Hyper-V Cluster in DMZ

[maeck 10]

Hallo,

 

wir haben bereits ein Drei-Knoten Failover-Cluster im internen Netz und möchten nun noch ein Zwei-Knoten Failover-Cluster in unserer DMZ aufbauen.

 

Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht.

Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt?

 

Bei einer eigenständigen AD, würde man dann mit Vertrauensstellungen arbeiten, damit z.B. der SCVMM auch die VMs managen kann?

 

Gruß Marcel

[NorbertFe 1.835]

Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht.

 

Korrekt.

 

Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt?

 

Also wenn schon DMZ, dann würde das für mich bedeuten, eigene DMZ-AD mit allem Drum und Dran (also mindestens zwei DCs). Man könnte natürlich auch auf eine Virtualisierungsplatform setzen, die diese Voraussetzung nicht hat.

 

 

Bye

Norbert

[maeck 10]

Man könnte natürlich auch auf eine Virtualisierungsplatform setzen, die diese Voraussetzung nicht hat.

Dessen sind wir uns bewusst. Da wir bereits Hyper-V einsetzen, möchten wir wegen der DMZ (auch im Hinblick auf SCVMM) nicht auf einen anderen Virtualisierungs-Anbieter wechseln. Microsoft hat sich darüber doch sicher auch Gedanken gemacht :suspect:

 

Marcel

[Lian 2.361]

Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht.

Der Failover Cluster an sich braucht zwar kein CSA (Cluster Service Account) mehr wie bei 2003, typischerweise braucht man für die Network Names aber CNOs (Cluster Name Object = AD Computerkonten) und AD Benutzerkonten zur Administration des Clusters. Sprich: Ein AD is nach wie vor Voraussetzung, wie Norbert schon sagte.

Siehe auch: http://technet.microsoft.com/en-us/library/cc771404.aspx

Also wenn schon DMZ, dann würde das für mich bedeuten, eigene DMZ-AD mit allem Drum und Dran (also mindestens zwei DCs).

Sehe ich auch so...

[maeck 10]

OK, ich merke schon ich komme um ein eigenes AD in der DMZ nicht drum herum ;) womit ich gerechnet habe :)

 

Wie würde das dann aussehen (neben den beiden DCs), wird es ein AD das eine Vertrauensstellung zum internen AD hat oder sollte es völlig losgelöst sein?

 

Gruß Marcel

[NorbertFe 1.835]

Das hängt doch wohl eher vom Sicherheitsbedürfnis / der Paranoia ab. ;) Ein Trust, auch wenn nur 1-way benötigt ebenfalls geöffnete Ports in der DMZ.

 

bye

Norbert

[Dukel 437]

[...](auch im Hinblick auf SCVMM) [...]

 

Marcel

 

Mit SCVMM kann man auch ESX V-Center Administrieren oder in der nächsten Version Xen Desktop.

[Necron 71]

oder in der nächsten Version Xen Desktop.

Um genau zu sein XenServer und nicht XenDesktop. ;)

[TheDonMiguel 11]

Um genau zu sein XenServer und nicht XenDesktop. ;)

 

Falls von Interesse, here we go: Citrix XenServer Fabric Management in System Center Virtual Machine Manager 2012 | Server Talk

[AFM_Adm 11]

Wir stehen gerade vor der selben Frage, haben momentan einen Hyper-V Cluster und die Daten liegen im SAN.

Wollen nun 2 Webserver und Postfix virtualisieren, sollten wir einen eigenen Cluster für 3 VM's in der DMZ aufbauen?

Wie sicher/unsicher ist es die VM's die in der DMZ laufen sollen, über den gleichen Host wie die VM's im Produktivnetz laufen zu lassen (eigene Netzwerkkarte und VLAN für DMZ im Host natürlich Vorraussetzung!)?

Gibt es einen Empfehlung von MS zum Thema Hyper-V und DMZ?

 

MFG

[NilsK 2.795]

Moin,

 

der Sinn einer DMZ ist die Trennung von Netzwerken. Wenn du VMs verschiedener Netzwerkbereiche auf demselben Host konzentrierst, hast du die Netzwerktrennung aufgehoben (und noch dazu die pyhsische Trennung). DMZ-VMs also niemals auf Produktions-Hosts.

 

Wenn es denn wirklich ein Hyper-V-Cluster in der DMZ sein soll, dann mit eigenem AD in der DMZ, das eben nur für den Cluster da ist (also keine weiteren Konten dort). Trusts verbieten sich, denn für die gilt dasselbe - man hätte eine Verbindung der Netze. Abgesehen davon, hat man eine DMZ ja gerade, weil man den Systemen dort nicht vollständig vertrauen kann ...

 

Zum VMM: Um einen Zwei-Knoten-Cluster in einer DMZ zu verwalten, braucht man wirklich keinen VMM. Also erübrigt sich die Frage.

 

Gruß, Nils

bearbeitet 24. August 2011 von NilsK
Ergänzung VMM

[Nillux 10]

Guten Abend,

 

Das trifft zwar nicht ganz das Thema des Threads, aber bevor ich einen neuen aufmache, poste ich lieber hier. Hat sich da in den letzten 1,5 Jahren etwas getan?

 

bei uns soll die DMZ virtualisiert werden. Unser Systemhaus hat vorgeschlagen, die "DMZ VM´s"auf die schon vorhandenen "internen" Hyperv Server zu legen, auf denen unsere DC´s, Exchange und andere liegen. Dazu sollen seperate Netzwerkkarten benutzt werden.

Ich habe dabei etwas Bauchschmerzen...

Kann man das so machen, hat das evtl schon jemand im Einsatz? Oder sollte mann es besser lassen, ist das ein Sicherheitsrisiko?

 

Bin für jede Meinung dankbar.

bearbeitet 3. Juni 2013 von Nillux

[NorbertFe 1.835]

Was genau willst du jetzt hören? Lieber, ja es geht und wenn man mag, oder doch lieber Nils Posting oben? ;)

[Nillux 10]

Was ich hören wollte, steht eigentlich in meinem obrigen Post. ;)

Und da der Kommentar von Nils schon 1,5 Jahre alt ist, habe ich halt gefragt.

Werde es aber nochmal überschlafen....

[NorbertFe 1.835]

Nur weil es älter ist, ist es technisch nicht zwingenderweise überholt. ;)