vmware. Ausserdem kommen später noch mehr VMs dazu, deshalb gleich in die Vollen mit der VM-Serverplatte. Wir haben noch ein Replica vom "Server". Der steht momentan ungenutzt rum. Lizenzierung: Leider gibt es hier ein paar Sachen nachzuholen. Nach einiger Recherche habe ich folgende Vorstellung: Server 2019 Standard reicht für 16 cores. Für die VMs sind dann Win10Pro Lizenzen notwendig. Für den Zugriff auf diese sind VDA's nötig per device das zugreift. Laut Angebot eines Händlers sind auch CaL's für die VM's notwendig, laut meiner Recherche nicht?? Sind CaL's nötig für die lokalen Rechner? Diese greifen ja lediglich auf die Datenbank der Wawi und das Filesystem zu. Fragen: A. Macht das Grundkonzept so Sinn? B. Ist die Auswahl der Hardware sinnvoll? Vor allem macht der dedicated Storage Sinn oder soll lieber Storage auf der VM-Platte mit HDDs erweitert werden? C. Lizenzmodell: ich tappe hier noch etwas im dunkeln, ist meine beschriebene Vorstellung so korrekt? LG H2000 EDIT: Bemerkung zu Backup: Es laufen auch Backups nach Extern, zumindest für Datenbank und Filesystem sprich die beweglich wichtigen Daten 1x täglich