Doso 77 Posted August 25, 2014 Report Posted August 25, 2014 Bei uns steht das Thema Virtualisierung von Domain Controllern an. Mir ist klar das ich dafür Windows 2012 Hyper-V und Domain Controller oder höher brauche. Weiterhin habe ich nun nach etwas Überzeugungsarbeit meinen Chef so weit das er uns einen physischen DC übrig lässt. Was mir aber nicht klar ist, ist wie viele physische DCs man haben sollte. Wir betreiben 2 Domänen, nennen wir sie mycompany.de, public.mycompany.de mit jeweils 2 DCs. Ich sehe zwei Möglichkeiten: - Ein Physischer DC in mycompany.de, mit Schema Master etc. Rollen, rest virtuell, - Zwei physische DCs, pro Domäne einer, also public.mycompany.de und mycompany.de, den jeweils anderen DC dann virtuell Ich werde dazu leider aus den Best Practices von Microsoft nicht ganz schlau daraus, kann mir hier wer weiterhelfen?
zahni 588 Posted August 25, 2014 Report Posted August 25, 2014 Wenn Du 2 Domänen betreibst, sollte auch jeweils ein DC physikalisch betrieben werden.
lefg 276 Posted August 25, 2014 Report Posted August 25, 2014 Wenn Du 2 Domänen betreibst, sollte auch jeweils ein DC physikalisch betrieben werden. Welche stichhaltige, leicht einsehbare, vorstandskompatible Begründung dafür trägt man dem Chef vor?
Sunny61 839 Posted August 25, 2014 Report Posted August 25, 2014 Welche stichhaltige, leicht einsehbare, vorstandskompatible Begründung dafür trägt man dem Chef vor? Wenn du alles virtualisiert hast, was passiert wenn dir diese Umgebung um die Ohren fliegt? Richtig, Du hast keinen DC mehr. Deshalb sollte man wirklich immer mind. noch einen physischen DC im Serverraum stehen haben.
NorbertFe 2,315 Posted August 25, 2014 Report Posted August 25, 2014 Das ist kein "grundsätzlich" unlösbares Problem, und die Empfehlung für physische DCs kam "damals" hauptsächlich wegen der Clusterservice-Abhängigkeit von einem AD zustande. Wenn man einen DC virtuell also ausserhalb des Clusters betreibt, dann seh ich das alles als lösbar an. ;) Bye Norbert PS: Ja, es ist manchmal praktischer physikalische DCs zu haben, aber nicht zwingend.
Sunny61 839 Posted August 25, 2014 Report Posted August 25, 2014 (edited) Schaden kann es aber auf keinen Fall. :) Und es muss ja auch keine Monstermaschine sein. Edited August 25, 2014 by Sunny61
Lian 2,704 Posted August 25, 2014 Report Posted August 25, 2014 Hallo, zu dem Thema Cluster gibt es ab 2012 ein feature - Stichwort AD-less cluster bootstrapping http://blogs.technet.com/b/wincat/archive/2012/08/29/windows-server-2012-failover-cluster-enhanced-integration-with-active-directory-ad.aspx In WS2012, we have solved this situation by allowing an existing cluster to boot without AD. Für die Installation muss ein DC erreichbar sein, später nicht unbedingt.
zahni 588 Posted August 25, 2014 Report Posted August 25, 2014 Und wer andere Dienste hat, die eventuell DNS-abhängig sind, sollte sicherstellen. dass er auch funktioniert. Bei Vsphere könnte das u.U. lustig werden, wenn man mal den ganzen Cluster runterfahren muss. Der VCenter-Server reagiert ziemlich ungehalten auf einen fehlenden DNS-Server. Speziell wenn der auch virtualisiert läuft.
Dunkelmann 96 Posted August 25, 2014 Report Posted August 25, 2014 Moin, ich würde das Thema Desaster Recovery nicht vergessen. Eventuell benötigt das Backupsystem einen DC, um nach einem Crash die VMs im Cluster wiederherzustellen.
Doso 77 Posted August 25, 2014 Author Report Posted August 25, 2014 Der Cluster hängt in der Domäne, in der auch der physische DC sein wird, selbiges für das Backup System. Wie gesagt, einen physischen DC habe ich schon rausgehandelt. Geht mir nur um die zweite Domäne, hier bin ich mir nicht sicher das es da einen braucht - und mir fallen auch keine Argumente ein mit denen ich argumentieren könnte.
Dunkelmann 96 Posted August 25, 2014 Report Posted August 25, 2014 Wenn die Virtualisierungsinfrastruktur mit den physischen DC versorgt ist, sehe ich keine Notwendigkeit einen physischen DC für die zweite Domäne zu betreiben. Wenn schon ein zweiter physischer DC, dann würde ich ihn mit in die Infrastrukturdomäne nehmen. Damit gäbe es auch während eines OS Upgrades auf dem einen physischen DC immer noch einen physischen DC online. Eventuell könnte man so einen zweiten physischen DC auch an einem anderen Standort betreiben.
NeMiX 76 Posted August 25, 2014 Report Posted August 25, 2014 Der Cluster hängt in der Domäne, in der auch der physische DC sein wird, selbiges für das Backup System. Wie gesagt, einen physischen DC habe ich schon rausgehandelt. Geht mir nur um die zweite Domäne, hier bin ich mir nicht sicher das es da einen braucht - und mir fallen auch keine Argumente ein mit denen ich argumentieren könnte. So ne Pizzabox für einen DC kostet doch eigentlich nichts. Wir nehmen da immer den billigsten HP DL 1xx Server den unser Distri gerade verramscht mit Care Pack für NBD. Standard Lizenz kostet etwas, dafür hat man dann aber Ruhe und eine große Sorge (vor allem im VMWare Umfeld weniger).
monstermania 53 Posted August 26, 2014 Report Posted August 26, 2014 Moin, m.E. braucht es in einer virtuellen Umgebung nicht zwingend einen physikalischen DC. Das hängt halt stark von den örtlichen Gegebenheiten ab, weil schließlich geht es immer um Redundanz im Fehlerfall. So macht ein pysikalischer DC m.E. nur dann wirklich Sinn, wenn man den auch in einem 2. Brandabschnitt getrennt von der restlichen VM-Infrastruktur stehen hat. Es muss halt sichergestellt sein, dass mit größtmöglicher Ausfallsicherheit noch ein DC in Netz laufen kann. In unserer VMWare-Umgebung haben wir einen DC als VM auf dem lokalen Storage eines VM-Hosts am laufen. Dazu hat ein VM Host extra ein RAID-1 aus 146GB SAS, während die anderen VM-Hosts nur per SD-Karte laufen. Leider haben wir durch die örtlichen Gegebenheiten nur 1. zentralen Serverraum. Beim Ausfall der VMWare-Umgebung (z.B. defektes SAN) kann der 1. virtuelle DC immer noch laufen und das Netz mit DHCP, DNS, usw. versorgen. Die User könnten sich zumindest noch anmelden und ins Internet. Das wäre es dann aber auch. Im Falle z.B. eines Brandes im Serverraum wäre eh die Ganze Firma betroffen. Dann braucht es auch keinen DC mehr. Da wäre eh auch die Netzwerkinfrastruktur futsch! Ach ja, einen physikalischen Backupserver haben wir auch. Den haben wir aber bewusst nicht zu einem DC gemacht. Gruß Dirk
Doso 77 Posted August 26, 2014 Author Report Posted August 26, 2014 Beim Ausfall der VMWare-Umgebung (z.B. defektes SAN) kann der 1. virtuelle DC immer noch laufen und das Netz mit DHCP, DNS, Da hast du auch schon den Grund warum wir DCs machen wollen. Unser ach so tolles IBM SAN das ja so schön für die Virtualisierung beworben wird ist nun zum zweiten mal in 3 Monaten kurz vor dem Komplettausfall. Von 6 Servern kommt nur noch einer drauf, und der auch nur noch mit einer von zwei Netzwerkverbindungen. Schöne Redundanz mit 2 Controllern und Hyper-V Cluster, Multipath und alles - und dann hängt sich das SAN auf und lässt sich nicht mehr verwalten und akzeptiert keine neuen Verbinden. Da ist man dann froh das zumindest das anmelden noch über eigenes Bleck funktioniert. Mal sehen ob ich durch diesen fast-Ausfall doch noch einen physischen DC für die anderen Domäne rausschlagen kann.
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now