kmulife
Goto Top

DC virtualisieren + wie sichern (SingleDC-Environment)

Hallo zusammen

Ich bin mich mit VMware/VEEAM am beschäftigen. In nächster Zeit soll unser DC virtualisiert werden. (Momentaner Stand: eine Kiste auf der ALLES läuft. (von DB's bis zu Normalen Usern welche auf dem Ding irgend ein Progrämmchen starten.))

Nun bin ich auf folgenden Artikell gestoßen (2011):

https://www.faq-o-matic.net/2011/02/28/darf-man-einen-domnencontroller-v ...

Da dieser vom Jahre 2011 ist, bin ich mir nicht 100% sicher ob da noch alles aktuell ist, viele Dinge machen aber durchaus Sinn. Ich wollte nun nachfragen, wie ihr den DC denn im Notfall sichern/wiederherstellen würdet, wenn dieser virtualisiert wird?

VEEAM selber hat hier auch mehrere Artikel und bietet gewisse Möglichkeiten, meist wird jedoch von mehreren DC's ausgegangen und ich bin mir nicht sicher was genau "Marketingtechnisch geträllert" wird und was ich für "bahre Münze" halten kann.
- https://www.veeam.com/blog/how-to-recover-a-domain-controller-best-pract ...
- https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...

Es werden zwei Hosts vorhanden sein, jedoch ist momentan nur geplant 1 DC am laufen zu haben. (War bis jetzt auch so, Profile sind lokal, >20 User, Hardware (Platz, Auslastung) ist auch nicht unlimitiert vorhanden) Würdet ihr komplett davon abraten und lieber zwei virtuelle DC's im Netz haben (einer pro Host) egal was dafür weichen muss, oder sollte dies kein "Problem" sein?

So wie ich das verstehe, sollte man sicherlich keine Snapshots machen und diese zurückspielen, nehmen wir aber an, wir machen jeden Tag eine Sicherung der VM und z.B. 3 h nach der Sicherung verheizt sich das System und es muss ein Full-Recovery gefahren werden, dann habe ich ja eventuell auch wieder eine Inkonsistenz zwischen Clients und Server? (Was wieder für 2 DC's sprechen würde.)

Aus meiner praktischen Erfahrung habe ich aber erkennnen müssen, dass teils auch keine Komplikationen entstehen weshalb ich jetzt auch etwas leicht verwirrt bin. face-smile

Gerne höre ich von euren Erfahrungsberichten / Best Practice-Methoden. face-smile

Grüsse
KMUlife

Content-ID: 346674

Url: https://administrator.de/forum/dc-virtualisieren-wie-sichern-singledc-environment-346674.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

sabines
Lösung sabines 18.08.2017 aktualisiert um 11:02:35 Uhr
Goto Top
Moin,

meine BP Erfahrung ist zwei DC, wovon einer auf Blech installiert ist und der komplette Rest virtualisiert ist.
Ich kenne allerdings auch mindestens 50% der Installationen die komplett virtualisiert sind und die seit Jahren ohne Probleme laufen.
Wobei in beiden Fällen grundsätzlich VMware verwendet wird.

Gruss
Dani
Lösung Dani 18.08.2017 aktualisiert um 11:33:50 Uhr
Goto Top
Moin,
Da dieser vom Jahre 2011 ist, bin ich mir nicht 100% sicher ob da noch alles aktuell ist, viele Dinge machen aber durchaus Sinn.
Der Artikel von Nils hat meiner Meinung nach ohne Ausnahme Gültigkeit.

Ich wollte nun nachfragen, wie ihr den DC denn im Notfall sichern/wiederherstellen würdet, wenn dieser virtualisiert wird?
Ich würde auf jeden Fall bei nur einem virtuellen DC einen weiteren in Form eines physkalischen Installation bereitstellen. Wenn es geht in einem anderen Gebäude.

Würdet ihr komplett davon abraten und lieber zwei virtuelle DC's im Netz haben (einer pro Host) egal was dafür weichen muss, oder sollte dies kein "Problem" sein?
Ich würde bei eurer Größe auf den physkalischen Server setzen.

So wie ich das verstehe, sollte man sicherlich keine Snapshots machen und diese zurückspielen
Prinzipell richtig. Es gibt Techniken wie GenerationID, welche das Thema USN Rollback im Griff kriegen sollen. Aber man muss schon etwas Ahnung haben und gewisse Schritte berücksichtgen. Anderenfalls kann man auch ein Active Directory damit versenken!

nehmen wir aber an, wir machen jeden Tag eine Sicherung der VM und z.B. 3 h nach der Sicherung verheizt sich das System und es muss ein Full-Recovery gefahren werden, dann habe ich ja eventuell auch wieder eine Inkonsistenz zwischen Clients und Server? (
Richtig. Aber das hast bei jedem Full-Recovery, egal ob Veeam, Acronis, IBM, etc...

Achja, ich rate dir auch dazu alle DCs mit der Windows-Serversichung zusätzlich zu sichern (SystemState). Den im Worst Case ist evtl. auch der Microsoft Support von nöten und der setzt vorraus, dass eine Sicherung mit Windows-Boardmitteln vorhanden ist. Alles andere interessiert ihn nicht.


Gruß,
Dani
goscho
Lösung goscho 18.08.2017 um 11:42:00 Uhr
Goto Top
Mahlzeit,

ich arbeite bei mir und Kunden mit Hyper-V. Es handelt sich zumeist um kleine Umgebungen mit max. 40 Usern.
Am liebsten sind mir auch 2 DCs, dabei einer als Blech.

Es ist aber grundsätzlich auch kein Problem, wenn man nur virtuelle DCs hat (ich schenke mir den 2. DC für meine Firma).
Bei mir ist Backup Exec auf dem Hyper-V-Host installiert, sichert den Host und die VMs und sollte der DC (VM) ausfallen, würde ich diesen aus der letzten Sicherung wiederherstellen.
KMUlife
KMUlife 18.08.2017 um 11:48:30 Uhr
Goto Top
Zitat von @goscho:
Mahlzeit,

Gleichfalls!

Es ist aber grundsätzlich auch kein Problem, wenn man nur virtuelle DCs hat (ich schenke mir den 2. DC für meine Firma).
Bei mir ist Backup Exec auf dem Hyper-V-Host installiert, sichert den Host und die VMs und sollte der DC (VM) ausfallen, würde ich diesen aus der letzten Sicherung wiederherstellen.

Das danach aber gewisse Dinge inkonsistent sein könnten nimmst du einfach in kauf?

LG
KMUlife
beidermachtvongreyscull
beidermachtvongreyscull 18.08.2017 um 11:50:23 Uhr
Goto Top
Mit VMWare und Veeam fährst Du gut und richtig, wenn Du ein sauberes Konzept dahinter stehen hast.
Das Recover eines DC ist nicht einfach mal so getan. Es kann viel schiefgehen.
goscho
goscho 18.08.2017 um 13:19:31 Uhr
Goto Top
Zitat von @KMUlife:
Das danach aber gewisse Dinge inkonsistent sein könnten nimmst du einfach in kauf?
Was soll inkonsistent sein, wenn ich den DC aus dem letzten Backup von (zumeist) letzter Nach wiederherstelle?

Benutzer am PC abmelden und wieder anmelden, wenn tatsächlich ein Computerpasswordwechsel stattfand, dann diesen PC aus der Domäne herausnehmen und wieder aufnehmen.

Einzig die seit der letzten Sicherung vorgenommenen Änderungen sind natürlich nicht da. Aber bei kleinen Umgebungen werden nicht täglich Änderungen am AD vorgenommen und wenn, dann macht man eine Extra-Sicherung.

Denk mal an die vielen SBS-Umgebungen. Dort gibt es nur einen DC (meist als Blech, aber egal).
em-pie
em-pie 18.08.2017 um 13:20:57 Uhr
Goto Top
Moin,

ich klinke mich mal mit ein, auf die Gefahr, dass es geringfügig abschweift, was ich aber nicht glaube:
Wir haben aktuell zwei DCs, beide in einem VMWare-Cluster (mit darunter liegendem StorageHyperVisor) liegen. Keinen Hardware-DC, denn mir/ uns stellte sich folgende Frage:
Welchen Vorteil hat es, wenn ein DC auf einem dedizierten Blech läuft, unter der Gegebenheit, dass das gesamte Cluster ein Stretched-Cluster, verteilt auf >1 Raum, ist?

Wenn das Blech kaputt ist, muss ich den defekten DC ebenfalls irgendwie wiederherstellen oder aus dem AD sauber entfernen (weil irreperabel).
Der Backup-Server (welcher indes auf einer völlig anderen Hardware werkelt) ist in keinsterweise ans AD angebunden, somit brauche ich für einen Restore auch kein funktionierendes AD. Lediglich der Backup-Proxy (Bindeglied zwischen Backup-Server und VMWare) braucht einen User im vCenter, welcher aber kein AD-User sein muss.
Hat das komplette STorage-Cluster die biege gemacht: zum Restore brauche ich kein AD.
Der Umstand, dass aufgrund eines durch Löschwasser gefluteten Raum 1 ein Restore angestoßen werden muss, halte ich für unwahrscheinlich, da ja alle Daten in Raum 2 vorliegen, bestenfalls DC1 zuletzt im RAUM 1 aktiv war und DC2 im Raum 2.
Ist mein Netz von einem Virus befallen, hilft mir ein dedizierter DC auch nicht. Ist aufgrund eines Chemieunfalls mein gesamter Campus ebenerdig: Dann habe ich andere Sorgen

Mit einer Hyper-V Konstellation könnte ich es eher nachvollziehen ,weil die Hosts vermutlich (ich weiss es nicht, habe mit Hyper-V noch nie gearbeitet) eine AD-ANbindungen haben wollen!? aber bei VMWare, KVM ???

Mag sein, dass die weitläufige Empfehlung mit dem zweiten physikalischen DC berechtigt ist, aber aufgrund möglicherweise mangelndem Wissen meinerseits sehe ich aktuell keinen sinvollen Grund, warum ein weiterer DC physikalisch existent sein sollte.

Bzw. stelle ich zusätzlich die Frage: selbst wenn man einen zweiten DC auf einer "isolierten" Hardware betreiben sollte, muss dieser wirklich physikalisch sein, oder könnte man dort auch einen Standalone-ESXi laufen lassen und den DC darauf virtualisieren? Denn in einem Restore-Fall muss ich doch so oder so Hand am DC anlegen, oder irre ich?

Gruß
em-pie
chiefteddy
Lösung chiefteddy 18.08.2017 um 13:42:53 Uhr
Goto Top
Welchen Vorteil hat es, wenn ein DC auf einem dedizierten Blech läuft,.......

Hallo,

nur ein Bsp.: Wenn Deine Verwaltungskonsole für die VMs auch in das AD integriert ist oder der "Verwaltungsserver" Mitglied der Domäne ist, kannst du dich dort nur anmelden, wenn der DC bzw. mindestens einer der DCs läuft. Wenn dein Host oder die DC-VMs nicht starten, kannst du dich nicht an die Verwaltungskonsole anmelden (die Domäne ist ja nicht vorhanden) und damit kannst du weder Haost noch VMs administrieren.
Bei Ausfall des Hosts und 2 DCs als VM hast du dann ein echtes Problem.

Jürgen
ukulele-7
Lösung ukulele-7 18.08.2017 um 13:53:04 Uhr
Goto Top
Zitat von @chiefteddy:
Wenn Deine Verwaltungskonsole für die VMs auch in das AD integriert ist oder der "Verwaltungsserver" Mitglied der Domäne ist, kannst du dich dort nur anmelden, wenn der DC bzw. mindestens einer der DCs läuft. Wenn dein Host oder die DC-VMs nicht starten, kannst du dich nicht an die Verwaltungskonsole anmelden (die Domäne ist ja nicht vorhanden) und damit kannst du weder Haost noch VMs administrieren.

Zumindest unter VMware bleibt sowohl am vCenter als auch am Hypervisor die Möglichkeit sich mit root oder einem anderen VMware Konto anzumelden. Wir melden uns hier auch über die Domäne an aber wenn die AD mal nicht läuft dann eben mit dem vSphere Admin.
chiefteddy
chiefteddy 18.08.2017 um 14:36:04 Uhr
Goto Top
Hallo,

wenn das vCenter als Appliance unter Linux läuft, mag das gehen. Wenn das vCerter ein Windows-Server in der Domäne ist, wird es schwierig.

Und wenn du dich direkt am ESX anmeldest, stehen viele Admin-Funktionen nicht zur Verfügung. ZB. kannst du keine VM verschieben, was ja manchmal zur Problemlösung sinnvoll wäre.

Jürgen
ukulele-7
ukulele-7 18.08.2017 um 15:38:42 Uhr
Goto Top
Zitat von @chiefteddy:

wenn das vCenter als Appliance unter Linux läuft, mag das gehen. Wenn das vCerter ein Windows-Server in der Domäne ist, wird es schwierig.
Eigentlich nicht, der Windows Server (bei uns der Fall), braucht sich nicht anmelden und braucht keine Domäne zum booten auch wenn er Mitglied ist. Er kann im Anschluss ohne AD natürlich keine AD User authentifizieren, er kann aber sehr wohl seine eigenen User anmelden. Dazu gehört auch das vSphere eine eigene Domäne bei der Installation anlegt, man muss natürlich vorher User anlegen oder sich mit dem Admin begnügen.

Eine Anmeldung am Hypervisor ist natürlich eingeschränkt, sie bezieht sich nur auf den Hypervisor selbst. Wenn der vSphere aber rebootet, nicht läuft oder hängt braucht man das schonmal.
Dani
Dani 19.08.2017 um 10:54:20 Uhr
Goto Top
Moin,
wer das schon selbst erlebt hat, wird virtuelle DCs auf dem selben Cluster verfluchen, wenn kein weiterer DC (phyalisch oder anderen Cluster existiert).

Virtualisierung ist heute nicht mehr weg zu denken, keine Frage. Die Komplextität hat damit aber auch zugenommen und somit schleichen sich auch (kritische) Fehler ein, welche durch aus VMs oder sogar Cluster (teilweise) zerstören können. Wer regelmäßig Release Notes der Hersteller liest, weiß was ich meine.


Gruß,
Dani