dake84
Goto Top

Server-Ausfallsicherheit (AD, Exchange usw) Fragen zur Planung

Hallo zusammen,
Da der Betrieb, bei einem Ausfall des Servers, hier zu 98% zum Erliegen kommt wurde beschlossen die Ausfallsicherheit zu erhöhen. Die Beschaffung eines 2. Hardware Servers ist genehmigt und ich beschäftige mich derzeit mit der Planung.

Ziel ist es, bei (Hardware-)Ausfall eines Servers den Betrieb möglichst weit aufrecht und die Wiederherstellungszeit des defekten Servers möglichst kurz zu halten.

Die IT-Infrastruktur sieht folgendermaßen aus:
Internet -> Firewall (IPCop) -> Switche -> Server
Der Server ist ein Tarox T300c G4, Xeon 2,3GHz, 16Gb Ram, 3x 1TB + Hot Spare im RAID 5.
SBS 2011 mit den folgenden (genutzten) Rollen/Diensten:
- AD (DHCP,DNS)
- WSUS
- Exchange
- Druckserver
- Fileserver
- Backup (Acronis B&R 11.5)
- Antivirus (Sophos)
- mehrere SQL Datenbanken

Lizenzen für MS-Produkte können aus dem ActionPack kommen

Meine Grundidee ist folgende:
Der zweite Server wird mit einem Server 2012 bestückt und die HyperV Rolle aktiviert. Darin erstelle ich eine VM mit Server 2012 als Backup-DC (wie läuft das hier mit DHCP&DNS?). Damit wäre beim Ausfall eines Servers die Domäne schonmal „am laufen“.

Der WSUS ist erstmal unkritisch, kann so bleiben wie es ist ;)

Beim Exchange bestehen für mich die größten Fragezeichen. Derzeit bestehen ca. 16 Postfächer, das Senden erfolgt über Smarthost, Empfangen über externes Postfach und POP-Connector.
Hier wäre für mich der erste Schritt den POP Connector zu eliminieren (MX Eintrag beim Provider ändern und Port 25 auf Server leiten. POP Connector aus und gut ist?).
Somit habe ich schon eine Fehlerquelle weniger. Wenn die Hardware (SBS) ausfällt ist aber der Exchange erstmal komplett tot und die Mails laufen sogar ins Leere…
Ich bin hierbei auf die Exchange Database Availability Groups gestoßen. Ohne mir jetzt jedes kleinste Detail anzuschauen erscheint mir dieses Scenario jetzt erstmal passend für uns, ich „verbinde“ beide Server zu einer DAG und wenn einer ausfällt läuft die synchronisierte DB auf dem anderen Server weiter. Somit bleibt der interne Mail-Verkehr erhalten. Habe ich die Funktionsweise richtig verstanden? Woher weiß das Outlook (das ja auf den aktuellen Exchange konfiguriert ist) mit welchem Server es kommunizieren soll, gibt es hier dann eine neue logische Adresse zu dem das Outlook verbindet?
Der externe Mail Verkehr fällt zwar bei Ausfall des SBS trotzdem aus, aber hier müsste es ja dann reichen die Ports in der Firewall auf die VM weiterzuleiten (selbiges gilt für OWA?), der Sendeconnector kann ja auf beiden Servern laufen.

Druckserver ist auch unkritisch.

Die Branchensoftware muss ich (vorerst) mal ausklammern, die wichtigen Lizenzserver mit Dongle habe ich aber in kurzer Zeit auf meinen Rechner umgezogen wenns hart auf hart kommt :D

Beim Fileserver hatte ich an ein DFS auf dem SBS und der VM gedacht. Hier sollte es für den User beim Ausfall eines Servers ohne Einschränkungen weiter laufen (Gruppenrichtlinie zum Laufwerke verbinden auf die neue logische DFS-Adresse ummünzen reicht hier aus?).

Antivirus ist unkritisch, beim Backup bräuchte ich auch nochmal einen Denkanstoß:
Der SBS kann ja weiter mit dem Acronis auf RDX gesichert werden aber wie sicher ich am effektivsten den Hypervisor und VM? Macht es überhaupt Sinn den Hypervisor zu sichern, Windows Server installieren, HyperV aktivieren und die VM importieren dauert wahrscheinlich auch nicht viel länger als das Backup zurückzuspielen…
Die VM selbst könnte ja per Script einfach auf ein NAS oder RDX Laufwerk exportiert werden oder mache ich es mir hier zu einfach?

Sahnehäubchen wäre noch dass ich beim Ausfall des SBS das Backup „schnell“ in eine VM auf dem Zweitserver recovern könnte (oder ggf schon als VM vorhalte) und somit zeitnah beide Server wieder am Laufen habe ohne auf Ersatzteile warten zu müssen.
Ist mein „Plan“ so realisierbar? Könnt ihr mir evtl helfen einige Fragezeichen auszumerzen ;)
(mir ist klar dass es hier noch einige Fragezeichen gibt und ich noch einiges zu lesen habe)

Der Server soll möglichst noch dieses Jahr gekauft werden deswegen würde ich mich auch über Erfahrungswerte zur Dimensionierung des zweiten Servers freuen.

Gruß
dake

Content-ID: 290585

Url: https://administrator.de/forum/server-ausfallsicherheit-ad-exchange-usw-fragen-zur-planung-290585.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

chiefteddy
chiefteddy 10.12.2015 aktualisiert um 17:18:22 Uhr
Goto Top
Hallo,

pauschal kannst Du nicht für alle Dienste die gleiche Strategie für die Redundanz anwenden. Du mußt jeden Dienst mit seinen Besunderheiten ausfallsicher gestalten.

DNS ist zB unkritisch: Du kannst beliebig viele DNS-Server in Deinem Netz betreiben, die sich gegenseitig replizieren.

Bei DHCP ist das schon anders: Im Netz sollte es nur einen DHCP-Server geben (oder besser: jedes Subnetz darf nur von einem DHCP-Server versorgt werden). Hier würde sich ein Server-Cluster als Ausfallsicherheit anbieten.

Beim AD ist das ganze auch unkritisch: 2 oder mehr ADCs für die Domäne.

Beim Mail-Server kannst Du über mehere MX-Records mit unterschiedlichen Wertigkeiten festlegen, dass bei Ausfall des "Haupt"-Mailservers die Mails an der 2. Mailserver geleitet werden.

Du kannst aber auch ganz anders herangehen und die Ausfallsicherheit auf die Virtualisierungslösung verschieben: 2 Virtualisierungs-Hosts im HA-Verbund. Wenn der eine Host ausfällt werden die VMs auf den anderen Host verschoben. Das setzt aber in der Regel ein externes Storage voraus, auf das beide Hosts Zugriff haben. Das Problem wäre dann ein Ausfall des Storage. Aber auch dafür gibt es Lösungen (die entsprechend kosten face-smile ).

Jürgen
Chonta
Chonta 10.12.2015 aktualisiert um 17:18:30 Uhr
Goto Top
Hallo,

Zeit um über ein richtiges Failover und virtualisierung nachzudenken.
Bei euch ist ein SBS im einsatz, also ist alles auf dem einen Rechner, richtig?
Und virtualisiert ist auch noch nicht oder?

Mit Hardware alleine kommst Du nicht sehr weit.
Die Frage ist wie hoch verfügbar soll das ganze werden und ist ein Datenverlußt hinnehmbar?

Sind im Actionpack auch Datacenterlizenzen für 2012R2?

Gruß

Chonta
dake84
dake84 10.12.2015 aktualisiert um 17:14:25 Uhr
Goto Top
Hallo Jürgen,
danke für deinen Input face-smile

Zitat von @chiefteddy:

Hallo,

pauschal kannst Du nicht für alle Dienste die gleiche Strategie für die Redundanz anwenden. Du mußt jeden Dienst mit seinen Besunderheiten ausfallsicher gestalten.

DNS ist zB unkritisch: Du kannst beliebig viele DNS-Server in Deinem Netz betreiben, die sich gegenseitig replizieren.

OK, heißt also auf dem 2. DC DNS installieren und im DHCP den 2. DC als alternativen DNS eintragen.

Bei DHCP ist das schon anders: Im Netz sollte es nur einen DHCP-Server geben (oder besser: jedes Subnetz darf nur von einem DHCP-Server versorgt werden). Hier würde sich ein Server-Cluster als Ausfallsicherheit anbieten.
Nur ein DHCP ist klar, wenns von MS nix "automatisches" gibt läuft es wohl auf DHCP auf 2. DC installieren und nur im Bedarfsfall starten raus ;)

Beim AD ist das ganze auch unkritisch: 2 oder mehr ADCs für die Domäne.
Beim Mail-Server kannst Du über mehere MX-Records mit unterschiedlichen Wertigkeiten festlegen, dass bei Ausfall des "Haupt"-Mailservers die Mails an der 2. Mailserver geleitet werden.
Hier kann ich dir nicht ganz folgen ;). Ich setze beim Provider den MX Eintrag auf "öffentliche IP-Adresse" im Router konfiguriere ich die Portweiterleitung auf den SBS. Wenn ich jetzt nen 2. MX Eintrag beim Provider setze kann ich ja auch nur wieder auf die öffentliche IP verweisen und lande wieder auf unserem Router mit der Weiterleitung an den SBS?

Du kannst aber auch ganz anders herangehen und die Ausfallsicherheit auf die Virtualisierungslösung verschieben: 2 Virtualisierungs-Hosts im HA-Verbund. Wenn der eine Host ausfällt werden die VMs auf den anderen Host verschoben. Das setzt aber in der Regel ein externes Storage voraus, auf das beide Hosts Zugriff haben. Das Problem wäre dann ein Ausfall des Storage. Aber auch dafür gibt es Lösungen (die entsprechend kosten face-smile ).

Jürgen
So eine Lösung hatte ich mit VMware schon in Betrieb, diese ist aber, naja, nicht wirklich günstig ;) Zudem würde ich aus Kostengründen gerne ohne externes Storage auskommen. Es geht nicht darum den Betrieb komplett unterbrechungsfrei zu halten sondern eher um die Vermeidung "an einem HW-Server geht was kaputt, ich muss Ersatzteile beschaffen , einbauen, und dann evtl noch das Backup zurückspielen (Unwegbarkeiten und andere Späße mal ganz aussen vor gelassen), am Besten noch ab 9:00Uhr Kernzeit" ;)
Wenn um 9:00 der SBS ausfällt und das AD läuft noch und ich kann "entspannt" auf der VM den DHCP aktivieren und innerhalb ner Std. die Lizenzserver auf einen anderen Rechner ziehen, Ports auf dem Router an den 2. Exchange weiterleiten und mich DANN um den SBS kümmern wäre das schon klasse ;)

Gruß
dake
dake84
dake84 10.12.2015 um 17:08:12 Uhr
Goto Top
Hallo Chonta,

Zitat von @Chonta:

Hallo,

Zeit um über ein richtiges Failover und virtualisierung nachzudenken.
Wäre schön aber ein externes Storage ist teuer und stellt dann wieder einen Single Point of Failure dar, davon will ich ja eigentlich weg face-smile

Bei euch ist ein SBS im einsatz, also ist alles auf dem einen Rechner, richtig?
Und virtualisiert ist auch noch nicht oder?
Richtig, Alles auf dem Hardware SBS. Solange er läuft alles gut, wenn nicht mehr hatte ich dann vor ihn in eine VM zu recovern und dann ggf. temporär auf dem 2. Server wieder hochzufahren bis Ersatzhardware da ist (Das Recovern in eine VM habe ich schon getestet, funktioniert).

Mit Hardware alleine kommst Du nicht sehr weit.
Die Frage ist wie hoch verfügbar soll das ganze werden und ist ein Datenverlußt hinnehmbar?
Siehe oben, kurzer Ausfall ist OK, wenn aber der ganze Arbeitstag oder mehr für Fehlersuche, Ersatzteilbeschaffung Fehlerbehebung usw. drauf geht ists dann doch irgendwann blöd ;)

Sind im Actionpack auch Datacenterlizenzen für 2012R2?
Nein

Gruß

Chonta

Gruß
dake
dake84
dake84 10.12.2015 aktualisiert um 17:28:03 Uhr
Goto Top
Nochmal allgemein:
Ich denke eine "richtige" HA-Lösung mit 2 Servern und 2 Storages ist für unsere 12 Leute hier Overkill (auch kostenmäßig). Wenn wir weiter wachsen wie bisher (Ende 2012 mit 4 Leuten angefangen) kommt das aber sicher irgendwann ;)
Der Geschäftsführung geht's hauptsächlich um möglichst kurze Ausfallzeiten (natürlich immer im Verhältnis zu den Kosten gesehen) und mir um ruhigere Nächte damit ich nicht im Extremfall nachts schwitzend vor dem einzigen Server sitzen muss und hoffen, dass der Fehler (welcher auch immer) bis zum nächsten Morgen behoben sein ist. Hier wärs dann schön wenn ich mit einigen (vorher festgelegten Schritten) den Betrieb, zumindest ohne große Einschränkungen, zum Laufen bekommen könnte. Mit der Konstellation "Ein Server für alles" habe ich mittlerweile extreme Bauschmerzen, muss ja nur wirklich ein Bauteil defekt sein. Die Fehlersuche fängt dann um 9 an, der Fehler ist nach ner Std (+/-) lokalisiert, dann fängt die Ersatzteilbeschaffung an. Eventuell bekomme ichs bei Alternate um die Ecke, gehen dann vll 2-3 weitere Stunden drauf, das Einbauen geht auch nicht in 5 Minuten und dann evtl das Backup zurückspielen (ca 2-3 Std). Da bin ich dann schon bei einem kompletten Tag Ausfall.
chiefteddy
chiefteddy 10.12.2015 um 17:26:38 Uhr
Goto Top
Hallo.

DHCP: Cluster heißt, 2 Server arbeiten mit identischen Inhalten parallel. Der eine aktiv, der andere stand-by. Fällt der erste aus, übernimmt der 2.

Auch hier ist gemeinsamer Storage Voraussetzung. Läßt sich in einer VM-Umgebung prima einrichten.

https://technet.microsoft.com/de-de/library/hh831579.aspx

https://technet.microsoft.com/en-us/library/cc738051%28v=ws.10%29.aspx

Mail: Du hast nicht eingeschränkt, dass ihr nur eine öffentliche IP habt. Üblicher weise besorgt man sich als Firma einen Block aus meheren IPs, um die Dienste zu trennen.

Kosten: Redundanz bzw. Ausfallsicherheit hat entsprchend den Anforderungen ihren Preis. Virtualisierung der Server ist state of the art in der heutigen Zeit. Neben der Ausfallsicherheit, die damit ermöglicht wird, ergeben sich noch viele weitere Vorteile. Und dann ist der Preis relativ. Und für KMUs gibt es auch von VMware recht lukrative Angebote: VMware vSphere Essentials

http://www.vmware.com/files/de/pdf/products/vsphere/VMware-vSphere-Pric ...

Ich kann Dir nur sagen: Ich betreibe seit ca. 3 Jahren einen VMware 3 Knoten-Cluster und lebe seit dem viel ruhiger.

Jürgen

PS: Du kannst natürlich auch das Mailsystem auf einem Cluster betreiben.
Chonta
Chonta 10.12.2015 um 17:37:34 Uhr
Goto Top
Hallo,

Wäre schön aber ein externes Storage ist teuer und stellt dann wieder einen Single Point of Failure dar, davon will ich ja eigentlich weg
Die kann man auch redundant aufbauen.

Mit zwei gleichen Servern Hyper-V und z.B. Starwind läßt sich auch ein Failover ohne extra SAN bauen.

Ich denke eine "richtige" HA-Lösung mit 2 Servern und 2 Storages ist für unsere 12 Leute hier Overkill (auch kostenmäßig).
Hoch verfügbarkeit kostet aber Kohle und ein bisschen HA ist ......

Man kann ggf mit Virtualisierung und Replikation arbeiten, aber hat dann im Fall eines Falles Datenverlust, weil das Replica NIE auf dem selben Stand ist wie das Orginal und wenn das Replica einmal lief, kann man den alten nicht mehr benutzen.

Was Dir evtl weiterhilft ist eine sehr optimierte Backupstrategie (kostet auch geld) wo ein Restor nur X Stunden dauert und Daten maximal eine Stunde alt sind.

Du must Dir auch die Frage stellen, was ist wichtiger Dienste oder Daten wie schnell müssen die Dienste wieder da sein welcher Datenverlust ist angemessen.
Den worst Case nehmen und dann mal durchrechnen was kostet der Ausfall wenn das MB durchbrennt und kein HA vorhanden ist.

Das ist eine wichtige Sache und am Anfang steht was ist der worst Case, wielange darf das dauern und wieviel darf es kosten.
Wenn es nix kosten darf, dann dauert der Stillstand halt einen Arbeitstag und Daten sind jeh nachdem auch von einem ganzen Tag verloren.

Gruß

Chonta
dake84
dake84 11.12.2015 um 13:08:39 Uhr
Goto Top
Zitat von @chiefteddy:
...

Mail: Du hast nicht eingeschränkt, dass ihr nur eine öffentliche IP habt. Üblicher weise besorgt man sich als Firma einen Block aus meheren IPs, um die Dienste zu trennen.

Gibt nur eine, ich kenne auch sondt keinen ~10Mann Betrieb der mehrere hat face-smile

Kosten: Redundanz bzw. Ausfallsicherheit hat entsprchend den Anforderungen ihren Preis. Virtualisierung der Server ist state of the art in der heutigen Zeit. Neben der Ausfallsicherheit, die damit ermöglicht wird, ergeben sich noch viele weitere Vorteile. Und dann ist der Preis relativ. Und für KMUs gibt es auch von VMware recht lukrative Angebote: VMware vSphere Essentials

http://www.vmware.com/files/de/pdf/products/vsphere/VMware-vSphere-Pric ...

Ich kann Dir nur sagen: Ich betreibe seit ca. 3 Jahren einen VMware 3 Knoten-Cluster und lebe seit dem viel ruhiger.

Jürgen

PS: Du kannst natürlich auch das Mailsystem auf einem Cluster betreiben.
Das glaube ich dir gerne, ich habe auch einen 2 Knoten VMWare Cluster, mit allem pipapo wie Tape Library fürs Backup, Glasfaser Server backbone usw usw, betrieben und konnte schlafen wie ein Baby. Das ganze war aber für einen ~100Mann Betrieb mit mehreren Aussenstellen, hier brauche ich was kostengünstigeres (Waren ins blaue rein damals bestimmt 40000€ mit Hardware und Lizenzen).
dake84
dake84 11.12.2015 um 13:18:57 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

Wäre schön aber ein externes Storage ist teuer und stellt dann wieder einen Single Point of Failure dar, davon will ich ja eigentlich weg
Die kann man auch redundant aufbauen.

Mit zwei gleichen Servern Hyper-V und z.B. Starwind läßt sich auch ein Failover ohne extra SAN bauen.
Danke, das schaue ich mir mal an face-smile


Ich denke eine "richtige" HA-Lösung mit 2 Servern und 2 Storages ist für unsere 12 Leute hier Overkill (auch kostenmäßig).
Hoch verfügbarkeit kostet aber Kohle und ein bisschen HA ist ......

Man kann ggf mit Virtualisierung und Replikation arbeiten, aber hat dann im Fall eines Falles Datenverlust, weil das Replica NIE auf dem selben Stand ist wie das Orginal und wenn das Replica einmal lief, kann man den alten nicht mehr benutzen.

Hier wird hauptsächlich mit Office Dokumenten, PDF und dwg-Dateien bist ca. 30mb Maximum gearbeitet.
Ich habe DFS jetzt so verstanden:
Ein DFS-Namespace einrichten, je Server einen Shared Folder erstellen und dem Namespace hinzufügen. Per GP dann als Laufwerk X: verbinden. Wenn ich als User jetzt eine Datei von Laufwerk X öffne wird sie von einem der beiden Server geöffnet und ist wie bei einem einfachen Share für die anderen User gesperrt. Nach dem Speichern wird sie normal wieder freigegeben und im Hintergrund auf Server 2 repliziert. Dass dort eine "kurze" inkonsitenz entsteht ist klar aber die 30mb sollten doch innerhalb von Sekunden auf dem 2. Server repliziert sein oder sehe ich das so zu optimistisch?

Was Dir evtl weiterhilft ist eine sehr optimierte Backupstrategie (kostet auch geld) wo ein Restor nur X Stunden dauert und Daten maximal eine Stunde alt sind.
Darüber werde ich mir definitiv Gedanken machen, derzeit wird immer per Image BAckup der komplette Server gesichert, hier ist eine Trennung zw. System und Dateien schonmal sinnvoll face-smile

Du must Dir auch die Frage stellen, was ist wichtiger Dienste oder Daten wie schnell müssen die Dienste wieder da sein welcher Datenverlust ist angemessen.
Den worst Case nehmen und dann mal durchrechnen was kostet der Ausfall wenn das MB durchbrennt und kein HA vorhanden ist.

Das ist eine wichtige Sache und am Anfang steht was ist der worst Case, wielange darf das dauern und wieviel darf es kosten.
Wenn es nix kosten darf, dann dauert der Stillstand halt einen Arbeitstag und Daten sind jeh nachdem auch von einem ganzen Tag verloren.

Gruß

Chonta
Diese Überlegungen kenne ich natürlich, ich denke aber zwischen ein Server für alles und Ausfall für 1-2 Werktage und HA-Cluster ohne Ausfall gibts noch einige Nuancen dazwischen (und wenns nur ein 2. baugleicher Server ist auf den ich direkt das Backup zurückspielen kann). ;)
chiefteddy
chiefteddy 11.12.2015 um 13:56:39 Uhr
Goto Top
Hallo, das kommt immer auf das Auge des Betrachters an.

Wir sind ein Handwerksbetrieb mit nichtmal 50 Mitarbeitern (allerdings mit einer kleinen, aber feinen Konstruktionsabteilung für Sondermaschinen). Trotzdem lohnt es sich und wir haben das Geld dafür "in die Hand genommen".

Wie hier schon mehrfach erwähnt, ist es eben eine Frage der Schwerpunktsetzung, wofür die Firma ihr Geld ausgibt.

Allerdings gibt es eine Reihe von gesetzlichen Vorgaben (von denen die Geschäftsführung in ihrer Konsequenz meist nichts weiß, obwohl sie dafür perönlich haftet), die auch von "kleinen" Firmen erfüllt werden müssen. Und dazu gehört auch eine Datensicherung bzw Datensicherheit.

Jürgen