Jump to content

Datei und Drucker Server Rolle trennen?


Recommended Posts

Hallo,

ich habe einen neuen Server 2019 aufgesetzt und folgendermaßen bis jetzt virtualisiert

1te VM Debian

2te VM Server 2019 DC

3te VM Server 2019 Services Verschiedene Server Software

->

Da ich nun eine 3te Lizenz für die nächste VM brauche habe ich diese schon gekauft,

aber wie virtualisiere ich weiter

 

4te VM Server 2019 Fileserver

5te VM Server 2019 Printserver

oder ist das Käse und Drucker und Printserver Rolle in einer VM laufen?

Circa 15-20 Clients sind im Netz.

 

Gibt es dazu eine Empfehlung, wie wird das in der Praxis gelöst?

Mit 2 zusätzlichen VMs hätte ich alle Lizenzen aufgebraucht.

 

Vielen Dank für die Antworten

 

grüße

Link to post

Moin,

 

das ist eine Frage der Anforderungen. Bei der geringen Zahl an Usern würde ich dazu neigen, die Zahl der Server auch klein zu halten. Fünf produktive Server plus ein Host macht sechs Server, die du verwalten musst - bei 20 Usern klingt das nicht mehr angemessen.

 

Aus Sicherheitssicht passen File und Print gut zusammen, die Last wird auch überschaubar sein. Mindestens die würde ich also zusammenfassen. Eher dächte ich darüber nach, noch eine kleine physische Maschine als zweiten DC zu betreiben - im Fall eines Falles kann das einen Weiterbetrieb oder ein Recovery deutlich vereinfachen.

 

Gruß, Nils

 

  • Like 1
Link to post
vor 7 Minuten schrieb NilsK:

Moin,

 

das ist eine Frage der Anforderungen. Bei der geringen Zahl an Usern würde ich dazu neigen, die Zahl der Server auch klein zu halten. Fünf produktive Server plus ein Host macht sechs Server, die du verwalten musst - bei 20 Usern klingt das nicht mehr angemessen.

 

Aus Sicherheitssicht passen File und Print gut zusammen, die Last wird auch überschaubar sein. Mindestens die würde ich also zusammenfassen. Eher dächte ich darüber nach, noch eine kleine physische Maschine als zweiten DC zu betreiben - im Fall eines Falles kann das einen Weiterbetrieb oder ein Recovery deutlich vereinfachen.

 

Gruß, Nils

 

Hallo NilsK,

danke für die Antwort.

 

Ich wollte ursprünglich die Services / File / Print in einer VM installieren und so hätte ich nur 2VMs 1x DC und 1x Rest.

Allerdings kam es öfters vor das einer der Services/Dienste quer hing und der Server neu gestartet werden musste,

was jetzt durch die "extra" VM kein Problem mehr ist.

 

Ich habe noch einen 2ten Server als BackupServer zur Verfügung nur müsste ich ja dann für diesen auch wieder eine 2019 Lizenz kaufen, bezüglich des Ersatz-DCs.

Link to post
vor 50 Minuten schrieb prinzenrolle:

Da ich nun eine 3te Lizenz für die nächste VM brauche habe ich diese schon gekauft,

aber wie virtualisiere ich weiter

Wieso dritte? Ich sehe da oben 2 VMs mit Windows OS == 1. Lizenz und eine Linuxkiste, die keine Lizenz benötigt. Wofür ist denn die 2. Windows Lizenz, wenn du jetzt schon die dritte kaufst?

Zur Info, pro gültige Lizenz darfst du 2 VMs mit Windows OS betreiben (plus beliebige andere VMs, die kein Windows sind)

Link to post
Posted (edited)
vor 3 Minuten schrieb NorbertFe:

Wieso dritte? Ich sehe da oben 2 VMs mit Windows OS == 1. Lizenz und eine Linuxkiste, die keine Lizenz benötigt. Wofür ist denn die 2. Windows Lizenz, wenn du jetzt schon die dritte kaufst?

Zur Info, pro gültige Lizenz darfst du 2 VMs mit Windows OS betreiben (plus beliebige andere VMs, die kein Windows sind)

 

Server 2019 Core als DC

Server 2019 mit Lizenzserver Software / Virenscanner / WSUS

Server 2019 Core mit Datei und Druckerserver

->damit die 3 Server korrekt lizensiert sind, brauche ich doch 2x Server 2019 Standard Lizenzen oder?

 

Danke

Edited by prinzenrolle
Link to post

Moin,

 

ja, dann ist das korrekt. Aber: Lass die Idee mit dem Core bleiben. Der Sicherheitsgewinn in deiner Umgebung ist gleich Null, dafür wird der Aufwand erheblich größer, besonders beim Troubleshooting. Nimm eine normale GUI-Installation, für alles.

 

Gruß, Nils

 

  • Like 1
Link to post

OK, andere Hardware. Da kannst du dann aber nicht 3 VMs auf einer und 3 auf einer anderen installieren. ;) 4-2 ginge. Aber ich schweife ab. Nils hatte ja schon etwas zu deinem Splitting gesagt, das würde ich auch so sehen. 

vor 1 Minute schrieb NilsK:

ja, dann ist das korrekt. Aber: Lass die Idee mit dem Core bleiben. Der Sicherheitsgewinn in deiner Umgebung ist gleich Null, dafür wird der Aufwand erheblich größer, besonders beim Troubleshooting. Nimm eine normale GUI-Installation, für alles.

 

Kann ich nur unterstreichen.

Link to post

Und auch in Kleinumgebungen ist es sehr viel angenehmer für die Wartung wenn man die Rollen separiert.  Lohnt eigentlich immer. Früher mit rein physischen Maschinen sah das etwas anderes aus. Ein paar hundert Euro Lizenzkosten sind viel zu schnell von Stunden aufgefressen wenn was spinnt.

 

Printserver ist so ziemlich der anfälligste Server überhaupt. Ziemlich in jeder Hinsicht. Sicherheit und Ärger. Den würde ich einfach immer separat halten. In Kleinumgebungen wo gerne auch "billig-geräte" vorkommen sowieso, da sind die Treiber ja oft Kernschrott. Gerade mit VM's hat man auch den Vorteil einfach auf Knopfdruck nen Rollback auf einen alten Treiberstand zu machen wenn es Probleme gibt ohne das es Einfluss auf etwas anderes hat.

 

Erster DC: Immer separat ohne weitere Rollen. Sicherheitstechnisch besser und schnell wiederhergestellt.

 

Zweiter DC in Kleinumgebung: Imho ziemlich sinnlos solange man keine Applikation hat, die permanent in AD schreibt. Der Mini-Footrint von 20-25GB ist in ein paar Minuten wiederhergestellt wenn man lokal auf einer separaten Platte eine Kopie/Backup vorhält.

Viele Probleme mit AD sind mit einem Server schon von vornherein ausgeschlossen. Replikation, die Chef-Frage, allfälliges Image-Backup usw. Echten Mehrgewinn bringt es selten. Einfach schauen das man ein lokales Konto für den Zugang zum Host hat, welches nicht AD-abhängig ist damit z.Bsp. eine Kopie des Server zurückgespielt werden kann.

Und seien wir ehrlich, ist ein physischer Server down, arbeitet man eh nen Moment nicht mehr. Ob dann ein zweiter DC da ist, spielt dann wirklich keine Rolle mehr.

 

Fileserver würde ich auch immer separat halten. Je nach Anzahl und Grösse der Files halte ich sogar deren zwei vor. Bereitgestellt per DFS. Das ist normal der einzige Server der in Kleinumgebungen möglicherweise wirklich eine Ewigkeit braucht bis er wiederhergestellt ist. Insbesondere wenn es über LAN muss. Dann kann man einfach das DFS-Ziel switchen und hat genug Zeit den 1. zu flicken. (Abhängigkeiten PDC und DFS beachten). Also wozu den Server mit anderen Rollen "verunstalten" und Risiko eines Rollbacks auf sich nehmen weil man eine andere Aufgabe etwas falsch installiert/konfiguriert etc.

 

Lizenzserver, WSUS, sonstiger "unwichtiger" Kram kann man gerne konsolidieren. Würde aber schauen, dass der Krempel jeweils auf eigene Platten schreibt. Ein Vollaufen des WSUS auf C bringt z.Bsp. dann nicht gleich alle anderen Rollen bzw. den Server selbst ins Elend. Wenn man sich die Lizenzen gönt, hat mans je nach dem auch hier einfacher wenn Upgrades anstehen. ;)

 

Aber eben, jeder hat so seine Vorgehensweisen und es führen viele Wege nach Rom. Ich separiere mittlerweile immer soviel wie es geht. Egal wie gross die Umgebung ist. Das hat sich bewährt. Und bezüglich GUI habe ich die gleiche Meinung. Tu Dir das nicht an ohne. Auch kannst viele Systeme z.Bsp. für Updates viel einfacher während der Arbeitszeit machen. Bei konsolidierten Rollen ist das viel anspruchsvoller und eben auch die Chance grösser das es schief geht.

 

Ahja, KMU's sind fast immer Inhaber-gesteuert. Die sind selten sehr geduldig. Insbesondere nicht bei der IT. Damit werden ja nicht die Brötchen verdient wie mit einer Maschine und viel dran ist optisch auch nicht. Also sollte man besser zuschauen, dass sie möglichst wenig Ärger macht. Die Kostenrechnung Stunden zu Material/Lizenkosten beherrschen die normal auch. ;)

Edited by Weingeist
  • Like 1
Link to post
vor 15 Minuten schrieb Weingeist:

Und seien wir ehrlich, ist ein physischer Server down, arbeitet man eh nen Moment nicht mehr. Ob dann ein zweiter DC da ist, spielt dann wirklich keine Rolle mehr.

Da möchte ich widersprechen. Kommt natürlich auf die Umgebung an, aber ich kenne kleinere Firmen, die haben viel in der Cloud (Microsoft 365) und auf dem lokalen Server nur die CAD-Daten sowie die Buchhaltung. Wenn da der lokale Server ausfällt, können sie mit Einschränkungen weiter arbeiten. Ausser, es ist der DC und sie haben keinen DNS mehr. Kein DC => kein Internet, das geht häufig vergessen.

 

(Man kann natürlich je nach Umgebung die Firewall als DNS nehmen und die Domäne auf den DC forwarden, aber das geht nicht mit jeder Firewall.)

 

Ich halte die Kosten für einen zweiten, kleinen Server (Intel NUC oder so) deshalb nicht für übertrieben. Auf dem zweiten Server installiere ich gerne eine VM als DC und eine für das Backup (Veeam). So hat man im Falle eines Ausfalls auch gleich die Software bereit und muss sie nicht erst installieren, die Backups inventarisieren etc. Falls es das Netzwerk zulässt, nehme ich die Backup-VM und den Host in ein anderes, getrenntes VLAN und erhoffe mir so einen gewissen Schutz vor Malware.

Edited by mwiederkehr
  • Like 1
Link to post

Moin,

 

dazu kommt: Gibt es nur einen DC, dann muss man immer gleich ein AD-Recovery machen, wenn der ernsthaft ausfällt. Gibt es einen zweiten, braucht man das nicht. Das verschärft sich in dem Moment, in dem das Backupprogramm AD-integriert ist ...

 

Gruß, Nils

 

  • Like 1
Link to post
Am 25.6.2021 um 09:29 schrieb NilsK:

dazu kommt: Gibt es nur einen DC, dann muss man immer gleich ein AD-Recovery machen, wenn der ernsthaft ausfällt. Gibt es einen zweiten, braucht man das nicht. Das verschärft sich in dem Moment, in dem das Backupprogramm AD-integriert ist ...

Wozu ein AD-Recovery? Man stellt einfach den ganzen Server wieder her. AD-Stand ist quasi egal. Backupprogramm in AD integriert: das meine ich ja, schauen dass man lokale Konten hat für eine Wiederherstellung. Ein DC = Konflikte von vornherein ausgeschlossen. Ich hatte in meiner Laufzeit deutlich mehr Probleme mit mehreren DC als mit einem. Sei es wegen Sync-Problemen, Wiederherstellung, Versionsstände usw. Bedarf einfach insgesamt mehr Pflege bei verhältnissmässig wenig Gewinn in Kleinumgebungen.

 

 

Am 25.6.2021 um 08:29 schrieb mwiederkehr:

Da möchte ich widersprechen. Kommt natürlich auf die Umgebung an, aber ich kenne kleinere Firmen, die haben viel in der Cloud (Microsoft 365) und auf dem lokalen Server nur die CAD-Daten sowie die Buchhaltung. Wenn da der lokale Server ausfällt, können sie mit Einschränkungen weiter arbeiten. Ausser, es ist der DC und sie haben keinen DNS mehr. Kein DC => kein Internet, das geht häufig vergessen.

Mit Cloud sieht das teilweise anders aus. Korrekt. Soweit ich das verstanden habe, sprechen wir hier von On-Premise. Ich und viele KMU im Produktionssektor mögen die Cloud auch nicht. Aber das ist ein anderes Thema.

Und wie bereits gesagt, DC mit einem Footprint von 20-25Gb ist in ein paar Minuten wiederhergestellt und wieder Up. Insbesondere wenn man lokal ein Backup vorhält. Egal ob er Imagebasiert, Replikat oder AD-Konform gesichert/wiederhergestellt wurde, man hat nie ein Risiko von Versions-Konflikten wie mit mehreren DC's.

 

Viele nehmen zum Beispiel DHCP mit auf den ersten DC. Was hilft hier also ein zweiter DC wenn DHCP down ist? Nix, es bringt nur Probleme. Ist der DC noch ein Filer (was ich gerne vermeide) wird es noch lästiger. Aber eben, jeder wie er mag. Ich mag es möglichst einfach. Solange eben keine normalen Anwendungen im AD herumschreiben. Dann sieht es logischerweise anders aus.

 

Bei einem DC ist es fast egal WIE wiederhergestellt/gesichert wird, man muss sich schon von vornherein nicht um die korrekten AD-Stände kümmern. Den Client interessiert das nämlich nicht besonders.

Link to post
vor 2 Minuten schrieb Weingeist:

Was hilft hier also ein zweiter DC wenn DHCP down ist?

Man packt auf den zweiten DC auch DHCP? ;) Hat man natürlich nur einen, dann muss man sich eben was anderes überlegen. Ich hab in KMU Umgebungen vor allem deswegen Probleme gesehen, weil die Leute der Meinung sind Computer=Computer. Egal ob PC, Tablet oder Server.

  • Haha 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...