Apr 19, 2023, updated at Apr 24, 2023 (UTC)

6477

(Einzigen) DC virtualisieren oder nicht? +Fragen

Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.

Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

Die Server sind beide DL380er Gen10

Danke euch vorab

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

Please also mark the comments that contributed to the solution of the article

Content-Key: 6840753963

Url: https://administrator.de/contentid/6840753963

Printed on: April 27, 2024 at 18:04 o'clock

87 Comments

Latest comment

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

die Vorteile der Virtualisierung kennst du glaube ich schon selbst und einen Nachteil dabei für DC's,
ist mir zumindest noch keiner über den Weg gelaufen.

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

👍👍👍, auch das ist sicherlich keine schlechte Idee, zumal ein DC virtuell so gut wie keine Haare vom Kopf frisst.

Beste Grüsse aus BaWü

Alex

Kann ich nur bestätigen. Virtualisier den DC und lass den Hyper-V aus der Domäne.
Der zweite DC ist meiner Meinung nach fast pflicht.

Persönlich würde ich die beiden DL380 so auslegen, dass sie Redundant zu einander sind. Sprich wenn eine der beiden Kisten ausfällt übernimmt die andere.

Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.

Zitat von @madnem:

Kann ich nur bestätigen. Virtualisier den DC und lass den Hyper-V aus der Domäne.

Wieso? MS empfiehlt ganz klar den Host in eine Domäne aufzunehmen.

Dennoch SOLLTE es einen zweiten Domänencontroller geben. MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

die Vorteile der Virtualisierung kennst du glaube ich schon selbst und einen Nachteil dabei für DC's,
ist mir zumindest noch keiner über den Weg gelaufen.

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

👍👍👍, auch das ist sicherlich keine schlechte Idee, zumal ein DC virtuell so gut wie keine Haare vom Kopf frisst.

Beste Grüsse aus BaWü

Alex

DANKE für die mega schnelle Reaktion.

Ich wollte den Hyper-V HOST in ein eigenes Konfig-VLAN packen, so dass er gar nicht für die Domäne sichtbar ist. Spricht da etwas dagegen?

Datensicherung wollte ich per Veeam EndPoint+ WIndows Server Sicherung machen+ Active Backup for Business auf eine größeren Synology-NAS welches schon vorhanden ist.
Wie würdest du denn den HOST an sich sichern?
Ich habe vieles kontroverses gelwesen, ob der Backup Client auf den Hyper-V Host gehört oder in die jeweilige VM...Wie siehst du das?

Nächste Frage wäre noch, welche rackfähige USV im Preis-Bereich unter 1000 Euro zuverlässig ist.
Mit diversen APC hab ich z.B. gar keine guten Erfahrung sammeln dürfen...

Grüße und Danke für euer Feedback

Zitat von @3063370895:

Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos den virtualisierten DC. Ein Henne-Ei-Problem gibt es hier nicht.

Zitat von @madnem:

Kann ich nur bestätigen. Virtualisier den DC und lass den Hyper-V aus der Domäne.

NAJA man kann sich wenn der einzige Domaincontroller offline wäre , nicht mehr auf dem Host anmelden ( außer man legt einen lokalen Admin an , wovon ich ausgehe dass dies eh empfohlen wird?) Wie siehst du das?

Die Frage ist ( ist eine kleine Umgebung), wie man vorgeht, wenn zunächst eben kein zweiter Domain-Controller verfügbar ist....das war ja meine Frage, ob dann virtuell oder physisch das kleinere Übel wäre

https://www.eaton.com/de/de-de/products/backup-power-ups-surge-it-power- ...

Der HV-Host startet auch ohne DC problemlos und wird so eingestellt, dass die DC-VM automatisch gestartet wird. Lokales Admin-Konto auf dem HV-Host ist auch Pflicht.

Mehr Infos zur Virtualisierung von Domänencontroller

Zitat von @3063370895:

Der HV-Host startet auch ohne DC problemlos und wird so eingestellt, dass die DC-VM automatisch gestartet wird. Lokales Admin-Konto auf dem HV-Host ist auch Pflicht.

Mehr Infos zur Virtualisierung von Domänencontroller

Würdest du den Hyper-V Host nicht in einem separaten VLAN betreiben. bzw zumindest diesen nur über ein separates VLAN erreichbar machen? Ich denke da insbesondere an die Security...?

Zu der Frage mit dem zweiten DC:

Bevor ich nur einen DC habe, weil ich keinen anderen Server hab, nehme ich zur Überbrückung einen Workstation-PC und installiere da ne 180-Tage Evaluation Serverlizenz und mach einen DC draus. Das geht zur Not und halt als Überbrückung auch mit einem i5 und 8GB Ram.

Zitat von @aqui:

https://www.eaton.com/de/de-de/products/backup-power-ups-surge-it-power- ...

Vielen Dank, Eaton hab ich auch dran gedacht, und wenn es von dir kommt( schon viele deiner Beiträge gelesen), kann ich da bedenkenlos zuschlagen.
ich schaue mich mal um bei denen.

Moin @3063370895,

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.

ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃

Beste Grüsse aus BaWü
Alex

Zitat von @MysticFoxDE:

Moin @3063370895,

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.

ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.

Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃

Naja, im Supportfall will ich eine vom Hersteller unterstützte Konfiguration haben. Also halte ich mich an deren Dokumentation. Der Fall von dem MS ausgeht ist, ein Update zerschießt Hyper-V komplett, alle DCs sind virtualisiert, man hat keine Domäne mehr bis Rollback durch ist.

Beste Grüsse aus BaWü
Alex

Moin @DCFan01,

Würdest du den Hyper-V Host nicht in einem separaten VLAN betreiben. bzw zumindest diesen nur über ein separates VLAN erreichbar machen?

👍

Ich denke da insbesondere an die Security...?

👍👍

Bitte genau so auch machen, danke. 😁

Beste Grüsse aus BaWü
Alex

Danke für eure Infos.

Windows Server Sicherung sollte dann die einzige Sicherung auf dem Hyper-V Host an sich sein, korrekt?
Alles andere mach ich dann in den Gast-VMs....

Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.

Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.

Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.

Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

Zitat von @madnem:

Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.

Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.

Also gegen jede best practices, auf die sich Experten geeinigt haben.

There is little security consideration standing against a huge management benefit, through credential management, group policies, and so on, so you should domain-join all Hyper-V hosts to your existing Active Directory domain. If your Hyper-V hosts will be placed in high-security environments, join them to a dedicated management domain (within a separated Active Directory forest) and not to your production domain.

- so Benedict Berger in seinem Buch

und gegen MS-best-practices

Ein HV-Host ist auch nur ein Computer - vernünftig absichern muss ich ihn sowieso. Ein Risiko durch das joinen zur Domain gibt es allerdings nicht.

Moin @3063370895,

Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.

glaub mir, es macht im Ernstfall eine Menge aus, ob bei einem Angriff nur deine Userdomäne über den Jordan geht oder auch der Hyper-V und im schlimmsten Fall vielleicht auch noch die Backups mit dazu.
Ich habe schon duzende Incident-Response Einsätze auf dem 🦊-Buckeli und kann dir daraus genau zu diesem Thema, eine menge traurige Lieder singen. 😔

Glaub mir, du willst nicht wirklich von MS supportet werden ... ja, OK, wenn man auf SM steht, dann vielleicht schon. 🤪

Beste Grüsse aus BaWü
Alex

Zitat von @madnem:

Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.

Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

Aber zumindest die Veeam EndPoint Free installiert doch einen SQL Express , was ich eigentlich ungern auf dem Hyper-V HOST haben wollte? Oder ist das mittlerweile anders?

Die Community-Edition könnte ich natürlich auf einem normalen Windows-Client installieren und von dort dann extern sichern oder was würdest du da empfehlen?

Es gibt ein Synology NAS in einem anderen Subnetz, welches via Active Backup zumindest recht abgeschirmte Backups erstellen könnte, aber ich will unbedingt auch Veeam noch zusätzlich einsetzen auf externe USB-Platten ( wie gesagt kleine Umgebung)

Zitat von @madnem:
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

https://thehackernews.com/2019/08/reverse-rdp-windows-hyper-v.html

alles ist möglich. Es werden sogar air gapped-systeme gehackt. Man muss nur lukrativ genug sein

Zitat von @MysticFoxDE:

Moin @3063370895,

Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.

Glaub mir, du willst nicht wirklich von MS supportet werden ... ja, OK, wenn man auf SM steht, dann vielleicht schon. 🤪

Beste Grüsse aus BaWü
Alex

Würdest du ALLE direkt auf dem Host sichern oder auch via Agent innerhalb der jeweiligen VMs?

Sicherheitstechnisch wäre doch ein komplettes Backup des Hyper-V Hosts+ aller sich darauf befindenden Guest-VMS doch viel sinnvoller? Spricht da auch etwas dagegen?

Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS

Zitat von @3063370895:

Zitat von @madnem:
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

https://thehackernews.com/2019/08/reverse-rdp-windows-hyper-v.html

alles ist möglich. Es werden sogar air gapped-systeme gehackt. Man muss nur lukrativ genug sein

Reversr RDP hab ich mal gelesen gabs ganz miese Angriffe...scheinbar aber wenn man die Zwischenablage deaktiviert, wirds wohl deutlich schwierger oder?

Moin @3063370895,

Also gegen jede best practices, auf die sich Experten geeinigt haben.

welche Experten den bitte?
Und komm mir jetzt bitte nicht mit irgendwelchen MVP's um die Ecke, die nur noch dem Hersteller-Marketing nachplappern können und von der Technologie selbst überhaupt nichts mehr verstehen, danke.

- so Benedict Berger in seinem Buch

Und das steht so wirklich in einem Bucht drin .... 😱 ... bitte entsorgen, danke.

und gegen MS-best-practices

Und hast du dir auch mal die Begründung dazu angesehen und über diese auch mal nachgedacht?

Beste Grüsse aus BaWü
Alex

Benedict Berger - "irgendein MVP"?

Aber du weißt es wahrscheinlich besser

Naja ich hab jetzt Feierabend

Moin @DCFan01,

bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.

Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS

Ich sichere die VM's immer über die Agents der Hyper-V Nodes, das geht am schnellsten, sowohl was die Sicherung und auch die Wiederherstellung angeht.

Beste Grüsse aus BaWü
Alex

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank

Zitat von @aqui:

https://www.eaton.com/de/de-de/products/backup-power-ups-surge-it-power- ...

Eaton USV Ellipse ECO 1600

Reicht so etwas in die Richtung und kann ich damit die VMs auch automatisch herunterfahren bzw supsenden?

Moin @3063370895,

Benedict Berger - "irgendein MVP"?

Aber du weißt es wahrscheinlich besser

ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.

https://www.xing.com/profile/Alexander_Fuchs132/cv

Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉

Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔

Beste Grüsse aus BaWü
Alex

Zitat von @MysticFoxDE:

Moin @DCFan01,

Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS

Ich sichere die VM's immer über die Agents der Hyper-V Nodes, das geht am schnellsten, sowohl was die Sicherung und auch die Wiederherstellung angeht.

Beste Grüsse aus BaWü
Alex

Wie meinst du den ersten Teil deiner Antwort?
Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?

Zitat von @Vision2015:

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank

Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?

Moin..

Zitat von @MysticFoxDE:

bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!

das sehe ich auch so!

Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.

ich finde Novastore ganz Interessant...

Frank

Zitat von @DCFan01:

das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!

Frank

Moin @DCFan01,

Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?

nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".

Beste Grüsse aus BaWü
Alex

Zitat von @Vision2015:

Zitat von @DCFan01:

Nein auf ILO soll nur ich aus dem Wartungs-Netz bzw VPN zugreifen.

Wie gesagt es ist eine kleine Umgebung, 1DC ( virtuell/physisch, künftig 2 DC beide virtuell), 1 SQL-VM für SAGE CRM/XRM etc) 1 SQL_VM Zeiterfassung etc.)

Würdest du Backup Subnet+ Wartungs-Netz in so einer kleinen Umgebung trennen oder passt das auch alles in einem?

Zitat von @Vision2015:

Zitat von @DCFan01:

Nachtrag:

derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte:

nur deine V-Hosts, die Datensicherung... und meinetwegen ILO.
die netze müssen getrennt sein!

Frank

Zitat von @DCFan01:

Zitat von @Vision2015:

Zitat von @DCFan01:

das passt in ein Netz

Moin...

Zitat von @MysticFoxDE:

Moin @DCFan01,

am besten mit einem RDX Laufwerk... dann bleiben auch deine USB ports am Server heile

Beste Grüsse aus BaWü
Alex

Frank

Moin Frank,

wie ich sehe haben wir mit den Microsoftians und auch Veeam wohl beide sehr ähnliche Erfahrungen machen müssen.

Wobei ich sagen muss, das ich was Veeam angeht, lediglich an deren Preispolitik was zu rupfen habe, die Lösung an sich ist gut.

ich finde Novastore ganz Interessant...

Läuft auch ganz ordentlich und liegt vor allem preislich noch absolut im Rahmen des bezahlbaren.

Beste Grüsse aus BaWü
Alex

Moin...

Zitat von @MysticFoxDE:

Moin @3063370895,

Benedict Berger - "irgendein MVP"?

Aber du weißt es wahrscheinlich besser

geht mir auch so...

Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔

jo, ich kenne auch einige MVPs, die stehen oben an der kanzel und predigen... und predigen und predigen

bekommen ordentliche Tagesgagen und haben Microsoft auf der Krawattennadel!
aber setze den Kollegen mal an eine Console, bekommst du was zu lachen!

Beste Grüsse aus BaWü
Alex

Frank

Zitat von @DCFan01:

Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.

Alles virtualisieren.

Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.

O.k.

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Virtualisieren.

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

Keine Nachteile. Als kannst kannst damit den DC vom Anwendungsserver getrennt halten., so daß er rein DC sein Jannik.

Die Server sind beide DL380er Gen10

Egal. Geht mit jedem Blech, daß genug RAM und SSD hat.

Danke euch vorab

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

Pack den doch in den zweiten Hypervisor. Der DC Frist i.d.R. kaum Resourcen bei so einem Minibetrieb.

SCHÖNEN abend noch.

lks

Sorry für die Frage, aber was bringt es den Hyper-V in die Domain zu hängen.
Ist doch gut, wenn er eigens abgesichert ist!?

Ich betreibe nur VmWare ESX / vSphere (keine Hyper-V) und da trenne ich das vmware-Management-Netzwerk, Sicherung-Netzwerk und Interne Netzwerk.

gruß sd

N'Abend.

Für die Funktionalität eines AD ist es wumpe, ob die DCs auf Physik oder als VM laufen. Ich rate aber immer dazu, mindestens zwei DCs am Start zu haben, schon aus Redundanz- und Verfügbarkeitsgründen. Kommt Physik als Hypervisor zum Einsatz, empfiehlt es sich, einen DC als Physik "in der Ecke" stehen bzw. laufen zu haben (*) - unabhängig davon, ob der Hypervisor selbst Teil des AD ist oder nicht: Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.

Was die AD-Mitgliedschaft angeht: Jeder, wirklich jeder Server gehört ins AD. Nur dann greifen zentrale Verwaltungs- und Konfigurationsvorgaben, nur dann lässt sich ein Admin-Tiering von zentraler Stelle durchsetzen etc. Workgroup-Server gibt es, wenn überhaupt, in einer DMZ, aber niemals im internen LAN. Die Erfahrung zeigt, dass Workgroup-Server nach einiger Zeit vernachlässigt werden, eben weil sie manuelle/händische Konfiguration benötigen. Und damit dann über kurz oder lang zum scheunentorgroßen Sicherheitsrisiko werden.

(*) Oder alternativ eine weitere Hypervisor-Plattform, auf der ein DC läuft uns "ansprechbar" ist... Ihr wisst schon, was ich meine.

Cheers,
jsysde

Moin @jsysde,

Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.

das Problem lässt sich lösen, indem man einfach die DC's als erstes booten und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉

Jeder, wirklich jeder Server gehört ins AD.

Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, zumindest nicht in die "Alltagsdomäne" wo sich auch die normalen User & Co rumtummeln, danke.

Beste Grüsse aus BaWü
Alex

N'Abend.

Zitat von @MysticFoxDE:
[...]das Problem lässt sich lösen, indem man einfach die DC's als erstes booten lasst und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉

VMs starten niemals automatisch - wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist, wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.

Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.

[...]Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, danke.

Doch. Jeder Windows-Server gehört ins AD. Der Backup-Server, wenn er denn wirklich unter Windows laufen muss, wegen mir in ein separates VLAN und Backups über ein separates Backup-Netzwerk. Alternativ packt man den Backup-Server in ein eigenes AD.
Aber niemals nicht läuft ein Windows-Server in einer Workgroup.

Für mich stellt sich die Frage meist nicht, da unsere Backupserver i.d.R. keine Windows-Büchsen sind.

Cheers,
jsysde

Zitat von @jsysde:

Was die AD-Mitgliedschaft angeht: Jeder, wirklich jeder Server gehört ins AD.

Das ist Quatsch mit Soße. Man packt die Server nur dann ins AD, wenn es im Einzelfall auch sinnvoll ist. Eine zentrale Verwaltung bekommt man auch ohne AD hin. Man muß nur die richtigen Werkzeuge und Skripten verwenden. Es gibt manche Server, die will man nicht im AD haben, z.b. Backup-Server, auf die keiner aus dem AD zugreifen können soll.

Beri Hyper-V-Servern ist das i.d.R. auch ncoiht notwendig. Man kann sie reinpacken, muß man aber nicht.

IT besteht nicht nur aus ~~Schwarz/Grün~~ ~~Schwarz/Amber~~ Schwarz/Weiß. Es gibt inzwischen viel Abstufungen, auch in Farbe.

lks
lks

Moin @jsysde,

VMs starten niemals automatisch

bei dir vielleicht nicht, aber unsere eigenen und die unseren Kunden tun das jedoch schon.

wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist.

Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉

wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.

Ja, natürlich und dann kommt rein zufällig Godzilla vorbei und pinkelt ausersehen auch noch auf das Backup. 😬

Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.

Pustekuchen, dann müssen wir lediglich den mobilen Wurmlochgenerator kurz aufbauen, dann wird der defekte Server einfach in die Vergangenheit gebeamt und wir beamen aus der Vergangenheit im Gegenzug den intakten wieder zurück. 😉🤪

Doch. Jeder Windows-Server gehört ins AD.

Wo bekommt man diesen Unsinn eigentlich eigetrichtert?

Alternativ packt man den Backup-Server in ein eigenes AD.

Nicht alternativ, sondern nur so oder gar nicht!

Aber niemals nicht läuft ein Windows-Server in einer Workgroup.

Weil sonst genau was geschieht?

A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???

Beste Grüsse aus BaWü
Alex

N'Abend.

Zitat von @Lochkartenstanzer:
[...]IT besteht nicht nur aus ~~Schwarz/Grün~~ ~~Schwarz/Amber~~ Schwarz/Weiß. Es gibt inzwischen viel Abstufungen, auch in Farbe.

Absolut. Und der "Quatsch mit Soße" resultiert aus langjähriger Erfahrung und ich fahre damit sehr gut.
Mir ist halt unklar, warum ich "passende Werkzeuge und Skripte" nutzen soll, wenn ich diese "Werkzeuge und Skripte" innerhalb eines AD quasi mitgeliefert bekomme. Just sayin'...

Cheers,
jsysde

N'Abend.

Zitat von @MysticFoxDE:
[...]Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉

Wenn man ein Cluster hat, kein Problem.

[...]Wo bekommt man diesen Unsinn eigentlich eigetrichtert?

Du kannst das gern als Unsinn abtun. Ich buche deine Überheblichkeit auch einfach mal als Unsinn, dann sind wir quitt.

Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt. Als Dienstleister stehste dann mit runtergelassener Hose da und wirst halt einfach vorsichtiger, baust Dinge anders auf etc. Aber du darfst gern weiterhin Dekaden an Berufserfahrung als "Unsinn" abtun...

Cheers,
jsysde

Zitat von @Lochkartenstanzer:

Alles virtualisieren.

Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.

O.k.

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Virtualisieren.

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

Keine Nachteile. Als kannst kannst damit den DC vom Anwendungsserver getrennt halten., so daß er rein DC sein Jannik.

Die Server sind beide DL380er Gen10

Egal. Geht mit jedem Blech, daß genug RAM und SSD hat.

Danke euch vorab

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

Pack den doch in den zweiten Hypervisor. Der DC Frist i.d.R. kaum Resourcen bei so einem Minibetrieb.

SCHÖNEN abend noch.

lks

Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.

Oder hab ich doch noch eine Möglichkeit?

Moin @DCFan01,

Oder hab ich doch noch eine Möglichkeit?

kommt darauf an über wie viele User wir hier in Summe sprechen und ob ihr z.B. für diese eh schon O365 verwendet oder zeitnah verwenden möchtet.

Beste Grüsse aus BaWü
Alex

Zitat von @MysticFoxDE:

Moin @DCFan01,

Kannst du das begründen, warum da keine Datenträger "dranbleiben" sollten?

Moin @jsysde,

[...]Wo bekommt man diesen Unsinn eigentlich eigetrichtert?

Du kannst das gern als Unsinn abtun. Ich buche deine Überheblichkeit auch einfach mal als Unsinn, dann sind wir quitt.

ich bin halt etwas direkt, das darfst du mir nicht zu übel nehmen.
Und zu behaupten das jeder Windows Server in eine Domäne gehört ist schlichtweg ein Unsinn.

Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt.

Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese und die Server/Storage und schon gehören die von dir oben angesprochenen Szenarien der Vergangenheit an. 😉

Und bitte niemals Netzteil A eines Servers an eine USV anschliessen und Netzteil B direkt an Netz.
Damit untergräbst man von Beginn schlichtweg eine der mitunter wichtigsten Schutzfunktionen einer USV. 😔

Beste Grüsse aus BaWü
Alex

Zitat von @jsysde:

N'Abend.

Zitat von @MysticFoxDE:
[...]das Problem lässt sich lösen, indem man einfach die DC's als erstes booten lasst und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉

[...]Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, danke.

Ist dieses Szenario wirklich so wahrscheinlich?

Eigentich wollte ich nicht unbedingt die VMs automatisch starten lassen , aber habe Sorge, dass bei einem Stromausfall/Absturz etc Datenbanken oder der virtualisierte DC ( insbesondere wenn es nur einer ist) beschädigt werden könnten.

Ist dieses Szenario wahrscheinlicher gegenüber physischen Maschinen?
Dort hatte ich bisher nur selten mit derlei korrupten Datenbanken etc zu tun.

Moin @DCFan01,

Kannst du das begründen, warum da keine Datenträger "dranbleiben" sollten?

damit wenn du dir doch einen Schädling auf dem Hyper-V einfangen solltest, dieser neben dem Produktivsystem, nicht auch noch die Backupdaten auf den direkt angeschlossenen Datenträgern wegfressen kann. 😉

Beste Grüsse aus BaWü
Alex

Moin @DCFan01,

Ist dieses Szenario wirklich so wahrscheinlich?

wenn, deine USV's sauber implementiert sind, eher unwahrscheinlich.

Eigentich wollte ich nicht unbedingt die VMs automatisch starten lassen , aber habe Sorge, dass bei einem Stromausfall/Absturz etc Datenbanken oder der virtualisierte DC ( insbesondere wenn es nur einer ist) beschädigt werden könnten.

Ähm, Moment, jetzt vermischt du aber zwei Dinge.

Das eine ist, was geschehen soll wenn der Strom wegbricht.
Hier bin ich eher ein Fan von einfach auslaufen lassen.

Und das andere ist, was geschehen soll wenn der Strom wieder da ist.
Hier bin ich ein Fan, von so weit es geht automatisiert wieder hochfahren.

Beste Grüsse aus BaWü
Alex

Ist dieses Szenario wahrscheinlicher gegenüber physischen Maschinen?
Dort hatte ich bisher nur selten mit derlei korrupten Datenbanken etc zu tun.

Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.

Auf jeden Fall.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Das sagt Microsoft schon seit Jahren nicht mehr.

/Thomas

Zitat von @DCFan01:
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.

Oder hab ich doch noch eine Möglichkeit?

Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.

/Thomas

Zitat von @Th0mKa:

Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.

Auf jeden Fall.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Das sagt Microsoft schon seit Jahren nicht mehr.

/Thomas

Virtualizing Domain Controllers using Hyper-V - Avoid creating single points of failure, Punkt 4:

Maintain physical domain controllers in each of your domains. This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.

zuletzt aktualisiert am 08.06.2022

-Thomas

Moin @3063370895,

Virtualizing Domain Controllers using Hyper-V - Avoid creating single points of failure, Punkt 4:

Hast du den Artikel den mal selbst genau durchgelesen?

😉

Beste Grüsse aus BaWü
Alex

Ja und wenn du es schaffst noch 3 Punkte weiter zu lesen, findest du den von mir zitierten Punkt. Viel Erfolg, ich glaube an dich!

-Thomas

Moin @3063370895,

Ja und wenn du es schaffst noch 3 Punkte weiter zu lesen, findest du den von mir zitierten Punkt. Viel Erfolg, ich glaube an dich!

kein Problem und ich glaub auch an dich, dass dir selber ein Licht aufgeht, wenn du den von dir zitierten Punkt mal genau zu Ende liest. 😉

OK, kleine Nachhilfe ...

"This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform."

bedeutet ...

"Dadurch wird das Risiko einer Fehlfunktion der Virtualisierungsplattform verringert, die alle Hostsysteme betrifft, die diese Plattform verwenden."

Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?

---

Und falls du auf die Idee kommst mit nun mit einem Hyper-V Cluster um die Ecke zu kommen.
Ein Cluster besteht meistens aus mehreren Nodes und wenn man auf jedem der Nodes auf deren lokalem Speicher einen virtualisierten Verwaltungs-AD-DC laufen lässt, hat man am Ende des Tages auch eine redundante DC Architektur für die HV-Domäne. 😉

Beste Grüsse aus BaWü
Alex

OK, kleine Nachhilfe ...

Nein danke.

Dein Kommentar ist falsch, denn der Satz

This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.

geht von dem Fall aus, dass Hyper-V als Platform (nicht einzelne Hosts!) ausfällt, z.B. aufgrund eines fehlerhaften Updates. Also alle Hyper-V-Hosts funktionieren nicht mehr.

Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?

Der wird auch ausfallen, da davon ausgegangen wird, dass Hyper-V als Plattform nicht mehr funktioniert.

Die Chance eines solchen Ausfalles sei mal dahingestellt. Aber für diesen Fall sollte man laut MS einen DC haben, der nicht auf Hyper-V läuft, also physisch, oder (in den Docs nicht erwähnt) auf einer anderen Virtualisierungsplattform.

Deutsche Übersetzung aus den Docs:

Versehen Sie all Ihre Domänen mit physischen Domänencontrollern. Dies verringert die Auswirkungen einer Fehlfunktion einer Virtualisierungsplattform (von der auch die von der Plattform abhängigen Hostsysteme betroffen wären).

Ich bin hier fertig, der Thread wurde genug derailed. Wenn du noch was willst schreib mir per PN
-Thomas

Moin @3063370895,

geht von dem Fall aus, dass Hyper-V als Platform (nicht einzelne Hosts!) ausfällt, z.B. aufgrund eines fehlerhaften Updates. Also alle Hyper-V-Hosts funktionieren nicht mehr.

da bei unseren Kunden alles virtualisiert ist, wäre bei diesem Szenario ein nicht laufendes AD, sicherlich deren aller geringstes Problem.

Die Chance eines solchen Ausfalles sei mal dahingestellt. Aber für diesen Fall sollte man laut MS einen DC haben, der nicht auf Hyper-V läuft, also physisch, oder (in den Docs nicht erwähnt) auf einer anderen Virtualisierungsplattform.

Und wofür, wenn mir sonst alles andere abgeraucht ist?

Und ich kann dir aus der Praxis versichern, dass das so absolut nicht notwendig ist.
Sonst hätten unsere Kunden uns schon längst mit Haut und Haaren gefressen. 🤪

Beste Grüsse aus BaWü
Alex

Ich hantiere es in der Praxis auch so, alle DCs sind virtualisiert. Es ging aber um deine Fehlinterpretation der MS-Docs. Diese hast du inzwischen anscheinend eingesehen, sonst würdest du ja noch weiter darauf herumreiten.

-Thomas

Moin @3063370895,

das überinterpretierst du nun glaube ich gewaltig.

Ein paar von deinen heiligen MS-Dokus habe ich übrigens schon selbst korrigieren lassen, weil zuvor darin einfach ein technischer Nonsens gestanden ist. 😉
(Siehe ReFS auf CSV.)

Beste Grüsse aus BaWü
Alex

Zitat von @MysticFoxDE:

E !!1!
Am 01. 02. 2025 !

Zitat von @Th0mKa:

Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.

Auf jeden Fall.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Das sagt Microsoft schon seit Jahren nicht mehr.

/Thomas

Wie kann ich möglichst einfach einen zweiten DC erstellen bzw welche Hardware benöltige ich dafür?
Muss es Server-Hardware sein oder reicht gar ein NUC? Hätte da noch einen...

Weitere Frage wäre noch, wo installiere ich den GDATA Management Server ?
EIgentlich wollte ich den unbedingt auf dem virtualisierten DC mit drauf haben ( als einziges zusätzliches Software).
Spricht da etwas dagegen?

Zitat von @Th0mKa:

Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.

/Thomas

Wir sprechen hier von einer sehr kleinen Umgebung....

Muss es Server-Hardware sein oder reicht gar ein NUC?

Zitat des Kollegen @jsysde weiter oben:
"Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC."
Wer lesen kann...

Siehe hier.

Zitat von @aqui:

Muss es Server-Hardware sein oder reicht gar ein NUC?

Siehe hier.

Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

Moin...

Zitat von @DCFan01:

Zitat von @aqui:

Muss es Server-Hardware sein oder reicht gar ein NUC?

Siehe hier.

Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

jo...

Zitat von @Th0mKa:

Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.

/Thomas

Moin,

Lizenzen sind für mich ... ein Graus ? !!

Für mich stellt sich aber die Frage ob in den Bedingungen steht das die 2 VMs der standard auf DIESEM Host liegen müssen.
Das der Host (als 3te Lizenz) NUR HyperV (Und sowas wie Virenscanner und Backup Tool) haben darf ist klar. NICHT mehr !!

Aber ginge, Lizenz Technisch, das Ich auf diese eine S22 Lizenz 2 VM starte.
Auf Linux VM Server.
Wie ESX oder KVM (Proxmox).
Um genauer zu sein 2 Linux Systeme..

Technisch, ist das nicht der Akt wenn man es einmal vernünftig gemacht hat. Klar.

Es interessiert mich, aber nicht so sehr das Ich mir das dokument erst mal suche und dann erarbeite

Das MS das nicht WILL ist klar.
Aber steht das auch in den Lizenz Bestimmungen?
Das NUR dieses eine Szenario erlaubt ist für diese Lizenz?

Zitat von @TomTomBon:
Das MS das nicht WILL ist klar.

Microsoft ist egal ob der Virtualisierer ESXi, KVM, Hyper-V oder sonst was ist, die Lizensierung ist immer gleich und an den Host gebunden. Du mußt der Hardware eine entsprechende Anzahl Windows Server Standard Core Lizenzen (soviele Core Lizenzen wie die CPUs des Host zusammen physische Cores haben, aber mindestens 8 pro CPU und 16 pro Host) zuweisen und darfst dann 2 Windows Server VMs darauf laufen lassen. Wenn du mehr als 2 Windows Server VMs auf der Hardware brauchst mußt du halt die Anzahl der zugewiesenen Lizenzen des Hosts entsprechend erhöhen. Alternativ kauft man irgendwann Datacenter, da kann man soviele Windows Server VMs laufen lassen wie man mag.

Moin @DCFan01,

Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.

Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack

Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉

Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪

Beste Grüsse aus PaWü
Alex

Zitat von @MysticFoxDE:

Moin @DCFan01,

Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

Die sind aber nur für Testsu d Evaluationen gedacht und nicht für Produktivbetrieb iirc. Und man hat due Lizenz nur, wenn man solange man die Abogebühren zahlt.

lks

Moin @Lochkartenstanzer,

Die sind aber nur für Testsu d Evaluationen gedacht und nicht für Produktivbetrieb iirc.

das ist so nicht ganz korrekt.
Die direkt im Action Pack direkt enthaltenen Lizenzen, die ich vorhin auch angesprochen habe, sind für die interne Nutzung gedacht.
Die in dem MSDN Zugang enthaltenen Lizenzen, der ebenfalls im Action Packt drin ist, sind hingegen so wie du sagst für Test und Evaluationen gedacht.

Und man hat due Lizenz nur, wenn man solange man die Abogebühren zahlt.

Das ist bei 400,-/Jahr aber kein Beinbruch und man hat zudem den Zugriff auf die aktuellste MS-Software.
Alleine schon 5 x Office 365E3 kostet aktuell 1506,-/Jahr Netto und diese Lizenzen sind im Action Pack bereits drin.
Sprich, alleine schon dadurch rechnet sich das Action Pack für die meisten kleinen. 😉

Beste Grüsse aus BaWü
Alex

N'Abend.

Zitat von @DCFan01:
Ist dieses Szenario wirklich so wahrscheinlich?

Nein. Aber halt schon (mehrmals) vorgekommen.

Cheers,
jsysde

N'Abend.

Zitat von @MysticFoxDE:
Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese[...]

War/ist vorhanden. Nutzt dir aber nix, wenn im Gebäude deines Kunden eigene Transformatoren stehen, die einen Fehler mit entsprechenden Stromschwankungen verursachen. Hätte ich mir nicht ausdenken können, bin aber von der Realität eingeholt worden.

Cheers,
jsysde

Moin @jsysde,

dann waren das sicher keine Online-USV's (Doppelwandler-USV's).
Denn diese erzeugen durch den zweiten Wandler ausgangsseitig immer eine saubere 230V Spannung und zwar ganz unabhängig davon, was eingangsseitig reinkommt.

Beste Grüsse aus BaWü
Alex

Moin,

ich glaube, ich muss jetzt auch noch meinen Senf zu diesemThema geben.

Warum:
Ich betreue fast ausschließlich solche Kunden (2-65 Clients) und das schon seit ungefähr 25 Jahren.

DC virtualisiert?

-> klar, spricht überhaupt nix dagegen

Hyper-V-Host in die Domäne

-> Das mache ich bei fast allen dieser Umgebungen - es gab/gibt die unterschiedlichsten Gründe, warum ich das gemacht habe bzw. immer noch mache (MS Telefonieserver da Anschluss an die TK-Anlage per USB/seriell nötig war, WSUS, Backup-Server)
-> Der Host startet ohne dass ein DC da ist, man kann sich an diesem auch ohne DC (lokal) anmelden, VMs starten automatisch (zuerst der DC die anderen verzögert)

Backup-Server auf Hyper-V-Host?

-> mache ich auch bei vielen dieser Umgebungen
-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.

2. DC?

Klar, wird empfohlen. Bringt aber in Umgebungen mit weniger als 10 Clients fast nichts außer Mehrkosten für Lizenzen, die der TO auch nicht haben will.
Wenn der DC spinnt, wird er durch das funktionierende Backup des Vortags ersetzt.
Das geht meist sogar wesentlich schneller und unkomplizierter, als sich nicht mehr replizierende DC wieder in Fluss zu bekommen.

Ich habe in den letzten 20 Jahren bei meinen Kunden ganz selten mal ein Problem mit dem AD gehabt.

2. DC auf einen Mini-PC?

Das ist so, wie wenn der Handwerker als Reserve für seinen Transporter einen Smart mit Anhängekupplung in die Garage stellt.
Entweder ich nehme einen richtigen Server oder lasse es. Wenn ich eine zusätzliche Serverlizenz für mehrere Hundert € kaufe, kann ich auch einen zusätzlichen Server kaufen, bspw. einen HP Microserver oder einen ähnlichen Einstiegsserver.

DC macht nix außer AD und DHCP?

-> Wie vermittelt ihr den Kleinbetrieben, dass sie für jede 2. Rolle eine weitere Serverlizenz brauchen? Zumeist möchten diese (wie der TO auch) die 2 Lizenzen der Standard-Version nutzen und gut.
Ein Traum (aber unrealistisch) sind solche Szenarien:

1. VM nur AD + DHCP
2. VM Fileserver (+ Printserver?)
3. VM ERP (hier irgend eine sage Lösung)
4. VM Mailserver (wenn nicht aus der Wolke)
5. VM CRM
6. VM AV-Verwaltung
7. VM WSUS
zusätzlicher DC auf 2. Host oder Blech
Backup-Server (2. Host oder noch ein Blech

separate VLANs?

Natürlich kann man jeden Pups in sein eigenes von allem anderen getrennte Verwaltungs-VLAN packen.
Ich finde das auch ganz toll und mache es selbst gern.
Man muss es natürlich auch verwalten können.
Welches KMU hat die qualifizierten Mitarbeiter dafür?
Externe Dienstleister können das zwar idR, sind aber nicht immer sofort verfügbar oder die KMU scheuen
die Kosten für diese Dienstleistungen.

Der TO schreibt ja was von 2 DL380G10. Wenn beide Hyper-V Hosts sind, braucht es eh 2 Server Standard Lizenzen, wobei dann jeweils 2 VMs eine Lizenz bekommen können.

PS: Mit APC USVen (Smart-UPS) habe ich nur dann schlechte Erfahrungen gemacht, wenn man die Meldungen zum Akkutausch, Kommunikationsfehlern etc. missachtet.

Zitat von @goscho:

Moin,

ich glaube, ich muss jetzt auch noch meinen Senf zu diesemThema geben.

Warum:
Ich betreue fast ausschließlich solche Kunden (2-65 Clients) und das schon seit ungefähr 25 Jahren.

DC virtualisiert?

-> klar, spricht überhaupt nix dagegen

Hyper-V-Host in die Domäne

Backup-Server auf Hyper-V-Host?

2. DC?

2. DC auf einen Mini-PC?

DC macht nix außer AD und DHCP?

1. VM nur AD + DHCP
2. VM Fileserver (+ Printserver?)
3. VM ERP (hier irgend eine sage Lösung)
4. VM Mailserver (wenn nicht aus der Wolke)
5. VM CRM
6. VM AV-Verwaltung
7. VM WSUS
zusätzlicher DC auf 2. Host oder Blech
Backup-Server (2. Host oder noch ein Blech

separate VLANs?

Servus,

kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?

Oder muss und sollte ich die VMs dann vorher immer pausieren/suspenden/herunterfahren?

Zitat von @DCFan01:

Zitat von @goscho:

Backup-Server auf Hyper-V-Host?

Super, dass du meinen Beitrag komplett zitierst und eine Frage zum Backup stellst.

Ich kann dir weder sagen, wie es das Windows-Server Backup macht, noch nutze oder kenne ich selbst Veeam Endpoint Free.

Zitat von @goscho:
ich nutze seit dem letzten Jahrtausend Veritas Backup Exec

Damit geht das alles problemlos, ohne eine VM herunterzufahren.
Diese werden so gesichert, dass man entweder eine VM superschnell aus dem Backup starten kann oder aber man stellt mit Hilfe der Agenten nur bestimmte Teile wieder her, bspw. einzelne AD- oder Exchange-Objekte (versehentlich gelöschte User oder auch nur eine einzelne Mail).

Das ist kein kostenloses Backupprogramm, aber meine Kunden verstehen, dass man beim Backup sowohl für die Hardware als auch die Software und die Dienstleistung (Installation/Einrichtung/Betreueung) Geld bezahlt.

@goscho Gut das ich deine Frage eigentlich schon beantwortet habe

Aber Achtung: Veeam direkt auf den Host zu installieren ist nicht die offizielle Lösung vom Hersteller. Ich kann nur sagen das es bei meinen Systemen kein Problem macht und dir nichts garantieren.

Zitat von @madnem:
@goscho Gut das ich deine Frage eigentlich schon beantwortet habe

Welche meiner Fragen hast du beantwortet?

@goscho Ach ich dödel, du hast das ja auch nur zitiert, sorry. Ich meinte die Frage von @DCFan01

kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?

Danke erstmal an alle fur eure zahlreichen Rückmeldungen und Tipps.

Jetzt noch folgende Frage

ich richte gerade testweise einen Hyper-V mit 2 VMs ein und habe 2 USV an den Server angeschlossen ( redundante Netzteile).
Jetzt wollte ich einstellen , was mit den VMs passiert, wenn der Akku leer werden sollte.

Kann und darf ich einen virtualisierten Domaincontroller einfach suspenden oder würdet ihr die Variante „herunterfahren“ bevorzugen ?

Zitat von @DCFan01:

Danke erstmal an alle fur eure zahlreichen Rückmeldungen und Tipps.

Jetzt noch folgende Frage

ich richte gerade testweise einen Hyper-V mit 2 VMs ein und habe 2 USV an den Server angeschlossen ( redundante Netzteile).
Jetzt wollte ich einstellen , was mit den VMs passiert, wenn der Akku leer werden sollte.

Kann und darf ich einen virtualisierten Domaincontroller einfach suspenden oder würdet ihr die Variante „herunterfahren“ bevorzugen ?

i.d.R. kann man die "Standard-VMS" wie DC, File und Print ohne weiteres in den Schlaf schicken. Da hatte ich bisher nie Probleme. Bei Datenbankserver ist eher ein geordnetes Herunterfahren ratsamer.

lks

German Question Windows Server Hyper-V Server Hardware Microsoft