dcfan01
Goto Top

(Einzigen) DC virtualisieren oder nicht? +Fragen

Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.

Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

Die Server sind beide DL380er Gen10


Danke euch vorab


PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

Content-ID: 6840753963

Url: https://administrator.de/contentid/6840753963

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

MysticFoxDE
MysticFoxDE 19.04.2023 aktualisiert um 18:00:20 Uhr
Goto Top
Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

die Vorteile der Virtualisierung kennst du glaube ich schon selbst und einen Nachteil dabei für DC's,
ist mir zumindest noch keiner über den Weg gelaufen.

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

👍👍👍, auch das ist sicherlich keine schlechte Idee, zumal ein DC virtuell so gut wie keine Haare vom Kopf frisst.

Beste Grüsse aus BaWü

Alex
madnem
madnem 19.04.2023 aktualisiert um 18:04:17 Uhr
Goto Top
Kann ich nur bestätigen. Virtualisier den DC und lass den Hyper-V aus der Domäne.
Der zweite DC ist meiner Meinung nach fast pflicht.

Persönlich würde ich die beiden DL380 so auslegen, dass sie Redundant zu einander sind. Sprich wenn eine der beiden Kisten ausfällt übernimmt die andere.
3063370895
3063370895 19.04.2023 aktualisiert um 18:07:54 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.

Zitat von @madnem:

Kann ich nur bestätigen. Virtualisier den DC und lass den Hyper-V aus der Domäne.

Wieso? MS empfiehlt ganz klar den Host in eine Domäne aufzunehmen.

Dennoch SOLLTE es einen zweiten Domänencontroller geben. MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
DCFan01
DCFan01 19.04.2023 um 18:06:18 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

die Vorteile der Virtualisierung kennst du glaube ich schon selbst und einen Nachteil dabei für DC's,
ist mir zumindest noch keiner über den Weg gelaufen.

PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

👍👍👍, auch das ist sicherlich keine schlechte Idee, zumal ein DC virtuell so gut wie keine Haare vom Kopf frisst.

Beste Grüsse aus BaWü

Alex



DANKE für die mega schnelle Reaktion.

Ich wollte den Hyper-V HOST in ein eigenes Konfig-VLAN packen, so dass er gar nicht für die Domäne sichtbar ist. Spricht da etwas dagegen?

Datensicherung wollte ich per Veeam EndPoint+ WIndows Server Sicherung machen+ Active Backup for Business auf eine größeren Synology-NAS welches schon vorhanden ist.
Wie würdest du denn den HOST an sich sichern?
Ich habe vieles kontroverses gelwesen, ob der Backup Client auf den Hyper-V Host gehört oder in die jeweilige VM...Wie siehst du das?


Nächste Frage wäre noch, welche rackfähige USV im Preis-Bereich unter 1000 Euro zuverlässig ist.
Mit diversen APC hab ich z.B. gar keine guten Erfahrung sammeln dürfen...


Grüße und Danke für euer Feedback
DCFan01
DCFan01 19.04.2023 aktualisiert um 18:09:10 Uhr
Goto Top
Zitat von @3063370895:

Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Natürlich virtualisiert, aber häng den Hyper-V bitte nicht in die selbe Domäne rein, danke.

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos den virtualisierten DC. Ein Henne-Ei-Problem gibt es hier nicht.

Zitat von @madnem:

Kann ich nur bestätigen. Virtualisier den DC und lass den Hyper-V aus der Domäne.

Wieso? MS empfiehlt ganz klar den Host in eine Domäne aufzunehmen.

Dennoch SOLLTE es einen zweiten Domänencontroller geben. MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.


NAJA man kann sich wenn der einzige Domaincontroller offline wäre , nicht mehr auf dem Host anmelden ( außer man legt einen lokalen Admin an , wovon ich ausgehe dass dies eh empfohlen wird?) Wie siehst du das?


Die Frage ist ( ist eine kleine Umgebung), wie man vorgeht, wenn zunächst eben kein zweiter Domain-Controller verfügbar ist....das war ja meine Frage, ob dann virtuell oder physisch das kleinere Übel wäre
aqui
aqui 19.04.2023 um 18:09:12 Uhr
Goto Top
3063370895
3063370895 19.04.2023 aktualisiert um 18:10:25 Uhr
Goto Top
Der HV-Host startet auch ohne DC problemlos und wird so eingestellt, dass die DC-VM automatisch gestartet wird. Lokales Admin-Konto auf dem HV-Host ist auch Pflicht.

Mehr Infos zur Virtualisierung von Domänencontroller
DCFan01
DCFan01 19.04.2023 um 18:11:50 Uhr
Goto Top
Zitat von @3063370895:

Der HV-Host startet auch ohne DC problemlos und wird so eingestellt, dass die DC-VM automatisch gestartet wird. Lokales Admin-Konto auf dem HV-Host ist auch Pflicht.

Mehr Infos zur Virtualisierung von Domänencontroller

Würdest du den Hyper-V Host nicht in einem separaten VLAN betreiben. bzw zumindest diesen nur über ein separates VLAN erreichbar machen? Ich denke da insbesondere an die Security...?
3063370895
3063370895 19.04.2023 um 18:13:15 Uhr
Goto Top
Zu der Frage mit dem zweiten DC:

Bevor ich nur einen DC habe, weil ich keinen anderen Server hab, nehme ich zur Überbrückung einen Workstation-PC und installiere da ne 180-Tage Evaluation Serverlizenz und mach einen DC draus. Das geht zur Not und halt als Überbrückung auch mit einem i5 und 8GB Ram.
DCFan01
DCFan01 19.04.2023 um 18:14:06 Uhr
Goto Top

Vielen Dank, Eaton hab ich auch dran gedacht, und wenn es von dir kommt( schon viele deiner Beiträge gelesen), kann ich da bedenkenlos zuschlagen.
ich schaue mich mal um bei denen.
MysticFoxDE
MysticFoxDE 19.04.2023 um 18:19:45 Uhr
Goto Top
Moin @3063370895,

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.

ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃

Beste Grüsse aus BaWü
Alex
3063370895
3063370895 19.04.2023 aktualisiert um 18:23:32 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @3063370895,

Wieso nicht? Der Domänen-gejointe Hyper-V Host startet problemlos ohne DC und startet dann auch problemlos die DC-VM. Ein Henne-Ei-Problem gibt es hier nicht.

ich weis das das betriebstechnisch funktioniert, es ist rein sicherheitstechnisch absolut nicht zu empfehlen.
Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.

MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.

Wenn der Tag lang genug ist, dann verzapfen die dir auch noch eine Menge anderen Mist. 🙃
Naja, im Supportfall will ich eine vom Hersteller unterstützte Konfiguration haben. Also halte ich mich an deren Dokumentation. Der Fall von dem MS ausgeht ist, ein Update zerschießt Hyper-V komplett, alle DCs sind virtualisiert, man hat keine Domäne mehr bis Rollback durch ist.

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 19.04.2023 um 18:23:07 Uhr
Goto Top
Moin @DCFan01,

Würdest du den Hyper-V Host nicht in einem separaten VLAN betreiben. bzw zumindest diesen nur über ein separates VLAN erreichbar machen?

👍

Ich denke da insbesondere an die Security...?

👍👍

Bitte genau so auch machen, danke. 😁

Beste Grüsse aus BaWü
Alex
DCFan01
DCFan01 19.04.2023 um 18:23:35 Uhr
Goto Top
Danke für eure Infos.

Windows Server Sicherung sollte dann die einzige Sicherung auf dem Hyper-V Host an sich sein, korrekt?
Alles andere mach ich dann in den Gast-VMs....
madnem
madnem 19.04.2023 um 18:28:21 Uhr
Goto Top
Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.

Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.
madnem
madnem 19.04.2023 aktualisiert um 18:30:47 Uhr
Goto Top
Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.

Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.
3063370895
3063370895 19.04.2023 aktualisiert um 18:35:04 Uhr
Goto Top
Zitat von @madnem:

Den Hyper-V ein ein seperates VLAN machen, dass du sehr gut absichert, ist ein guter Plan. Jede Verbindung aus oder in das VLAN ist immer in irgendeiner Form ein Risiko und sollte deshalb vermieden werden. Allein deshalb würd ich den Hyper-V schon aus der Domäne lasen.

Also aus zum Punkte Sicherheit kann ich hier @MysticFoxDE nur zustimmen.

Also gegen jede best practices, auf die sich Experten geeinigt haben.

There is little security consideration standing against a huge management benefit, through credential management, group policies, and so on, so you should domain-join all Hyper-V hosts to your existing Active Directory domain. If your Hyper-V hosts will be placed in high-security environments, join them to a dedicated management domain (within a separated Active Directory forest) and not to your production domain.
- so Benedict Berger in seinem Buch

und gegen MS-best-practices

Ein HV-Host ist auch nur ein Computer - vernünftig absichern muss ich ihn sowieso. Ein Risiko durch das joinen zur Domain gibt es allerdings nicht.
MysticFoxDE
MysticFoxDE 19.04.2023 um 18:35:56 Uhr
Goto Top
Moin @3063370895,

Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.

glaub mir, es macht im Ernstfall eine Menge aus, ob bei einem Angriff nur deine Userdomäne über den Jordan geht oder auch der Hyper-V und im schlimmsten Fall vielleicht auch noch die Backups mit dazu.
Ich habe schon duzende Incident-Response Einsätze auf dem 🦊-Buckeli und kann dir daraus genau zu diesem Thema, eine menge traurige Lieder singen. 😔

Naja, im Supportfall will ich eine vom Hersteller unterstützte Konfiguration haben. Also halte ich mich an deren Dokumentation. Der Fall von dem MS ausgeht ist, ein Update zerschießt Hyper-V komplett, alle DCs sind virtualisiert, man hat keine Domäne mehr bis Rollback durch ist.

Glaub mir, du willst nicht wirklich von MS supportet werden ... ja, OK, wenn man auf SM steht, dann vielleicht schon. 🤪

Beste Grüsse aus BaWü
Alex
DCFan01
DCFan01 19.04.2023 um 18:41:45 Uhr
Goto Top
Zitat von @madnem:

Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.

Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

Aber zumindest die Veeam EndPoint Free installiert doch einen SQL Express , was ich eigentlich ungern auf dem Hyper-V HOST haben wollte? Oder ist das mittlerweile anders?

Die Community-Edition könnte ich natürlich auf einem normalen Windows-Client installieren und von dort dann extern sichern oder was würdest du da empfehlen?


Es gibt ein Synology NAS in einem anderen Subnetz, welches via Active Backup zumindest recht abgeschirmte Backups erstellen könnte, aber ich will unbedingt auch Veeam noch zusätzlich einsetzen auf externe USB-Platten ( wie gesagt kleine Umgebung)
3063370895
3063370895 19.04.2023 aktualisiert um 18:45:04 Uhr
Goto Top
Zitat von @madnem:
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

https://thehackernews.com/2019/08/reverse-rdp-windows-hyper-v.html

alles ist möglich. Es werden sogar air gapped-systeme gehackt. Man muss nur lukrativ genug sein face-smile
DCFan01
DCFan01 19.04.2023 aktualisiert um 18:46:49 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @3063370895,

Kann man diskutieren. Wenn man nur eine Domäne und einen Server hat, macht es keinen Unterschied mehr, wenn ein Angriff auf den DC erfolgreich war.

glaub mir, es macht im Ernstfall eine Menge aus, ob bei einem Angriff nur deine Userdomäne über den Jordan geht oder auch der Hyper-V und im schlimmsten Fall vielleicht auch noch die Backups mit dazu.
Ich habe schon duzende Incident-Response Einsätze auf dem 🦊-Buckeli und kann dir daraus genau zu diesem Thema, eine menge traurige Lieder singen. 😔

Naja, im Supportfall will ich eine vom Hersteller unterstützte Konfiguration haben. Also halte ich mich an deren Dokumentation. Der Fall von dem MS ausgeht ist, ein Update zerschießt Hyper-V komplett, alle DCs sind virtualisiert, man hat keine Domäne mehr bis Rollback durch ist.

Glaub mir, du willst nicht wirklich von MS supportet werden ... ja, OK, wenn man auf SM steht, dann vielleicht schon. 🤪

Beste Grüsse aus BaWü
Alex



Würdest du ALLE direkt auf dem Host sichern oder auch via Agent innerhalb der jeweiligen VMs?

Sicherheitstechnisch wäre doch ein komplettes Backup des Hyper-V Hosts+ aller sich darauf befindenden Guest-VMS doch viel sinnvoller? Spricht da auch etwas dagegen?

Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS
DCFan01
DCFan01 19.04.2023 um 18:45:44 Uhr
Goto Top
Zitat von @3063370895:

Zitat von @madnem:
Dann packst du das NAS auch noch nur in dein Management VLAN und keine Virus der Welt kommt an deine Backup ran und kann das verschlüsseln.

https://thehackernews.com/2019/08/reverse-rdp-windows-hyper-v.html

alles ist möglich. Es werden sogar air gapped-systeme gehackt. Man muss nur lukrativ genug sein face-smile

Reversr RDP hab ich mal gelesen gabs ganz miese Angriffe...scheinbar aber wenn man die Zwischenablage deaktiviert, wirds wohl deutlich schwierger oder?
MysticFoxDE
MysticFoxDE 19.04.2023 um 18:50:32 Uhr
Goto Top
Moin @3063370895,

Also gegen jede best practices, auf die sich Experten geeinigt haben.

welche Experten den bitte?
Und komm mir jetzt bitte nicht mit irgendwelchen MVP's um die Ecke, die nur noch dem Hersteller-Marketing nachplappern können und von der Technologie selbst überhaupt nichts mehr verstehen, danke.

There is little security consideration standing against a huge management benefit, through credential management, group policies, and so on, so you should domain-join all Hyper-V hosts to your existing Active Directory domain. If your Hyper-V hosts will be placed in high-security environments, join them to a dedicated management domain (within a separated Active Directory forest) and not to your production domain.
- so Benedict Berger in seinem Buch

Und das steht so wirklich in einem Bucht drin .... 😱 ... bitte entsorgen, danke.


Und hast du dir auch mal die Begründung dazu angesehen und über diese auch mal nachgedacht?

Beste Grüsse aus BaWü
Alex
3063370895
3063370895 19.04.2023 aktualisiert um 18:55:32 Uhr
Goto Top
Benedict Berger - "irgendein MVP"?

Aber du weißt es wahrscheinlich besser face-smile

Naja ich hab jetzt Feierabend
MysticFoxDE
MysticFoxDE 19.04.2023 um 19:04:03 Uhr
Goto Top
Moin @DCFan01,

Würdest du ALLE direkt auf dem Host sichern oder auch via Agent innerhalb der jeweiligen VMs?

Sicherheitstechnisch wäre doch ein komplettes Backup des Hyper-V Hosts+ aller sich darauf befindenden Guest-VMS doch viel sinnvoller? Spricht da auch etwas dagegen?

bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.

Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS

Ich sichere die VM's immer über die Agents der Hyper-V Nodes, das geht am schnellsten, sowohl was die Sicherung und auch die Wiederherstellung angeht.

Beste Grüsse aus BaWü
Alex
Vision2015
Vision2015 19.04.2023 um 19:14:12 Uhr
Goto Top
Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank
DCFan01
DCFan01 19.04.2023 um 19:14:43 Uhr
Goto Top



Eaton USV Ellipse ECO 1600


Reicht so etwas in die Richtung und kann ich damit die VMs auch automatisch herunterfahren bzw supsenden?
MysticFoxDE
MysticFoxDE 19.04.2023 um 19:15:30 Uhr
Goto Top
Moin @3063370895,

Benedict Berger - "irgendein MVP"?

Aber du weißt es wahrscheinlich besser face-smile

ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.

https://www.xing.com/profile/Alexander_Fuchs132/cv

Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉

Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔

Beste Grüsse aus BaWü
Alex
DCFan01
DCFan01 19.04.2023 aktualisiert um 19:18:41 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @DCFan01,

Würdest du ALLE direkt auf dem Host sichern oder auch via Agent innerhalb der jeweiligen VMs?

Sicherheitstechnisch wäre doch ein komplettes Backup des Hyper-V Hosts+ aller sich darauf befindenden Guest-VMS doch viel sinnvoller? Spricht da auch etwas dagegen?

bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.

Ansonsten wäre tatsächlcih die Variante für mich spannend, Veeam EndPoint Free+ Windows Server Sicherung direkt auf dem Host durchzuführen + den Active Backup Agenten des Synology NAS

Ich sichere die VM's immer über die Agents der Hyper-V Nodes, das geht am schnellsten, sowohl was die Sicherung und auch die Wiederherstellung angeht.

Beste Grüsse aus BaWü
Alex



Wie meinst du den ersten Teil deiner Antwort?
Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?
DCFan01
DCFan01 19.04.2023 um 19:19:51 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank


Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?
Vision2015
Vision2015 19.04.2023 um 19:22:02 Uhr
Goto Top
Moin..
Zitat von @MysticFoxDE:


bitte niemals Sicherungen direkt auf Produktivsystemen ablegen, das ist ein nogo!
das sehe ich auch so!
Alle Umgebungen unserer Kunden werden mit Veeam oder Novastore mindestens einmal Täglich auf ein Enterprise-NAS gesichert.

ich finde Novastore ganz Interessant...

Frank
Vision2015
Vision2015 19.04.2023 um 19:26:03 Uhr
Goto Top
Zitat von @DCFan01:

Zitat von @Vision2015:

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank


Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?

das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!

Frank
MysticFoxDE
MysticFoxDE 19.04.2023 um 19:26:32 Uhr
Goto Top
Moin @DCFan01,

Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?

nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".

Beste Grüsse aus BaWü
Alex
DCFan01
DCFan01 19.04.2023 aktualisiert um 19:29:00 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @DCFan01:

Zitat von @Vision2015:

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank


Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?

das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!

Frank



Nein auf ILO soll nur ich aus dem Wartungs-Netz bzw VPN zugreifen.

Wie gesagt es ist eine kleine Umgebung, 1DC ( virtuell/physisch, künftig 2 DC beide virtuell), 1 SQL-VM für SAGE CRM/XRM etc) 1 SQL_VM Zeiterfassung etc.)

Würdest du Backup Subnet+ Wartungs-Netz in so einer kleinen Umgebung trennen oder passt das auch alles in einem?
Vision2015
Vision2015 19.04.2023 um 19:29:32 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @DCFan01:

Zitat von @Vision2015:

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank


Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?

das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!

Frank

Nachtrag:

derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte:
nur deine V-Hosts, die Datensicherung... und meinetwegen ILO.
die netze müssen getrennt sein!

Frank
Vision2015
Vision2015 19.04.2023 um 19:31:19 Uhr
Goto Top
Zitat von @DCFan01:

Zitat von @Vision2015:

Zitat von @DCFan01:

Zitat von @Vision2015:

Moin...

also, dein DC auf ner VM ist kein Problem!
dein Hyper-V host und die Datnsicherung gehört in ein Managment Netz- wenn möglich nicht als Vlan, sondern physikalisch!
ich rate auch davon ab, den Hyper-V host in das AD zu platzieren...das meiste Virus und Trojaner Gedöns bleibt dann von deiner Datensicherung und Host fern... in der regel!
ich persönlich halte nix von der MS Datensicherung, neige eher zu Acronis oder Veaam, wobei Veeam bei den Preisen einen an der klatsche hat! kommt ja auch an, was du sichern möchtest.
was irgendein MVP schreibt, oder gar MS selber , geht mir am allerwertesten vorbei, best practice ist nicht immer das gelbe vom Ei!
best practice ist erfahrung und keine heilige microsoft schrift!
best practice lernst du nicht einmal bei MS oder administrator.de, sondern nur, wenn du es selber machst, lernst und verstehst!
würde MS selber an best practice glauben, hätten wir im märz 21 weniger exchange probleme und schäden gehabt, und schon im Oktober 2020 den port 443 dichtgemacht!

Frank


Danke Frank,
Genau so wollte ich es eigentlich machen.. derzweit frage ich mich jedoch was ich sonst noch alles in dieses Wartungs-Netz verfrachte: ILOs von den HPE Servern etc oder ist das ein No-Go?

das kommt drauf an...
in der regel kannst du das machen, wenn du nur eine Handvoll Server hast, und per VPN oder aus dem Managment Netz da zugriff hast.
wenn es es externe verbindungen zum ILO gibt dann über ein DMZ Netz, lieber aber nur über VPN!

Frank



Nein auf ILO soll nur ich aus dem Wartungs-Netz bzw VPN zugreifen.

Wie gesagt es ist eine kleine Umgebung, 1DC ( virtuell/physisch, künftig 2 DC beide virtuell), 1 SQL-VM für SAGE CRM/XRM etc) 1 SQL_VM Zeiterfassung etc.)

Würdest du Backup Subnet+ Wartungs-Netz in so einer kleinen Umgebung trennen oder passt das auch alles in einem?

das passt in ein Netz face-smile
Vision2015
Vision2015 19.04.2023 um 19:32:47 Uhr
Goto Top
Moin...
Zitat von @MysticFoxDE:

Moin @DCFan01,

Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?

nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".
am besten mit einem RDX Laufwerk... dann bleiben auch deine USB ports am Server heile face-smile

Beste Grüsse aus BaWü
Alex
Frank
MysticFoxDE
MysticFoxDE 19.04.2023 um 19:40:06 Uhr
Goto Top
Moin Frank,

wie ich sehe haben wir mit den Microsoftians und auch Veeam wohl beide sehr ähnliche Erfahrungen machen müssen.

Wobei ich sagen muss, das ich was Veeam angeht, lediglich an deren Preispolitik was zu rupfen habe, die Lösung an sich ist gut.

ich finde Novastore ganz Interessant...

Läuft auch ganz ordentlich und liegt vor allem preislich noch absolut im Rahmen des bezahlbaren.

Beste Grüsse aus BaWü
Alex
Vision2015
Vision2015 19.04.2023 um 19:53:28 Uhr
Goto Top
Moin...
Zitat von @MysticFoxDE:

Moin @3063370895,

Benedict Berger - "irgendein MVP"?

Aber du weißt es wahrscheinlich besser face-smile

ach chaoti, jetzt schau dir mal genau seinen Werdegang an und dann meinen.

https://www.xing.com/profile/Alexander_Fuchs132/cv

Sprich, der Benedict hat 3 Jahre reale IT Praxiserfahrung und ich mittlerweile > 25 Jahre. 😉
geht mir auch so...

Und seit 7 Jahren ist der gute aus der Praxis eh vollständig raus. 😔
jo, ich kenne auch einige MVPs, die stehen oben an der kanzel und predigen... und predigen und predigen face-smile
bekommen ordentliche Tagesgagen und haben Microsoft auf der Krawattennadel!
aber setze den Kollegen mal an eine Console, bekommst du was zu lachen!

Beste Grüsse aus BaWü
Alex

Frank
Lochkartenstanzer
Lochkartenstanzer 19.04.2023 um 20:05:12 Uhr
Goto Top
Zitat von @DCFan01:

Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.

Alles virtualisieren.


Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.

O.k.


Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Virtualisieren.


Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

Keine Nachteile. Als kannst kannst damit den DC vom Anwendungsserver getrennt halten., so daß er rein DC sein Jannik.


Die Server sind beide DL380er Gen10

Egal. Geht mit jedem Blech, daß genug RAM und SSD hat.

Danke euch vorab


PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

Pack den doch in den zweiten Hypervisor. Der DC Frist i.d.R. kaum Resourcen bei so einem Minibetrieb.

SCHÖNEN abend noch.

lks
silent-daniel
silent-daniel 19.04.2023 aktualisiert um 20:16:05 Uhr
Goto Top
Sorry für die Frage, aber was bringt es den Hyper-V in die Domain zu hängen.
Ist doch gut, wenn er eigens abgesichert ist!?

Ich betreibe nur VmWare ESX / vSphere (keine Hyper-V) und da trenne ich das vmware-Management-Netzwerk, Sicherung-Netzwerk und Interne Netzwerk.

gruß sd
jsysde
jsysde 19.04.2023 aktualisiert um 20:31:32 Uhr
Goto Top
N'Abend.

Für die Funktionalität eines AD ist es wumpe, ob die DCs auf Physik oder als VM laufen. Ich rate aber immer dazu, mindestens zwei DCs am Start zu haben, schon aus Redundanz- und Verfügbarkeitsgründen. Kommt Physik als Hypervisor zum Einsatz, empfiehlt es sich, einen DC als Physik "in der Ecke" stehen bzw. laufen zu haben (*) - unabhängig davon, ob der Hypervisor selbst Teil des AD ist oder nicht: Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.

Was die AD-Mitgliedschaft angeht: Jeder, wirklich jeder Server gehört ins AD. Nur dann greifen zentrale Verwaltungs- und Konfigurationsvorgaben, nur dann lässt sich ein Admin-Tiering von zentraler Stelle durchsetzen etc. Workgroup-Server gibt es, wenn überhaupt, in einer DMZ, aber niemals im internen LAN. Die Erfahrung zeigt, dass Workgroup-Server nach einiger Zeit vernachlässigt werden, eben weil sie manuelle/händische Konfiguration benötigen. Und damit dann über kurz oder lang zum scheunentorgroßen Sicherheitsrisiko werden.

(*) Oder alternativ eine weitere Hypervisor-Plattform, auf der ein DC läuft uns "ansprechbar" ist... Ihr wisst schon, was ich meine.

Cheers,
jsysde
MysticFoxDE
MysticFoxDE 19.04.2023 aktualisiert um 21:45:23 Uhr
Goto Top
Moin @jsysde,

Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC.

das Problem lässt sich lösen, indem man einfach die DC's als erstes booten und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉

Jeder, wirklich jeder Server gehört ins AD.

Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, zumindest nicht in die "Alltagsdomäne" wo sich auch die normalen User & Co rumtummeln, danke.

Beste Grüsse aus BaWü
Alex
jsysde
jsysde 19.04.2023 um 21:50:37 Uhr
Goto Top
N'Abend.

Zitat von @MysticFoxDE:
[...]das Problem lässt sich lösen, indem man einfach die DC's als erstes booten lasst und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉
VMs starten niemals automatisch - wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist, wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.

Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.

[...]Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, danke.
Doch. Jeder Windows-Server gehört ins AD. Der Backup-Server, wenn er denn wirklich unter Windows laufen muss, wegen mir in ein separates VLAN und Backups über ein separates Backup-Netzwerk. Alternativ packt man den Backup-Server in ein eigenes AD.
Aber niemals nicht läuft ein Windows-Server in einer Workgroup.

Für mich stellt sich die Frage meist nicht, da unsere Backupserver i.d.R. keine Windows-Büchsen sind.

Cheers,
jsysde
Lochkartenstanzer
Lochkartenstanzer 19.04.2023 um 22:09:00 Uhr
Goto Top
Zitat von @jsysde:

Was die AD-Mitgliedschaft angeht: Jeder, wirklich jeder Server gehört ins AD.

Das ist Quatsch mit Soße. Man packt die Server nur dann ins AD, wenn es im Einzelfall auch sinnvoll ist. Eine zentrale Verwaltung bekommt man auch ohne AD hin. Man muß nur die richtigen Werkzeuge und Skripten verwenden. Es gibt manche Server, die will man nicht im AD haben, z.b. Backup-Server, auf die keiner aus dem AD zugreifen können soll.

Beri Hyper-V-Servern ist das i.d.R. auch ncoiht notwendig. Man kann sie reinpacken, muß man aber nicht.

IT besteht nicht nur aus Schwarz/Grün Schwarz/Amber Schwarz/Weiß. Es gibt inzwischen viel Abstufungen, auch in Farbe.

lks
lks
MysticFoxDE
MysticFoxDE 19.04.2023 aktualisiert um 22:27:27 Uhr
Goto Top
Moin @jsysde,

VMs starten niemals automatisch

bei dir vielleicht nicht, aber unsere eigenen und die unseren Kunden tun das jedoch schon.

wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist.

Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉

wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.

Ja, natürlich und dann kommt rein zufällig Godzilla vorbei und pinkelt ausersehen auch noch auf das Backup. 😬

Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.

Pustekuchen, dann müssen wir lediglich den mobilen Wurmlochgenerator kurz aufbauen, dann wird der defekte Server einfach in die Vergangenheit gebeamt und wir beamen aus der Vergangenheit im Gegenzug den intakten wieder zurück. 😉🤪

Doch. Jeder Windows-Server gehört ins AD.

Wo bekommt man diesen Unsinn eigentlich eigetrichtert?

Alternativ packt man den Backup-Server in ein eigenes AD.

Nicht alternativ, sondern nur so oder gar nicht!

Aber niemals nicht läuft ein Windows-Server in einer Workgroup.

Weil sonst genau was geschieht?

A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???

Beste Grüsse aus BaWü
Alex
jsysde
jsysde 19.04.2023 um 22:38:08 Uhr
Goto Top
N'Abend.

Zitat von @Lochkartenstanzer:
[...]IT besteht nicht nur aus Schwarz/Grün Schwarz/Amber Schwarz/Weiß. Es gibt inzwischen viel Abstufungen, auch in Farbe.
Absolut. Und der "Quatsch mit Soße" resultiert aus langjähriger Erfahrung und ich fahre damit sehr gut.
Mir ist halt unklar, warum ich "passende Werkzeuge und Skripte" nutzen soll, wenn ich diese "Werkzeuge und Skripte" innerhalb eines AD quasi mitgeliefert bekomme. Just sayin'...

Cheers,
jsysde
jsysde
jsysde 19.04.2023 um 22:41:44 Uhr
Goto Top
N'Abend.

Zitat von @MysticFoxDE:
[...]Dann gähne ich einmal und hole mir kurz einen Kaffee und in der Zwischenzeit, starten alle VM's automatisch auf einem anderen Hyper-V Node. 😉
Wenn man ein Cluster hat, kein Problem.

[...]Wo bekommt man diesen Unsinn eigentlich eigetrichtert?
Du kannst das gern als Unsinn abtun. Ich buche deine Überheblichkeit auch einfach mal als Unsinn, dann sind wir quitt.

Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt. Als Dienstleister stehste dann mit runtergelassener Hose da und wirst halt einfach vorsichtiger, baust Dinge anders auf etc. Aber du darfst gern weiterhin Dekaden an Berufserfahrung als "Unsinn" abtun...

Cheers,
jsysde
DCFan01
DCFan01 19.04.2023 um 22:48:45 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @DCFan01:

Hallo,
ich muss einen Domaincontroller (Server 2022 Std) installieren, und stehe jetzt vor der Entscheidung ob ich alles per Hyper-V virtualisiere, oder ob ich den Domaincontroller physisch lasse.

Alles virtualisieren.


Es wird noch einen zweites (Hyper-V virtualisiertes) Blech geben, auf dem aber bisher nur Sage SQL+ Zeiterfassung eingeplant war.

O.k.


Würdet ihr den (einzigen) Domaincontroller also lieber direkt aufs Blech installieren oder doch virtualisieren?

Virtualisieren.


Was wären die Nachteile bzw Vorteile der jeweiligen Variante?

Keine Nachteile. Als kannst kannst damit den DC vom Anwendungsserver getrennt halten., so daß er rein DC sein Jannik.


Die Server sind beide DL380er Gen10

Egal. Geht mit jedem Blech, daß genug RAM und SSD hat.

Danke euch vorab


PS es soll später mal ein zweiter Server dazukommen, der dann der 2. Domaincontroller werden soll.

Pack den doch in den zweiten Hypervisor. Der DC Frist i.d.R. kaum Resourcen bei so einem Minibetrieb.

SCHÖNEN abend noch.

lks


Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.

Oder hab ich doch noch eine Möglichkeit?
MysticFoxDE
MysticFoxDE 19.04.2023 um 22:57:05 Uhr
Goto Top
Moin @DCFan01,

Oder hab ich doch noch eine Möglichkeit?

kommt darauf an über wie viele User wir hier in Summe sprechen und ob ihr z.B. für diese eh schon O365 verwendet oder zeitnah verwenden möchtet.

Beste Grüsse aus BaWü
Alex
DCFan01
DCFan01 19.04.2023 um 23:07:32 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @DCFan01,

Natürlich würde ich die Sicherungen auf externe USB-Festplatten ( die direkt an den Hyper-V Host angeschlossen und gewechselt werden) sowie ein Synology NAS (1621+) wo der Sicherunga-Agent direkt auf dem Hyper-V Host installier wird) sichern. Spricht da was dagegen?

nein, da spricht absolut nichts dagegen, genau so machen wir das auch, zumindest was das Backup auf die NAS angeht.
Eine Sicherung auf direkt am Hyper-V hängende Datenträger würde ich nicht empfehlen, ausser, dieser werden nach der Sicherung gleich wieder "ausgehängt".

Beste Grüsse aus BaWü
Alex

Kannst du das begründen, warum da keine Datenträger "dranbleiben" sollten?
MysticFoxDE
MysticFoxDE 19.04.2023 um 23:09:32 Uhr
Goto Top
Moin @jsysde,

[...]Wo bekommt man diesen Unsinn eigentlich eigetrichtert?
Du kannst das gern als Unsinn abtun. Ich buche deine Überheblichkeit auch einfach mal als Unsinn, dann sind wir quitt.

ich bin halt etwas direkt, das darfst du mir nicht zu übel nehmen.
Und zu behaupten das jeder Windows Server in eine Domäne gehört ist schlichtweg ein Unsinn.

Godzilla hat mir noch nicht aufs Backup gepinkelt, aber multiple Stromausfälle, eine dadurch leere USV, Stromschwankungen etc. haben schon genau zu diesem Szenario geführt.

Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese und die Server/Storage und schon gehören die von dir oben angesprochenen Szenarien der Vergangenheit an. 😉

Und bitte niemals Netzteil A eines Servers an eine USV anschliessen und Netzteil B direkt an Netz.
Damit untergräbst man von Beginn schlichtweg eine der mitunter wichtigsten Schutzfunktionen einer USV. 😔


Beste Grüsse aus BaWü
Alex
DCFan01
DCFan01 19.04.2023 um 23:09:52 Uhr
Goto Top
Zitat von @jsysde:

N'Abend.

Zitat von @MysticFoxDE:
[...]das Problem lässt sich lösen, indem man einfach die DC's als erstes booten lasst und alle anderen VM's so um 2 Minuten später hochfahren lässt. 😉
VMs starten niemals automatisch - wenn dir mal ein Hypervisor mit nem Bluescreen hart gecrasht ist, wieder bootet, die VMs startet, wieder crasht (während die VMs booten), wieder bootet... Dann zerreißt es dir alle Datenbanken, egal ob Exchange oder SQL, selbst das AD kann dadurch zerstört werden.

Und wenn die VMs trotzdem automatisch starten und keiner der DCs hochkommt (wg. extraterrestrischer Phaseninvarianzen oder warum auch immer), dann guckste auch in die Röhre.

[...]Aber ganz sicher kein Hyper-V Einzelnode und den Backupserver bitte auch nicht, danke.
Doch. Jeder Windows-Server gehört ins AD. Der Backup-Server, wenn er denn wirklich unter Windows laufen muss, wegen mir in ein separates VLAN und Backups über ein separates Backup-Netzwerk. Alternativ packt man den Backup-Server in ein eigenes AD.
Aber niemals nicht läuft ein Windows-Server in einer Workgroup.

Für mich stellt sich die Frage meist nicht, da unsere Backupserver i.d.R. keine Windows-Büchsen sind.

Cheers,
jsysde



Ist dieses Szenario wirklich so wahrscheinlich?

Eigentich wollte ich nicht unbedingt die VMs automatisch starten lassen , aber habe Sorge, dass bei einem Stromausfall/Absturz etc Datenbanken oder der virtualisierte DC ( insbesondere wenn es nur einer ist) beschädigt werden könnten.

Ist dieses Szenario wahrscheinlicher gegenüber physischen Maschinen?
Dort hatte ich bisher nur selten mit derlei korrupten Datenbanken etc zu tun.
MysticFoxDE
MysticFoxDE 19.04.2023 um 23:15:17 Uhr
Goto Top
Moin @DCFan01,

Kannst du das begründen, warum da keine Datenträger "dranbleiben" sollten?

damit wenn du dir doch einen Schädling auf dem Hyper-V einfangen solltest, dieser neben dem Produktivsystem, nicht auch noch die Backupdaten auf den direkt angeschlossenen Datenträgern wegfressen kann. 😉

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 19.04.2023 um 23:28:43 Uhr
Goto Top
Moin @DCFan01,

Ist dieses Szenario wirklich so wahrscheinlich?

wenn, deine USV's sauber implementiert sind, eher unwahrscheinlich.


Eigentich wollte ich nicht unbedingt die VMs automatisch starten lassen , aber habe Sorge, dass bei einem Stromausfall/Absturz etc Datenbanken oder der virtualisierte DC ( insbesondere wenn es nur einer ist) beschädigt werden könnten.

Ähm, Moment, jetzt vermischt du aber zwei Dinge.

Das eine ist, was geschehen soll wenn der Strom wegbricht.
Hier bin ich eher ein Fan von einfach auslaufen lassen.

Und das andere ist, was geschehen soll wenn der Strom wieder da ist.
Hier bin ich ein Fan, von so weit es geht automatisiert wieder hochfahren.

Beste Grüsse aus BaWü
Alex


Ist dieses Szenario wahrscheinlicher gegenüber physischen Maschinen?
Dort hatte ich bisher nur selten mit derlei korrupten Datenbanken etc zu tun.
Th0mKa
Th0mKa 20.04.2023 um 07:10:09 Uhr
Goto Top
Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.
Auf jeden Fall.
MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Das sagt Microsoft schon seit Jahren nicht mehr.

/Thomas
Th0mKa
Th0mKa 20.04.2023 um 07:12:35 Uhr
Goto Top
Zitat von @DCFan01:
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.

Oder hab ich doch noch eine Möglichkeit?

Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.

/Thomas
3063370895
3063370895 20.04.2023 aktualisiert um 07:56:06 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.
Auf jeden Fall.
MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Das sagt Microsoft schon seit Jahren nicht mehr.

/Thomas

Virtualizing Domain Controllers using Hyper-V - Avoid creating single points of failure, Punkt 4:
Maintain physical domain controllers in each of your domains. This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.
zuletzt aktualisiert am 08.06.2022

-Thomas
MysticFoxDE
MysticFoxDE 20.04.2023 um 09:07:07 Uhr
Goto Top
Moin @3063370895,


Hast du den Artikel den mal selbst genau durchgelesen?

chaoti_01

😉

Beste Grüsse aus BaWü
Alex
3063370895
3063370895 20.04.2023 aktualisiert um 09:12:26 Uhr
Goto Top
Ja und wenn du es schaffst noch 3 Punkte weiter zu lesen, findest du den von mir zitierten Punkt. Viel Erfolg, ich glaube an dich!

-Thomas
MysticFoxDE
MysticFoxDE 20.04.2023 aktualisiert um 09:28:31 Uhr
Goto Top
Moin @3063370895,

Ja und wenn du es schaffst noch 3 Punkte weiter zu lesen, findest du den von mir zitierten Punkt. Viel Erfolg, ich glaube an dich!

kein Problem und ich glaub auch an dich, dass dir selber ein Licht aufgeht, wenn du den von dir zitierten Punkt mal genau zu Ende liest. 😉

OK, kleine Nachhilfe ...

"This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform."

bedeutet ...

"Dadurch wird das Risiko einer Fehlfunktion der Virtualisierungsplattform verringert, die alle Hostsysteme betrifft, die diese Plattform verwenden."

Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?

---

Und falls du auf die Idee kommst mit nun mit einem Hyper-V Cluster um die Ecke zu kommen.
Ein Cluster besteht meistens aus mehreren Nodes und wenn man auf jedem der Nodes auf deren lokalem Speicher einen virtualisierten Verwaltungs-AD-DC laufen lässt, hat man am Ende des Tages auch eine redundante DC Architektur für die HV-Domäne. 😉

Beste Grüsse aus BaWü
Alex
3063370895
3063370895 20.04.2023 aktualisiert um 10:01:38 Uhr
Goto Top
OK, kleine Nachhilfe ...

Nein danke.

Dein Kommentar ist falsch, denn der Satz
This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.
geht von dem Fall aus, dass Hyper-V als Platform (nicht einzelne Hosts!) ausfällt, z.B. aufgrund eines fehlerhaften Updates. Also alle Hyper-V-Hosts funktionieren nicht mehr.
Und was wird nun wohl mit einem einzelnen Hyper-V Node passieren, der nicht in einer Domäne hängt?
Der wird auch ausfallen, da davon ausgegangen wird, dass Hyper-V als Plattform nicht mehr funktioniert.

Die Chance eines solchen Ausfalles sei mal dahingestellt. Aber für diesen Fall sollte man laut MS einen DC haben, der nicht auf Hyper-V läuft, also physisch, oder (in den Docs nicht erwähnt) auf einer anderen Virtualisierungsplattform.

Deutsche Übersetzung aus den Docs:
Versehen Sie all Ihre Domänen mit physischen Domänencontrollern. Dies verringert die Auswirkungen einer Fehlfunktion einer Virtualisierungsplattform (von der auch die von der Plattform abhängigen Hostsysteme betroffen wären).

Ich bin hier fertig, der Thread wurde genug derailed. Wenn du noch was willst schreib mir per PN
-Thomas
MysticFoxDE
MysticFoxDE 20.04.2023 um 09:46:37 Uhr
Goto Top
Moin @3063370895,

geht von dem Fall aus, dass Hyper-V als Platform (nicht einzelne Hosts!) ausfällt, z.B. aufgrund eines fehlerhaften Updates. Also alle Hyper-V-Hosts funktionieren nicht mehr.

da bei unseren Kunden alles virtualisiert ist, wäre bei diesem Szenario ein nicht laufendes AD, sicherlich deren aller geringstes Problem.

Die Chance eines solchen Ausfalles sei mal dahingestellt. Aber für diesen Fall sollte man laut MS einen DC haben, der nicht auf Hyper-V läuft, also physisch, oder (in den Docs nicht erwähnt) auf einer anderen Virtualisierungsplattform.

Und wofür, wenn mir sonst alles andere abgeraucht ist?

Versehen Sie all Ihre Domänen mit physischen Domänencontrollern. Dies verringert die Auswirkungen einer Fehlfunktion einer Virtualisierungsplattform (von der auch die von der Plattform abhängigen Hostsysteme betroffen wären).

Und ich kann dir aus der Praxis versichern, dass das so absolut nicht notwendig ist.
Sonst hätten unsere Kunden uns schon längst mit Haut und Haaren gefressen. 🤪

Beste Grüsse aus BaWü
Alex
3063370895
3063370895 20.04.2023 um 09:52:27 Uhr
Goto Top
Ich hantiere es in der Praxis auch so, alle DCs sind virtualisiert. Es ging aber um deine Fehlinterpretation der MS-Docs. Diese hast du inzwischen anscheinend eingesehen, sonst würdest du ja noch weiter darauf herumreiten.

-Thomas
MysticFoxDE
MysticFoxDE 20.04.2023 aktualisiert um 10:03:21 Uhr
Goto Top
Moin @3063370895,

Ich hantiere es in der Praxis auch so, alle DCs sind virtualisiert. Es ging aber um deine Fehlinterpretation der MS-Docs. Diese hast du inzwischen anscheinend eingesehen, sonst würdest du ja noch weiter darauf herumreiten.

das überinterpretierst du nun glaube ich gewaltig.

Ein paar von deinen heiligen MS-Dokus habe ich übrigens schon selbst korrigieren lassen, weil zuvor darin einfach ein technischer Nonsens gestanden ist. 😉
(Siehe ReFS auf CSV.)

Beste Grüsse aus BaWü
Alex
TomTomBon
TomTomBon 20.04.2023 um 12:08:00 Uhr
Goto Top
Zitat von @MysticFoxDE:

Weil sonst genau was geschieht?

A - Der Weltuntergang
B - Eine Alien Invasion
C - Es fallen zwei Säcke Reis auf einmal in China um
D - Godzilla
E - Putin heiratet Trump
...
???

Beste Grüsse aus BaWü
Alex

E !!1!
Am 01. 02. 2025 !
face-wink
DCFan01
DCFan01 20.04.2023 aktualisiert um 12:14:10 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @3063370895:
Dennoch SOLLTE es einen zweiten Domänencontroller geben.
Auf jeden Fall.
MS sagt, jede Domäne sollte einen physischen (nicht-virtualiserten) DC haben.
Das sagt Microsoft schon seit Jahren nicht mehr.

/Thomas



Wie kann ich möglichst einfach einen zweiten DC erstellen bzw welche Hardware benöltige ich dafür?
Muss es Server-Hardware sein oder reicht gar ein NUC? Hätte da noch einen...


Weitere Frage wäre noch, wo installiere ich den GDATA Management Server ?
EIgentlich wollte ich den unbedingt auf dem virtualisierten DC mit drauf haben ( als einziges zusätzliches Software).
Spricht da etwas dagegen?
DCFan01
DCFan01 20.04.2023 um 12:10:23 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @DCFan01:
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.

Oder hab ich doch noch eine Möglichkeit?

Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.

/Thomas


Wir sprechen hier von einer sehr kleinen Umgebung....
aqui
aqui 20.04.2023 um 12:23:48 Uhr
Goto Top
Muss es Server-Hardware sein oder reicht gar ein NUC?
Zitat des Kollegen @jsysde weiter oben:
"Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC."
Wer lesen kann... face-wink
Siehe hier.
DCFan01
DCFan01 20.04.2023 um 12:25:36 Uhr
Goto Top
Zitat von @aqui:

Muss es Server-Hardware sein oder reicht gar ein NUC?
Zitat des Kollegen @jsysde weiter oben:
"Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC."
Wer lesen kann... face-wink
Siehe hier.


Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?
Vision2015
Vision2015 20.04.2023 um 12:32:00 Uhr
Goto Top
Moin...
Zitat von @DCFan01:

Zitat von @aqui:

Muss es Server-Hardware sein oder reicht gar ein NUC?
Zitat des Kollegen @jsysde weiter oben:
"Die VMs, die darauf laufen, starten einfach unkomplizierter, wenn beim Booten ein DC "ansprechbar" ist. Das muss dann auch keine "Maschine" sein, da tut's auch ein NUC."
Wer lesen kann... face-wink
Siehe hier.


Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

jo...
TomTomBon
TomTomBon 20.04.2023 um 12:33:05 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @DCFan01:
Würde ich sehr gerne aber darf ich nicht oder?
Der 2022 Standard mit 2 Instanzen darf ja nur Hyper-V Host+ 2 VMS.
Die beiden VMs wollte ich für Zeiterfassung und getrennt alles was SAGE angeht verwenden.

Oder hab ich doch noch eine Möglichkeit?

Wenn du die Windows Server Lizenzen verdoppelst darfst du weitere 2 VMs betreiben.

/Thomas

Moin,

Lizenzen sind für mich ... ein Graus ? !!
face-smile

Für mich stellt sich aber die Frage ob in den Bedingungen steht das die 2 VMs der standard auf DIESEM Host liegen müssen.
Das der Host (als 3te Lizenz) NUR HyperV (Und sowas wie Virenscanner und Backup Tool) haben darf ist klar. NICHT mehr !!

Aber ginge, Lizenz Technisch, das Ich auf diese eine S22 Lizenz 2 VM starte.
Auf Linux VM Server.
Wie ESX oder KVM (Proxmox).
Um genauer zu sein 2 Linux Systeme..

Technisch, ist das nicht der Akt wenn man es einmal vernünftig gemacht hat. Klar.


Es interessiert mich, aber nicht so sehr das Ich mir das dokument erst mal suche und dann erarbeite face-wink

Das MS das nicht WILL ist klar.
Aber steht das auch in den Lizenz Bestimmungen?
Das NUR dieses eine Szenario erlaubt ist für diese Lizenz?
Th0mKa
Th0mKa 20.04.2023 um 12:42:49 Uhr
Goto Top
Zitat von @TomTomBon:
Das MS das nicht WILL ist klar.
Microsoft ist egal ob der Virtualisierer ESXi, KVM, Hyper-V oder sonst was ist, die Lizensierung ist immer gleich und an den Host gebunden. Du mußt der Hardware eine entsprechende Anzahl Windows Server Standard Core Lizenzen (soviele Core Lizenzen wie die CPUs des Host zusammen physische Cores haben, aber mindestens 8 pro CPU und 16 pro Host) zuweisen und darfst dann 2 Windows Server VMs darauf laufen lassen. Wenn du mehr als 2 Windows Server VMs auf der Hardware brauchst mußt du halt die Anzahl der zugewiesenen Lizenzen des Hosts entsprechend erhöhen. Alternativ kauft man irgendwann Datacenter, da kann man soviele Windows Server VMs laufen lassen wie man mag.
MysticFoxDE
MysticFoxDE 20.04.2023 um 21:13:56 Uhr
Goto Top
Moin @DCFan01,

Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.

Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack

Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉

Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪

Beste Grüsse aus PaWü
Alex
Lochkartenstanzer
Lochkartenstanzer 20.04.2023 um 22:08:42 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @DCFan01,

Allerdings bräuchte ich dann noch eine weitere 2022 STD Lizenz richtig?

wenn du den DC auf einem NUC laufen lassen möchtest, dann benötigt der NUC natürlich auch eine vollwertige Server 2022 STD Lizenz.

Was Lizenzen angeht, so solltest du dir vielleicht mal das Action Pack anschauen.
https://partner.microsoft.com/de-de/partnership/action-pack

Kostet um die 400,./Jahr, beinhaltet aber dafür einen Grundstock an MS-Lizenzen.
Unter anderem ...
1 x Server 2022 SDT 16 Cores
1 x SQL Server STD 4 Cores
10 x W10 oder W11 Enterprise
10 x Office 2019 Professional Plus
und noch einiges mehr. 😉

Und ja, du kannst jederzeit MS Partner werden, selbst dann wenn ihr nur Pommes machen würdet. 🤪

Die sind aber nur für Testsu d Evaluationen gedacht und nicht für Produktivbetrieb iirc. Und man hat due Lizenz nur, wenn man solange man die Abogebühren zahlt.

lks
MysticFoxDE
MysticFoxDE 20.04.2023 aktualisiert um 23:13:57 Uhr
Goto Top
Moin @Lochkartenstanzer,

Die sind aber nur für Testsu d Evaluationen gedacht und nicht für Produktivbetrieb iirc.

das ist so nicht ganz korrekt.
Die direkt im Action Pack direkt enthaltenen Lizenzen, die ich vorhin auch angesprochen habe, sind für die interne Nutzung gedacht.
Die in dem MSDN Zugang enthaltenen Lizenzen, der ebenfalls im Action Packt drin ist, sind hingegen so wie du sagst für Test und Evaluationen gedacht.

Und man hat due Lizenz nur, wenn man solange man die Abogebühren zahlt.

Das ist bei 400,-/Jahr aber kein Beinbruch und man hat zudem den Zugriff auf die aktuellste MS-Software.
Alleine schon 5 x Office 365E3 kostet aktuell 1506,-/Jahr Netto und diese Lizenzen sind im Action Pack bereits drin.
Sprich, alleine schon dadurch rechnet sich das Action Pack für die meisten kleinen. 😉

Beste Grüsse aus BaWü
Alex
jsysde
jsysde 20.04.2023 um 23:44:14 Uhr
Goto Top
N'Abend.

Zitat von @DCFan01:
Ist dieses Szenario wirklich so wahrscheinlich?
Nein. Aber halt schon (mehrmals) vorgekommen.

Cheers,
jsysde
jsysde
jsysde 20.04.2023 um 23:46:20 Uhr
Goto Top
N'Abend.

Zitat von @MysticFoxDE:
Dann nehme das nächste Mal nicht nur eine USV sondern zwei davon, dann packst du noch ein ATS zwischen diese[...]
War/ist vorhanden. Nutzt dir aber nix, wenn im Gebäude deines Kunden eigene Transformatoren stehen, die einen Fehler mit entsprechenden Stromschwankungen verursachen. Hätte ich mir nicht ausdenken können, bin aber von der Realität eingeholt worden.

Cheers,
jsysde
MysticFoxDE
MysticFoxDE 21.04.2023 um 06:01:04 Uhr
Goto Top
Moin @jsysde,

War/ist vorhanden. Nutzt dir aber nix, wenn im Gebäude deines Kunden eigene Transformatoren stehen, die einen Fehler mit entsprechenden Stromschwankungen verursachen. Hätte ich mir nicht ausdenken können, bin aber von der Realität eingeholt worden.

dann waren das sicher keine Online-USV's (Doppelwandler-USV's).
Denn diese erzeugen durch den zweiten Wandler ausgangsseitig immer eine saubere 230V Spannung und zwar ganz unabhängig davon, was eingangsseitig reinkommt.

Beste Grüsse aus BaWü
Alex
goscho
goscho 21.04.2023 um 10:51:47 Uhr
Goto Top
Moin,

ich glaube, ich muss jetzt auch noch meinen Senf zu diesemThema geben.

Warum:
Ich betreue fast ausschließlich solche Kunden (2-65 Clients) und das schon seit ungefähr 25 Jahren.

DC virtualisiert?
-> klar, spricht überhaupt nix dagegen
Hyper-V-Host in die Domäne
-> Das mache ich bei fast allen dieser Umgebungen - es gab/gibt die unterschiedlichsten Gründe, warum ich das gemacht habe bzw. immer noch mache (MS Telefonieserver da Anschluss an die TK-Anlage per USB/seriell nötig war, WSUS, Backup-Server)
-> Der Host startet ohne dass ein DC da ist, man kann sich an diesem auch ohne DC (lokal) anmelden, VMs starten automatisch (zuerst der DC die anderen verzögert)

Backup-Server auf Hyper-V-Host?
-> mache ich auch bei vielen dieser Umgebungen
-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.

2. DC?
Klar, wird empfohlen. Bringt aber in Umgebungen mit weniger als 10 Clients fast nichts außer Mehrkosten für Lizenzen, die der TO auch nicht haben will.
Wenn der DC spinnt, wird er durch das funktionierende Backup des Vortags ersetzt.
Das geht meist sogar wesentlich schneller und unkomplizierter, als sich nicht mehr replizierende DC wieder in Fluss zu bekommen.

Ich habe in den letzten 20 Jahren bei meinen Kunden ganz selten mal ein Problem mit dem AD gehabt.

2. DC auf einen Mini-PC?
Das ist so, wie wenn der Handwerker als Reserve für seinen Transporter einen Smart mit Anhängekupplung in die Garage stellt.
Entweder ich nehme einen richtigen Server oder lasse es. Wenn ich eine zusätzliche Serverlizenz für mehrere Hundert € kaufe, kann ich auch einen zusätzlichen Server kaufen, bspw. einen HP Microserver oder einen ähnlichen Einstiegsserver.

DC macht nix außer AD und DHCP?
-> Wie vermittelt ihr den Kleinbetrieben, dass sie für jede 2. Rolle eine weitere Serverlizenz brauchen? Zumeist möchten diese (wie der TO auch) die 2 Lizenzen der Standard-Version nutzen und gut.
Ein Traum (aber unrealistisch) sind solche Szenarien:
  • 1. VM nur AD + DHCP
  • 2. VM Fileserver (+ Printserver?)
  • 3. VM ERP (hier irgend eine sage Lösung)
  • 4. VM Mailserver (wenn nicht aus der Wolke)
  • 5. VM CRM
  • 6. VM AV-Verwaltung
  • 7. VM WSUS
  • zusätzlicher DC auf 2. Host oder Blech
  • Backup-Server (2. Host oder noch ein Blech

separate VLANs?
Natürlich kann man jeden Pups in sein eigenes von allem anderen getrennte Verwaltungs-VLAN packen.
Ich finde das auch ganz toll und mache es selbst gern.
Man muss es natürlich auch verwalten können.
Welches KMU hat die qualifizierten Mitarbeiter dafür?
Externe Dienstleister können das zwar idR, sind aber nicht immer sofort verfügbar oder die KMU scheuen
die Kosten für diese Dienstleistungen.


Der TO schreibt ja was von 2 DL380G10. Wenn beide Hyper-V Hosts sind, braucht es eh 2 Server Standard Lizenzen, wobei dann jeweils 2 VMs eine Lizenz bekommen können.

PS: Mit APC USVen (Smart-UPS) habe ich nur dann schlechte Erfahrungen gemacht, wenn man die Meldungen zum Akkutausch, Kommunikationsfehlern etc. missachtet.
DCFan01
DCFan01 24.04.2023 um 17:41:56 Uhr
Goto Top
Zitat von @goscho:

Moin,

ich glaube, ich muss jetzt auch noch meinen Senf zu diesemThema geben.

Warum:
Ich betreue fast ausschließlich solche Kunden (2-65 Clients) und das schon seit ungefähr 25 Jahren.

DC virtualisiert?
-> klar, spricht überhaupt nix dagegen
Hyper-V-Host in die Domäne
-> Das mache ich bei fast allen dieser Umgebungen - es gab/gibt die unterschiedlichsten Gründe, warum ich das gemacht habe bzw. immer noch mache (MS Telefonieserver da Anschluss an die TK-Anlage per USB/seriell nötig war, WSUS, Backup-Server)
-> Der Host startet ohne dass ein DC da ist, man kann sich an diesem auch ohne DC (lokal) anmelden, VMs starten automatisch (zuerst der DC die anderen verzögert)

Backup-Server auf Hyper-V-Host?
-> mache ich auch bei vielen dieser Umgebungen
-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.

2. DC?
Klar, wird empfohlen. Bringt aber in Umgebungen mit weniger als 10 Clients fast nichts außer Mehrkosten für Lizenzen, die der TO auch nicht haben will.
Wenn der DC spinnt, wird er durch das funktionierende Backup des Vortags ersetzt.
Das geht meist sogar wesentlich schneller und unkomplizierter, als sich nicht mehr replizierende DC wieder in Fluss zu bekommen.

Ich habe in den letzten 20 Jahren bei meinen Kunden ganz selten mal ein Problem mit dem AD gehabt.

2. DC auf einen Mini-PC?
Das ist so, wie wenn der Handwerker als Reserve für seinen Transporter einen Smart mit Anhängekupplung in die Garage stellt.
Entweder ich nehme einen richtigen Server oder lasse es. Wenn ich eine zusätzliche Serverlizenz für mehrere Hundert € kaufe, kann ich auch einen zusätzlichen Server kaufen, bspw. einen HP Microserver oder einen ähnlichen Einstiegsserver.

DC macht nix außer AD und DHCP?
-> Wie vermittelt ihr den Kleinbetrieben, dass sie für jede 2. Rolle eine weitere Serverlizenz brauchen? Zumeist möchten diese (wie der TO auch) die 2 Lizenzen der Standard-Version nutzen und gut.
Ein Traum (aber unrealistisch) sind solche Szenarien:
  • 1. VM nur AD + DHCP
  • 2. VM Fileserver (+ Printserver?)
  • 3. VM ERP (hier irgend eine sage Lösung)
  • 4. VM Mailserver (wenn nicht aus der Wolke)
  • 5. VM CRM
  • 6. VM AV-Verwaltung
  • 7. VM WSUS
  • zusätzlicher DC auf 2. Host oder Blech
  • Backup-Server (2. Host oder noch ein Blech

separate VLANs?
Natürlich kann man jeden Pups in sein eigenes von allem anderen getrennte Verwaltungs-VLAN packen.
Ich finde das auch ganz toll und mache es selbst gern.
Man muss es natürlich auch verwalten können.
Welches KMU hat die qualifizierten Mitarbeiter dafür?
Externe Dienstleister können das zwar idR, sind aber nicht immer sofort verfügbar oder die KMU scheuen
die Kosten für diese Dienstleistungen.


Der TO schreibt ja was von 2 DL380G10. Wenn beide Hyper-V Hosts sind, braucht es eh 2 Server Standard Lizenzen, wobei dann jeweils 2 VMs eine Lizenz bekommen können.

PS: Mit APC USVen (Smart-UPS) habe ich nur dann schlechte Erfahrungen gemacht, wenn man die Meldungen zum Akkutausch, Kommunikationsfehlern etc. missachtet.


Servus,

kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?

Oder muss und sollte ich die VMs dann vorher immer pausieren/suspenden/herunterfahren?
goscho
goscho 25.04.2023 aktualisiert um 09:46:25 Uhr
Goto Top
Zitat von @DCFan01:
Zitat von @goscho:
Backup-Server auf Hyper-V-Host?
-> mache ich auch bei vielen dieser Umgebungen
-> ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
-> Backup auf NAS im LAN und Kopie des Fullbackups auf RDX, welches direkt am Backup-Server (oft der Hyper-V-Host) angeschlossen ist. Die RDX werden im 2-Wochenrhytmus getauscht und außer Haus gelagert
-> alles steht und fällt mit einem gut geplanten, durchgeführten, überwachten und regelmäßig getesteten Backup.

Servus,

kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?

Oder muss und sollte ich die VMs dann vorher immer pausieren/suspenden/herunterfahren?

Super, dass du meinen Beitrag komplett zitierst und eine Frage zum Backup stellst.

Ich kann dir weder sagen, wie es das Windows-Server Backup macht, noch nutze oder kenne ich selbst Veeam Endpoint Free.
Zitat von @goscho:
ich nutze seit dem letzten Jahrtausend Veritas Backup Exec
Damit geht das alles problemlos, ohne eine VM herunterzufahren.
Diese werden so gesichert, dass man entweder eine VM superschnell aus dem Backup starten kann oder aber man stellt mit Hilfe der Agenten nur bestimmte Teile wieder her, bspw. einzelne AD- oder Exchange-Objekte (versehentlich gelöschte User oder auch nur eine einzelne Mail).

Das ist kein kostenloses Backupprogramm, aber meine Kunden verstehen, dass man beim Backup sowohl für die Hardware als auch die Software und die Dienstleistung (Installation/Einrichtung/Betreueung) Geld bezahlt.
madnem
madnem 03.05.2023 aktualisiert um 09:35:55 Uhr
Goto Top
Zitat von @madnem:

Wenn du nicht mehr als 10 VMs hast, kannst du Veeam kostenlos benutzen. Die Windows Server Sicherung würd ich persönlich nicht verwenden.
Anders als Veeam es vorschreibt funktioniert Veeam auch gut wenn du es auf den Hyper-V installierst. Hab ich jetzt bei mehreren kleinen Kunden "getestet" und bis jetzt noch keine Nachteile damit.


@goscho Gut das ich deine Frage eigentlich schon beantwortet habe face-smile

Aber Achtung: Veeam direkt auf den Host zu installieren ist nicht die offizielle Lösung vom Hersteller. Ich kann nur sagen das es bei meinen Systemen kein Problem macht und dir nichts garantieren.
goscho
goscho 03.05.2023 um 15:13:56 Uhr
Goto Top
Zitat von @madnem:
@goscho Gut das ich deine Frage eigentlich schon beantwortet habe face-smile
Welche meiner Fragen hast du beantwortet?
madnem
madnem 03.05.2023 um 15:49:52 Uhr
Goto Top
@goscho Ach ich dödel, du hast das ja auch nur zitiert, sorry. Ich meinte die Frage von @DCFan01
kann ich eigentlich auf dem Hyper-V Host einfach Windows Server Backup bzw Veeam Endpoint Free verwenden, um ein komplettes Image des Hyper-V inkl seiner VMs durchführen?
DCFan01
DCFan01 16.05.2023 aktualisiert um 10:51:28 Uhr
Goto Top
Danke erstmal an alle fur eure zahlreichen Rückmeldungen und Tipps.

Jetzt noch folgende Frage

ich richte gerade testweise einen Hyper-V mit 2 VMs ein und habe 2 USV an den Server angeschlossen ( redundante Netzteile).
Jetzt wollte ich einstellen , was mit den VMs passiert, wenn der Akku leer werden sollte.

Kann und darf ich einen virtualisierten Domaincontroller einfach suspenden oder würdet ihr die Variante „herunterfahren“ bevorzugen ?
Lochkartenstanzer
Lochkartenstanzer 16.05.2023 um 11:44:55 Uhr
Goto Top
Zitat von @DCFan01:

Danke erstmal an alle fur eure zahlreichen Rückmeldungen und Tipps.

Jetzt noch folgende Frage

ich richte gerade testweise einen Hyper-V mit 2 VMs ein und habe 2 USV an den Server angeschlossen ( redundante Netzteile).
Jetzt wollte ich einstellen , was mit den VMs passiert, wenn der Akku leer werden sollte.

Kann und darf ich einen virtualisierten Domaincontroller einfach suspenden oder würdet ihr die Variante „herunterfahren“ bevorzugen ?

i.d.R. kann man die "Standard-VMS" wie DC, File und Print ohne weiteres in den Schlaf schicken. Da hatte ich bisher nie Probleme. Bei Datenbankserver ist eher ein geordnetes Herunterfahren ratsamer.

lks