Onkelwolfi 0 Geschrieben 9. Juli 2013 Melden Teilen Geschrieben 9. Juli 2013 Hallo, ich habe hier schon ein paar (teils halbgare) Antwoten auf meine Fragen gefunden - auf andere keine. Ich werde zur Sicherheit einfach noch einmal alle Fragen in einem Rutsch stellen - vielleicht erhalte ich so noch die eine oder andere wichtige Zusatzinformation. 1. Ich möchte einen Hyper-V Host mit 2 Gast-VMs (alles Win Server 2012 Standard) breiben. VM1 Soll dabei die Rolle des DC erfüllen - VM2 als Terminalserver (RDS-Rolle) fungieren. Ist es ratsam oder gar Pflicht, VM2 mit in die Domain von VM1 aufzunehmen oder kann man auch darauf verzichten? 2. Müssen alle 3 Windows-Systeme (Host + 2 VMs) einzeln mit Updates versorgt werden oder geht das auch einfacher bzw. ohne dass der Server 3x die gleichen Updates laden und installieren muss? 3. Wie sichert man das bzw. die 3 Systeme (Host + 2 VMs) optimal ab? Ich habe zum einen gelesen dass man auf Host und VMs jeweils einen AV-Scanner installieren sollte - jemand anderes meinte nur auf den VMs und den Host komplett vom Internet trennen - wieder ein anderer, nur auf den Host (Stichwort "Agentless Hypervisor-Based Antivirus"). Was ist nun die best-practice? 4. VM1 soll auch als Fileserver genutzt werden. Ist es ratsam dafür eine eigene VHD für die Freigaben anzulegen oder macht es keinen Unterschied (Performance und Sicherheit), ob die Freigaben in der selben VHD wie Windows liegen oder nicht? Vielen Dank schon einmal für eure Antworten! Freundliche Grüße, Wolfgang Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Juli 2013 Melden Teilen Geschrieben 9. Juli 2013 1. Ich möchte einen Hyper-V Host mit 2 Gast-VMs (alles Win Server 2012 Standard) breiben. VM1 Soll dabei die Rolle des DC erfüllen - VM2 als Terminalserver (RDS-Rolle) fungieren. Ist es ratsam oder gar Pflicht, VM2 mit in die Domain von VM1 aufzunehmen oder kann man auch darauf verzichten? Also wenn du sowieso nen DC aufsetzt, stellt sich die Frage doch gar nicht, oder wofür würdest du die dann aufsetzen, wenn du nicht alle Server darin verwalten willst? 2. Müssen alle 3 Windows-Systeme (Host + 2 VMs) einzeln mit Updates versorgt werden oder geht das auch einfacher bzw. ohne dass der Server 3x die gleichen Updates laden und installieren muss? Ersteres. Sind halt 3 Windows Installationen die du patchen mußt. 3. Wie sichert man das bzw. die 3 Systeme (Host + 2 VMs) optimal ab? Ich habe zum einen gelesen dass man auf Host und VMs jeweils einen AV-Scanner installieren sollte - jemand anderes meinte nur auf den VMs und den Host komplett vom Internet trennen - wieder ein anderer, nur auf den Host (Stichwort "Agentless Hypervisor-Based Antivirus"). Was ist nun die best-practice? Kommt darauf an. ;) Bei zwei solchen Systemen würde ich wahrscheinlich dazu tendieren einfach nen klassischen Virenscanner auf die VMs zu installieren und den Host weitestgehend vom Netz abzuschotten. 4. VM1 soll auch als Fileserver genutzt werden. Ist es ratsam dafür eine eigene VHD für die Freigaben anzulegen oder macht es keinen Unterschied (Performance und Sicherheit), ob die Freigaben in der selben VHD wie Windows liegen oder nicht? Ja ist in meinen Augen ratsam. Bye Norbert Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 9. Juli 2013 Melden Teilen Geschrieben 9. Juli 2013 Hi, zu 1. Wenn die User am TS auf die Fileshares am VM1 zugreifen sollen empfiehlt es sich den TS in die Domain aufzunehmen. Stichwort Authentifizierung. Ist auch bei der Verwendung von GPOs von Vorteil (zumindest fände ichs übersichtlicher), und natürlich bei der Userverwaltung. zu 2. für 3 Systeme würde ich mir keinen WSUS einrichten. zu 4. Ich würde auf jeden Fall trennen. Denn wenn die Datenplatte überläuft ist das System nicht davon betroffen. Außerdem können VHDs mit Boot- und System-Volumes zwar vergrößert, aber nicht so einfach erweitert werden, während es bei "Datenpartitionen" mit ein paar Mausklicks klappt. lg D. Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Juli 2013 Melden Teilen Geschrieben 9. Juli 2013 zu 2. für 3 Systeme würde ich mir keinen WSUS einrichten. Warum nicht? Fürs Reporting trotzdem angenehmer. Du mußt die Downloads ja nicht lokal speichern. ;) zu 4. Ich würde auf jeden Fall trennen. Denn wenn die Datenplatte überläuft ist das System nicht davon betroffen. Außerdem können VHDs mit Boot- und System-Volumes zwar vergrößert, aber nicht so einfach erweitert werden, während es bei "Datenpartitionen" mit ein paar Mausklicks klappt. Naja die Datenpartition müßtest du auch erstmal dismounten in der Virtualisierung um sie zu vergrößern. Das kann man zwar im laufenden Betrieb der VM tun, aber die meisten Services finden das nicht unbedingt gut. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 9. Juli 2013 Melden Teilen Geschrieben 9. Juli 2013 zu 2. für 3 Systeme würde ich mir keinen WSUS einrichten. Ein paar Clients wird es wohl auch geben ... wozu sonst die Server ;) zu3.: Stichwort "Agentless Hypervisor-Based Antivirus": Damit wäre ich sehr vorsichtig. Ein false positive und der Spass beginnt. :p Lieber eine Core Installation auf dem Host und einen klassischen AntiVirus in die VM zu4: Eine separate Daten-VHD bringt nicht unbedingt einen Performance-Gewinn, kann aber die Verwaltung vereinfachen. Zitieren Link zu diesem Kommentar
Onkelwolfi 0 Geschrieben 10. Juli 2013 Autor Melden Teilen Geschrieben 10. Juli 2013 Danke für die Antworten. Mir stellt sich nun nur noch die Frage, wie ich den TS am besten der Domäne hinzufüge. Lege ich dazu im AD auf dem DC-Server einfach einen neuen User "TS" an und melde mich dann darüber über den TS an die Domain an? Oder gibt es noch andere Lösungen? Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 10. Juli 2013 Melden Teilen Geschrieben 10. Juli 2013 Häh? Wieso das denn? Ein User in der Domain und gut. Müller heißt Müller und Meier heißt Meier. Ist doch egal ob der sich am TS anmeldet oder am PC, oder versteh ich was falsch? Bye Norbert Zitieren Link zu diesem Kommentar
Onkelwolfi 0 Geschrieben 10. Juli 2013 Autor Melden Teilen Geschrieben 10. Juli 2013 Ich meinte wie ich den Terminalserver an die Domain anmelde. Muss ich für diesen Server auch einen User auf dem DC-Server anlegen und den TS dann darüber der Domain beitreten lassen wie einen Client? Oder kann/sollte man den TS anders mit dem DC verbinden? Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 10. Juli 2013 Melden Teilen Geschrieben 10. Juli 2013 Du kannst den TS wie jeden Client der Domäne hinzufügen? Extra User musst du nicht dafür anlegen (musst du ja für Clients auch nicht) du brauchst nur einen User mit entsprechenden Rechten. Zitieren Link zu diesem Kommentar
Onkelwolfi 0 Geschrieben 10. Juli 2013 Autor Melden Teilen Geschrieben 10. Juli 2013 Okay, also melde ich ihn mit dem Administrator Passwort vom DC an. Danke und viele Grüße, Wolfgang Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.