vesto100
Goto Top

Neuaufbau Active Directory für zwei Standorte mit Hyper-V und DFS

Hi zusammen,

ich wollte mal mein Konzept vorstellen und Euch fragen ob das generell so Sinn ergibt.
Ich möchte zwei Standorte mit erstmal je 5 Mitarbeitern zu einrichten. Später mehr Mitarbeiter - auf SBS möchte ich gleich verzichten.
Exchange möchte ich über O365 abdecken und brauche daher keinen eigenen Server.
Erstmal gehts nur um ein AD und Fileserver.

Ich wollte das jetzt mit je einem Blechserver an jedem Standort aufbauen. Jeweils zwei virtuelle Server über Hyper-V. Erste VM Domain Controller. Zweite VM Fileserver. Auf die Fileserver VM sollte der Dirsync noch mit rauf können ohne dass sich das beißt.

Die zwei Server in zwei verschiedenen Standorte sollen eine gegenseitige Absicherung ermöglichen. Primärer DC in Standort 1 und Sekundärer DC in Standort 2.
Kann ich mit DFS das so einrichten, dass alle Dateien auf beiden Servern gespiegelt sind und daher im Failover sind?
Die Benutzer sollten im Normalfall dann auf den Server on site zugreifen, aber bei Ausfall eines Server auf den im anderen Büro.

Dann muss ich mir noch über ein Backup gedanken machen. Hochverfügbarkeit durch Live-Migration brauche ich nicht, aber ich muss die VMs leicht wieder herstellen können.

Bin ich auf dem richtigen Weg?

Content-ID: 270761

Url: https://administrator.de/forum/neuaufbau-active-directory-fuer-zwei-standorte-mit-hyper-v-und-dfs-270761.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

BBfreak
BBfreak 30.04.2015 aktualisiert um 16:21:50 Uhr
Goto Top
Hallo Vesto100,

zwei Server für je 5 Mann ist recht viel, aber wenn das schnell wachsen soll: ok.

Hyper-V mit DC und Fileserver getrennt. Auch ok.

DirSync würde ich nicht nutzen. Einfach das Windows-DFS für die Freigaben nutzen. Damit hast du ein Failover, ja.

Das Failover regelst du über den Windows-DNS-Server und Standorte. Also unterschiedliche IP-Berieche wählen. Dann bekommen die clients am Standort-A auch den DNS und Server von Standort-A als erste Antwortadresse zugewiesen. Die nutzen den dann solange wie der erreichbar ist. Bei internen Klasse-B Netzen oder Subnetting musst Du das ggf. noch anpassen.

An den Hyper-V-Host eine externe 3TB-Platte hängen und das Windows-Feature Server-Sicherung installieren. Ist keine Rolle, daher auf dem Host wohl erlaubt. Damit den Host und die VMs sichern. Günstige Variante um VMs und Host einfach restoren zu können. Ist aber kein Disaster-Recovery. (Wenn es brennt ist es auch weg). Zum Zurückspielen von Dateien ist das aber auch nicht zu gebrauchen. Da ggf. Schattenkopien aktivieren wenn genug Platz vorhanden ist.

Ansonsten hört sich Dein Plan meiner Meinung nach Gut an.

Gruß
BBfreak
GuentherH
GuentherH 30.04.2015 um 16:27:57 Uhr
Goto Top
An den Hyper-V-Host eine externe 3TB-Platte hängen und das Windows-Feature Server-Sicherung installieren

... und Altaro als Backupsoftware verwenden. Dann ist sowohl eine Offsite Copy als auch ein Restore einzelner Dateien möglich - http://www.altaro.com/

LG Günther
stephan.ertel
stephan.ertel 30.04.2015 um 16:29:06 Uhr
Goto Top
Hi,

joar, klingt doch garnicht mal soo schlecht. 5MA wirds schon verkraften face-smile
Am wichtigsten hierbei: DNS!! denn wenn der DC ausfällt muss a) der andere DC zuverlässig als 2. DNS eingetragen sein.. und b) erreichbar face-smile
ohne DNS würde garnichts mehr gehen AD sowieso und auch die DFS-Shares brauchen DNS. Das ist denk ich am wichtigsten.
Und die WAN leitung, also speziell die DC´s müssen sich immer erreichen.. k.A., bei 5 MA -

Kommt halt auf die Datenmenge/Nutzung des Filers an, eventuell geht dann an diesem Standort nicht mehr viel face-smile wenn alles übers WAN muss.

DFS kann auch replizieren, muss aber extra konfiguriert werden (und alles muss durch die WAN-Leitung - aber zeitpunkt zB kann man festlegen).
Mach aber auf jeden Fall getrennte platten oder ein wirklich schnelles array für die je 2 VMs. 2 NIC´s..

2 Hosts wären schon besser pro Standort.. ein DNS muss immer erreichbar sein, dann geht des schon face-smile

Grüße, Stephan
stephan.ertel
stephan.ertel 30.04.2015 um 16:38:25 Uhr
Goto Top
aber beim DFS die Replikation auch konfigurieren, reines DFS (nur shares) - stellt nur das failover für die shares bereit, kopiert keine daten die evtl geändert wurden..
Vesto100
Vesto100 30.04.2015 um 16:42:36 Uhr
Goto Top
Danke für die schnelle Rückmeldung. Ja es geht später um größeres und hiermit will ich einen vernünftigen Grunstein legen. DirSync war für O365 gedacht. Bzw. jetzt wohl eher AAD Sync als Nachfolger.
Hat mit DFS ja erstmal nichts zu tun oder meintest du das auch gar nicht?
Mit DFS möchte ich eigentlich ein einziges Share, was auf beiden Servern gesynct ist. D.h. alle Daten sind auf beiden physisch Servern vorhanden und somit kann ruhig einer ausfallen.
Beide Standorte bekommen ein /24 oder /23 Subnetz und sind per VPN miteinander verbunden. Jeweils eine Site und damit haben die Clients dann pro Standort "ihren" Server. Dennnoch Zugriff möglich auf den Server im anderen Standort.

Sicher ich Host und VMs im Generationenprinzip immer komplett weg? Wird das komprimiert? Evtl. gibts eine Möglichkeit das inkrementell von Server 1 auf Server 2 zu sichern und vice versa.
Zum Backup hab ich mir noch nicht viel Gedanken gemacht. Das kommt noch : )
stephan.ertel
stephan.ertel 30.04.2015 um 16:56:34 Uhr
Goto Top
Also sichern würde ich die vm´s einzeln und den host garnicht, also einfach weil da nix drin ist face-smile nen nackten hyper-v hast doch schnell wieder aufgesetzt...
Und nen DC brauchst nur im absoluten notfall wiederherstellen, im normalfall ist ja alles auf dem anderen. AD bereinigen, neuen DC aufsetzen und replizieren lassen.. Aber die maschinen würd ich auf jeden Fall einzeln sichern - quasi aus der VM heraus..
BBfreak
BBfreak 30.04.2015 um 16:57:12 Uhr
Goto Top
Die Windows-Server-Sicherung nutzt Snapshots und damit kommst Du i.d.R. schon recht weit mit. GGf. Kannst du ja ab und an die Platten tauschen. Ein Sichern von Server A mit den VMs auf Server B und andersrum klingt in der Theorie gut, ist aber in der Praxis schwer. Erstens werden deine Leitungen stark belastet für die Zeit. Auch benötigst du für einen Restore sehr lange wenn die Daten erstmal wieder durch das VPN zurück müssen...

Wie Stephan bereits geschrieben hat: DFS mit Replikation konfigurieren. Wozu brauchst Du bei O365 ein Sync? Die Daten liegen ja alle in der Cloud?

Ich hoffe, dass der Kunde (?) das mit dem Grundstein auch versteht. Zwei Server und beide mit Storage-Platten kosten schon einiges. Wenn Konkurenz da ist: erstmal einen Server anbieten und den anderen Std. nur per VPN anbinden. Dann Optional den zweiten Server nachreichen wenn es soweit ist.
Th0mKa
Th0mKa 30.04.2015 um 17:20:51 Uhr
Goto Top
Zitat von @BBfreak:

Wozu brauchst Du bei O365 ein Sync?

Fuer das Single Sign On, zweimal anmelden ist doof.

VG,

Thomas
Vesto100
Vesto100 30.04.2015 um 17:48:33 Uhr
Goto Top
Die beiden Standorte können sich auf jeden Fall immer erreichen und haben ausreichend Bandbreite. Große Datenmengen auf den Shares werden nicht entstehen.. Mir ist nur wichtig, dass es schön redundant aufgebaut ist. DNS ist soweit klar, daher hab ich das nicht erwähnt.
1 Host mit 2 VMs ergab sich aus der Lizensierung. 2 Server je Standort sind doppelte Lizenzen. Und ich denke durch die Virtualisierung der Server bin ich flexibler, auch was spätere Umbauten angeht.
Danke für den Tipp mit Altaro. Ist das eine Alternative zu den Windows eigenen Tools?

@Stephan ja stimmt natürlich. Eigentlich brauch ich ja nur die Daten selbst sichern. Beide Server sind relativ einfach neu aufgesetzt.
@BBfreak Platten tauschen um wieder frische Platten drin zu haben? Ich hätte eher gedacht, was läuft lass ich laufen und riskier mit ner neuen Platte nicht, dass die Murks ist.
Sind Snapshots nicht problematisch bei einem DC?
Die Frage die Stephan aufgeworfen hat, muss ich die Kisten überhaupt sichern oder brauch ich nur ein Archiv für die Daten.
stephan.ertel
stephan.ertel 30.04.2015 um 18:01:28 Uhr
Goto Top
Sichern ja, Backups verwenden NEIN ;) Wenn alles repliziert ist, und der 2. DC läuft - immer nen neuen aufsetzen... ist auch einfacher..
BBfreak meinte sicher "HDD-VSS-Snapshots" - (anders als bei VMs) wird dadurch ne momentaufnahme IM Betrieb möglich, der DC läuft dabei weiter, schreibt änderungen aber in andere HDD-Bereiche und das backup bleibt als image nutzbar (integritär)..

Übrigens auch DC-Upgrades.. einfach die neue version komplett neu daneben stellen (maybe VM), ne woche stehen lassen und dann den alten demoten... das leben kann so einfach sein face-smile
Vesto100
Vesto100 17.05.2015 aktualisiert um 10:41:02 Uhr
Goto Top
Jetzt kämpfe ich mit der Aktivierung schon seit Tagen rum und komme nicht weiter. Es sind immer die kleinen Dinge, die einen aufhalten...
Ich habe leider eine OEM Version zusammen mit dem Dell Server gekauft. Der Host ist aktiviert, aber hat beim Auslesen einen anderen Key als auf dem OEM Aufkleber. Das soll wohl auch so sein.
Den Guest habe ich mit der Eval installiert und dann per DISM* zu ServerStandard migriert und mit slmgr versucht zu aktivieren. Jetzt schmeißt er mir auf dem einen Guest 0x80072f78 aus und auf dem anderen 0x80072ee2, als ob ich keine Internetverbindung hätte. Auch mit Proxy hab ich es erfolglos probiert. Habt ihr noch eine Idee?

DISM /online /Set-Edition:ServerStandard /ProductKey:<OEM-Key> /AcceptEula
slmgr -ipk <OEM-Key>
slmgr /ato


Edit: 0x80072f78 mit Proxy, 0x80072ee2 ohne Proxy. Beide Zugriffe sehe ich auf der Firewall (ist gleichzeitig Proxy) als OK.
Vesto100
Vesto100 18.05.2015 um 09:28:29 Uhr
Goto Top
Die telefonische Aktivierung hat geklappt. D.h. der Key ist in Ordnung. Das kanns doch nicht sein. Meine Firewall (Barracuda NG) lässt eigentlich durch, was durch muss.
Ich hoffe Dell findet noch eine Lösung für mein Problem.
Vesto100
Vesto100 20.05.2015 um 19:00:08 Uhr
Goto Top
OK dreifach-post, aber ich denke das geht in Ordnung. Schuld war die Telekom Hybrid Leitung. Das habe ich nun schmerzhaft rausgefunden, nachdem AADSync sich auch nicht verbinden wollte. Andere Leitung -> Problem gelöst. Ich könnte speien.