Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
See182

Für jede Windows Rolle eine eigene VM?

Empfohlene Beiträge

Hallo zusammen,

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

 

Gibt es auch eine Art Best Practice für solche Sachen? Bin da relativ neu in solchen Sachen und wollte daher mal Fragen  :D

 

Viele Grüße

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Backup Software = keine Windows Rolle

 

Firewall Software = keine Windows Rolle

 

Druckertreiber = keine Windows Rolle

 

Nur mal so nebenbei.

 

Ich weiß, dass die Software keine Windows Rolle per se, ich wollte nur ein paar Beispiele nennen. Ein Printserver ist eine Rolle, findet man in den Rollen unter Druck- und Dokumentdienste.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde schon versuchen alles so gut es geht zu trennen.

Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen.

Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren.

Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt.

 

Also wir haben auch ein DC und eine Backup Server physikalisch. :-D Aber gut prinzipiell stimmt es ja, wenn wirklich alles getrennt ist, dann ist da die Ausfallsicherheit geringer.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten.

Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren.

Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder?

Überleg doch einfach mal. Du hast einen DC und konfigurierst ihn als Printserver. Jetzt macht der Printserver die Grätsche, aus welchen Gründen auch immer, Du mußt jetzt also einen DC demoten und anschließend das AD und DNS bereinigen. Zusätzlich hast Du noch den Quatsch mit dem PS. Wäre es nur ein PS, geht vieles schneller. Genau deshalb sollte man das so machen. Geht nicht immer, aber sobald die Möglichkeit gegeben ist, umstellen.

bearbeitet von Sunny61
  • Like 3

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@See182

 

Ich schrieb Druckertreiber = keine Windows Rolle, nicht Printserver = Keine Windows Rolle

 

Druckertreiber stammen von den unterschiedlichsten Herstellern und können die merkwürdigsten Schwierigkeiten verursachen, bis hin zu einem Bluescreen und damit die Systemstabilität maßgeblich beeinträchtigen.

 

Was ist also besser, der Ausfall lediglich eines Printservers oder ein notwendiger Neustart nur eines Printservers bei Wartungsarbeiten, oder aber ein mitreißen komplett aller Dienste auf einem Serversystem wie AD, WaWi, etc.?

 

Aber es ist okay, Du bist neu und musst das Wissen erst erlangen und das geht am besten in dem das Kind in den Brunnen fällt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Auch beim Backup Server immer bedenken: wie kann ich VM's wiederherstellen wenn die Backup-Server VM down/kaputt ist? Ich bevorzuge da einen physischen Server inkl zusätzlichem Backup ausser Haus

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein Dienst, eine VM. Ein AD DC kann auch immer gut DNS Server sein, aber dann hört es auch schon auf. Das erspart im Fehlerfall viel Arbeit. DC kaputt? In einer Stunde neu installiert. Hatten wir erst vor ein paar Monaten hier. Reduziert Komplexität und Ausfallzeiten und das wollen wir doch alle.

bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht.

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

 

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos.

 

Und zusätzlich noch der Hinweis auf die Berechtigungen. So viel wie nötig, so wenig wie möglich. D.h. bei einem Printserver reicht es IMO aus, dass der angemeldete Benutzer auf dem System Adminrechte hat, er muss nicht Domain Adminrechte haben. Falls der Benutzer dann auf einem Share Zugriffsrechte braucht, einfach in eine passende Gruppen packen, die auf dem Share eingetragen ist.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×