mulu 11 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 Hallo zusammen, Topic lässt sich im Thema nicht erschlagend darstellen, Übersicht: Ich plane eine AD-Umgebung mit folgenden Randdaten: 2 Hypervisor mit Windows Server 2016 Standard als Wirt Systeme (Hardware lasse ich außen vor, sollte bei der Fragestellung keine Rolle spielen). 4 Gast Server mit Windows Server 2016 Standard 2 NAS-Systeme von Synology zur Datensicherung, eine davon always on und eine zur Mitnahme und Aufbewahrung außerhalb des Firmengeländes. Altaro VMBackup zur Datensicherung. Folgende Dienste werden benötigt: - Active Directory - Ein Anwendungsserver für eine Business Anwendung - WSUS - Dateidienste Folgende Überlegungen habe ich bereits angestellt: 1. Eine AD für die Hypervisor, beide Hypervisor sind Domaincontroller 2. Zwei virtuelle Domaincontroller als Gäste 3. Ein virtueller Anwendungsserver 4. Ein WSUS-Server Damit sind meine virtuellen Gäste erschöpft und ich stehe vor dem Problem, wo ich die Dateidienste betreibe. Beste Lösung - wenn auch nicht empfohlen - wäre für mich hier ein Domaincontroller. Der WSUS als eigene virtuelle Maschine ist zwar Luxus, ich möchte den aber auf keinen Fall auf einem DC haben, geschweige denn auf dem Anwendungsserver. Wenn ich für die Dateidienste einen eigenen Server betrieben wollte, so müsste ich mindestens Lizenzen nachkaufen. Fragen an die Gemeinde: 1. Ist es lizenztechnisch legal, bei den Wirt Systemen eine AD zu betreiben? 2. Wie würdet Ihr das mit dem Problem von WSUS und Fileserver lösen? 3. Habe ich einen eklatanten Fehler in der Architektur? Bitte entschuldigt, wenn wichtige Informationen fehlen - reiche ich freilich gerne nach, einfach nachhaken. Für jede Art der Unterstützung, auch Kritik, danke ich Euch jetzt schon! Grüße, mulu Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 vor 2 Minuten schrieb mulu: Eine AD für die Hypervisor, beide Hypervisor sind Domaincontroller Schlecht und bei deinen Lizenzen wahrscheinlich auch gar nicht möglich. Die Hyper-V sind nur Hyper-V, ansonsten kannst du nur eine VM pro Lizenz drauf betreiben. Aber unabhängig davon hat ein Hyper-V nur ein Hyper-V zu sein und kein DC. Warum das so ist, kannst du hier oft genug im Forum nachlesen. Wozu überhaupt 4 DCs? Hast du irgendwie Angst, dass einer kaputt geht? ;) Also 2DCs als VM, 1 Applikationsserver, 1 WSUS, den man ggf. auch als Fileserver verwenden kann. Ansonsten mußt du eben noch Lizenzen nachkaufen. vor 5 Minuten schrieb mulu: 1. Ist es lizenztechnisch legal, bei den Wirt Systemen eine AD zu betreiben? Ja, aber dann eben nur mit einer VM bei der Basis Lizenz. Bye Norbert 1 Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 8. August 2018 Autor Melden Teilen Geschrieben 8. August 2018 (bearbeitet) vor 9 Minuten schrieb NorbertFe: Schlecht und bei deinen Lizenzen wahrscheinlich auch gar nicht möglich. Die Hyper-V sind nur Hyper-V, ansonsten kannst du nur eine VM pro Lizenz drauf betreiben. Aber unabhängig davon hat ein Hyper-V nur ein Hyper-V zu sein und kein DC. Warum das so ist, kannst du hier oft genug im Forum nachlesen. Wozu überhaupt 4 DCs? Hast du irgendwie Angst, dass einer kaputt geht? ;) Also 2DCs als VM, 1 Applikationsserver, 1 WSUS, den man ggf. auch als Fileserver verwenden kann. Ansonsten mußt du eben noch Lizenzen nachkaufen. Ja, aber dann eben nur mit einer VM bei der Basis Lizenz. Bye Norbert Hallo Norbert, vielen Dank dass Du Dich eingelesen hast! Meine Beschreibung war zu ungenau. Ich möchte für die beiden Hypervisor eine eigene Domain, die mit der Domain der Gäste nichts zu tun hat. Das ist auch ein bereits behandeltes Thema, die gleiche Domain für Gäste und Wirte bedeutet eben auch, dass ich im Zweifel an die Hypervisor nicht mehr rankomme, wenn die DC-Gäste abrauchen. Also nur zwei DCs pro Domain, getrennte Domains für die Gäste und die Wirte. Wenn die Hypervisor die selbe Domain verwenden wie die Gäste so hat man meiner Erfahrung auch bei der Wartung Probleme, beim Reboot der Hypervisor kommt ja der Domaincontroller nach dem Hypervisor hoch, dadurch können Anmeldeprobleme entstehen. Auch dann, wenn man die Hypervisor getrennt bootet und die Domaincontroller über beide Hypervisor verteilt sind. Ich möchte ungerne Dateidienste und WSUS auf einer Maschine, weil die WSUS-Kisten meiner Erfahrung nach nicht ewig leben, auch bei guter Pflege nicht. WSUS müsste ich auch nicht unbedingt haben, da nur wenige Clients im Netz sind (aktuell drei, maximal vier, mehr Potential ist nicht da). Bezüglich der Lizenzen: Das ist es nicht wert. Es ist ja durchaus auch machbar, die Wirtsysteme OHNE AD zu betreiben. Was eine eventuelle Replikation halt wieder massiv erschwert. Gruß, mulu bearbeitet 8. August 2018 von mulu Zitieren Link zu diesem Kommentar
testperson 1.523 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 Hi, vor 1 Minute schrieb mulu: Das ist auch ein bereits behandeltes Thema, die gleiche Domain für Gäste und Wirte bedeutet eben auch, dass ich im Zweifel an die Hypervisor nicht mehr rankomme, wenn die DC-Gäste abrauchen. du musst dir nur das / die Passwörter und Benutzernamen der lokalen Konten an den Hyper-V Servern merken. Normalerweise solltest du aber auch ohne Domäne per Cached Credentials an die Hyper-V Hosts dran kommen. In deinem Fall müssten ja schon beide DCs gleichzeitig offline oder kaputt sein. Gruß Jan 1 Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 8. August 2018 Autor Melden Teilen Geschrieben 8. August 2018 Hallo Jan, vor 1 Minute schrieb testperson: Hi, du musst dir nur das / die Passwörter und Benutzernamen der lokalen Konten an den Hyper-V Servern merken. Normalerweise solltest du aber auch ohne Domäne per Cached Credentials an die Hyper-V Hosts dran kommen. In deinem Fall müssten ja schon beide DCs gleichzeitig offline oder kaputt sein. Gruß Jan dazu bräuchte ich aber wenn ich nicht irre ein zusätzliches lokales Konto, der Standard Administrator wird ja beim Beitritt in die Domäne deaktiviert (bitte korrigiert mich wenn ich hier falsch liege). Wie auch immer, sicher eine gut machbare Lösung, danke für den Vorschlag! Dass beide DCs gleichzeitig offline sind lässt sich zumindest im Regelbetrieb gut vermeiden Gruß, mulu Zitieren Link zu diesem Kommentar
testperson 1.523 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 vor 1 Minute schrieb mulu: dazu bräuchte ich aber wenn ich nicht irre ein zusätzliches lokales Konto, der Standard Administrator wird ja beim Beitritt in die Domäne deaktiviert (bitte korrigiert mich wenn ich hier falsch liege). Das passiert nicht. Dennoch ist ein lokales Nicht-Build-In-Admin-Admin-Konto eigentlich immer eine gute Idee. vor 2 Minuten schrieb mulu: Dass beide DCs gleichzeitig offline sind lässt sich zumindest im Regelbetrieb gut vermeiden Im Unregelbetrieb aktiviert man einfach den automatischen Start der DC-VMs. Und zur Not kann man auf ner ziemlich schwachen Hardware für wenig Geld noch einen physikalischen DC betreiben. Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 Du liegst falsch. Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 8. August 2018 Autor Melden Teilen Geschrieben 8. August 2018 Gerade eben schrieb testperson: Das passiert nicht. Dennoch ist ein lokales Nicht-Build-In-Admin-Admin-Konto eigentlich immer eine gute Idee. Im Unregelbetrieb aktiviert man einfach den automatischen Start der DC-VMs. Und zur Not kann man auf ner ziemlich schwachen Hardware für wenig Geld noch einen physikalischen DC betreiben. 100% agree. Automatischer Start mindestens bei DCs Pflicht, ja. Und ein weiterer phys. DC ist auch eine sehr gute Idee, das habe ich so bei meinen größeren Kunden. Dieser hier arbeitet mit 3 Arbeitsplätzen und hat sein Budget für diese Umgebung schon gut ausgeschöpft. Das sind - wenn man eine sehr einfache Maschine nimmt - schon auch nochmal 1.600€ inkl. der Lizenz. Danke nochmal Jan! vor 3 Minuten schrieb NorbertFe: Du liegst falsch. Hallo Norbert, das hatte ich schon vermutet. Mir ist allerdings jetzt nicht klar, was Du genau meinst. Wäre sehr nett, wenn Du mich erleuchten könntest. Falsch in Bezug auf was genau? Danke & Gruß mulu Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 Das lokale Administratorkonto wird nicht deaktiviert. Und selbst wenn, könnte man es ja einfach wieder aktivieren. Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 8. August 2018 Autor Melden Teilen Geschrieben 8. August 2018 vor 2 Minuten schrieb NorbertFe: Das lokale Administratorkonto wird nicht deaktiviert. Und selbst wenn, könnte man es ja einfach wieder aktivieren. Ja, Du hast recht. Das lokale Administratorkonto wird nur auf den DCs deaktiviert, nicht auf den Member Servern. Zitieren Link zu diesem Kommentar
NilsK 2.777 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 (bearbeitet) Moin, kompletter Holzweg. Für nur drei Arbeitsplätze scheint mir das völlig überdimensioniert und auch technisch abwegig. Die Hosts müssen nicht zwingend in eine Domäne, es sei denn, man will clustern, und davon lese ich hier nichts. Und auch in dem Fall wären die Hosts im Produktions-AD am besten aufgehoben. Sollten die DC-VMs mal nicht laufen, arbeiten die Hosts weiter, und auch eine Anmeldung mit AD-Konten ist dann weiter möglich. Zitat Das lokale Administratorkonto wird nur auf den DCs deaktiviert Nein, wird es nicht. Es ist identisch mit dem Administratorkonto im AD. DCs haben keine lokale Benutzerdatenbank, sondern nur das AD. Gruß, Nils bearbeitet 8. August 2018 von NilsK Zitieren Link zu diesem Kommentar
testperson 1.523 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 vor 1 Minute schrieb mulu: Das lokale Administratorkonto wird nur auf den DCs deaktiviert, nicht auf den Member Servern. Nein, auch da nicht. Beim promoten ersten DC der Domäne wird das Build-In Admin Konto der Build-In Domain Admin und alle anderen Konten werden entsprechend "normale" AD-User oder AFAIK auch eben Domänen-Admins, sofern Sie lokale Administratoren waren. Beim hinzufügen eines weiteren DCs zu einer bestehenden Domäne werden die lokalen Konten AFAIK einfach gelöscht. Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 8. August 2018 Autor Melden Teilen Geschrieben 8. August 2018 Hallo Nils, vor 3 Minuten schrieb NilsK: Moin, kompletter Holzweg. Für nur drei Arbeitsplätze scheint mir das völlig überdimensioniert und auch technisch abwegig. Die Hosts müssen nicht zwingend in eine Domäne, es sei denn, man will clustern, und davon lese ich hier nichts. Und auch in dem Fall wären die Hosts im Produktions-AD am besten aufgehoben. Sollten die DC-VMs mal nicht laufen, arbeiten die Hosts weiter, und auch eine Anmeldung mit AD-Konten ist dann weiter möglich. Nein, wird es nicht. Es ist identisch mit dem Administratorkonto im AD. DCs haben keine lokale Benutzerdatenbank, sondern nur das AD. Gruß, Nils vielen Dank für Deine hochgeschätzte Bewertung des Szenarios! Die Konstellation mit zwei Wirt Systemen kommt durch die Anforderungen an die Verfügbarkeit zustande. Stand heute wird das System auf einem einzigen phys. Windows Server 2008R2 abgebildet. Der macht AD, WSUS, File, Anwendung. Hier von Hochverfügbarkeit zu sprechen wäre sarkastisch. Meine Planung geht dahin, dass zwei Hypervisor zur Verfügung stehen, um einen Ausfall des Wirt Systems abfangen zu können. Neben den Datensicherungen der VMs steht hier für den Notfall ein Stück Blech bereit, welches die Dienste übernehmen kann. Das Ganze zu virtualisieren bietet sich IMHO an, ich möchte nicht mehr mit phys. Servern arbeiten. Das AD kann man sicher diskutieren bei nur drei Anwendern, eine Arbeitsgruppen Umgebung ist hier möglich, stellt mich aber was Rechte betrifft vor Probleme. Nehmen wir an die Hardware und Lizenzen stünden zur Verfügung, wie würdest Du das lösen? Gruß, mulu vor 7 Minuten schrieb testperson: Nein, auch da nicht. Beim promoten ersten DC der Domäne wird das Build-In Admin Konto der Build-In Domain Admin und alle anderen Konten werden entsprechend "normale" AD-User oder AFAIK auch eben Domänen-Admins, sofern Sie lokale Administratoren waren. Beim hinzufügen eines weiteren DCs zu einer bestehenden Domäne werden die lokalen Konten AFAIK einfach gelöscht. OK, dann habe ich zumindest hier keine Probleme - ein zusätzliches lokales Konto auf den Wirt Systemen sollte hier alle Szenarien abfangen. Gruß, mulu Zitieren Link zu diesem Kommentar
NilsK 2.777 Geschrieben 8. August 2018 Melden Teilen Geschrieben 8. August 2018 Moin, bei so einer kleinen Umgebung würde ich für die Basisfunktionen Office 365 in Betracht ziehen und möglichst wenig lokal machen. Zu der Business-Applikation kann ich nichts sagen. Falls die nur lokal laufen kann, kann ein AD erforderlich werden, aber das würde ich schmal halten - bei drei Usern sehe ich die Grenze unterschritten, an der mehr als ein DC nötig wäre. Da sollte ein Recovery-Konzept ausreichen. In so einer kleinen Umgebung darf man durchaus auch Dienste auf demselben Server kombinieren, wenn man es planvoll tut. Zur Frage der Hochverfügbarkeit - die bei zwei separaten Hosts ja auch nicht gegeben wäre - müsste man zunächst die Anforderungen klären. Es ist selten, dass ein Drei-Leute-Unternehmen wirklich hohe Verfügbarkeit braucht. Und wenn doch, dann muss man die Parameter dafür definieren und auf der Basis eine Lösung entwickeln. Ohne detaillierte Anforderungen kein Konzept, das ist auch bei kleinen Umgebungen so. Gruß, Nils Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 8. August 2018 Autor Melden Teilen Geschrieben 8. August 2018 Hallo Nils, vor 26 Minuten schrieb NilsK: Moin, bei so einer kleinen Umgebung würde ich für die Basisfunktionen Office 365 in Betracht ziehen und möglichst wenig lokal machen. Zu der Business-Applikation kann ich nichts sagen. Falls die nur lokal laufen kann, kann ein AD erforderlich werden, aber das würde ich schmal halten - bei drei Usern sehe ich die Grenze unterschritten, an der mehr als ein DC nötig wäre. Da sollte ein Recovery-Konzept ausreichen. In so einer kleinen Umgebung darf man durchaus auch Dienste auf demselben Server kombinieren, wenn man es planvoll tut. Zur Frage der Hochverfügbarkeit - die bei zwei separaten Hosts ja auch nicht gegeben wäre - müsste man zunächst die Anforderungen klären. Es ist selten, dass ein Drei-Leute-Unternehmen wirklich hohe Verfügbarkeit braucht. Und wenn doch, dann muss man die Parameter dafür definieren und auf der Basis eine Lösung entwickeln. Ohne detaillierte Anforderungen kein Konzept, das ist auch bei kleinen Umgebungen so. Gruß, Nils Office 365 wird eingesetzt, schon heute. Es gibt keinen lokalen Kram, den mach auch als Dienst beziehen kann. Diese Business Anwendung muss leider lokal laufen, technisch ist die Anwendung Müll, aber fachlich nicht zu ersetzen - in etwa wie DATEV. Da kommen wir um einen lokalen Server nicht rum. AD ist nicht zwingend erforderlich. Nehmen wir mal Deine Idee auf, käme ich auf folgende Lösung: Zwei Wirte, ein "Produktionsserver" und ein Standbyserver. Auf dem Produktionsserver laufen zwei virtuelle Maschinen, der Domaincontroller mit Dateidiensten und der Anwendungsserver. Der Standbyserver betreibt als Gast einen WSUS - oder halt auch nicht. Die Wirte sind Mitglied der Domäne. Ist in einer solchen Konstellation die Replikation als Mittel zur schnellen Wiederherstellung bei einem Hardwareausfall Deines Erachtens geeignet und legal? Zur Verfügbarkeit: Die hohe Verfügbarkeit wurde so definiert, dass eine Wiederherstellung des Anwendungsservers innerhalb von zwei Stunden gewährleistet sein SOLL. Das ist bei einem simplen Hardware Ausfall gewährleistet. Der schlimmste zu verkraftende Ausfall wären 72h unter der Woche, das kann ich mit Hilfe der Datensicherungen auf eine lokale NAS und eine NAS außer Haus abbilden. Mögliche Ausfallszenarien: 1. Ausfall von Hardware 2. Befall durch Malware/Viren/Trojaner 3. Diebstahl oder fahrlässiges Löschen von Daten 4. Fehler in den Betriebssystemen, die eine Wiederherstellung notwendig machen. Eine Wiederherstellung eines solchen Systems aus einem Backup dauert in der Testumgebung etwa 30-50 Minuten, je nachdem wie groß die Maschine ist. Eine komplette Wiederherstellung der gesamten Umgebung halte ich - ohne das Testen zu können - innerhalb von 36 Stunden für machbar. Dank der Virtualisierung ist man ja nicht auf spezielle Hardware angewiesen. Klingt das so in Deinen Augen vernünftiger? Ich bin absolut offen für Verbesserungsvorschläge, das Ganze ist in der Planungsphase und ich kann jederzeit alles ändern. Danke noch einmal! Gruß, mulu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.