Kleine Design-Frage zu FSMO-Rolleninhaber

[Thomas Säuberli 11]

Hallo zusammen

 

Ein Kunde von uns ist in den letzten Jahren ziemlich gewachsen (verschiedene Standorte mit DCs und so).

Am Hauptstandort steht immer noch ein Fileserver, welcher auch das AD mit den FSMO-Rollen, DNS, WINS, DHCP und Printserver beherbergt.

 

Nun möchte ich das Ganze etwas entwirren um das "Klumpenrisiko" und Ausfallzeiten zu minimieren.

 

Ich stelle mir vor:

 

1 Server nur AD (FSMO), DNS, Wins und DHCP

1 Server nur als Printserver und zusätzliches AD

1 Server nur als Fileserver

 

erste Frage: Gibt es dagegen etwas einzuwenden? Verbesserungsvorschläge?

 

Im Weiteren habe ich mir überlegt, ob es sinnvoll wäre das Master-AD (FSMO) als virtuelle Maschine mitlaufen zu lassen (z.Bsp. auf dem Printserver). Denn wirklich viel zu tun hat der Server ja nicht.

 

zweite Frage: gibt es etwas was dagegen spricht?

 

Es sind übrigens alles Win2003-Server und ca. 150 Mitarbeiter.

 

Vielen Dank für Eure inspirierdenden Tipps!

 

Gruss

 

Thomas

[djmaker 95]

Gegen diese Konstellation (2 Server) spricht eigentlich nichts. Du solltest nur bedenken das es jede FSMO-Rolle nur 1 x gibt und Du damit jede Rolle auch nur 1x vergeben kannst.

 

BTW: irgendwie vermisse ich in der Auflistung noch den Backup Server :)

[BrainStorm 10]

Hallo Thomas,

 

Nun möchte ich das Ganze etwas entwirren um das "Klumpenrisiko" und Ausfallzeiten zu minimieren.

 

Ich stelle mir vor:

 

1 Server nur AD (FSMO), DNS, Wins und DHCP

1 Server nur als Printserver und zusätzliches AD

1 Server nur als Fileserver

 

erste Frage: Gibt es dagegen etwas einzuwenden? Verbesserungsvorschläge?

 

Japp ;) Jeder DC sollte auch DNS-Server/GlobalCatalog sein - im Idealfall mit AD integrierter DNS-Zone. WINS würde ich daher auch doppelt auslegen und beim DHCP kannst du entweder die 80/20 Regel anwenden oder auf dem zweiten Server einen "Offline-DHCP Server" mit selben Einstellungen bereitstellen der im Bedarfsfall einfach aktiviert werden kann.

 

Konfigurieren von Bereichen

 

Im Weiteren habe ich mir überlegt, ob es sinnvoll wäre das Master-AD (FSMO) als virtuelle Maschine mitlaufen zu lassen (z.Bsp. auf dem Printserver). Denn wirklich viel zu tun hat der Server ja nicht.

 

zweite Frage: gibt es etwas was dagegen spricht?

 

Jein ;) Schau dir dazu einfach folgenden Artikel an. Anschließend solltest du abwägen ob du das immernoch tun willst.

 

Considerations when hosting Active Directory domain controller in virtual hosting environments

[grizzly999 11]

Am Hauptstandort steht immer noch ein Fileserver, welcher auch das AD mit den FSMO-Rollen, DNS, WINS, DHCP und Printserver beherbergt.

 

Nun möchte ich das Ganze etwas entwirren um das "Klumpenrisiko" und Ausfallzeiten zu minimieren.

Gute Idee :thumb1:

 

First of all: Abhängig, was, wo, wohin, ist u.a. auch welche HW in welcher Aussattung zur Verfügung steht, aber prinzipiell:

1 Server nur AD (FSMO), DNS, Wins und DHCP

1 Server nur als Printserver und zusätzliches AD

1 Server nur als Fileserver

Wenn Rollentrennung, dann richtig. Ein DC ist DC, bestenfalls noch Infrastrukturserver (DNS und vielleicht WINS), aber sonst nichts.

Ein DC ist kein Printserver. Außerdem bietet sich der Fileserver klassischerweise als Printserver an. Heißt ja oftgenug auch "File- and Printserver".

Bei 150 Leuten kann ich mir nicht vorstellen, dass die soviele Printer haben, dass man einen dedizierten Printserver braucht. Und wenn doch, dann bitte nicht auf dem DC :suspect:

 

Im Weiteren habe ich mir überlegt, ob es sinnvoll wäre das Master-AD (FSMO) als virtuelle Maschine mitlaufen zu lassen (z.Bsp. auf dem Printserver). Denn wirklich viel zu tun hat der Server ja nicht

Gegen einen virtualisierten DC spricht nichts, aber warum legst du da Wert auf den FSMO-Inhaber? Es spielt keine Rolle, ob die FSMO Roles auf einem virtuellen DC liegen oder nicht. Sie müssen halt verfügbar sein, wenn man sie braucht.

 

Was durchaus ein möglicher Ansatz ist, alle Server zu virtualisiereung, dazu siehe aber auch den einleitenden Satz.

Welche Virtualisierungslösung steht denn zur Verfügung?

 

@Brainstorm and all:

.... DHCP kannst du entweder die 80/20 Regel anwenden oder ....

Die 80/20 Regel war in ganz frühen NT 4.0 Tagen mal für was anderes gedacht, aber da schon unausgegorener Mumpf. Wenn mann zwei Online-DHCP Server betreibt, dann mit doppelt großem Bereich und korrekt(!) eingerichteter 50/50 Regel.

 

Wie weiter oben von meinen Vorrednern schon erwähnt ist hinsichtlich der AD-Infrastruktur vor allem auf redundante Auslegung der wichtigen Dienste zu achten (DC, DNS, GC, auch WINS) und vor allem, dass die DCs ordentlich gesichert werden. Keine Images!

 

 

grizzly999

[BrainStorm 10]

Die 80/20 Regel war in ganz frühen NT 4.0 Tagen mal für was anderes gedacht, aber da schon unausgegorener Mumpf. Wenn mann zwei Online-DHCP Server betreibt, dann mit doppelt großem Bereich und korrekt(!) eingerichteter 50/50 Regel.

 

@grizzly999:

 

Ich habe hier nur auf die offizielle Empfehlung von Microsoft verwiesen. Ob das nun "Mumpf ;)" ist oder nicht, sei mal dahingestellt.

 

Empfehlungen zu DHCP

[grizzly999 11]

Jo, ist dennoch Mumpf, den sie da rüber gerettet haben. ;)

Mal ganz krass ausgedrückt, wenn mir mein DHCP mit den 80% ausfällt, nicht gleich bemerkt, und das wenn die Leasedauer der meisten Clients abgelaufen ist, z.B. Sonntag nachts, dann hat man ziemlich viel davon, wenn am Montag morgen ein DHCP Server da ist, der noch 20% der Adressen hat, wobei der im Normalfall bestimmt auch einen gutteil der Leases schon vorher rausgegeben hat :(

 

Daher war schon im äußerst guten DHCP Whitepaper von Windows 2000, welches mit Ablaufen des Extended Support von 2000 vom Netz genommen wurde, das völlig richtig mit dem doppelt so großen Bereich und der 50/50 Regel beschrieben. Macht ja aus obiger Überlegung Sinn.

 

Und der Mumpf findet auch noch sein Höhepunkt im Nachfolge DHCP-Whitepaper von 2003, wo zwar die korrekte 50/50 Empfehlung beschrieben wird, aber wohl mit Copy-and-Paste die Überschrift 80/20 drüber steht :cry::cry:

Dynamic Host Configuration Protocol for Windows Server 2003

 

 

grizzly999

[BrainStorm 10]

Ich stimme dir voll und ganz zu, dass die 50/50 Regel durchauch sinnvoller ist. Der größte Mumpf ist dann ja das der Hersteller selbst unterschiedliche Empfehlungen zu dem Thema publiziert :confused:

[NilsK 2.785]

Moin,

 

Ein DC ist kein Printserver.

 

das ist grundsätzlich sinnvoll, aber je nach Umgebungsgröße würde ich das durchaus entspannter sehen. Gerade ein Printserver verträgt sich hervorragend mit einem DC, weil der Dienst sehr wenig komplex ist. Zudem sind Windows-Printserver in den meisten Umgebungen sehr einfach aufgebaut: Treiber installiert, freigegeben, fertig. Sollte einem also so eine Maschine abrauchen, ist der Aufwand zur Neuinstallation gering.

 

Außerdem bietet sich der Fileserver klassischerweise als Printserver an. Heißt ja oftgenug auch "File- and Printserver".

 

Letzteres liegt allerdings eher daran, dass in der Entwicklung der PC-Netzwerke eben File und Print die ersten Serverdienste waren - sowohl bei Novell als auch bei Microsoft. Windows nutzt dafür ja auch immer noch das gleiche Protokoll.

 

Ob die Kopplung sinnvoll ist, würde ich durchaus skeptischer beurteilen als bei der Kopplung von DC und Print. Druckjobs können heute schon beeindruckende Umfänge annehmen, denk mal an A3 vollfarbig bei 600 dpi ... wenn der Server dann parallel auch als Fileserver gut belastet ist, würde ich die Funktionen eben gerade nicht zusammenlegen.

 

Die 80/20 Regel war in ganz frühen NT 4.0 Tagen mal für was anderes gedacht, aber da schon unausgegorener Mumpf. Wenn mann zwei Online-DHCP Server betreibt, dann mit doppelt großem Bereich und korrekt(!) eingerichteter 50/50 Regel.

 

Endlich mal jemand, der das auch so sieht wie ich. :cool:

 

Gruß, Nils

[motzel 10]

Hallo,

 

ich würde sagen es ist eine Frage was man hat und was man braucht?!

Siehe z.B. unser Umfeld: 100 Server (W2K3R2 SP2), 1400 Clients (XP, W2K), alle Lokationen sind via WAN mit der Zentrale verbunden.

 

Wir haben z.B. neben den grossen Einrichtungen (bis zu 500 User) in denen jeweils:

2 bis 3x DC's mit (GC, DNS AD-integriert, WINS-Hub/Spoke)

File, Print und DHCP geclustert

Exchange2003, SQL2005, WSUS, SMS2003, WDS/RIS für PXE, Virenscannerverteilpunkt, TS (Citrix) usw.

separat (d.h. dezitierte Maschinen) vorhanden sind,

 

auch viele kleine Lokationen (im Schnitt 5-10 User) wo nur:

1x DC mit (GC, WINS-Hub/Spoke, DNS AD-integriert, DHCP, File, Print, WSUS, SMS2003, WDS/RIS für PXE und Virenscannerverteilpunkt)

auf einer einzigen Maschine gehalten werden.

 

Nur einen Exchange würde ich persönlich nicht auf einen DC mitlaufen lassen. Ansonsten sehe ich die Aufteilung/Zusammenlegung von Windows eigenen Diensten und Funktionen sehr abhängig von der geforderten Performance der Maschine, solange keine Applikationen z.B. ERP/CRM usw. ins Spiel kommen.

Anwendungen würde ich schon aus Gründen des Supports immer auf dezitierte Systeme, z.B. in einer VMWare-ESX(i) (d.h. pro Anwendung ein eigenes System), installieren.

 

Die Sicherung erfolgt durch eine Kombination aus NTBackup, Image und Filebackup:

1. Sicherung des Sysstate via NTBackup direkt auf die C:\ Partition

2. Sicherung via Image (inkl. dem vorher gesicherten Sysstate) von C:\ (System) auf ein NAS bzw. Backup-Server (Symantec Backup Exec System Recovery)

3. Sicherung via File-Backup von D:\ (Daten) auf ein NAS bzw. Backup-Server (Symantec Backup Exec inkl. Agents für Exchange, SQL, OpenFile etc.)

 

Zum Thema des Imagens von DC's (USN Rollback-Problem) würde ich gerne kurz auf: MSXFAQ.DE - Imagebackup als Sicherung verweisen.

 

Die 5 FSMO-Rollen werden bei uns auf einem einzigen DC (erster DC in der Gesamtstruktur) in der Zentrale gehalten.

 

Viele Grüße

 

motzel