Server-Ausfallsicherheit (AD, Exchange usw) Fragen zur Planung
Hallo zusammen,
Da der Betrieb, bei einem Ausfall des Servers, hier zu 98% zum Erliegen kommt wurde beschlossen die Ausfallsicherheit zu erhöhen. Die Beschaffung eines 2. Hardware Servers ist genehmigt und ich beschäftige mich derzeit mit der Planung.
Ziel ist es, bei (Hardware-)Ausfall eines Servers den Betrieb möglichst weit aufrecht und die Wiederherstellungszeit des defekten Servers möglichst kurz zu halten.
Die IT-Infrastruktur sieht folgendermaßen aus:
Internet -> Firewall (IPCop) -> Switche -> Server
Der Server ist ein Tarox T300c G4, Xeon 2,3GHz, 16Gb Ram, 3x 1TB + Hot Spare im RAID 5.
SBS 2011 mit den folgenden (genutzten) Rollen/Diensten:
- AD (DHCP,DNS)
- WSUS
- Exchange
- Druckserver
- Fileserver
- Backup (Acronis B&R 11.5)
- Antivirus (Sophos)
- mehrere SQL Datenbanken
Lizenzen für MS-Produkte können aus dem ActionPack kommen
Meine Grundidee ist folgende:
Der zweite Server wird mit einem Server 2012 bestückt und die HyperV Rolle aktiviert. Darin erstelle ich eine VM mit Server 2012 als Backup-DC (wie läuft das hier mit DHCP&DNS?). Damit wäre beim Ausfall eines Servers die Domäne schonmal „am laufen“.
Der WSUS ist erstmal unkritisch, kann so bleiben wie es ist ;)
Beim Exchange bestehen für mich die größten Fragezeichen. Derzeit bestehen ca. 16 Postfächer, das Senden erfolgt über Smarthost, Empfangen über externes Postfach und POP-Connector.
Hier wäre für mich der erste Schritt den POP Connector zu eliminieren (MX Eintrag beim Provider ändern und Port 25 auf Server leiten. POP Connector aus und gut ist?).
Somit habe ich schon eine Fehlerquelle weniger. Wenn die Hardware (SBS) ausfällt ist aber der Exchange erstmal komplett tot und die Mails laufen sogar ins Leere…
Ich bin hierbei auf die Exchange Database Availability Groups gestoßen. Ohne mir jetzt jedes kleinste Detail anzuschauen erscheint mir dieses Scenario jetzt erstmal passend für uns, ich „verbinde“ beide Server zu einer DAG und wenn einer ausfällt läuft die synchronisierte DB auf dem anderen Server weiter. Somit bleibt der interne Mail-Verkehr erhalten. Habe ich die Funktionsweise richtig verstanden? Woher weiß das Outlook (das ja auf den aktuellen Exchange konfiguriert ist) mit welchem Server es kommunizieren soll, gibt es hier dann eine neue logische Adresse zu dem das Outlook verbindet?
Der externe Mail Verkehr fällt zwar bei Ausfall des SBS trotzdem aus, aber hier müsste es ja dann reichen die Ports in der Firewall auf die VM weiterzuleiten (selbiges gilt für OWA?), der Sendeconnector kann ja auf beiden Servern laufen.
Druckserver ist auch unkritisch.
Die Branchensoftware muss ich (vorerst) mal ausklammern, die wichtigen Lizenzserver mit Dongle habe ich aber in kurzer Zeit auf meinen Rechner umgezogen wenns hart auf hart kommt :D
Beim Fileserver hatte ich an ein DFS auf dem SBS und der VM gedacht. Hier sollte es für den User beim Ausfall eines Servers ohne Einschränkungen weiter laufen (Gruppenrichtlinie zum Laufwerke verbinden auf die neue logische DFS-Adresse ummünzen reicht hier aus?).
Antivirus ist unkritisch, beim Backup bräuchte ich auch nochmal einen Denkanstoß:
Der SBS kann ja weiter mit dem Acronis auf RDX gesichert werden aber wie sicher ich am effektivsten den Hypervisor und VM? Macht es überhaupt Sinn den Hypervisor zu sichern, Windows Server installieren, HyperV aktivieren und die VM importieren dauert wahrscheinlich auch nicht viel länger als das Backup zurückzuspielen…
Die VM selbst könnte ja per Script einfach auf ein NAS oder RDX Laufwerk exportiert werden oder mache ich es mir hier zu einfach?
Sahnehäubchen wäre noch dass ich beim Ausfall des SBS das Backup „schnell“ in eine VM auf dem Zweitserver recovern könnte (oder ggf schon als VM vorhalte) und somit zeitnah beide Server wieder am Laufen habe ohne auf Ersatzteile warten zu müssen.
Ist mein „Plan“ so realisierbar? Könnt ihr mir evtl helfen einige Fragezeichen auszumerzen ;)
(mir ist klar dass es hier noch einige Fragezeichen gibt und ich noch einiges zu lesen habe)
Der Server soll möglichst noch dieses Jahr gekauft werden deswegen würde ich mich auch über Erfahrungswerte zur Dimensionierung des zweiten Servers freuen.
Gruß
dake
Da der Betrieb, bei einem Ausfall des Servers, hier zu 98% zum Erliegen kommt wurde beschlossen die Ausfallsicherheit zu erhöhen. Die Beschaffung eines 2. Hardware Servers ist genehmigt und ich beschäftige mich derzeit mit der Planung.
Ziel ist es, bei (Hardware-)Ausfall eines Servers den Betrieb möglichst weit aufrecht und die Wiederherstellungszeit des defekten Servers möglichst kurz zu halten.
Die IT-Infrastruktur sieht folgendermaßen aus:
Internet -> Firewall (IPCop) -> Switche -> Server
Der Server ist ein Tarox T300c G4, Xeon 2,3GHz, 16Gb Ram, 3x 1TB + Hot Spare im RAID 5.
SBS 2011 mit den folgenden (genutzten) Rollen/Diensten:
- AD (DHCP,DNS)
- WSUS
- Exchange
- Druckserver
- Fileserver
- Backup (Acronis B&R 11.5)
- Antivirus (Sophos)
- mehrere SQL Datenbanken
Lizenzen für MS-Produkte können aus dem ActionPack kommen
Meine Grundidee ist folgende:
Der zweite Server wird mit einem Server 2012 bestückt und die HyperV Rolle aktiviert. Darin erstelle ich eine VM mit Server 2012 als Backup-DC (wie läuft das hier mit DHCP&DNS?). Damit wäre beim Ausfall eines Servers die Domäne schonmal „am laufen“.
Der WSUS ist erstmal unkritisch, kann so bleiben wie es ist ;)
Beim Exchange bestehen für mich die größten Fragezeichen. Derzeit bestehen ca. 16 Postfächer, das Senden erfolgt über Smarthost, Empfangen über externes Postfach und POP-Connector.
Hier wäre für mich der erste Schritt den POP Connector zu eliminieren (MX Eintrag beim Provider ändern und Port 25 auf Server leiten. POP Connector aus und gut ist?).
Somit habe ich schon eine Fehlerquelle weniger. Wenn die Hardware (SBS) ausfällt ist aber der Exchange erstmal komplett tot und die Mails laufen sogar ins Leere…
Ich bin hierbei auf die Exchange Database Availability Groups gestoßen. Ohne mir jetzt jedes kleinste Detail anzuschauen erscheint mir dieses Scenario jetzt erstmal passend für uns, ich „verbinde“ beide Server zu einer DAG und wenn einer ausfällt läuft die synchronisierte DB auf dem anderen Server weiter. Somit bleibt der interne Mail-Verkehr erhalten. Habe ich die Funktionsweise richtig verstanden? Woher weiß das Outlook (das ja auf den aktuellen Exchange konfiguriert ist) mit welchem Server es kommunizieren soll, gibt es hier dann eine neue logische Adresse zu dem das Outlook verbindet?
Der externe Mail Verkehr fällt zwar bei Ausfall des SBS trotzdem aus, aber hier müsste es ja dann reichen die Ports in der Firewall auf die VM weiterzuleiten (selbiges gilt für OWA?), der Sendeconnector kann ja auf beiden Servern laufen.
Druckserver ist auch unkritisch.
Die Branchensoftware muss ich (vorerst) mal ausklammern, die wichtigen Lizenzserver mit Dongle habe ich aber in kurzer Zeit auf meinen Rechner umgezogen wenns hart auf hart kommt :D
Beim Fileserver hatte ich an ein DFS auf dem SBS und der VM gedacht. Hier sollte es für den User beim Ausfall eines Servers ohne Einschränkungen weiter laufen (Gruppenrichtlinie zum Laufwerke verbinden auf die neue logische DFS-Adresse ummünzen reicht hier aus?).
Antivirus ist unkritisch, beim Backup bräuchte ich auch nochmal einen Denkanstoß:
Der SBS kann ja weiter mit dem Acronis auf RDX gesichert werden aber wie sicher ich am effektivsten den Hypervisor und VM? Macht es überhaupt Sinn den Hypervisor zu sichern, Windows Server installieren, HyperV aktivieren und die VM importieren dauert wahrscheinlich auch nicht viel länger als das Backup zurückzuspielen…
Die VM selbst könnte ja per Script einfach auf ein NAS oder RDX Laufwerk exportiert werden oder mache ich es mir hier zu einfach?
Sahnehäubchen wäre noch dass ich beim Ausfall des SBS das Backup „schnell“ in eine VM auf dem Zweitserver recovern könnte (oder ggf schon als VM vorhalte) und somit zeitnah beide Server wieder am Laufen habe ohne auf Ersatzteile warten zu müssen.
Ist mein „Plan“ so realisierbar? Könnt ihr mir evtl helfen einige Fragezeichen auszumerzen ;)
(mir ist klar dass es hier noch einige Fragezeichen gibt und ich noch einiges zu lesen habe)
Der Server soll möglichst noch dieses Jahr gekauft werden deswegen würde ich mich auch über Erfahrungswerte zur Dimensionierung des zweiten Servers freuen.
Gruß
dake
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 290585
Url: https://administrator.de/forum/server-ausfallsicherheit-ad-exchange-usw-fragen-zur-planung-290585.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
pauschal kannst Du nicht für alle Dienste die gleiche Strategie für die Redundanz anwenden. Du mußt jeden Dienst mit seinen Besunderheiten ausfallsicher gestalten.
DNS ist zB unkritisch: Du kannst beliebig viele DNS-Server in Deinem Netz betreiben, die sich gegenseitig replizieren.
Bei DHCP ist das schon anders: Im Netz sollte es nur einen DHCP-Server geben (oder besser: jedes Subnetz darf nur von einem DHCP-Server versorgt werden). Hier würde sich ein Server-Cluster als Ausfallsicherheit anbieten.
Beim AD ist das ganze auch unkritisch: 2 oder mehr ADCs für die Domäne.
Beim Mail-Server kannst Du über mehere MX-Records mit unterschiedlichen Wertigkeiten festlegen, dass bei Ausfall des "Haupt"-Mailservers die Mails an der 2. Mailserver geleitet werden.
Du kannst aber auch ganz anders herangehen und die Ausfallsicherheit auf die Virtualisierungslösung verschieben: 2 Virtualisierungs-Hosts im HA-Verbund. Wenn der eine Host ausfällt werden die VMs auf den anderen Host verschoben. Das setzt aber in der Regel ein externes Storage voraus, auf das beide Hosts Zugriff haben. Das Problem wäre dann ein Ausfall des Storage. Aber auch dafür gibt es Lösungen (die entsprechend kosten ).
Jürgen
pauschal kannst Du nicht für alle Dienste die gleiche Strategie für die Redundanz anwenden. Du mußt jeden Dienst mit seinen Besunderheiten ausfallsicher gestalten.
DNS ist zB unkritisch: Du kannst beliebig viele DNS-Server in Deinem Netz betreiben, die sich gegenseitig replizieren.
Bei DHCP ist das schon anders: Im Netz sollte es nur einen DHCP-Server geben (oder besser: jedes Subnetz darf nur von einem DHCP-Server versorgt werden). Hier würde sich ein Server-Cluster als Ausfallsicherheit anbieten.
Beim AD ist das ganze auch unkritisch: 2 oder mehr ADCs für die Domäne.
Beim Mail-Server kannst Du über mehere MX-Records mit unterschiedlichen Wertigkeiten festlegen, dass bei Ausfall des "Haupt"-Mailservers die Mails an der 2. Mailserver geleitet werden.
Du kannst aber auch ganz anders herangehen und die Ausfallsicherheit auf die Virtualisierungslösung verschieben: 2 Virtualisierungs-Hosts im HA-Verbund. Wenn der eine Host ausfällt werden die VMs auf den anderen Host verschoben. Das setzt aber in der Regel ein externes Storage voraus, auf das beide Hosts Zugriff haben. Das Problem wäre dann ein Ausfall des Storage. Aber auch dafür gibt es Lösungen (die entsprechend kosten ).
Jürgen
Hallo,
Zeit um über ein richtiges Failover und virtualisierung nachzudenken.
Bei euch ist ein SBS im einsatz, also ist alles auf dem einen Rechner, richtig?
Und virtualisiert ist auch noch nicht oder?
Mit Hardware alleine kommst Du nicht sehr weit.
Die Frage ist wie hoch verfügbar soll das ganze werden und ist ein Datenverlußt hinnehmbar?
Sind im Actionpack auch Datacenterlizenzen für 2012R2?
Gruß
Chonta
Zeit um über ein richtiges Failover und virtualisierung nachzudenken.
Bei euch ist ein SBS im einsatz, also ist alles auf dem einen Rechner, richtig?
Und virtualisiert ist auch noch nicht oder?
Mit Hardware alleine kommst Du nicht sehr weit.
Die Frage ist wie hoch verfügbar soll das ganze werden und ist ein Datenverlußt hinnehmbar?
Sind im Actionpack auch Datacenterlizenzen für 2012R2?
Gruß
Chonta
Hallo.
DHCP: Cluster heißt, 2 Server arbeiten mit identischen Inhalten parallel. Der eine aktiv, der andere stand-by. Fällt der erste aus, übernimmt der 2.
Auch hier ist gemeinsamer Storage Voraussetzung. Läßt sich in einer VM-Umgebung prima einrichten.
https://technet.microsoft.com/de-de/library/hh831579.aspx
https://technet.microsoft.com/en-us/library/cc738051%28v=ws.10%29.aspx
Mail: Du hast nicht eingeschränkt, dass ihr nur eine öffentliche IP habt. Üblicher weise besorgt man sich als Firma einen Block aus meheren IPs, um die Dienste zu trennen.
Kosten: Redundanz bzw. Ausfallsicherheit hat entsprchend den Anforderungen ihren Preis. Virtualisierung der Server ist state of the art in der heutigen Zeit. Neben der Ausfallsicherheit, die damit ermöglicht wird, ergeben sich noch viele weitere Vorteile. Und dann ist der Preis relativ. Und für KMUs gibt es auch von VMware recht lukrative Angebote: VMware vSphere Essentials
http://www.vmware.com/files/de/pdf/products/vsphere/VMware-vSphere-Pric ...
Ich kann Dir nur sagen: Ich betreibe seit ca. 3 Jahren einen VMware 3 Knoten-Cluster und lebe seit dem viel ruhiger.
Jürgen
PS: Du kannst natürlich auch das Mailsystem auf einem Cluster betreiben.
DHCP: Cluster heißt, 2 Server arbeiten mit identischen Inhalten parallel. Der eine aktiv, der andere stand-by. Fällt der erste aus, übernimmt der 2.
Auch hier ist gemeinsamer Storage Voraussetzung. Läßt sich in einer VM-Umgebung prima einrichten.
https://technet.microsoft.com/de-de/library/hh831579.aspx
https://technet.microsoft.com/en-us/library/cc738051%28v=ws.10%29.aspx
Mail: Du hast nicht eingeschränkt, dass ihr nur eine öffentliche IP habt. Üblicher weise besorgt man sich als Firma einen Block aus meheren IPs, um die Dienste zu trennen.
Kosten: Redundanz bzw. Ausfallsicherheit hat entsprchend den Anforderungen ihren Preis. Virtualisierung der Server ist state of the art in der heutigen Zeit. Neben der Ausfallsicherheit, die damit ermöglicht wird, ergeben sich noch viele weitere Vorteile. Und dann ist der Preis relativ. Und für KMUs gibt es auch von VMware recht lukrative Angebote: VMware vSphere Essentials
http://www.vmware.com/files/de/pdf/products/vsphere/VMware-vSphere-Pric ...
Ich kann Dir nur sagen: Ich betreibe seit ca. 3 Jahren einen VMware 3 Knoten-Cluster und lebe seit dem viel ruhiger.
Jürgen
PS: Du kannst natürlich auch das Mailsystem auf einem Cluster betreiben.
Hallo,
Mit zwei gleichen Servern Hyper-V und z.B. Starwind läßt sich auch ein Failover ohne extra SAN bauen.
Man kann ggf mit Virtualisierung und Replikation arbeiten, aber hat dann im Fall eines Falles Datenverlust, weil das Replica NIE auf dem selben Stand ist wie das Orginal und wenn das Replica einmal lief, kann man den alten nicht mehr benutzen.
Was Dir evtl weiterhilft ist eine sehr optimierte Backupstrategie (kostet auch geld) wo ein Restor nur X Stunden dauert und Daten maximal eine Stunde alt sind.
Du must Dir auch die Frage stellen, was ist wichtiger Dienste oder Daten wie schnell müssen die Dienste wieder da sein welcher Datenverlust ist angemessen.
Den worst Case nehmen und dann mal durchrechnen was kostet der Ausfall wenn das MB durchbrennt und kein HA vorhanden ist.
Das ist eine wichtige Sache und am Anfang steht was ist der worst Case, wielange darf das dauern und wieviel darf es kosten.
Wenn es nix kosten darf, dann dauert der Stillstand halt einen Arbeitstag und Daten sind jeh nachdem auch von einem ganzen Tag verloren.
Gruß
Chonta
Wäre schön aber ein externes Storage ist teuer und stellt dann wieder einen Single Point of Failure dar, davon will ich ja eigentlich weg
Die kann man auch redundant aufbauen.Mit zwei gleichen Servern Hyper-V und z.B. Starwind läßt sich auch ein Failover ohne extra SAN bauen.
Ich denke eine "richtige" HA-Lösung mit 2 Servern und 2 Storages ist für unsere 12 Leute hier Overkill (auch kostenmäßig).
Hoch verfügbarkeit kostet aber Kohle und ein bisschen HA ist ......Man kann ggf mit Virtualisierung und Replikation arbeiten, aber hat dann im Fall eines Falles Datenverlust, weil das Replica NIE auf dem selben Stand ist wie das Orginal und wenn das Replica einmal lief, kann man den alten nicht mehr benutzen.
Was Dir evtl weiterhilft ist eine sehr optimierte Backupstrategie (kostet auch geld) wo ein Restor nur X Stunden dauert und Daten maximal eine Stunde alt sind.
Du must Dir auch die Frage stellen, was ist wichtiger Dienste oder Daten wie schnell müssen die Dienste wieder da sein welcher Datenverlust ist angemessen.
Den worst Case nehmen und dann mal durchrechnen was kostet der Ausfall wenn das MB durchbrennt und kein HA vorhanden ist.
Das ist eine wichtige Sache und am Anfang steht was ist der worst Case, wielange darf das dauern und wieviel darf es kosten.
Wenn es nix kosten darf, dann dauert der Stillstand halt einen Arbeitstag und Daten sind jeh nachdem auch von einem ganzen Tag verloren.
Gruß
Chonta
Hallo, das kommt immer auf das Auge des Betrachters an.
Wir sind ein Handwerksbetrieb mit nichtmal 50 Mitarbeitern (allerdings mit einer kleinen, aber feinen Konstruktionsabteilung für Sondermaschinen). Trotzdem lohnt es sich und wir haben das Geld dafür "in die Hand genommen".
Wie hier schon mehrfach erwähnt, ist es eben eine Frage der Schwerpunktsetzung, wofür die Firma ihr Geld ausgibt.
Allerdings gibt es eine Reihe von gesetzlichen Vorgaben (von denen die Geschäftsführung in ihrer Konsequenz meist nichts weiß, obwohl sie dafür perönlich haftet), die auch von "kleinen" Firmen erfüllt werden müssen. Und dazu gehört auch eine Datensicherung bzw Datensicherheit.
Jürgen
Wir sind ein Handwerksbetrieb mit nichtmal 50 Mitarbeitern (allerdings mit einer kleinen, aber feinen Konstruktionsabteilung für Sondermaschinen). Trotzdem lohnt es sich und wir haben das Geld dafür "in die Hand genommen".
Wie hier schon mehrfach erwähnt, ist es eben eine Frage der Schwerpunktsetzung, wofür die Firma ihr Geld ausgibt.
Allerdings gibt es eine Reihe von gesetzlichen Vorgaben (von denen die Geschäftsführung in ihrer Konsequenz meist nichts weiß, obwohl sie dafür perönlich haftet), die auch von "kleinen" Firmen erfüllt werden müssen. Und dazu gehört auch eine Datensicherung bzw Datensicherheit.
Jürgen