Jump to content

Für jede Windows Rolle eine eigene VM?


See182
Go to solution Solved by magheinz,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

 

Gibt es auch eine Art Best Practice für solche Sachen? Bin da relativ neu in solchen Sachen und wollte daher mal Fragen  :D

 

Viele Grüße

Link to comment

Backup Software = keine Windows Rolle

 

Firewall Software = keine Windows Rolle

 

Druckertreiber = keine Windows Rolle

 

Nur mal so nebenbei.

 

Ich weiß, dass die Software keine Windows Rolle per se, ich wollte nur ein paar Beispiele nennen. Ein Printserver ist eine Rolle, findet man in den Rollen unter Druck- und Dokumentdienste.

Link to comment

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

Link to comment

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

 

Also wir haben auch ein DC und eine Backup Server physikalisch. :-D Aber gut prinzipiell stimmt es ja, wenn wirklich alles getrennt ist, dann ist da die Ausfallsicherheit geringer.

Link to comment
  • Solution

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

  • Like 1
Link to comment

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

Überleg doch einfach mal. Du hast einen DC und konfigurierst ihn als Printserver. Jetzt macht der Printserver die Grätsche, aus welchen Gründen auch immer, Du mußt jetzt also einen DC demoten und anschließend das AD und DNS bereinigen. Zusätzlich hast Du noch den Quatsch mit dem PS. Wäre es nur ein PS, geht vieles schneller. Genau deshalb sollte man das so machen. Geht nicht immer, aber sobald die Möglichkeit gegeben ist, umstellen.

Edited by Sunny61
  • Like 3
Link to comment

@See182

 

Ich schrieb Druckertreiber = keine Windows Rolle, nicht Printserver = Keine Windows Rolle

 

Druckertreiber stammen von den unterschiedlichsten Herstellern und können die merkwürdigsten Schwierigkeiten verursachen, bis hin zu einem Bluescreen und damit die Systemstabilität maßgeblich beeinträchtigen.

 

Was ist also besser, der Ausfall lediglich eines Printservers oder ein notwendiger Neustart nur eines Printservers bei Wartungsarbeiten, oder aber ein mitreißen komplett aller Dienste auf einem Serversystem wie AD, WaWi, etc.?

 

Aber es ist okay, Du bist neu und musst das Wissen erst erlangen und das geht am besten in dem das Kind in den Brunnen fällt.

Link to comment

Ein Dienst, eine VM. Ein AD DC kann auch immer gut DNS Server sein, aber dann hört es auch schon auf. Das erspart im Fehlerfall viel Arbeit. DC kaputt? In einer Stunde neu installiert. Hatten wir erst vor ein paar Monaten hier. Reduziert Komplexität und Ausfallzeiten und das wollen wir doch alle.

Edited by Doso
Link to comment

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

 

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

Link to comment

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

 

Und zusätzlich noch der Hinweis auf die Berechtigungen. So viel wie nötig, so wenig wie möglich. D.h. bei einem Printserver reicht es IMO aus, dass der angemeldete Benutzer auf dem System Adminrechte hat, er muss nicht Domain Adminrechte haben. Falls der Benutzer dann auf einem Share Zugriffsrechte braucht, einfach in eine passende Gruppen packen, die auf dem Share eingetragen ist.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...