18
Gleichgewicht der Netzwerkdienste
Hey Folks!
Ich fasse mich kurz: Ich durchstöbere derweil das Internet nach einem gekonnten Netzwerk-Domänendesign, das eine effiziente Symbiose der grundlegenden Microsoft-Netzwerkdienste gewährleistet.
In der Firma betreue ich 75 Clients, davon sind die Hälfte Workstations und die andere Notebooks. Clientseitig sind alle Überlegungen getroffen. Nun treffe ich Überlegungen an der serverseitigen Konzeption an.
Die Firma hat aktuell:
Ich möchte das Netzwerkkonzept gegen Ausfälle sicherer gestalten, indem ich die Netzwerkdienste auf jeweils eigenständige dezidierte Windows Server aufspiele.
Hierbei dachte ich an das Konzept:
Wie viele einzelne Windows Server wären in diesem Fall konzeptionell angemessen? Hat jemand bereits Erfahrung mit Core Servern im Bereich des Failover Management gesammelt? Lohnt sich dieser Leistungsgewinn?
Liebe Grüße!
Ich fasse mich kurz: Ich durchstöbere derweil das Internet nach einem gekonnten Netzwerk-Domänendesign, das eine effiziente Symbiose der grundlegenden Microsoft-Netzwerkdienste gewährleistet.
In der Firma betreue ich 75 Clients, davon sind die Hälfte Workstations und die andere Notebooks. Clientseitig sind alle Überlegungen getroffen. Nun treffe ich Überlegungen an der serverseitigen Konzeption an.
Die Firma hat aktuell:
2x DC’s (kein roDC, auf beiden laufen die Rollen DNS, DHCP, Active Directory und IIS)
5x NetzwerkdruckerIch möchte das Netzwerkkonzept gegen Ausfälle sicherer gestalten, indem ich die Netzwerkdienste auf jeweils eigenständige dezidierte Windows Server aufspiele.
Hierbei dachte ich an das Konzept:
1x DC
1x DC (repliziert sich, Core Edition ohne GUI)
1x DNS/DHCP
1x DNS/DHCP (repliziert sich, Core Edition ohne GUI)
1x ADCS (Zertifizierungsstelle)
1x Print Server
1x IIS (Intranet Info Website)Wie viele einzelne Windows Server wären in diesem Fall konzeptionell angemessen? Hat jemand bereits Erfahrung mit Core Servern im Bereich des Failover Management gesammelt? Lohnt sich dieser Leistungsgewinn?
Liebe Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1445851840
Url: https://administrator.de/contentid/1445851840
Printed on: April 26, 2024 at 04:04 o'clock
18 Comments
Latest comment
Hallo,
DC und DNS/DHCP würde ich auf einem Server laufen lassen. Mit der Core-Edition ist das so eine Sache. Wenn Du Dir sicher bist, dass alles so bleibt, hats Du eher Vorteile (Sicherheit, Performance) damit. Allerdings kannst Du nicht später auf die GUI upgraden. Die Failover-Configuration von DHCP ist mit und ohne core die gleiche. DC und DNS sowieso.
Ich persönlich installiere momentan immer mit GUI. Wenn es aber nur um eine einzelne Rolle geht, kann man gerne auch als Core installieren. Hast Du mal einen core-Server installiert und soweit konfiguriert, dass er in der Domäne gelandet ist? Wenn nicht, teste das erst mal aus.
Die Zertifizierungsstelle extra auf einem Server passt. Ich würde aber immer eine Zweistufige CA aufsetzen. Dabei sollte die Root-CA auch auf einem gesicherten Server laufen. Vorteil wäre, dass man, wenn man später die Unternehmens-CA umzieht, sich keine Sorgen um die Vertrauensstellungen zur CA machen muss, da ja der RootCA vertraut wird und damit allen untergeordneten Zertifizierungsstellen.
PrintServer separat macht Sinn, IIS separat auch.
Grüße
lcer
DC und DNS/DHCP würde ich auf einem Server laufen lassen. Mit der Core-Edition ist das so eine Sache. Wenn Du Dir sicher bist, dass alles so bleibt, hats Du eher Vorteile (Sicherheit, Performance) damit. Allerdings kannst Du nicht später auf die GUI upgraden. Die Failover-Configuration von DHCP ist mit und ohne core die gleiche. DC und DNS sowieso.
Ich persönlich installiere momentan immer mit GUI. Wenn es aber nur um eine einzelne Rolle geht, kann man gerne auch als Core installieren. Hast Du mal einen core-Server installiert und soweit konfiguriert, dass er in der Domäne gelandet ist? Wenn nicht, teste das erst mal aus.
Die Zertifizierungsstelle extra auf einem Server passt. Ich würde aber immer eine Zweistufige CA aufsetzen. Dabei sollte die Root-CA auch auf einem gesicherten Server laufen. Vorteil wäre, dass man, wenn man später die Unternehmens-CA umzieht, sich keine Sorgen um die Vertrauensstellungen zur CA machen muss, da ja der RootCA vertraut wird und damit allen untergeordneten Zertifizierungsstellen.
PrintServer separat macht Sinn, IIS separat auch.
Grüße
lcer
Wobei ich hier auch zwischen Kosten und Performance abwägen würde. Solange die Server sich "langweilen", würde ich mir die separaten Lizenzkosten sparen, außer man hat eh ein Datacenter zur Verfügung,
lks
@FUHSSrfe:
Hallo.
Verzeih' bitte die Ausdrucksweise, aber zumindest rein leistungsseitig ist das doch alles Popelkram!
1 x DC m. DNS und DHCP
1 x DC m. DNS und DHCP und allem anderen (!)
Intranet und Druckdienste für 75 Clients/User können locker auf dem zweiten DC mitlaufen. Ja, ich weiß, ein DC ist ein DC ist ein DC. Aber wenn man 2 Stück hat? Ich finde es auf jeden Fall hochgradig überdosiert (und deshalb unnötig kostspielig) für jeden kleinen Einzelzweck ein eigenes Serversystem aufzusetzen.
Bloß mit dem Zert.-Dienst kenn' ich mich nicht aus, mag sein, daß es Vorteile hat, wenn der eine eigene Serverinstallation bekommt (bei uns läuft der am 1. DC mit).
Viele Grüße
von
departure69
Hallo.
Verzeih' bitte die Ausdrucksweise, aber zumindest rein leistungsseitig ist das doch alles Popelkram!
1 x DC m. DNS und DHCP
1 x DC m. DNS und DHCP und allem anderen (!)
Intranet und Druckdienste für 75 Clients/User können locker auf dem zweiten DC mitlaufen. Ja, ich weiß, ein DC ist ein DC ist ein DC. Aber wenn man 2 Stück hat? Ich finde es auf jeden Fall hochgradig überdosiert (und deshalb unnötig kostspielig) für jeden kleinen Einzelzweck ein eigenes Serversystem aufzusetzen.
Bloß mit dem Zert.-Dienst kenn' ich mich nicht aus, mag sein, daß es Vorteile hat, wenn der eine eigene Serverinstallation bekommt (bei uns läuft der am 1. DC mit).
Viele Grüße
von
departure69
Zitat von @departure69:
@FUHSSrfe:
Hallo.
Verzeih' bitte die Ausdrucksweise, aber zumindest rein leistungsseitig ist das doch alles Popelkram!
1 x DC m. DNS und DHCP
1 x DC m. DNS und DHCP und allem anderen (!)
Intranet und Druckdienste für 75 User können locker auf dem zweiten DC mitlaufen. Ja, ich weiß, ein DC ist ein DC ist ein DC. Aber wenn man 2 Stück hat? Ich finde es auf jeden Fall hochgradig überdosiert (und deshalb unnötig kostspielig) für jeden Einzelzweck ein eigenes Serversystem aufzusetzen.
Bloß mit dem Zert.-Dienst kenn' ich mich nicht aus, mag sein, daß es Vorteile hat, wenn der eine eigene Serverinstallation bekommt (bei uns läuft der am 1. DC mit).
@FUHSSrfe:
Hallo.
Verzeih' bitte die Ausdrucksweise, aber zumindest rein leistungsseitig ist das doch alles Popelkram!
1 x DC m. DNS und DHCP
1 x DC m. DNS und DHCP und allem anderen (!)
Intranet und Druckdienste für 75 User können locker auf dem zweiten DC mitlaufen. Ja, ich weiß, ein DC ist ein DC ist ein DC. Aber wenn man 2 Stück hat? Ich finde es auf jeden Fall hochgradig überdosiert (und deshalb unnötig kostspielig) für jeden Einzelzweck ein eigenes Serversystem aufzusetzen.
Bloß mit dem Zert.-Dienst kenn' ich mich nicht aus, mag sein, daß es Vorteile hat, wenn der eine eigene Serverinstallation bekommt (bei uns läuft der am 1. DC mit).
Deswegen sage ich ja, daß man da erstmal schauen muß, was die Kisten an Auslastung überhaupt haben und das gegen die Mehrkosten abwägen.
lks
N'Abend.
Also zwei DCs, dazu einen weiteren Server als Print- und Webserver. Die CA würde ich in diesem Fall tatsächlich auf einem der DCs installieren (_OHNE!_ Webdienste!). Nimmt man das Thema "Active Directory Sicherheit" ernst ist ein DC generell so geschützt, dass da niemand "mal eben" dran kommt. Sind die DCs nicht besonders geschützt, ist es letztlich egal, ob die CA auf nem separaten Server läuft oder nicht.
Die Empfehlung, immer mit einer Root- und einer Intermediate-CA zu arbeiten wurde ursprünglich vor dem Hintergrund als Best Practice von MS verkauft, dass die CA online/via Internet erreichbar ist. Und wenn das so ist, macht das auch absolut Sinn - hier geht es aber um ne interne CA für ein Netzwerk von 75 Usern, da tut es auch die CA auf dem DC direkt.
Die "Vorteile" beim Umzug einer CA fallen dann auf den ersten Blick weg, aber auch diese Empfehlung stammt noch aus einer Zeit, als eine solche Migration nicht mit drei Zeilen PowerShell zu erledigen war.
*Just my 5 Cent*
Cheers,
jsysde
Zitat von @departure69:
[...]Verzeih' bitte die Ausdrucksweise, aber zumindest rein leistungsseitig ist das doch alles Popelkram!
Da haste wohl Recht.[...]Verzeih' bitte die Ausdrucksweise, aber zumindest rein leistungsseitig ist das doch alles Popelkram!
[...]Intranet und Druckdienste für 75 Clients/User können locker auf dem zweiten DC mitlaufen.[...]
Da widerspreche ich - du hast es ja selbst schon gesagt: DC ist DC ist DC - da gehört nix anderes hin und niemals nicht darf ein DC auch Printserver sein!Also zwei DCs, dazu einen weiteren Server als Print- und Webserver. Die CA würde ich in diesem Fall tatsächlich auf einem der DCs installieren (_OHNE!_ Webdienste!). Nimmt man das Thema "Active Directory Sicherheit" ernst ist ein DC generell so geschützt, dass da niemand "mal eben" dran kommt. Sind die DCs nicht besonders geschützt, ist es letztlich egal, ob die CA auf nem separaten Server läuft oder nicht.
Die Empfehlung, immer mit einer Root- und einer Intermediate-CA zu arbeiten wurde ursprünglich vor dem Hintergrund als Best Practice von MS verkauft, dass die CA online/via Internet erreichbar ist. Und wenn das so ist, macht das auch absolut Sinn - hier geht es aber um ne interne CA für ein Netzwerk von 75 Usern, da tut es auch die CA auf dem DC direkt.
Die "Vorteile" beim Umzug einer CA fallen dann auf den ersten Blick weg, aber auch diese Empfehlung stammt noch aus einer Zeit, als eine solche Migration nicht mit drei Zeilen PowerShell zu erledigen war.
*Just my 5 Cent*
Cheers,
jsysde
Hallo,
die Sache ist nicht ganz mit 3 Zeilen Powershell getan. Wenn ich beispielsweise alle meine DCs von 2016 auf 2019 „upgraden“ will, würde man ja normalerweise kein InPlaceUpgrade machen, sondern die neuen 2019er promoten und nach erfolgreicher Replikation die 2016er demoten und aus dem Verkehr ziehen. Blöd, wenn dann noch die CA drauf ist. Das Scenario kommt zwar nur alle paar Jahre mal vor, aber kann einen schon etwas unter Druck setzen. Ganz zu schweigen von den grauen Haaren die man bekommt, bis nach Wochen auch der letzte der 75 PCs for neue CA mitbekommen hat. Vorher kann man den CA-DC nämlich nicht entsorgen (zumindest, falls Zertifikate für Authentifizierungen genutzt werden).
Wenn sich der TO Gedanken zur Redundanz macht, hat er sicher bereits beschlossen, Geld auszugeben.
Zum Thema Printserver auf dem DC gab es in letzter Zeit genügend Lektüre. Wie hieß die Sicherheitslücke? Printnightmare? Oder? Der erste Workaround bestand doch darin, den Druckerspooler-Dienst zu deaktivieren.
Grüße
lcer
die Sache ist nicht ganz mit 3 Zeilen Powershell getan. Wenn ich beispielsweise alle meine DCs von 2016 auf 2019 „upgraden“ will, würde man ja normalerweise kein InPlaceUpgrade machen, sondern die neuen 2019er promoten und nach erfolgreicher Replikation die 2016er demoten und aus dem Verkehr ziehen. Blöd, wenn dann noch die CA drauf ist. Das Scenario kommt zwar nur alle paar Jahre mal vor, aber kann einen schon etwas unter Druck setzen. Ganz zu schweigen von den grauen Haaren die man bekommt, bis nach Wochen auch der letzte der 75 PCs for neue CA mitbekommen hat. Vorher kann man den CA-DC nämlich nicht entsorgen (zumindest, falls Zertifikate für Authentifizierungen genutzt werden).
Wenn sich der TO Gedanken zur Redundanz macht, hat er sicher bereits beschlossen, Geld auszugeben.
Zum Thema Printserver auf dem DC gab es in letzter Zeit genügend Lektüre. Wie hieß die Sicherheitslücke? Printnightmare? Oder? Der erste Workaround bestand doch darin, den Druckerspooler-Dienst zu deaktivieren.
Grüße
lcer
N'Abend.
Ok, sieben Zeilen. Dann aber inkl. Installation/De-Installation der Rollen auf den beteiligten Servern.
Cheers,
jsysde
Ok, sieben Zeilen. Dann aber inkl. Installation/De-Installation der Rollen auf den beteiligten Servern.
[...]bis nach Wochen auch der letzte der 75 PCs for neue CA mitbekommen hat.[...]
Häh? Der Client bekommt die Info vom AD und bei korrekter Config erhält er automatisch seine Zertifikate von der neuen CA. Es ist also nur die Replikation der DCs, die man abwarten/verifizieren muss.[...]Zum Thema Printserver auf dem DC gab es in letzter Zeit genügend Lektüre. Wie hieß die Sicherheitslücke? Printnightmare? Oder? Der erste Workaround bestand doch darin, den Druckerspooler-Dienst zu deaktivieren.
Den Spooler auf DCs zu deaktivieren ist irgendwie schon immer Best Practice gewesen. Zumindest kenne ich das nicht anders und hab' das schon in meinem ersten AD-Setups mit Windows 2000 so gemacht....Cheers,
jsysde
Moin,
Die GUI braucht kein Mensch auf dem Server. Wozu? Administriert wird vom Client mit Hilfe der RSATs. Da hast Du alle Kilcki-Bunti-Werkzeuge zur Verfügung, die Du auch auf dem Server hast. Und wenn der Server mal die Netzwerkverbindung verliert, dann analysiert man das sowieso auf der Konsole.
Das ist doch gar kein Problem. Ist die Erstinstallation fertig, dann geht man ins Büro, startet die RSATs und macht den Rest aus der Ferne.
Wozu? Für 75 User einen eigenen Server für die Zertifikate? Was glaubst Du denn, was der Cert-Server so treibt den ganzen Tag, dass er eine eigene Maschine braucht?
Für 75 User?
Beide auf einen und dann noch die DB mit drauf. So'n Server will was zu tun haben. Bei 75 Usern und zentralem Druckern würde ich mir allerdings überlegen, ob ich den Printserver nicht ganz weglasse und die Drucker in den Master der Clients aufnehme. Wieviele Drucker sind das? Zwei? Drei? Und in solchen kleinen Einheiten, entscheiden die User meist selbst, welchen Drucker sie nehmen. Die nehmen sowieso den, der ihrem Büro am nächsten liegt.
Deshalb mein Vorschlag:
2 x DC Core Edition mit DNS und DHCP, DHCP als Cluster und auf einem der beiden die CA
1 x IIS, Printserver und was sonst noch so kommt. Bei 75 Usern kann da, denke ich noch eine DB mit drauf oder der Fileserver oder vielleicht sogar beides. Kommt natürlich auch auf das Blech an, auf dem das Ganze laufen soll. Darüber hat uns der TO ja nichts erzählt. Aber wenn Du z. B. einen HP 380 Gen10 mit ordentlichem(n) Prozessor(en) und hinreichend Speicher, dann kann man das so laufen lassen.
Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen. Und es ist auch nicht immer notwendig. Ich hatte z. B. mal einen Steuerberater, dessen Firma bestand aus ihm, seiner Frau und seiner Sekretärin, die seit 20 Jahren beim ihm arbeitete. Der brauchte ein AD und eine CA, weil sonst irgend eine Software nicht laufen wollte. Klar, dem hätte ich am liebsten fünf Server hingestellt. Aber das ist dann einfach zu teuer. Lizenzkosten sind dabei irrelevant. Installation und Wartung machen den Kohl richtig fett. Am Ende war es dann wie vorher ohne AD ein einziger Server mit allem drauf. Nach außen gut abgesichert und nach innen vollstes Vertrauen.
Liebe Grüße
Erik
Liebe Grüße
Erik
Zitat von @lcer00:
DC und DNS/DHCP würde ich auf einem Server laufen lassen. Mit der Core-Edition ist das so eine Sache. Wenn Du Dir sicher bist, dass alles so bleibt, hats Du eher Vorteile (Sicherheit, Performance) damit. Allerdings kannst Du nicht später auf die GUI upgraden. Die Failover-Configuration von DHCP ist mit und ohne core die gleiche. DC und DNS sowieso.
DC und DNS/DHCP würde ich auf einem Server laufen lassen. Mit der Core-Edition ist das so eine Sache. Wenn Du Dir sicher bist, dass alles so bleibt, hats Du eher Vorteile (Sicherheit, Performance) damit. Allerdings kannst Du nicht später auf die GUI upgraden. Die Failover-Configuration von DHCP ist mit und ohne core die gleiche. DC und DNS sowieso.
Die GUI braucht kein Mensch auf dem Server. Wozu? Administriert wird vom Client mit Hilfe der RSATs. Da hast Du alle Kilcki-Bunti-Werkzeuge zur Verfügung, die Du auch auf dem Server hast. Und wenn der Server mal die Netzwerkverbindung verliert, dann analysiert man das sowieso auf der Konsole.
Ich persönlich installiere momentan immer mit GUI. Wenn es aber nur um eine einzelne Rolle geht, kann man gerne auch als Core installieren. Hast Du mal einen core-Server installiert und soweit konfiguriert, dass er in der Domäne gelandet ist? Wenn nicht, teste das erst mal aus.
Das ist doch gar kein Problem. Ist die Erstinstallation fertig, dann geht man ins Büro, startet die RSATs und macht den Rest aus der Ferne.
Die Zertifizierungsstelle extra auf einem Server passt.
Wozu? Für 75 User einen eigenen Server für die Zertifikate? Was glaubst Du denn, was der Cert-Server so treibt den ganzen Tag, dass er eine eigene Maschine braucht?
Ich würde aber immer eine Zweistufige CA aufsetzen.
Für 75 User?
PrintServer separat macht Sinn, IIS separat auch.
Beide auf einen und dann noch die DB mit drauf.
So'n Server will was zu tun haben. Bei 75 Usern und zentralem Druckern würde ich mir allerdings überlegen, ob ich den Printserver nicht ganz weglasse und die Drucker in den Master der Clients aufnehme. Wieviele Drucker sind das? Zwei? Drei? Und in solchen kleinen Einheiten, entscheiden die User meist selbst, welchen Drucker sie nehmen. Die nehmen sowieso den, der ihrem Büro am nächsten liegt. Deshalb mein Vorschlag:
2 x DC Core Edition mit DNS und DHCP, DHCP als Cluster und auf einem der beiden die CA
1 x IIS, Printserver und was sonst noch so kommt. Bei 75 Usern kann da, denke ich noch eine DB mit drauf oder der Fileserver oder vielleicht sogar beides. Kommt natürlich auch auf das Blech an, auf dem das Ganze laufen soll. Darüber hat uns der TO ja nichts erzählt. Aber wenn Du z. B. einen HP 380 Gen10 mit ordentlichem(n) Prozessor(en) und hinreichend Speicher, dann kann man das so laufen lassen.
Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen. Und es ist auch nicht immer notwendig. Ich hatte z. B. mal einen Steuerberater, dessen Firma bestand aus ihm, seiner Frau und seiner Sekretärin, die seit 20 Jahren beim ihm arbeitete. Der brauchte ein AD und eine CA, weil sonst irgend eine Software nicht laufen wollte. Klar, dem hätte ich am liebsten fünf Server hingestellt. Aber das ist dann einfach zu teuer. Lizenzkosten sind dabei irrelevant. Installation und Wartung machen den Kohl richtig fett. Am Ende war es dann wie vorher ohne AD ein einziger Server mit allem drauf. Nach außen gut abgesichert und nach innen vollstes Vertrauen.
Liebe Grüße
Erik
Liebe Grüße
Erik
Moin.
Cheers,
jsysde
Zitat von @erikro:
[...]Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen.
Ja, da hast du nicht Unrecht - bei einer Umgebung mit drei Mann halte ich das auch für in Ordnung. Wobei man auch in einer solchen Situation, mit nur einer Server Standard Lizenz, virtualisieren und zwei VMs aufsetzen könnte: DC + ein weiterer Server. Sprich: Wo ein Wille ist... [...]Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen.
Cheers,
jsysde
Hi @FUHSSrfe,
auf einem DC sollte niemals etwas anders laufen als ADDS und DNS, auch kein DHCP. ADCS auf einer dedizierten Maschine zu betreiben, ist absolut korrekt, allerdings würde ich immer eine zweistufige PKI aufsetzen, was dann zwei Server bedeutet.
Ob und wie du die restlichen Rollen kombinierst, ist eine Abwägung aus Kosten und Nutzen. Ich würde Print Services und DHCP konsolidieren, den IIS aber dediziert aufsetzen. Dann kannst du den gesondert besser/anders absichern.
Ich persönlich würde für alle o. g. Systeme außer den Print Server Core Server einsetzen. Es gibt bei diesen Rollen absolut keinen Grund, wozu eine GUI vorhanden sein sollte. Ich habe ausnahmslos gute Erfahrungen damit gemacht, bis eben auf Print Server.
Grund: Du kannst auch die Print-Server-Rolle problemlos mit den RSAT-Tools verwalten. Wenn du allerdings umfangreiche Treiberpakete von den Herstellern verwendest, dann bringen diese oftmals eine Vielzahl an Features mit, die über den Treiber und am Ende über den Printer in der Management Console verwaltet werden. Wenn du das remote via RSAT macht, musst du für jeden zu verwaltenden Drucker die Treiber lokal installiert haben, damit diese Settings bekannt sind und in der Konsole funktionieren, Bei eurer Unternehmensgröße kann es durchaus der Fall sein, dass ihr nur zwei oder drei Modelle/Typen im Einsatz habt und ggf. sogar mit nur einem Treiber auskommt, der auf den Admin-Clients eh installiert ist. Dann kann auch der Print Server ein Core Server werden. Wenn dem nicht so ist oder aber du diesen Zustand in Zukunft nicht garantieren kannst, solltest du es bei der Maschine lassen.
Wie sieht's mit einem WSUS aus? Der fehlt in deiner Auflistung. Packe ihn im Zweifel mit zu DHCP und dem Print Service, denn zumindest unter Windows Server 2016 konnte man WSUS (warum auch immer) leider nicht auf einem Core Server installieren.
Viele Grüße
auf einem DC sollte niemals etwas anders laufen als ADDS und DNS, auch kein DHCP. ADCS auf einer dedizierten Maschine zu betreiben, ist absolut korrekt, allerdings würde ich immer eine zweistufige PKI aufsetzen, was dann zwei Server bedeutet.
Ob und wie du die restlichen Rollen kombinierst, ist eine Abwägung aus Kosten und Nutzen. Ich würde Print Services und DHCP konsolidieren, den IIS aber dediziert aufsetzen. Dann kannst du den gesondert besser/anders absichern.
Ich persönlich würde für alle o. g. Systeme außer den Print Server Core Server einsetzen. Es gibt bei diesen Rollen absolut keinen Grund, wozu eine GUI vorhanden sein sollte. Ich habe ausnahmslos gute Erfahrungen damit gemacht, bis eben auf Print Server.
Grund: Du kannst auch die Print-Server-Rolle problemlos mit den RSAT-Tools verwalten. Wenn du allerdings umfangreiche Treiberpakete von den Herstellern verwendest, dann bringen diese oftmals eine Vielzahl an Features mit, die über den Treiber und am Ende über den Printer in der Management Console verwaltet werden. Wenn du das remote via RSAT macht, musst du für jeden zu verwaltenden Drucker die Treiber lokal installiert haben, damit diese Settings bekannt sind und in der Konsole funktionieren, Bei eurer Unternehmensgröße kann es durchaus der Fall sein, dass ihr nur zwei oder drei Modelle/Typen im Einsatz habt und ggf. sogar mit nur einem Treiber auskommt, der auf den Admin-Clients eh installiert ist. Dann kann auch der Print Server ein Core Server werden. Wenn dem nicht so ist oder aber du diesen Zustand in Zukunft nicht garantieren kannst, solltest du es bei der Maschine lassen.
Wie sieht's mit einem WSUS aus? Der fehlt in deiner Auflistung. Packe ihn im Zweifel mit zu DHCP und dem Print Service, denn zumindest unter Windows Server 2016 konnte man WSUS (warum auch immer) leider nicht auf einem Core Server installieren.
Viele Grüße
Servus.
Cheers,
jsysde
Zitat von @Festus94:
[...]auf einem DC sollte niemals etwas anders laufen als ADDS und DNS, auch kein DHCP.[...]
Auf die Begründung bin ich mal gespannt - auf einem DC dürfen und sollten sehr wohl all die Dienste laufen, die zum Betrieb nötig sind. Dazu gehören neben DNS eben auch DHCP und CA, ja selbst DFS ist auf dem DC gut aufgehoben.[...]auf einem DC sollte niemals etwas anders laufen als ADDS und DNS, auch kein DHCP.[...]
[...]ADCS auf einer dedizierten Maschine zu betreiben, ist absolut korrekt, allerdings würde ich immer eine zweistufige PKI aufsetzen, was dann zwei Server bedeutet.
Siehe meinen Kommentar oben - bei Online-Erreichbarkeit ist das korrekt, bei rein interner Verwendung ist es einfach unnötig und oversized.[...]den IIS aber dediziert aufsetzen. Dann kannst du den gesondert besser/anders absichern.
Aha, das erklär mir bitte mal - wie und durch welche Methoden wird ein IIS besser "abgesichert", wenn er auf einem eigenen Server läuft?[...]Ich persönlich würde für alle o. g. Systeme außer den Print Server Core Server einsetzen.
Ich hingegen würde niemals Core einsetzen, wenn ich das nicht zwingend muss. Der Sicherheitsgewinn ist minimal, Performance-Einbussen durch die GUI sind statistisch erfass-, aber nicht spürbar.Cheers,
jsysde
Zitat von @jsysde:
Moin.
Moin.
Zitat von @erikro:
[...]Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen.
Ja, da hast du nicht Unrecht - bei einer Umgebung mit drei Mann halte ich das auch für in Ordnung. Wobei man auch in einer solchen Situation, mit nur einer Server Standard Lizenz, virtualisieren und zwei VMs aufsetzen könnte: DC + ein weiterer Server. Sprich: Wo ein Wille ist... [...]Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen.
Ist schon länger her. Da ging das noch nicht.
Hi @jsysde,
ich habe nicht gesagt, dass sie das nicht dürfen. Ich bleibe aber dabei, dass sie es definitiv nicht sollten.
Die DCs sind mit das Heiligste im Unternehmen und gehören verbarrikadiert, wo nur möglich. Jeder Service, den du zusätzlich darauf betreibst, stellt eine Angriffsfläche dar. Bei DHCP kommt hinzu, dass du in verteilten Umgebungen die Administration nicht an verschiedene Gruppen delegieren kannst.
Natürlich ist es technisch möglich, all diese Services auf nur einem Server zu betreiben. Vermutlich würde @FUHSSrfe damit sogar glücklich werden. Aber aus Security-Sicht kann die Empfehlung immer nur lauten, das AD so gut wie möglich abzusichern. Und da wirst du auch von Microsoft selbst keine andere Antwort bekommen.
ADCS auf einer dedizierten Maschine zu betreiben, macht unter diesen Gesichtspunkten ebenfalls Sinn und erleichtert auch etwaige Migrationen. Das hat auch nichts mit Online-Erreichbarkeit zu tun. (Warum sollte eine interne CA online erreichbar sein? Sag jetzt bitte nicht, wegen den CRLs.
)
Am Ende muss man einfach einsehen, dass derzeit die Angriffe auch auf kleinere Unternehmen zunehmen, und wenn der TO gerade die Infrastruktur neu aufbauen möchte, dann sollte der die Gelegenheit meiner Meinung nach nutzen und den Aspekt Security dabei priorisiert mit einbeziehen.
Den IIS auf einer eigenen Maschine zu betreiben, macht ebenfalls Sinn. Wie er konkret abgesichert werden muss/sollte, hängt natürlich konkret von den Applikationen ab, die darauf gehostet werden sollen. Aber auch hier musst du weitere Ports auf den Server aufmachen, Firewallregeln anpassen etc. Ggf. macht es je nach Anwendungsfall Sinn, den Server in eine DMZ zu stellen. Wissen wir nicht.
Was die Core Server angeht, so finde ich es immer interessant, dass dieses Thema bei Linux nie eine Rolle spielt. Klar kann man auch die GUI-Variante aufsetzen, und das ist am Ende auch nicht wirklich ein Nachteil. Dennoch habe ich in großen Anzahlen sehr gute Erfahrung mit den Core Servern gemacht. Sie sind kompakter, extrem flink und bieten den Vorteil, dass nicht andauernd ein Administrator per RDP auf den Kisten arbeitet, sondern dafür die passenden administrativen Konsolen wie bspw. die RSAT-Tools oder PowerShell verwendet.
Viele Grüße
Festus94
ich habe nicht gesagt, dass sie das nicht dürfen.
Ich bleibe aber dabei, dass sie es definitiv nicht sollten.Die DCs sind mit das Heiligste im Unternehmen und gehören verbarrikadiert, wo nur möglich. Jeder Service, den du zusätzlich darauf betreibst, stellt eine Angriffsfläche dar. Bei DHCP kommt hinzu, dass du in verteilten Umgebungen die Administration nicht an verschiedene Gruppen delegieren kannst.
Natürlich ist es technisch möglich, all diese Services auf nur einem Server zu betreiben. Vermutlich würde @FUHSSrfe damit sogar glücklich werden. Aber aus Security-Sicht kann die Empfehlung immer nur lauten, das AD so gut wie möglich abzusichern. Und da wirst du auch von Microsoft selbst keine andere Antwort bekommen.
ADCS auf einer dedizierten Maschine zu betreiben, macht unter diesen Gesichtspunkten ebenfalls Sinn und erleichtert auch etwaige Migrationen. Das hat auch nichts mit Online-Erreichbarkeit zu tun. (Warum sollte eine interne CA online erreichbar sein? Sag jetzt bitte nicht, wegen den CRLs.
)Am Ende muss man einfach einsehen, dass derzeit die Angriffe auch auf kleinere Unternehmen zunehmen, und wenn der TO gerade die Infrastruktur neu aufbauen möchte, dann sollte der die Gelegenheit meiner Meinung nach nutzen und den Aspekt Security dabei priorisiert mit einbeziehen.
Den IIS auf einer eigenen Maschine zu betreiben, macht ebenfalls Sinn. Wie er konkret abgesichert werden muss/sollte, hängt natürlich konkret von den Applikationen ab, die darauf gehostet werden sollen. Aber auch hier musst du weitere Ports auf den Server aufmachen, Firewallregeln anpassen etc. Ggf. macht es je nach Anwendungsfall Sinn, den Server in eine DMZ zu stellen. Wissen wir nicht.
Was die Core Server angeht, so finde ich es immer interessant, dass dieses Thema bei Linux nie eine Rolle spielt. Klar kann man auch die GUI-Variante aufsetzen, und das ist am Ende auch nicht wirklich ein Nachteil. Dennoch habe ich in großen Anzahlen sehr gute Erfahrung mit den Core Servern gemacht. Sie sind kompakter, extrem flink und bieten den Vorteil, dass nicht andauernd ein Administrator per RDP auf den Kisten arbeitet, sondern dafür die passenden administrativen Konsolen wie bspw. die RSAT-Tools oder PowerShell verwendet.
Viele Grüße
Festus94
Moin,
Ganz einfach, weil Du unter Linux Runlevel 3 brauchst, wenn Du ohne GUI arbeiten willst. Also läuft der Server in der Regeln im RL3. Wenn Du dann doch mal 'ne GUI auf dem Server brauchst, dann schaltest Du um auf RL5 und, wenn Du fertig bist, wieder in RL3. Die GUI ist unter Linux kein unnötiger Balast.
Liebe Grüße
Erik
Zitat von @Festus94:
Was die Core Server angeht, so finde ich es immer interessant, dass dieses Thema bei Linux nie eine Rolle spielt.
Ganz einfach, weil Du unter Linux Runlevel 3 brauchst, wenn Du ohne GUI arbeiten willst. Also läuft der Server in der Regeln im RL3. Wenn Du dann doch mal 'ne GUI auf dem Server brauchst, dann schaltest Du um auf RL5 und, wenn Du fertig bist, wieder in RL3.
Die GUI ist unter Linux kein unnötiger Balast.Liebe Grüße
Erik
Zitat von @erikro:
Moin,
Ganz einfach, weil Du unter Linux Runlevel 3 brauchst, wenn Du ohne GUI arbeiten willst. Also läuft der Server in der Regeln im RL3. Wenn Du dann doch mal 'ne GUI auf dem Server brauchst, dann schaltest Du um auf RL5 und, wenn Du fertig bist, wieder in RL3. Die GUI ist unter Linux kein unnötiger Balast.
Moin,
Zitat von @Festus94:
Was die Core Server angeht, so finde ich es immer interessant, dass dieses Thema bei Linux nie eine Rolle spielt.
Ganz einfach, weil Du unter Linux Runlevel 3 brauchst, wenn Du ohne GUI arbeiten willst. Also läuft der Server in der Regeln im RL3. Wenn Du dann doch mal 'ne GUI auf dem Server brauchst, dann schaltest Du um auf RL5 und, wenn Du fertig bist, wieder in RL3.
Die GUI ist unter Linux kein unnötiger Balast.Falsch. Man installiert bei ordentlichen unix- und linux-Servern überhaupt keine GUI drauf. Die braucht man I.d.R. gar nicht und die nimmt nur unnötig Platz im Filesystem weg. Wenn man mal eine Anwendung auf dem Server hat die eine GUI braucht geht das entweder webbasiert oder per X-forwarding über SSH.
Bei ordentlich programmierten Anwendungen braucht man aber i.d.R. keine GUI auf dem Server.
lks
Moin,
Das ist aber auch das einzige. Das wollte ich damit sagen, wenn man denn unbedingt eine GUI haben will. So lange der RL3 besteht, läuft die GUI nicht. Also kein Einfluss auf die Performance wie unter Windows. Und so viel Platz ist das ja nun auch nicht. Das ist eine Linux-GUI und keine von MS.
Aber Du hast recht. Die Antwort ist falsch auf diese Frage. Der wahre Grund, warum das in der Linuxwelt nicht diskutiert wird, ist, dass sich die, die die GUI installieren, dessen schämen und es niemals zugeben.
Was unter Windows den RSATs entspräche oder Software, die über Web konfiguriert wird.
Womit Du vollkommen recht hast. Eine GUI ist unter keinem System notwendig. Für den ganz seltenen Fall, dass der Server auch von einem Rechner aus seinem Netz heraus nicht mehr erreichbar ist und somit grafische Remote-Tools wegfallen, muss man halt mal im Powershell- oder bash-Handbuch nachschlagen, wie man auf der Konsole das Netzwerk repariert.
Liebe Grüße
Erik
Zitat von @Lochkartenstanzer:
Falsch. Man installiert bei ordentlichen unix- und linux-Servern überhaupt keine GUI drauf. Die braucht man I.d.R. gar nicht und die nimmt nur unnötig Platz im Filesystem weg.
Zitat von @erikro:
Moin,
Ganz einfach, weil Du unter Linux Runlevel 3 brauchst, wenn Du ohne GUI arbeiten willst. Also läuft der Server in der Regeln im RL3. Wenn Du dann doch mal 'ne GUI auf dem Server brauchst, dann schaltest Du um auf RL5 und, wenn Du fertig bist, wieder in RL3. Die GUI ist unter Linux kein unnötiger Balast.
Moin,
Zitat von @Festus94:
Was die Core Server angeht, so finde ich es immer interessant, dass dieses Thema bei Linux nie eine Rolle spielt.
Ganz einfach, weil Du unter Linux Runlevel 3 brauchst, wenn Du ohne GUI arbeiten willst. Also läuft der Server in der Regeln im RL3. Wenn Du dann doch mal 'ne GUI auf dem Server brauchst, dann schaltest Du um auf RL5 und, wenn Du fertig bist, wieder in RL3.
Die GUI ist unter Linux kein unnötiger Balast.Falsch. Man installiert bei ordentlichen unix- und linux-Servern überhaupt keine GUI drauf. Die braucht man I.d.R. gar nicht und die nimmt nur unnötig Platz im Filesystem weg.
Das ist aber auch das einzige. Das wollte ich damit sagen, wenn man denn unbedingt eine GUI haben will. So lange der RL3 besteht, läuft die GUI nicht. Also kein Einfluss auf die Performance wie unter Windows. Und so viel Platz ist das ja nun auch nicht. Das ist eine Linux-GUI und keine von MS.
Aber Du hast recht. Die Antwort ist falsch auf diese Frage. Der wahre Grund, warum das in der Linuxwelt nicht diskutiert wird, ist, dass sich die, die die GUI installieren, dessen schämen und es niemals zugeben.
Wenn man mal eine Anwendung auf dem Server hat die eine GUI braucht geht das entweder webbasiert oder per X-forwarding über SSH.
Was unter Windows den RSATs entspräche oder Software, die über Web konfiguriert wird.
Bei ordentlich programmierten Anwendungen braucht man aber i.d.R. keine GUI auf dem Server.
Womit Du vollkommen recht hast. Eine GUI ist unter keinem System notwendig. Für den ganz seltenen Fall, dass der Server auch von einem Rechner aus seinem Netz heraus nicht mehr erreichbar ist und somit grafische Remote-Tools wegfallen, muss man halt mal im Powershell- oder bash-Handbuch nachschlagen, wie man auf der Konsole das Netzwerk repariert.
Liebe Grüße
Erik
Zitat von @erikro:
... muss man halt mal im Powershell- oder bash-Handbuch nachschlagen, wie man auf der Konsole das Netzwerk repariert.
... muss man halt mal im Powershell- oder bash-Handbuch nachschlagen, wie man auf der Konsole das Netzwerk repariert.
RTFM halt, bekam man früher als Frischling des öfteren um die Ohren gehauen. Haben heutzutage einige aber verlernt und fragen lieber in Adminforen.
lks
Zitat von @erikro:
Moin,
Die GUI braucht kein Mensch auf dem Server. Wozu? Administriert wird vom Client mit Hilfe der RSATs. Da hast Du alle Kilcki-Bunti-Werkzeuge zur Verfügung, die Du auch auf dem Server hast. Und wenn der Server mal die Netzwerkverbindung verliert, dann analysiert man das sowieso auf der Konsole.
Das ist doch gar kein Problem. Ist die Erstinstallation fertig, dann geht man ins Büro, startet die RSATs und macht den Rest aus der Ferne.
Wozu? Für 75 User einen eigenen Server für die Zertifikate? Was glaubst Du denn, was der Cert-Server so treibt den ganzen Tag, dass er eine eigene Maschine braucht?
Für 75 User?
Beide auf einen und dann noch die DB mit drauf. So'n Server will was zu tun haben. Bei 75 Usern und zentralem Druckern würde ich mir allerdings überlegen, ob ich den Printserver nicht ganz weglasse und die Drucker in den Master der Clients aufnehme. Wieviele Drucker sind das? Zwei? Drei? Und in solchen kleinen Einheiten, entscheiden die User meist selbst, welchen Drucker sie nehmen. Die nehmen sowieso den, der ihrem Büro am nächsten liegt.
Deshalb mein Vorschlag:
2 x DC Core Edition mit DNS und DHCP, DHCP als Cluster und auf einem der beiden die CA
1 x IIS, Printserver und was sonst noch so kommt. Bei 75 Usern kann da, denke ich noch eine DB mit drauf oder der Fileserver oder vielleicht sogar beides. Kommt natürlich auch auf das Blech an, auf dem das Ganze laufen soll. Darüber hat uns der TO ja nichts erzählt. Aber wenn Du z. B. einen HP 380 Gen10 mit ordentlichem(n) Prozessor(en) und hinreichend Speicher, dann kann man das so laufen lassen.
Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen. Und es ist auch nicht immer notwendig. Ich hatte z. B. mal einen Steuerberater, dessen Firma bestand aus ihm, seiner Frau und seiner Sekretärin, die seit 20 Jahren beim ihm arbeitete. Der brauchte ein AD und eine CA, weil sonst irgend eine Software nicht laufen wollte. Klar, dem hätte ich am liebsten fünf Server hingestellt. Aber das ist dann einfach zu teuer. Lizenzkosten sind dabei irrelevant. Installation und Wartung machen den Kohl richtig fett. Am Ende war es dann wie vorher ohne AD ein einziger Server mit allem drauf. Nach außen gut abgesichert und nach innen vollstes Vertrauen.
Liebe Grüße
Erik
Liebe Grüße
Erik
Moin,
Zitat von @lcer00:
DC und DNS/DHCP würde ich auf einem Server laufen lassen. Mit der Core-Edition ist das so eine Sache. Wenn Du Dir sicher bist, dass alles so bleibt, hats Du eher Vorteile (Sicherheit, Performance) damit. Allerdings kannst Du nicht später auf die GUI upgraden. Die Failover-Configuration von DHCP ist mit und ohne core die gleiche. DC und DNS sowieso.
DC und DNS/DHCP würde ich auf einem Server laufen lassen. Mit der Core-Edition ist das so eine Sache. Wenn Du Dir sicher bist, dass alles so bleibt, hats Du eher Vorteile (Sicherheit, Performance) damit. Allerdings kannst Du nicht später auf die GUI upgraden. Die Failover-Configuration von DHCP ist mit und ohne core die gleiche. DC und DNS sowieso.
Die GUI braucht kein Mensch auf dem Server. Wozu? Administriert wird vom Client mit Hilfe der RSATs. Da hast Du alle Kilcki-Bunti-Werkzeuge zur Verfügung, die Du auch auf dem Server hast. Und wenn der Server mal die Netzwerkverbindung verliert, dann analysiert man das sowieso auf der Konsole.
Ich persönlich installiere momentan immer mit GUI. Wenn es aber nur um eine einzelne Rolle geht, kann man gerne auch als Core installieren. Hast Du mal einen core-Server installiert und soweit konfiguriert, dass er in der Domäne gelandet ist? Wenn nicht, teste das erst mal aus.
Das ist doch gar kein Problem. Ist die Erstinstallation fertig, dann geht man ins Büro, startet die RSATs und macht den Rest aus der Ferne.
Die Zertifizierungsstelle extra auf einem Server passt.
Wozu? Für 75 User einen eigenen Server für die Zertifikate? Was glaubst Du denn, was der Cert-Server so treibt den ganzen Tag, dass er eine eigene Maschine braucht?
Ich würde aber immer eine Zweistufige CA aufsetzen.
Für 75 User?
PrintServer separat macht Sinn, IIS separat auch.
Beide auf einen und dann noch die DB mit drauf.
So'n Server will was zu tun haben. Bei 75 Usern und zentralem Druckern würde ich mir allerdings überlegen, ob ich den Printserver nicht ganz weglasse und die Drucker in den Master der Clients aufnehme. Wieviele Drucker sind das? Zwei? Drei? Und in solchen kleinen Einheiten, entscheiden die User meist selbst, welchen Drucker sie nehmen. Die nehmen sowieso den, der ihrem Büro am nächsten liegt. Deshalb mein Vorschlag:
2 x DC Core Edition mit DNS und DHCP, DHCP als Cluster und auf einem der beiden die CA
1 x IIS, Printserver und was sonst noch so kommt. Bei 75 Usern kann da, denke ich noch eine DB mit drauf oder der Fileserver oder vielleicht sogar beides. Kommt natürlich auch auf das Blech an, auf dem das Ganze laufen soll. Darüber hat uns der TO ja nichts erzählt. Aber wenn Du z. B. einen HP 380 Gen10 mit ordentlichem(n) Prozessor(en) und hinreichend Speicher, dann kann man das so laufen lassen.
Und zum Thema ein DC ist ein DC ist ein DC: Ja, richtig. Aber in der Praxis lässt sich das nicht immer umsetzen. Und es ist auch nicht immer notwendig. Ich hatte z. B. mal einen Steuerberater, dessen Firma bestand aus ihm, seiner Frau und seiner Sekretärin, die seit 20 Jahren beim ihm arbeitete. Der brauchte ein AD und eine CA, weil sonst irgend eine Software nicht laufen wollte. Klar, dem hätte ich am liebsten fünf Server hingestellt. Aber das ist dann einfach zu teuer. Lizenzkosten sind dabei irrelevant. Installation und Wartung machen den Kohl richtig fett. Am Ende war es dann wie vorher ohne AD ein einziger Server mit allem drauf. Nach außen gut abgesichert und nach innen vollstes Vertrauen.
Liebe Grüße
Erik
Liebe Grüße
Erik
Um weitere Klarheit zu schaffen: die VMs werden auf einem ESXi mit VMware vSphere 7 laufen. Die Windows Server werden mit einer Datacenter Lizenz bestückt, von daher spielt die genaue Anzahl der Windows Server in erster Linie¹ keine Rolle.
¹ in Anbetracht der Hardware, kann ich circa 15 VMs betreiben
