H2000
-
Gesamte Inhalte
12 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von H2000
-
-
Hallo zusammen,
Bin ziemlicher Neuling und habe die letzten Wochen/Monate fleißig gelesen und getestet. Allerdings habe ich ein kleines Verständnisproblem, wahrscheinlich weil Best Practice eben nicht immer genau passt, ich mich aber daran gerade als Neuling stark orientieren möchte.
Ich baue momentan einen Windows 2019 Standard Server auf. Laut Microsofts Dokumentation (leastprivelege,SAW/PAW) habe ich nun folgendes Konzept für das Verwalten des Serversystems vor:
-
HyperV-Host (Domainjoined):
- AD-VM
- Applicationserver-Server-VM
- Fileserver-VM
- Management-Server-VM (Backup, WAC etc.)
- Terminalserver-Server-VM
- "PAW" -VM Windows 10 (RDP aktiv)
Ich bin momentan der einzige Admin, habe aber schon 4 verschiedene Accounts
(übertrieben?)
1) Daily User (mails, browsen etc.)
2) Lokaler Admin (im AD für jede nichtServer Workstation als local Admin gesetzt) / localAdminsGroup
3) Server Admin (im AD für jede Workstation inklusive Server als Admin gesetzt; ausser DC) / SrvAdminsGroup
4) Domain Admin (Mitglied in DomainAdmins)
Auf der "PAW"-VM wird nicht gebrowst, mailed etc. sondern es sind lediglich RSAT und andere Management Tools installiert.
Meine Vorgehensweise: RDP von Workstation A zu PAW mit dem normalen 1) DailyUser an (leastprivelege) und verwende die einzelnen Tools je nach Einsatzbereich mit "run as" bspw. 3)ServerAdmin.
Macht das so Sinn? Ich bin ja auf der Workstation A mit meinem DailyUser aktiv und browse/maile munter vor mich hin. Ist es dann nicht gefährlich von dort aus per RDP auf die PAW zu schalten? Mir fällt aber ehrlich gesagt keine andere Lösung ein. Eine dedicated PAW wäre einfach zu übertrieben und müsste bspw. vom Homeoffice auch wieder Remote angesteuert werden.
Schonmal Danke im Vorraus.
LG
Herb
-
HyperV-Host (Domainjoined):
-
Am 2.11.2020 um 14:45 schrieb muenster:Am 2.11.2020 um 13:02 schrieb H2000:
@muenster Erstmal großen Dank für deine ausführliche Zusammenfassung/Antwort! Das hat einiges für mich klarer werden lassen.
Nur zum Verständnis: Ohne 2. Server Standard wären Datenbankserver und Fileserver mit auf TS richtig?
Das wäre aus Sicherheitsgründen nicht zu empfehlen.
Sprich sobald ich einen Terminalserver betreibe und eine Datenbank, brauche ich zwei ServerOS-Lizenzen, da DC immer mit dabei ist und alles getrennt sein müsste?
Am 2.11.2020 um 15:12 schrieb Dukel:Wenn du x Windows 10 Instanzen hast wird die Lsast durch die vielen VM's höher sein, als ein Server. Die Sessions werden ja die selben sein, egal ob auf RDS oder Win10.
Dass der TS weniger an Leistung braucht als die VM-Variante habe ich verstanden. Ich wollte lediglich auch gleich so planen, sodass auch noch Luft nach oben ist. Der jetzige "Server" fährt ziemlich an der Grenze. Ausserdem wollte ich es gerne verstehen wie man so eine Last am besten planen kann.
-
@muenster Erstmal großen Dank für deine ausführliche Zusammenfassung/Antwort! Das hat einiges für mich klarer werden lassen.
vor 17 Stunden schrieb muenster:Wird noch eine 2. Server Standard hinzugebucht können jetzt noch 1 x Datenbankserver und 1 x Fileserver mit sonstigen Diensten (Druck und Anwendungen) installiert werden. Sorgt für Übersicht und Geschwindigkeit.
Nur zum Verständnis: Ohne 2. Server Standard wären Datenbankserver und Fileserver mit auf TS richtig?
vor 17 Stunden schrieb muenster:Ein ordentlicher Router sorgt für die notwendigen VPN Verbindungen
Am Serverstandort ja. Wie sieht es mit den Außenstellen aus, reicht dort lediglich eine vernünftige VPN-Client Software?
vor 17 Stunden schrieb muenster:Ein 16 Core Single Socket ist da keine schlechte Wahl, bei Anforderung einer höheren Taktung sind die AMDs leicht im Vorteil
Da ich keinerlei Erfahrung mit TS habe wären die benötigten Resourcen pro Session interessant, da halte ich mal mit dem Wawi-hersteller wegen Erfahrungswerten Rücksprache. Grundsätzlich muss ich hier ja folgende Faktoren beachten : [Prozessorlast (MHz), RAM, Speicherplatz] / pro Session. Bitte korrigiert mich wenn ich falsch liege. Ist es denn "so einfach" mit der Lastverteilung? Gerade bei der Prozessorlast bin ich mir was TS angeht etwas unsicher.
LG
H2000
-
vor 3 Stunden schrieb lizenzdoc:
der I7-4790K hat 4 physsiche COREs, also reicht da 1x eine 16er CORE-Lizenz und erlaubt max. 2 VMs, gewünscht sind 6 VMS, ergo 3x die 16er lizenzieren
Das ist für den Fall, dass auf den VM's WinSERVER-OS läuft oder? In unserem Fall laufen ja lediglich Win10-Pro-Versionen. Und diese VM's verrichten afaik keine Serveraufgaben sondern sind lediglich Desktops auf den die User zugreifen um auf Wawi+office zuzugreifen. Sprich mit den entsprechenden User-Cal's sollte das so gehen oder?
vor 3 Stunden schrieb lizenzdoc:2 Jahre SA entsprechen dem Preis von 1-Jahres-ABO VDA, also VDA doppelt so teuer!
Das ist mal ein heißer Tipp. Danke dafür!
-
vor 19 Minuten schrieb testperson:
Von welchem Hersteller ist denn "der Server"? Oder ist das ein "Teller bunte Knete"?
Naja, wir hätten uns den konfigurieren, zusammenbauen und evtl. vorinstallieren lassen von einem Händler wie "ServerSchmiede" o.ä.
-
vor 1 Minute schrieb testperson:
In der Regel fällt das System leider nicht genau dann aus, wenn es deinem Bekannten grade passt.
Und ein Tag Ausfall mit den bisher "bekannten Details" ist in meinen Augen mehr als sportlich.
Das ist klar, dass sowas immer ungelegen kommt. Beim momentan aktiven System gab es tatsächlich gar keine Hardware-basierten Ausfälle in den letzten 5 Jahren. Es wurde einmal eine HDD ausgetauscht, die dann dank Raid keine Probleme verursacht hat.
Was ich nicht ganz verstehe, warum ist das jetzt so ein Thema ist? klar ist wichtig zu beachten, aber wenn die OS-ssd geraidet werden soll, dann mach ich das. Alles andere bleibt ja gleich bzw. ist besser im neuen System.
vor einer Stunde schrieb muenster:Ein Server ohne ECC RAM ist eigentlich kein Server.
Sprich, da das Mainboard nicht ECC-fähig ist und die Datenbank auf ServerOS laufen soll, muss auch hierfür eine neue Platte her? Wir würden gerne von der hohen Taktung profitieren, der Wawi-Hersteller hat uns dazu geraten.
-
vor 1 Minute schrieb NorbertFe:
Naja damit muß man ggf. in Foren aber auch leben. Oder ist dein Fell so dünn?
Nein ist es nicht, kann nur manchmal nicht verstehen warum man dann überhaupt sowas raushaut. Naja, vielleicht ist mein Fell doch nicht so dick wie ich denke ;)
vor 4 Minuten schrieb NorbertFe:Fakt ist, sobald du Windows Server OS mit Clientzugriff nutzt bspw. Fileserver, Domain Controller, DNS Server, DHCP Server usw. sind für alle zugreifenden Clients (entweder Geräte- oder Benutzer-) CALs notwendig. Einzige mir derzeit bekannte Ausnahme: Der Hyper-V Host. Auf den greifen keine Clients zu, denn der stellt ja die VMs bereit, und das könnten dann auch Linux usw. sein. Client-OS für Serveraufgaben wie in der aktuellen Situation sind dann eigentlich pauschal schon ein Lizenzvergehen, weil das anbieten von Serverdiensten afaik in der EULA explizit ausgeschlossen sind, aber da kann man ja nochmal nachschauen, bzw. willst du das ja sowieso ändern, wenn ich dich richtig verstanden habe.
Eine Anfrage an einen Händler ist im Übrigen ja auch keine wirklich verläßliche Auskunft. Denn der eine will nur verkaufen und dem ist dann das Lizenzkonstrukt ggf. auch egal. Ansonsten siehe "Geräte/Benutzer CAL" und die Unterschiede dabei.
Ja das will ich unbedingt ändern! Und dann gleich richtig machen.
Händler bzw. Angebotsersteller war hier leider ein IT-Systemhaus, das uns beraten sollte. Soviel zu dieser Beratungsqualität :)
VDA's sind aber auch notwendig um auf die VM's zuzugreifen oder? Die hat das Systemhaus nämlich auch nicht angeboten und ich stieß bei meiner Recherche darauf.
vor 46 Minuten schrieb muenster:Wenn die WaWi nicht auf einem TS läuft schaut es schlecht aus.
Sie läuft auf TS. Hatte bisher keine Erfahrungen mit TS, deswegen wollte ich den Aufbau bisher mit den VMs soweit wie möglich "migrieren". Die Desktops sind nicht individualisiert, bis auf verschiedene Verknüpfungen auf das Filesystem. Wenn das möglich ist spricht nichts gegen TS.
vor 46 Minuten schrieb muenster:Die Datenbanken auf eine seperate VM (mit Server BS) auslagern.
Warum genau?
vor 46 Minuten schrieb muenster:Webserver auf dem Produktivserver könnte ein Sicherheitsrisiko sein (wenn von außen erreichbar).
Muss nicht darauf bleiben, es werden lediglich Dokumente bereitgestellt die bisher auf dem Filesystem liegen.
-
vor 15 Minuten schrieb NorbertFe:
Kommt drauf an wie es gebaut ist. ;)
Das waren jetzt Erfahrungswerte mit dem alten "nicht-Server"-System :)
vor 15 Minuten schrieb NorbertFe:Na Hauptsache an die Aussage erinnert sich auch jeder an diesen 1-2 Tagen im Jahr.
Hoffe ich auch. Btw. ich habe ja anfangs eingeleitet mit der Annahme das sei eine legitime Anfrage hier im Forum. Wenn es das nicht ist, sprich "lass es sein oder hol dir einen Profi" dann sag das ruhig und ich ziehe von dannen. Ich würde mir wünschen produktiv am Thema zu arbeiten und nicht mit Sarkasmus um sich zu schmeißen. Wie gesagt, kann verstehen wenn du da kein Bock drauf hast.
vor 15 Minuten schrieb NorbertFe:Und dann braucht man CALs. Ist doch ganz einfach. Zugriff auf Windows Server sind immer mit CALs verbunden. Der Service ist dabei egal.
Ist mir eben nicht ganz klar, da von einem Händler anders angeboten bei gleicher Systembeschreibung. Der meinte nämlich es wären lediglich CaL's für die VMs nötig, was ja laut deiner Aussage nicht stimmt, die lokalen Workstations brauchen ja dann auch CaL's.
-
vor 3 Minuten schrieb NorbertFe:
Und die WAWI und das Filesystem liegt nicht auf dem Windows Server? Ich bin da bei Jan, holt euch jemanden, der sowas beruflich macht und sich damit auskennt. Der kann dann vor Ort auch die richtigen Fragen stellen (und ja, das wird Geld kosten).
Bye
Norbert
Niemand sprach von Hochverfügbarkeit, sondern die Fragen lauteten:
Nein tun sie nicht, deswegen ja mein Anliegen das zu ändern. Dass das nicht sinnvoll ist einen "Server" auf ConsumerHardware laufen zu lassen mit einfachem OS ist mir klar und das gerade möchte ich ja ändern.
Wie lange darf es dauern bis alles wieder läuft? - wie gesagt Stunden oder auch mal einen Tag. Ein Ausfall stellt ja keine Regel da. Sprich wenn es 1-2mal im Jahr jeweils einen Tag ausfällt ist das verschmerzbar.
-
vor 1 Minute schrieb testperson:
Hi,
auch wenn es hart klingt: Tu deinem Bekannten und auch dir einen Gefallen und lasst euch von jemandem Beraten, der sowas beruflich macht! Wie stellt ihr "als nicht Profis" es euch denn vor, wenn es plötzlich Probleme gibt und keiner mehr weiterweiß?
Ansonsten fängst du viel zu weit "hinten" an: Welche Anforderungen hat dein Bekannter denn an seine neue IT Umgebung? Vermutlich wären die zu klärenden Fragen:
- Wie lange darf es dauern bis alles wieder läuft?
- Wie viel Datenverlust ist akzeptabel?
Gruß
Jan
Hallo,
wir haben schon Angebote eingeholt, leider sprengen die etwas das Budget. Ziel ist es wieder mit dem System zu wachsen, sprich wir werden aktiv daran lernen müssen. Aber du hast schon recht, wir werden auf jeden Fall nochmal mit einem Profi sprechen der das ganze wenigstens absegnet.
"Zu weit hinten" ist so eine Sache :) Das momentane System hat ja auch nur bedingte Verfügbarkeit, sprich wenn es mal einen Tag nicht läuft, ist das zwar bitter, aber kein Weltuntergang. Hochverfügbarkeit ist mMn zu teuer, wenn schon kein Profi eingeschaltet werden kann.
Was genau meinst du mit Datenverlust? Die Daten die verloren gehen zwischen den Backups bei System/Hardware Ausfall? Das läuft momentan täglich, wollte ich aber verkürzen auf stündlich. Ja klar, fehlendes Raid im OS+Datenbank lässt das ganze anders aussehen. Aber auch hier wäre ein stündliches Backup ausreichend. Das ist so eine Sache die wir testen wollen. Theoretisch kann ich auch alle 10 Minuten ein Backup der Datenbank laufen lassen, allerdings ist fraglich ob es hier dann performance-Einbußen gibt zwecks Datenbankzugriff.
-
Servus,
ich weiß nicht ob hier das richtige Board ist um sowas mal durchzusprechen, falls nicht lasst es mich bitte direkt wissen.
Ich helfe einem Bekannten bei seinem Server-Aufbau für sein KMU. Der Aufbau ist etwas spezieller, da die Firma zwar klein ist, aber weit gestreut mit vielen Standorten. Die Anforderung besteht darin, die Wawi sowie Filesystem mehreren Standorten zur Verfügung zu stellen. Da weder mein Bekannter noch ich profis in dem Bereich sind, wollte ich mal eine kleine Rückmeldung für unsere Planung haben.
Bisheriger Aufbau:
1x " Server" - I7-4790K, 32gb Ram, 1Gbit-Lan, 2x 2TB Raid 1, Win10 Pro (steht als Tower im 19"-Rack)
- auf diesem laufen die Wawi-serverinstallation mitsamt Datenbank, 6xVMs(Virtualbox) mit Win10 für externen Zugriff der Standorte ca. 500GB Speicherplatz, sowie ein kleiner Webserver, Backuproutinen und drittanbieter vpn-server
5x Workstations mit win10 pro lokal am Serverstandort
6x Workstations extern verteilt auf die verschiedenen Standorte die für Wawi-Zugriff auf Server zugreifen (über drittanbieter vpn-client)
Bem.: Auf den VMs laufen die Wawi-Clients sowie eine Office-suite.
Mein Problem damit, es ist ein gewachsenes System das nicht auf die eigentliche Größe und Anforderungen des Netzwerks ausgelegt ist. Leistungstechnisch kommt man wohl auch mit den 6VMs öfter an seine Grenzen.
Mein grober Plan:
1. Den "Server" weiterverwenden, aber ohne die VMs. Eventuell für die Datenbankabfragen das OS+Wawi auf eine Nvme SSD (oder auch sata ssd) upgraden. Wawi profitiert dann von dem hohen Takt des 4790K. Raid1 fällt zumindest für OS+Wawi weg. Stündliche Backups der Datenbank könnten die "Redundanz" hier ersetzen. Komplette Physical Backups sollen nächtlich laufen.
2. Server für die VMs kaufen: Dual-Sockel Platte mit 2x 8core Proc. ,64GB ecc Ram, 10gbit Anschluss (fraglich ob sinnvoll), 2x 500gb SSD für VMs und Filesystem
3. Storage-Nas kaufen: Entweder 4x 2TB Raid1 oder 4x 2TB Raid10. Hierauf sollen dann Backups für Datenbank (stündlich), Filesystem(stündlich), VMs (täglich), Server-full-physical (täglich) laufen.
Das ganze dann mit einem richtigen ServerOS (vorr. Win Server 2019 Standard) und Hyper-V/vmware. Ausserdem kommen später noch mehr VMs dazu, deshalb gleich in die Vollen mit der VM-Serverplatte. Wir haben noch ein Replica vom "Server". Der steht momentan ungenutzt rum.
Lizenzierung:
Leider gibt es hier ein paar Sachen nachzuholen. Nach einiger Recherche habe ich folgende Vorstellung:
Server 2019 Standard reicht für 16 cores.
Für die VMs sind dann Win10Pro Lizenzen notwendig. Für den Zugriff auf diese sind VDA's nötig per device das zugreift.
Laut Angebot eines Händlers sind auch CaL's für die VM's notwendig, laut meiner Recherche nicht??
Sind CaL's nötig für die lokalen Rechner? Diese greifen ja lediglich auf die Datenbank der Wawi und das Filesystem zu.
Fragen:
A. Macht das Grundkonzept so Sinn?
B. Ist die Auswahl der Hardware sinnvoll? Vor allem macht der dedicated Storage Sinn oder soll lieber Storage auf der VM-Platte mit HDDs erweitert werden?
C. Lizenzmodell: ich tappe hier noch etwas im dunkeln, ist meine beschriebene Vorstellung so korrekt?
LG
H2000
EDIT: Bemerkung zu Backup: Es laufen auch Backups nach Extern, zumindest für Datenbank und Filesystem sprich die beweglich wichtigen Daten 1x täglich
Konzeptfrage Administration über PAW-VM - Win2019
in Windows Forum — Security
Geschrieben · bearbeitet von H2000
Okay, das macht so herum tatsächlich mehr Sinn. Wie ist das wenn man z.Bsp. aus Home-Office administrieren will? Dann brauche ich ja auch eine, ich nenne es mal jetzt so, PAW-light. sprich Workstation die quasi nur Antivirus+vpn+rdp hat und sich auf die eigentliche PAW aufschaltet?
Ja die Admin-Accounts bekommen sehr lange und unterschiedliche Passwörter.
schau ich mir mal an, danke für den Tipp!
Admin 1,5 (also mich und jemand mit eingeschränkten Adminrechten) + 12 User (davon 7 per VPN zugeschaltet)
VLans wollte ich angehen sobald auch ein vlan-fähiger switch da ist, aber kurze Recherche zeigte mir, dass man ja breits in Hyper-V Vlans zuweisen kann. Dazu muss ich mich wohl unbedingt richtig informieren, mein Verständnis dazu war da ein anderes..
Credential Guard und TPM hatte ich noch nicht auf dem Schirm. Wobei Credential Guard ja wohl schon Standard sein sollte was ich so lese. Ohje, noch viel lesen ich muss :)
Danke für die Punkte!
Edit: Typo