(Einzigen) DC virtualisieren oder nicht? +Fragen
Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.
Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.
Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?
Was wären die Nachteile bzw Vorteile der jeweiligen Variante?
Die Server sind beide DL380er Gen10
Danke euch vorab
PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.
Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.
Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?
Was wären die Nachteile bzw Vorteile der jeweiligen Variante?
Die Server sind beide DL380er Gen10
Danke euch vorab
PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6840753963
Url: https://administrator.de/contentid/6840753963
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
87 Kommentare
Neuester Kommentar
Moin @DCFan01,
Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.
die Vorteile der Virtualisierung kennst du glaube ich schon selbst und einen Nachteil dabei für DC's,
ist mir zumindest noch keiner über den Weg gelaufen.
👍👍👍, auch das ist sicherlich keine schlechte Idee, zumal ein DC virtuell so gut wie keine Haare vom Kopf frisst.
Beste Grüsse aus BaWü
Alex
Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?
Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.
Was wären die Nachteile bzw Vorteile der jeweiligen Variante?
die Vorteile der Virtualisierung kennst du glaube ich schon selbst und einen Nachteil dabei für DC's,
ist mir zumindest noch keiner über den Weg gelaufen.
PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.
👍👍👍, auch das ist sicherlich keine schlechte Idee, zumal ein DC virtuell so gut wie keine Haare vom Kopf frisst.
Beste Grüsse aus BaWü
Alex
Zitat von @MysticFoxDE:
Moin @DCFan01,
Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.
Moin @DCFan01,
Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?
Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.
Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.
Wieso? MS empfiehlt ganz klar den Host in eine Domäne aufzunehmen.
Dennoch SOLLTE es einen zweiten Domänencontroller geben. MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Der HV-Host startet auch ohne DC problemlos und wird so eingestellt, dass die DC-VM automatisch gestartet wird. Lokales Admin-Konto auf dem HV-Host ist auch Pflicht.
Mehr Infos zur Virtualisierung von Domänencontroller
Mehr Infos zur Virtualisierung von Domänencontroller
Zu der Frage mit dem zweiten DC:
Bevor ich nur einen DC habe, weil ich keinen anderen Server hab, nehme ich zur Überbrückung einen Workstation-PC und installiere da ne 180-Tage Evaluation Serverlizenz und mach einen DC draus. Das geht zur Not und halt als Überbrückung auch mit einem i5 und 8GB Ram.
Bevor ich nur einen DC habe, weil ich keinen anderen Server hab, nehme ich zur Überbrückung einen Workstation-PC und installiere da ne 180-Tage Evaluation Serverlizenz und mach einen DC draus. Das geht zur Not und halt als Überbrückung auch mit einem i5 und 8GB Ram.
Moin @3063370895,
ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.
Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃
Beste Grüsse aus BaWü
Alex
Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.
ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.
MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃
Beste Grüsse aus BaWü
Alex
Zitat von @MysticFoxDE:
Moin @3063370895,
ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.
Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.Moin @3063370895,
Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.
ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.
MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃
Beste Grüsse aus BaWü
Alex
Moin @DCFan01,
👍
Ich denke da insbesondere an die Security...?
👍👍
Bitte genau so auch machen, danke. 😁
Beste Grüsse aus BaWü
Alex
Würdest du den Hyper-V Host nicht in einem separaten VLAN betreiben. bzw zumindest diesen nur über ein separates VLAN erreichbar machen?
👍
Ich denke da insbesondere an die Security...?
👍👍
Bitte genau so auch machen, danke. 😁
Beste Grüsse aus BaWü
Alex
Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.
Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.
Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.
Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.
Zitat von @madnem:
Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.
Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.
Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.
Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.
Also gegen jede best practices, auf die sich Experten geeinigt haben.
There is little security consideration standing against a huge management benefit, through credential management, group policies, and so on, so you should domain-join all Hyper-V hosts to your existing Active Directory domain. If your Hyper-V hosts will be placed in high-security environments, join them to a dedicated management domain (within a separated Active Directory forest) and not to your production domain.
- so Benedict Berger in seinem Buchund gegen MS-best-practices
Ein HV-Host ist auch nur ein Computer - vernünftig absichern muss ich ihn sowieso. Ein Risiko durch das joinen zur Domain gibt es allerdings nicht.
Moin @3063370895,
glaub mir, es macht im Ernstfall eine Menge aus, ob bei einem Angriff nur deine Userdomäne über den Jordan geht oder auch der Hyper-V und im schlimmsten Fall vielleicht auch noch die Backups mit dazu.
Ich habe schon duzende Incident-Response Einsätze auf dem 🦊-Buckeli und kann dir daraus genau zu diesem Thema, eine menge traurige Lieder singen. 😔
Glaub mir, du willst nicht wirklich von MS supportet werden ... ja, OK, wenn man auf SM steht, dann vielleicht schon. 🤪
Beste Grüsse aus BaWü
Alex
Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.
glaub mir, es macht im Ernstfall eine Menge aus, ob bei einem Angriff nur deine Userdomäne über den Jordan geht oder auch der Hyper-V und im schlimmsten Fall vielleicht auch noch die Backups mit dazu.
Ich habe schon duzende Incident-Response Einsätze auf dem 🦊-Buckeli und kann dir daraus genau zu diesem Thema, eine menge traurige Lieder singen. 😔
Naja, im Supportfall will ich eine vom Hersteller unterstützte Konfiguration haben. Also halte ich mich an deren Dokumentation. Der Fall von dem MS ausgeht ist, ein Update zerschießt Hyper-V komplett, alle DCs sind virtualisiert, man hat keine Domäne mehr bis Rollback durch ist.
Glaub mir, du willst nicht wirklich von MS supportet werden ... ja, OK, wenn man auf SM steht, dann vielleicht schon. 🤪
Beste Grüsse aus BaWü
Alex
Zitat von @madnem:
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.
https://thehackernews.com/2019/08/reverse-rdp-windows-hyper-v.html
alles ist möglich. Es werden sogar air gapped-systeme gehackt. Man muss nur lukrativ genug sein
Moin @3063370895,
welche Experten den bitte?
Und komm mir jetzt bitte nicht mit irgendwelchen MVP's um die Ecke, die nur noch dem Hersteller-Marketing nachplappern können und von der Technologie selbst überhaupt nichts mehr verstehen, danke.
Und das steht so wirklich in einem Bucht drin .... 😱 ... bitte entsorgen, danke.
Und hast du dir auch mal die Begründung dazu angesehen und über diese auch mal nachgedacht?
Beste Grüsse aus BaWü
Alex
Also gegen jede best practices, auf die sich Experten geeinigt haben.
welche Experten den bitte?
Und komm mir jetzt bitte nicht mit irgendwelchen MVP's um die Ecke, die nur noch dem Hersteller-Marketing nachplappern können und von der Technologie selbst überhaupt nichts mehr verstehen, danke.
There is little security consideration standing against a huge management benefit, through credential management, group policies, and so on, so you should domain-join all Hyper-V hosts to your existing Active Directory domain. If your Hyper-V hosts will be placed in high-security environments, join them to a dedicated management domain (within a separated Active Directory forest) and not to your production domain.
- so Benedict Berger in seinem BuchUnd das steht so wirklich in einem Bucht drin .... 😱 ... bitte entsorgen, danke.
und gegen MS-best-practices
Und hast du dir auch mal die Begründung dazu angesehen und über diese auch mal nachgedacht?
Beste Grüsse aus BaWü
Alex
Benedict Berger - "irgendein MVP"?
Aber du weißt es wahrscheinlich besser
Naja ich hab jetzt Feierabend
Aber du weißt es wahrscheinlich besser
Naja ich hab jetzt Feierabend
Moin @DCFan01,
bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.
Ich sichere die VM's immer über die Agents der Hyper-V Nodes, das geht am schnellsten, sowohl was die Sicherung und auch die Wiederherstellung angeht.
Beste Grüsse aus BaWü
Alex
Würdest du ALLE direkt auf dem Host sichern oder auch via Agent innerhalb der jeweiligen VMs?
Sicherheitstechnisch wäre doch ein komplettes Backup des Hyper-V Hosts+ aller sich darauf befindenden Guest-VMS doch viel sinnvoller? Spricht da auch etwas dagegen?
Sicherheitstechnisch wäre doch ein komplettes Backup des Hyper-V Hosts+ aller sich darauf befindenden Guest-VMS doch viel sinnvoller? Spricht da auch etwas dagegen?
bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.
Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS
Ich sichere die VM's immer über die Agents der Hyper-V Nodes, das geht am schnellsten, sowohl was die Sicherung und auch die Wiederherstellung angeht.
Beste Grüsse aus BaWü
Alex
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Moin @3063370895,
ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.
https://www.xing.com/profile/Alexander_Fuchs132/cv
Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉
Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔
Beste Grüsse aus BaWü
Alex
ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.
https://www.xing.com/profile/Alexander_Fuchs132/cv
Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉
Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔
Beste Grüsse aus BaWü
Alex
Moin..
bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
das sehe ich auch so!
Frank
Zitat von @MysticFoxDE:
bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.
ich finde Novastore ganz Interessant...Frank
Zitat von @DCFan01:
Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
Zitat von @Vision2015:
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!
Frank
Moin @DCFan01,
nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".
Beste Grüsse aus BaWü
Alex
Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?
nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".
Beste Grüsse aus BaWü
Alex
Zitat von @Vision2015:
das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!
Frank
Zitat von @DCFan01:
Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
Zitat von @Vision2015:
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!
Frank
Nachtrag:
derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte:
nur deine V-Hosts, die Datensicherung... und meinetwegen ILO.die netze müssen getrennt sein!
Frank
Zitat von @DCFan01:
Nein auf ILO soll nur ich aus dem Wartungs-Netz bzw VPN zugreifen.
Wie gesagt es ist eine kleine Umgebung, 1DC ( virtuell/physisch, künftig 2 DC beide virtuell), 1 SQL-VM für SAGE CRM/XRM etc) 1 SQL_VM Zeiterfassung etc.)
Würdest du Backup Subnet+ Wartungs-Netz in so einer kleinen Umgebung trennen oder passt das auch alles in einem?
Zitat von @Vision2015:
das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!
Frank
Zitat von @DCFan01:
Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
Zitat von @Vision2015:
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Moin...
also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!
Frank
Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!
Frank
Nein auf ILO soll nur ich aus dem Wartungs-Netz bzw VPN zugreifen.
Wie gesagt es ist eine kleine Umgebung, 1DC ( virtuell/physisch, künftig 2 DC beide virtuell), 1 SQL-VM für SAGE CRM/XRM etc) 1 SQL_VM Zeiterfassung etc.)
Würdest du Backup Subnet+ Wartungs-Netz in so einer kleinen Umgebung trennen oder passt das auch alles in einem?
das passt in ein Netz
Moin...
Beste Grüsse aus BaWü
Alex
Frank
Zitat von @MysticFoxDE:
Moin @DCFan01,
nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".
am besten mit einem RDX Laufwerk... dann bleiben auch deine USB ports am Server heile Moin @DCFan01,
Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?
nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".
Beste Grüsse aus BaWü
Alex
Moin Frank,
wie ich sehe haben wir mit den Microsoftians und auch Veeam wohl beide sehr ähnliche Erfahrungen machen müssen.
Wobei ich sagen muss, das ich was Veeam angeht, lediglich an deren Preispolitik was zu rupfen habe, die Lösung an sich ist gut.
Läuft auch ganz ordentlich und liegt vor allem preislich noch absolut im Rahmen des bezahlbaren.
Beste Grüsse aus BaWü
Alex
wie ich sehe haben wir mit den Microsoftians und auch Veeam wohl beide sehr ähnliche Erfahrungen machen müssen.
Wobei ich sagen muss, das ich was Veeam angeht, lediglich an deren Preispolitik was zu rupfen habe, die Lösung an sich ist gut.
ich finde Novastore ganz Interessant...
Läuft auch ganz ordentlich und liegt vor allem preislich noch absolut im Rahmen des bezahlbaren.
Beste Grüsse aus BaWü
Alex
Moin...
Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔
jo, ich kenne auch einige MVPs, die stehen oben an der kanzel und predigen... und predigen und predigen
bekommen ordentliche Tagesgagen und haben Microsoft auf der Krawattennadel!
aber setze den Kollegen mal an eine Console, bekommst du was zu lachen!
Beste Grüsse aus BaWü
Alex
Frank
Zitat von @MysticFoxDE:
Moin @3063370895,
ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.
https://www.xing.com/profile/Alexander_Fuchs132/cv
Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉
geht mir auch so...Moin @3063370895,
ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.
https://www.xing.com/profile/Alexander_Fuchs132/cv
Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉
Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔
bekommen ordentliche Tagesgagen und haben Microsoft auf der Krawattennadel!
aber setze den Kollegen mal an eine Console, bekommst du was zu lachen!
Beste Grüsse aus BaWü
Alex
Frank
Zitat von @DCFan01:
Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.
Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.
Alles virtualisieren.
Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.
O.k.
Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?
Virtualisieren.
Was wären die Nachteile bzw Vorteile der jeweiligen Variante?
Keine Nachteile. Als kannst kannst damit den DC vom Anwendungsserver getrennt halten., so daß er rein DC sein Jannik.
Die Server sind beide DL380er Gen10
Egal. Geht mit jedem Blech, daß genug RAM und SSD hat.
Danke euch vorab
PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.
PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.
Pack den doch in den zweiten Hypervisor. Der DC Frist i.d.R. kaum Resourcen bei so einem Minibetrieb.
SCHÖNEN abend noch.
lks
N'Abend.
Für die Funktionalität eines AD ist es wumpe, ob die DCs auf Physik oder als VM laufen. Ich rate aber immer dazu, mindestens zwei DCs am Start zu haben, schon aus Redundanz- und Verfügbarkeitsgründen. Kommt Physik als Hypervisor zum Einsatz, empfiehlt es sich, einen DC als Physik "in der Ecke" stehen bzw. laufen zu haben (*) - unabhängig davon, ob der Hypervisor selbst Teil des AD ist oder nicht: Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.
Was die AD-Mitgliedschaft angeht: Jeder, wirklich jeder Server gehört ins AD. Nur dann greifen zentrale Verwaltungs- und Konfigurationsvorgaben, nur dann lässt sich ein Admin-Tiering von zentraler Stelle durchsetzen etc. Workgroup-Server gibt es, wenn überhaupt, in einer DMZ, aber niemals im internen LAN. Die Erfahrung zeigt, dass Workgroup-Server nach einiger Zeit vernachlässigt werden, eben weil sie manuelle/händische Konfiguration benötigen. Und damit dann über kurz oder lang zum scheunentorgroßen Sicherheitsrisiko werden.
(*) Oder alternativ eine weitere Hypervisor-Plattform, auf der ein DC läuft uns "ansprechbar" ist... Ihr wisst schon, was ich meine.
Cheers,
jsysde
Für die Funktionalität eines AD ist es wumpe, ob die DCs auf Physik oder als VM laufen. Ich rate aber immer dazu, mindestens zwei DCs am Start zu haben, schon aus Redundanz- und Verfügbarkeitsgründen. Kommt Physik als Hypervisor zum Einsatz, empfiehlt es sich, einen DC als Physik "in der Ecke" stehen bzw. laufen zu haben (*) - unabhängig davon, ob der Hypervisor selbst Teil des AD ist oder nicht: Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.
Was die AD-Mitgliedschaft angeht: Jeder, wirklich jeder Server gehört ins AD. Nur dann greifen zentrale Verwaltungs- und Konfigurationsvorgaben, nur dann lässt sich ein Admin-Tiering von zentraler Stelle durchsetzen etc. Workgroup-Server gibt es, wenn überhaupt, in einer DMZ, aber niemals im internen LAN. Die Erfahrung zeigt, dass Workgroup-Server nach einiger Zeit vernachlässigt werden, eben weil sie manuelle/händische Konfiguration benötigen. Und damit dann über kurz oder lang zum scheunentorgroßen Sicherheitsrisiko werden.
(*) Oder alternativ eine weitere Hypervisor-Plattform, auf der ein DC läuft uns "ansprechbar" ist... Ihr wisst schon, was ich meine.
Cheers,
jsysde
Moin @jsysde,
das Problem lässt sich lösen, indem man einfach die DC's als erstes booten und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉
Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, zumindest nicht in die "Alltagsdomäne" wo sich auch die normalen User & Co rumtummeln, danke.
Beste Grüsse aus BaWü
Alex
Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.
das Problem lässt sich lösen, indem man einfach die DC's als erstes booten und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉
Jeder, wirklich jeder Server gehört ins AD.
Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, zumindest nicht in die "Alltagsdomäne" wo sich auch die normalen User & Co rumtummeln, danke.
Beste Grüsse aus BaWü
Alex
N'Abend.
Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.
Aber niemals nicht läuft ein Windows-Server in einer Workgroup.
Für mich stellt sich die Frage meist nicht, da unsere Backupserver i.d.R. keine Windows-Büchsen sind.
Cheers,
jsysde
Zitat von @MysticFoxDE:
[...]das Problem lässt sich lösen, indem man einfach die DC's als erstes booten lasst und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉
VMs starten niemals automatisch - wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist, wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.[...]das Problem lässt sich lösen, indem man einfach die DC's als erstes booten lasst und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉
Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.
[...]Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, danke.
Doch. Jeder Windows-Server gehört ins AD. Der Backup-Server, wenn er denn wirklich unter Windows laufen muss, wegen mir in ein separates VLAN und Backups über ein separates Backup-Netzwerk. Alternativ packt man den Backup-Server in ein eigenes AD.Aber niemals nicht läuft ein Windows-Server in einer Workgroup.
Für mich stellt sich die Frage meist nicht, da unsere Backupserver i.d.R. keine Windows-Büchsen sind.
Cheers,
jsysde
Das ist Quatsch mit Soße. Man packt die Server nur dann ins AD, wenn es im Einzelfall auch sinnvoll ist. Eine zentrale Verwaltung bekommt man auch ohne AD hin. Man muß nur die richtigen Werkzeuge und Skripten verwenden. Es gibt manche Server, die will man nicht im AD haben, z.b. Backup-Server, auf die keiner aus dem AD zugreifen können soll.
Beri Hyper-V-Servern ist das i.d.R. auch ncoiht notwendig. Man kann sie reinpacken, muß man aber nicht.
IT besteht nicht nur aus
lks
lks
Moin @jsysde,
bei dir vielleicht nicht, aber unsere eigenen und die unseren Kunden tun das jedoch schon.
Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉
Ja, natürlich und dann kommt rein zufällig Godzilla vorbei und pinkelt ausersehen auch noch auf das Backup. 😬
Pustekuchen, dann müssen wir lediglich den mobilen Wurmlochgenerator kurz aufbauen, dann wird der defekte Server einfach in die Vergangenheit gebeamt und wir beamen aus der Vergangenheit im Gegenzug den intakten wieder zurück. 😉🤪
Wo bekommt man diesen Unsinn eigentlich eigetrichtert?
Nicht alternativ, sondern nur so oder gar nicht!
Weil sonst genau was geschieht?
A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???
Beste Grüsse aus BaWü
Alex
VMs starten niemals automatisch
bei dir vielleicht nicht, aber unsere eigenen und die unseren Kunden tun das jedoch schon.
wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist.
Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉
wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.
Ja, natürlich und dann kommt rein zufällig Godzilla vorbei und pinkelt ausersehen auch noch auf das Backup. 😬
Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.
Pustekuchen, dann müssen wir lediglich den mobilen Wurmlochgenerator kurz aufbauen, dann wird der defekte Server einfach in die Vergangenheit gebeamt und wir beamen aus der Vergangenheit im Gegenzug den intakten wieder zurück. 😉🤪
Doch. Jeder Windows-Server gehört ins AD.
Wo bekommt man diesen Unsinn eigentlich eigetrichtert?
Alternativ packt man den Backup-Server in ein eigenes AD.
Nicht alternativ, sondern nur so oder gar nicht!
Aber niemals nicht läuft ein Windows-Server in einer Workgroup.
Weil sonst genau was geschieht?
A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???
Beste Grüsse aus BaWü
Alex
N'Abend.
Mir ist halt unklar, warum ich "passende Werkzeuge und Skripte" nutzen soll, wenn ich diese "Werkzeuge und Skripte" innerhalb eines AD quasi mitgeliefert bekomme. Just sayin'...
Cheers,
jsysde
Zitat von @Lochkartenstanzer:
[...]IT besteht nicht nur ausSchwarz/Grün Schwarz/Amber Schwarz/Weiß. Es gibt inzwischen viel Abstufungen, auch in Farbe.
Absolut. Und der "Quatsch mit Soße" resultiert aus langjähriger Erfahrung und ich fahre damit sehr gut.[...]IT besteht nicht nur aus
Mir ist halt unklar, warum ich "passende Werkzeuge und Skripte" nutzen soll, wenn ich diese "Werkzeuge und Skripte" innerhalb eines AD quasi mitgeliefert bekomme. Just sayin'...
Cheers,
jsysde
N'Abend.
Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt. Als Dienstleister stehste dann mit runtergelassener Hose da und wirst halt einfach vorsichtiger, baust Dinge anders auf etc. Aber du darfst gern weiterhin Dekaden an Berufserfahrung als "Unsinn" abtun...
Cheers,
jsysde
Zitat von @MysticFoxDE:
[...]Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉
Wenn man ein Cluster hat, kein Problem.[...]Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉
[...]Wo bekommt man diesen Unsinn eigentlich eigetrichtert?
Du kannst das gern als Unsinn abtun. Ich buche deine Überheblichkeit auch einfach mal als Unsinn, dann sind wir quitt.Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt. Als Dienstleister stehste dann mit runtergelassener Hose da und wirst halt einfach vorsichtiger, baust Dinge anders auf etc. Aber du darfst gern weiterhin Dekaden an Berufserfahrung als "Unsinn" abtun...
Cheers,
jsysde
Moin @DCFan01,
kommt darauf an über wie viele User wir hier in Summe sprechen und ob ihr z.B. für diese eh schon O365 verwendet oder zeitnah verwenden möchtet.
Beste Grüsse aus BaWü
Alex
Oder hab ich doch noch eine Möglichkeit?
kommt darauf an über wie viele User wir hier in Summe sprechen und ob ihr z.B. für diese eh schon O365 verwendet oder zeitnah verwenden möchtet.
Beste Grüsse aus BaWü
Alex
Moin @jsysde,
ich bin halt etwas direkt, das darfst du mir nicht zu übel nehmen.
Und zu behaupten das jeder Windows Server in eine Domäne gehört ist schlichtweg ein Unsinn.
Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese und die Server/Storage und schon gehören die von dir oben angesprochenen Szenarien der Vergangenheit an. 😉
Und bitte niemals Netzteil A eines Servers an eine USV anschliessen und Netzteil B direkt an Netz.
Damit untergräbst man von Beginn schlichtweg eine der mitunter wichtigsten Schutzfunktionen einer USV. 😔
Beste Grüsse aus BaWü
Alex
[...]Wo bekommt man diesen Unsinn eigentlich eigetrichtert?
Du kannst das gern als Unsinn abtun. Ich buche deine Überheblichkeit auch einfach mal als Unsinn, dann sind wir quitt.ich bin halt etwas direkt, das darfst du mir nicht zu übel nehmen.
Und zu behaupten das jeder Windows Server in eine Domäne gehört ist schlichtweg ein Unsinn.
Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt.
Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese und die Server/Storage und schon gehören die von dir oben angesprochenen Szenarien der Vergangenheit an. 😉
Und bitte niemals Netzteil A eines Servers an eine USV anschliessen und Netzteil B direkt an Netz.
Damit untergräbst man von Beginn schlichtweg eine der mitunter wichtigsten Schutzfunktionen einer USV. 😔
Beste Grüsse aus BaWü
Alex
Moin @DCFan01,
damit wenn du dir doch einen Schädling auf dem Hyper-V einfangen solltest, dieser neben dem Produktivsystem, nicht auch noch die Backupdaten auf den direkt angeschlossenen Datenträgern wegfressen kann. 😉
Beste Grüsse aus BaWü
Alex
Kannst du das begründen, warum da keine Datenträger "dranbleiben" sollten?
damit wenn du dir doch einen Schädling auf dem Hyper-V einfangen solltest, dieser neben dem Produktivsystem, nicht auch noch die Backupdaten auf den direkt angeschlossenen Datenträgern wegfressen kann. 😉
Beste Grüsse aus BaWü
Alex
Moin @DCFan01,
wenn, deine USV's sauber implementiert sind, eher unwahrscheinlich.
Ähm, Moment, jetzt vermischt du aber zwei Dinge.
Das eine ist, was geschehen soll wenn der Strom wegbricht.
Hier bin ich eher ein Fan von einfach auslaufen lassen.
Und das andere ist, was geschehen soll wenn der Strom wieder da ist.
Hier bin ich ein Fan, von so weit es geht automatisiert wieder hochfahren.
Beste Grüsse aus BaWü
Alex
Ist dieses Szenario wirklich so wahrscheinlich?
wenn, deine USV's sauber implementiert sind, eher unwahrscheinlich.
Eigentich wollte ich nicht unbedingt die VMs automatisch starten lassen , aber habe Sorge, dass bei einem Stromausfall/Absturz etc Datenbanken oder der virtualisierte DC ( insbesondere wenn es nur einer ist) beschädigt werden könnten.
Ähm, Moment, jetzt vermischt du aber zwei Dinge.
Das eine ist, was geschehen soll wenn der Strom wegbricht.
Hier bin ich eher ein Fan von einfach auslaufen lassen.
Und das andere ist, was geschehen soll wenn der Strom wieder da ist.
Hier bin ich ein Fan, von so weit es geht automatisiert wieder hochfahren.
Beste Grüsse aus BaWü
Alex
Ist dieses Szenario wahrscheinlicher gegenüber physischen Maschinen?
Dort hatte ich bisher nur selten mit derlei korrupten Datenbanken etc zu tun.
Dort hatte ich bisher nur selten mit derlei korrupten Datenbanken etc zu tun.
Zitat von @DCFan01:
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.
Oder hab ich doch noch eine Möglichkeit?
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.
Oder hab ich doch noch eine Möglichkeit?
Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.
/Thomas
Zitat von @Th0mKa:
/Thomas
Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.
Auf jeden Fall.Dennoch SOLLTE es einen zweiten Domänencontroller geben.
MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Das sagt Microsoft schon seit Jahren nicht mehr./Thomas
Virtualizing Domain Controllers using Hyper-V - Avoid creating single points of failure, Punkt 4:
Maintain physical domain controllers in each of your domains. This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.
zuletzt aktualisiert am 08.06.2022-Thomas
Moin @3063370895,
Hast du den Artikel den mal selbst genau durchgelesen?
😉
Beste Grüsse aus BaWü
Alex
Hast du den Artikel den mal selbst genau durchgelesen?
😉
Beste Grüsse aus BaWü
Alex
Ja und wenn du es schaffst noch 3 Punkte weiter zu lesen, findest du den von mir zitierten Punkt. Viel Erfolg, ich glaube an dich!
-Thomas
-Thomas
Moin @3063370895,
kein Problem und ich glaub auch an dich, dass dir selber ein Licht aufgeht, wenn du den von dir zitierten Punkt mal genau zu Ende liest. 😉
OK, kleine Nachhilfe ...
"This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform."
bedeutet ...
"Dadurch wird das Risiko einer Fehlfunktion der Virtualisierungsplattform verringert, die alle Hostsysteme betrifft, die diese Plattform verwenden."
Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?
---
Und falls du auf die Idee kommst mit nun mit einem Hyper-V Cluster um die Ecke zu kommen.
Ein Cluster besteht meistens aus mehreren Nodes und wenn man auf jedem der Nodes auf deren lokalem Speicher einen virtualisierten Verwaltungs-AD-DC laufen lässt, hat man am Ende des Tages auch eine redundante DC Architektur für die HV-Domäne. 😉
Beste Grüsse aus BaWü
Alex
Ja und wenn du es schaffst noch 3 Punkte weiter zu lesen, findest du den von mir zitierten Punkt. Viel Erfolg, ich glaube an dich!
kein Problem und ich glaub auch an dich, dass dir selber ein Licht aufgeht, wenn du den von dir zitierten Punkt mal genau zu Ende liest. 😉
OK, kleine Nachhilfe ...
"This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform."
bedeutet ...
"Dadurch wird das Risiko einer Fehlfunktion der Virtualisierungsplattform verringert, die alle Hostsysteme betrifft, die diese Plattform verwenden."
Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?
---
Und falls du auf die Idee kommst mit nun mit einem Hyper-V Cluster um die Ecke zu kommen.
Ein Cluster besteht meistens aus mehreren Nodes und wenn man auf jedem der Nodes auf deren lokalem Speicher einen virtualisierten Verwaltungs-AD-DC laufen lässt, hat man am Ende des Tages auch eine redundante DC Architektur für die HV-Domäne. 😉
Beste Grüsse aus BaWü
Alex
OK, kleine Nachhilfe ...
Nein danke.
Dein Kommentar ist falsch, denn der Satz
This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.
geht von dem Fall aus, dass Hyper-V als Platform (nicht einzelne Hosts!) ausfällt, z.B. aufgrund eines fehlerhaften Updates. Also alle Hyper-V-Hosts funktionieren nicht mehr.Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?
Der wird auch ausfallen, da davon ausgegangen wird, dass Hyper-V als Plattform nicht mehr funktioniert.Die Chance eines solchen Ausfalles sei mal dahingestellt. Aber für diesen Fall sollte man laut MS einen DC haben, der nicht auf Hyper-V läuft, also physisch, oder (in den Docs nicht erwähnt) auf einer anderen Virtualisierungsplattform.
Deutsche Übersetzung aus den Docs:
Versehen Sie all Ihre Domänen mit physischen Domänencontrollern. Dies verringert die Auswirkungen einer Fehlfunktion einer Virtualisierungsplattform (von der auch die von der Plattform abhängigen Hostsysteme betroffen wären).
Ich bin hier fertig, der Thread wurde genug derailed. Wenn du noch was willst schreib mir per PN
-Thomas
Moin @3063370895,
da bei unseren Kunden alles virtualisiert ist, wäre bei diesem Szenario ein nicht laufendes AD, sicherlich deren aller geringstes Problem.
Und wofür, wenn mir sonst alles andere abgeraucht ist?
Und ich kann dir aus der Praxis versichern, dass das so absolut nicht notwendig ist.
Sonst hätten unsere Kunden uns schon längst mit Haut und Haaren gefressen. 🤪
Beste Grüsse aus BaWü
Alex
geht von dem Fall aus, dass Hyper-V als Platform (nicht einzelne Hosts!) ausfällt, z.B. aufgrund eines fehlerhaften Updates. Also alle Hyper-V-Hosts funktionieren nicht mehr.
da bei unseren Kunden alles virtualisiert ist, wäre bei diesem Szenario ein nicht laufendes AD, sicherlich deren aller geringstes Problem.
Die Chance eines solchen Ausfalles sei mal dahingestellt. Aber für diesen Fall sollte man laut MS einen DC haben, der nicht auf Hyper-V läuft, also physisch, oder (in den Docs nicht erwähnt) auf einer anderen Virtualisierungsplattform.
Und wofür, wenn mir sonst alles andere abgeraucht ist?
Versehen Sie all Ihre Domänen mit physischen Domänencontrollern. Dies verringert die Auswirkungen einer Fehlfunktion einer Virtualisierungsplattform (von der auch die von der Plattform abhängigen Hostsysteme betroffen wären).
Und ich kann dir aus der Praxis versichern, dass das so absolut nicht notwendig ist.
Sonst hätten unsere Kunden uns schon längst mit Haut und Haaren gefressen. 🤪
Beste Grüsse aus BaWü
Alex
Ich hantiere es in der Praxis auch so, alle DCs sind virtualisiert. Es ging aber um deine Fehlinterpretation der MS-Docs. Diese hast du inzwischen anscheinend eingesehen, sonst würdest du ja noch weiter darauf herumreiten.
-Thomas
-Thomas
Moin @3063370895,
das überinterpretierst du nun glaube ich gewaltig.
Ein paar von deinen heiligen MS-Dokus habe ich übrigens schon selbst korrigieren lassen, weil zuvor darin einfach ein technischer Nonsens gestanden ist. 😉
(Siehe ReFS auf CSV.)
Beste Grüsse aus BaWü
Alex
Ich hantiere es in der Praxis auch so, alle DCs sind virtualisiert. Es ging aber um deine Fehlinterpretation der MS-Docs. Diese hast du inzwischen anscheinend eingesehen, sonst würdest du ja noch weiter darauf herumreiten.
das überinterpretierst du nun glaube ich gewaltig.
Ein paar von deinen heiligen MS-Dokus habe ich übrigens schon selbst korrigieren lassen, weil zuvor darin einfach ein technischer Nonsens gestanden ist. 😉
(Siehe ReFS auf CSV.)
Beste Grüsse aus BaWü
Alex
Zitat von @MysticFoxDE:
Weil sonst genau was geschieht?
A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???
Beste Grüsse aus BaWü
Alex
A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???
Beste Grüsse aus BaWü
Alex
E !!1!
Am 01. 02. 2025 !
Moin...
jo...
Zitat von @DCFan01:
Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?
Zitat von @aqui:
"Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC."
Wer lesen kann...
Siehe hier.
Muss es Server-Hardware sein oder reicht gar ein NUC?
Zitat des Kollegen @jsysde weiter oben:"Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC."
Wer lesen kann...
Siehe hier.
Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?
jo...
Zitat von @Th0mKa:
Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.
/Thomas
Zitat von @DCFan01:
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.
Oder hab ich doch noch eine Möglichkeit?
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.
Oder hab ich doch noch eine Möglichkeit?
Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.
/Thomas
Moin,
Lizenzen sind für mich ... ein Graus ? !!
Für mich stellt sich aber die Frage ob in den Bedingungen steht das die 2 VMs der standard auf DIESEM Host liegen müssen.
Das der Host (als 3te Lizenz) NUR HyperV (Und sowas wie Virenscanner und Backup Tool) haben darf ist klar. NICHT mehr !!
Aber ginge, Lizenz Technisch, das Ich auf diese eine S22 Lizenz 2 VM starte.
Auf Linux VM Server.
Wie ESX oder KVM (Proxmox).
Um genauer zu sein 2 Linux Systeme..
Technisch, ist das nicht der Akt wenn man es einmal vernünftig gemacht hat. Klar.
Es interessiert mich, aber nicht so sehr das Ich mir das dokument erst mal suche und dann erarbeite
Das MS das nicht WILL ist klar.
Aber steht das auch in den Lizenz Bestimmungen?
Das NUR dieses eine Szenario erlaubt ist für diese Lizenz?
Microsoft ist egal ob der Virtualisierer ESXi, KVM, Hyper-V oder sonst was ist, die Lizensierung ist immer gleich und an den Host gebunden. Du mußt der Hardware eine entsprechende Anzahl Windows Server Standard Core Lizenzen (soviele Core Lizenzen wie die CPUs des Host zusammen physische Cores haben, aber mindestens 8 pro CPU und 16 pro Host) zuweisen und darfst dann 2 Windows Server VMs darauf laufen lassen. Wenn du mehr als 2 Windows Server VMs auf der Hardware brauchst mußt du halt die Anzahl der zugewiesenen Lizenzen des Hosts entsprechend erhöhen. Alternativ kauft man irgendwann Datacenter, da kann man soviele Windows Server VMs laufen lassen wie man mag.
Moin @DCFan01,
wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.
Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack
Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉
Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪
Beste Grüsse aus PaWü
Alex
Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?
wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.
Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack
Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉
Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪
Beste Grüsse aus PaWü
Alex
Zitat von @MysticFoxDE:
Moin @DCFan01,
wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.
Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack
Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉
Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪
Moin @DCFan01,
Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?
wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.
Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack
Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉
Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪
Die sind aber nur für Testsu d Evaluationen gedacht und nicht für Produktivbetrieb iirc. Und man hat due Lizenz nur, wenn man solange man die Abogebühren zahlt.
lks
Moin @Lochkartenstanzer,
das ist so nicht ganz korrekt.
Die direkt im Action Pack direkt enthaltenen Lizenzen, die ich vorhin auch angesprochen habe, sind für die interne Nutzung gedacht.
Die in dem MSDN Zugang enthaltenen Lizenzen, der ebenfalls im Action Packt drin ist, sind hingegen so wie du sagst für Test und Evaluationen gedacht.
Das ist bei 400,-/Jahr aber kein Beinbruch und man hat zudem den Zugriff auf die aktuellste MS-Software.
Alleine schon 5 x Office 365E3 kostet aktuell 1506,-/Jahr Netto und diese Lizenzen sind im Action Pack bereits drin.
Sprich, alleine schon dadurch rechnet sich das Action Pack für die meisten kleinen. 😉
Beste Grüsse aus BaWü
Alex
Die sind aber nur für Testsu d Evaluationen gedacht und nicht für Produktivbetrieb iirc.
das ist so nicht ganz korrekt.
Die direkt im Action Pack direkt enthaltenen Lizenzen, die ich vorhin auch angesprochen habe, sind für die interne Nutzung gedacht.
Die in dem MSDN Zugang enthaltenen Lizenzen, der ebenfalls im Action Packt drin ist, sind hingegen so wie du sagst für Test und Evaluationen gedacht.
Und man hat due Lizenz nur, wenn man solange man die Abogebühren zahlt.
Das ist bei 400,-/Jahr aber kein Beinbruch und man hat zudem den Zugriff auf die aktuellste MS-Software.
Alleine schon 5 x Office 365E3 kostet aktuell 1506,-/Jahr Netto und diese Lizenzen sind im Action Pack bereits drin.
Sprich, alleine schon dadurch rechnet sich das Action Pack für die meisten kleinen. 😉
Beste Grüsse aus BaWü
Alex
N'Abend.
Nein. Aber halt schon (mehrmals) vorgekommen.
Cheers,
jsysde
Nein. Aber halt schon (mehrmals) vorgekommen.
Cheers,
jsysde
N'Abend.
Cheers,
jsysde
Zitat von @MysticFoxDE:
Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese[...]
War/ist vorhanden. Nutzt dir aber nix, wenn im Gebäude deines Kunden eigene Transformatoren stehen, die einen Fehler mit entsprechenden Stromschwankungen verursachen. Hätte ich mir nicht ausdenken können, bin aber von der Realität eingeholt worden.Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese[...]
Cheers,
jsysde
Moin @jsysde,
dann waren das sicher keine Online-USV's (Doppelwandler-USV's).
Denn diese erzeugen durch den zweiten Wandler ausgangsseitig immer eine saubere 230V Spannung und zwar ganz unabhängig davon, was eingangsseitig reinkommt.
Beste Grüsse aus BaWü
Alex
War/ist vorhanden. Nutzt dir aber nix, wenn im Gebäude deines Kunden eigene Transformatoren stehen, die einen Fehler mit entsprechenden Stromschwankungen verursachen. Hätte ich mir nicht ausdenken können, bin aber von der Realität eingeholt worden.
dann waren das sicher keine Online-USV's (Doppelwandler-USV's).
Denn diese erzeugen durch den zweiten Wandler ausgangsseitig immer eine saubere 230V Spannung und zwar ganz unabhängig davon, was eingangsseitig reinkommt.
Beste Grüsse aus BaWü
Alex
Moin,
ich glaube, ich muss jetzt auch noch meinen Senf zu diesemThema geben.
Warum:
Ich betreue fast ausschließlich solche Kunden (2-65 Clients) und das schon seit ungefähr 25 Jahren.
-> Der Host startet ohne dass ein DC da ist, man kann sich an diesem auch ohne DC (lokal) anmelden, VMs starten automatisch (zuerst der DC die anderen verzögert)
-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.
Wenn der DC spinnt, wird er durch das funktionierende Backup des Vortags ersetzt.
Das geht meist sogar wesentlich schneller und unkomplizierter, als sich nicht mehr replizierende DC wieder in Fluss zu bekommen.
Ich habe in den letzten 20 Jahren bei meinen Kunden ganz selten mal ein Problem mit dem AD gehabt.
Entweder ich nehme einen richtigen Server oder lasse es. Wenn ich eine zusätzliche Serverlizenz für mehrere Hundert € kaufe, kann ich auch einen zusätzlichen Server kaufen, bspw. einen HP Microserver oder einen ähnlichen Einstiegsserver.
Ein Traum (aber unrealistisch) sind solche Szenarien:
Ich finde das auch ganz toll und mache es selbst gern.
Man muss es natürlich auch verwalten können.
Welches KMU hat die qualifizierten Mitarbeiter dafür?
Externe Dienstleister können das zwar idR, sind aber nicht immer sofort verfügbar oder die KMU scheuen
die Kosten für diese Dienstleistungen.
Der TO schreibt ja was von 2 DL380G10. Wenn beide Hyper-V Hosts sind, braucht es eh 2 Server Standard Lizenzen, wobei dann jeweils 2 VMs eine Lizenz bekommen können.
PS: Mit APC USVen (Smart-UPS) habe ich nur dann schlechte Erfahrungen gemacht, wenn man die Meldungen zum Akkutausch, Kommunikationsfehlern etc. missachtet.
ich glaube, ich muss jetzt auch noch meinen Senf zu diesemThema geben.
Warum:
Ich betreue fast ausschließlich solche Kunden (2-65 Clients) und das schon seit ungefähr 25 Jahren.
DC virtualisiert?
-> klar, spricht überhaupt nix dagegenHyper-V-Host in die Domäne
-> Das mache ich bei fast allen dieser Umgebungen - es gab/gibt die unterschiedlichsten Gründe, warum ich das gemacht habe bzw. immer noch mache (MS Telefonieserver da Anschluss an die TK-Anlage per USB/seriell nötig war, WSUS, Backup-Server)-> Der Host startet ohne dass ein DC da ist, man kann sich an diesem auch ohne DC (lokal) anmelden, VMs starten automatisch (zuerst der DC die anderen verzögert)
Backup-Server auf Hyper-V-Host?
-> mache ich auch bei vielen dieser Umgebungen-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.
2. DC?
Klar, wird empfohlen. Bringt aber in Umgebungen mit weniger als 10 Clients fast nichts außer Mehrkosten für Lizenzen, die der TO auch nicht haben will.Wenn der DC spinnt, wird er durch das funktionierende Backup des Vortags ersetzt.
Das geht meist sogar wesentlich schneller und unkomplizierter, als sich nicht mehr replizierende DC wieder in Fluss zu bekommen.
Ich habe in den letzten 20 Jahren bei meinen Kunden ganz selten mal ein Problem mit dem AD gehabt.
2. DC auf einen Mini-PC?
Das ist so, wie wenn der Handwerker als Reserve für seinen Transporter einen Smart mit Anhängekupplung in die Garage stellt.Entweder ich nehme einen richtigen Server oder lasse es. Wenn ich eine zusätzliche Serverlizenz für mehrere Hundert € kaufe, kann ich auch einen zusätzlichen Server kaufen, bspw. einen HP Microserver oder einen ähnlichen Einstiegsserver.
DC macht nix außer AD und DHCP?
-> Wie vermittelt ihr den Kleinbetrieben, dass sie für jede 2. Rolle eine weitere Serverlizenz brauchen? Zumeist möchten diese (wie der TO auch) die 2 Lizenzen der Standard-Version nutzen und gut.Ein Traum (aber unrealistisch) sind solche Szenarien:
- 1. VM nur AD + DHCP
- 2. VM Fileserver (+ Printserver?)
- 3. VM ERP (hier irgend eine sage Lösung)
- 4. VM Mailserver (wenn nicht aus der Wolke)
- 5. VM CRM
- 6. VM AV-Verwaltung
- 7. VM WSUS
- zusätzlicher DC auf 2. Host oder Blech
- Backup-Server (2. Host oder noch ein Blech
separate VLANs?
Natürlich kann man jeden Pups in sein eigenes von allem anderen getrennte Verwaltungs-VLAN packen.Ich finde das auch ganz toll und mache es selbst gern.
Man muss es natürlich auch verwalten können.
Welches KMU hat die qualifizierten Mitarbeiter dafür?
Externe Dienstleister können das zwar idR, sind aber nicht immer sofort verfügbar oder die KMU scheuen
die Kosten für diese Dienstleistungen.
Der TO schreibt ja was von 2 DL380G10. Wenn beide Hyper-V Hosts sind, braucht es eh 2 Server Standard Lizenzen, wobei dann jeweils 2 VMs eine Lizenz bekommen können.
PS: Mit APC USVen (Smart-UPS) habe ich nur dann schlechte Erfahrungen gemacht, wenn man die Meldungen zum Akkutausch, Kommunikationsfehlern etc. missachtet.
Zitat von @DCFan01:
Zitat von @goscho:
-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.
Backup-Server auf Hyper-V-Host?
-> mache ich auch bei vielen dieser Umgebungen-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.
Servus,
kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?
Oder muss und sollte ich die VMs dann vorher immer pausieren/suspenden/herunterfahren?
kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?
Oder muss und sollte ich die VMs dann vorher immer pausieren/suspenden/herunterfahren?
Super, dass du meinen Beitrag komplett zitierst und eine Frage zum Backup stellst.
Ich kann dir weder sagen, wie es das Windows-Server Backup macht, noch nutze oder kenne ich selbst Veeam Endpoint Free.
Damit geht das alles problemlos, ohne eine VM herunterzufahren.
Diese werden so gesichert, dass man entweder eine VM superschnell aus dem Backup starten kann oder aber man stellt mit Hilfe der Agenten nur bestimmte Teile wieder her, bspw. einzelne AD- oder Exchange-Objekte (versehentlich gelöschte User oder auch nur eine einzelne Mail).
Das ist kein kostenloses Backupprogramm, aber meine Kunden verstehen, dass man beim Backup sowohl für die Hardware als auch die Software und die Dienstleistung (Installation/Einrichtung/Betreueung) Geld bezahlt.
Zitat von @madnem:
Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.
Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.
@goscho Gut das ich deine Frage eigentlich schon beantwortet habe
Aber Achtung: Veeam direkt auf den Host zu installieren ist nicht die offizielle Lösung vom Hersteller. Ich kann nur sagen das es bei meinen Systemen kein Problem macht und dir nichts garantieren.
Zitat von @DCFan01:
Danke erstmal an alle fur eure zahlreichen Rückmeldungen und Tipps.
Jetzt noch folgende Frage
ich richte gerade testweise einen Hyper-V mit 2 VMs ein und habe 2 USV an den Server angeschlossen ( redundante Netzteile).
Jetzt wollte ich einstellen , was mit den VMs passiert, wenn der Akku leer werden sollte.
Kann und darf ich einen virtualisierten Domaincontroller einfach suspenden oder würdet ihr die Variante „herunterfahren“ bevorzugen ?
Danke erstmal an alle fur eure zahlreichen Rückmeldungen und Tipps.
Jetzt noch folgende Frage
ich richte gerade testweise einen Hyper-V mit 2 VMs ein und habe 2 USV an den Server angeschlossen ( redundante Netzteile).
Jetzt wollte ich einstellen , was mit den VMs passiert, wenn der Akku leer werden sollte.
Kann und darf ich einen virtualisierten Domaincontroller einfach suspenden oder würdet ihr die Variante „herunterfahren“ bevorzugen ?
i.d.R. kann man die "Standard-VMS" wie DC, File und Print ohne weiteres in den Schlaf schicken. Da hatte ich bisher nie Probleme. Bei Datenbankserver ist eher ein geordnetes Herunterfahren ratsamer.
lks