schally
Goto Top

Win Server 2022 Installationsreihenfolge

Guten Abend,

wir haben uns entschlossen unsere IT auf Fordermann zu bringen .
Wir haben folgende Hardware einen Dell Server mit Windows Server 2022 DATACENTER.
Es gibt max. 10 Benutzer die sich zu unterschiedlichen Zeiten und unterschiedlichen Rechner anmelden sollten.
Wir haben uns dafür entschlossen eine Domaine dafür zu nutzen mit Roaming Profilen /Server gespeicherten Profilen. Das macht das hinzufügen oder löschen unserer Meinung nach leichter.
Auch was das Patchmanagement angeht wollen wir WSUS nutzen da wir keinen „Daten-Flat“ haben.
Nun geht es um die Reihenfolge der Installation:
1.	Windows Server installieren
2.	NTP Zeitserver konfigurieren
3.	AD aufsetzen und konfigurieren
4.	Gruppenrichtlinien setzen 
5.	WSUS
6.	Clients in die Domaine holen
Wie sind eure Erfahrungen stimmt die Reihenfolge so oder würdet ihr was ändern?

Vielen Dank

Content-ID: 4238557855

Url: https://administrator.de/contentid/4238557855

Printed on: October 9, 2024 at 23:10 o'clock

Avoton
Avoton Jan 24, 2024 at 19:49:15 (UTC)
Goto Top
Moin,

Wir haben uns dafür entschlossen eine Domaine dafür zu nutzen mit Roaming Profilen /Server gespeicherten Profilen. Das macht das hinzufügen oder löschen unserer Meinung nach leichter.

Domain ja, Roaming Profile würde ich lassen, gibt m.E. nach mehr Probleme als es hilft. Ordner Umleitungen könnte man machen.

Wir haben folgende Hardware einen Dell Server mit Windows Server 2022 DATACENTER

Habt ihr auch die entsprechenden CALs?

Wie sind eure Erfahrungen stimmt die Reihenfolge so oder würdet ihr was ändern.
Mir fehlen da noch Punkte wie DNS, DHCP, Freigaben...

An Backup habt ihr gedacht?

Und: Die Rollen bitte auf eigene VMs aufteilen, wenn ihr schon Datacenter habt.

Gruß,
Avoton
Schally
Schally Jan 24, 2024 updated at 20:05:46 (UTC)
Goto Top
Hi,

Habt ihr auch die entsprechenden CALs?

Ja, haben wir!

Ordner Umleitungen könnte man machen.

Ok, wäre eine alternative! Aber ich denke für 10 User sollte es keine Probleme geben(hoffe ich)

DNS, DHCP, Freigaben...

Der DNS wird ja mit installiert (war jedenfalls in der Testumgebung so)
DHCP wird über einen Router gemacht ( Der Server bekommt eine feste IP)
Freigaben wird es nur 2 geben

Und: Die Rollen bitte auf eigene VMs aufteilen, wenn ihr schon Datacenter habt.
Wie meinst du das ?
Das der PDC in einer VM läuft zb?

An Backup habt ihr gedacht?
Ist nicht nötig da wir vorher nur ein NAS hatten

Vielen Dank
Avoton
Avoton Jan 24, 2024 at 20:10:06 (UTC)
Goto Top
Moin,

Wie meinst du das ?
Das der PDC in einer VM läuft zb?

Domänencontroller in eine VM, Fileserver in eine VM, WSUS in eine VM, Applikationsserver (falls denn gebraucht) in eine VM.

Warum habt ihr eine Datacenter Lizenz, wenn ihr nicht mit VMs geplant habt?

Ist nicht nötig da wir vorher nur ein NAS hatten
Ich meinte nicht ein Backup vor der Aktion, sondern danach. Also Backup der virtuellen Maschinen.

Gruß,
Avoton
em-pie
em-pie Jan 24, 2024 at 20:11:38 (UTC)
Goto Top
Moin,

Zitat von @Schally:
Ordner Umleitungen könnte man machen.

Ok, wäre eine alternative! Aber ich denke für 10 User sollte es keine Probleme geben(hoffe ich)
Du bekommst Probleme, wenn die Profile zu groß werden, egal ob groß = mehrere GB oder mehrere zehntausend (kleine) Dateien.
Dann dauert der An- oder Abmeldeprozess gerne mal 15 Minuten - jeweils. Immer mehr Softwaresnbieter lagern ihren Mist ins AppData\Roaming aus…
Und da ist es dann egal, ob das 5, 10 oder 5.000 User sind…

DNS, DHCP, Freigaben...

Der DNS wird ja mit installiert (war jedenfalls in der Testumgebung so)
DHCP wird über einen Router gemacht ( Der Server bekommt eine feste IP)
DHCP bitte mit auf den DC schieben. Alles andere fliegt dir in einem AD um die Ohren - wenn man nicht weiß, was man alles beachten muss.
Denn der DHCP-Server sollte die A- und PTR-Records ins DNS eintragen dürfen. Und ein AD ist auf ein funktionierendes DNS angewiesen.
Ausnahme für DHCP wäre DMZ und/ oder Gäste-Netze…

Freigaben wird es nur 2 geben

Und: Die Rollen bitte auf eigene VMs aufteilen, wenn ihr schon Datacenter habt.
Wie meinst du das ?
Das der PDC in einer VM läuft zb?
DCs (inkl. Dns und DHCP) in eine eigene VM
File-Server in eine weitere VM
WSUS (und Artverwandte Dienste wie AV-Server) in eine dritte VM
Schally
Schally Jan 24, 2024 at 20:22:31 (UTC)
Goto Top
Vielen Dank für die ganzen Infos .

Wir haben mit VM geplant nur für andere Zwecke .

OK , wir haben ein Cisco Switch der die DHCP Aufgabe übernimmt .

Dann muss ich nochmal schauen wie das mit dem auslagern in die VM funktioniert .

Backup wird auf das NAS gemacht .
Avoton
Avoton Jan 24, 2024 at 20:25:22 (UTC)
Goto Top
Wir haben mit VM geplant nur für andere Zwecke .
Bitte KEINESFALLS neben HyperV noch andere Dienste auf dem Host installieren.
Das knallt früher oder später.

Wie gesagt: Ihr habt eine Datacenter Lizenz und damit unbegrenzt VM Nutzungsrechte, nutzt sie.

Gruß,
Avoton
Xaero1982
Xaero1982 Jan 24, 2024 at 20:31:22 (UTC)
Goto Top
Zitat von @Schally:

Vielen Dank für die ganzen Infos .

Wir haben mit VM geplant nur für andere Zwecke .

OK , wir haben ein Cisco Switch der die DHCP Aufgabe übernimmt .

Dann muss ich nochmal schauen wie das mit dem auslagern in die VM funktioniert .

Backup wird auf das NAS gemacht .


Nein, der Switch soll auch kein DHCP machen, sondern der Server. Da kannst du dann mit deiner Datacenter auch alles redundant machen. Zwei DCs. Beide mit DNS und DHCP aufsetzen.

Für den Fileserver installierst du halt noch einen virtuellen Server, der dann nur die Dateidienste bekommt und Mitglied der Domain ist. Der Druckserver kann auch eine eigene VM sein.

Natürlich ist das auch noch abhängig von der Hardware von der wir nichts wissen. Das hat dann natürlich auch Grenzen, wenn der Server nur 32GB hat z.B.

Grüße
Schally
Schally Jan 24, 2024 at 21:07:00 (UTC)
Goto Top
Alles klar vielen Dank.

Es handelt sich um dell emc rx750 mit 256GB Arbeitsspeicher .

OK dann kommt auf den Host nur Hyper V drauf und der Rest in VM habe gerade mit Mal die Installation angeschaut auf YT .

Damals in der Ausbildung haben wir alles auf dem Host installiert ( mittlerweile auch 10Jahre her )...
kreuzberger
kreuzberger Jan 25, 2024 at 00:20:22 (UTC)
Goto Top
Moin @Schally

also, wenn man sich denn schon eine Datacenter Lizenz geleistet hat sollte man das auch voll ausnutzen. Die hardware scheint mir auch potent zu sein, dass alles zu stemmen.

Wi die vorschreiben schon richtig sagten, alles in getrennte VMs.

Als Virtualisierer den Hypes-V mit der Datacenter-Lizenz nutzen, jedoch wäre es ggf. sinnvoll an der stelle eine core-installation ohne grafische Oberfläche zu machen. Spart ungemein Rechenressourcen.

Auch die VMs könnte man Alls ggf. bis auf den DC als core-installation machen. Spart ungemein Ressourcen.

VM1: Den DC mach bitte MIT AD, DNS, DHCP. Nimm das DHCP weg vom router.
VM2: filserver (core) mit iSCSI auf das NAS
VM3: WSUS (core)
VM4: PDC (was auch immer das ist)

Backup eher separater Server Nativ installiert in separatem netz.


Ob Redundanz auf einem Blech wirklich was bringt weiss ich nicht, lieber mehr backup.

Kreuzberger
Schally
Schally Jan 25, 2024 at 05:00:54 (UTC)
Goto Top
Alles klar vielen Dank.

Nur noch eine Frage , warum wird das ganze auf VM / HV gemacht , da ich ja einen richtigen Server habe?


Vielen Dank
Schally
Schally Jan 25, 2024 at 05:02:18 (UTC)
Goto Top
@
Avoton

Bitte KEINESFALLS neben HyperV noch andere Dienste auf dem Host installieren.

Auch kein Antivirus ?
Avoton
Avoton Jan 25, 2024 at 05:36:20 (UTC)
Goto Top
Nur noch eine Frage , warum wird das ganze auf VM / HV gemacht , da ich ja einen richtigen Server habe?

Weil sich manche Dienste in die Quere kommen, wenn sie in der selben Serverinstanz laufen.

Nochmal: Warum läuft ihr eine Datacenter Lizenz, wenn ihr nicht virtualisierten wolltet?

Auch kein Antivirus ?
AV- und Backup-Agent sind ok. Beim AV aber das Verzeichnis der VMs vom Scan ausnehmen.

Gruß,
Avoton
radiogugu
radiogugu Jan 25, 2024 updated at 18:54:55 (UTC)
Goto Top
Nabend.

+1 für die Trennung Dienste und Vereinzelung in separate VMs.

Der Satz liest sich seltsam:

Zitat von @Schally:
Auch was das Patchmanagement angeht wollen wir WSUS nutzen da wir keinen „Daten-Flat“ haben.

Habt ihr keine DSL / Kabel / Glasfaser Internet Flatrate?

Zitat von @kreuzberger:
VM4: PDC (was auch immer das ist)

Wird der Primary Domain Controller gemeint sein.

Gruß
Marc
Schally
Schally Jan 25, 2024 updated at 19:03:32 (UTC)
Goto Top
Vielen Dank für die ganzen Beiträge es hat uns sehr weit gebracht .

Habt ihr keine DSL / Kabel / Glasfaser Internet Flatrate?

Nein leider nicht. Wir haben ca 50GB an Daten leider ist es im Moment nicht anders realisierbar.
Ändert sich aber noch .

Wir haben das heute Mal installiert es hat soweit geklappt und es läuft Recht gut .

Auf dem Host läuft ja der AV das hab ich soweit hinbekommen auf das er die AV prüft aber wie ist den der Live Schutz der AV damit abgedeckt oder kann man das vernachlässigen ?
jsysde
jsysde Jan 25, 2024 at 19:17:26 (UTC)
Goto Top
Moin.
Zitat von @Avoton:
[...]Beim AV aber das Verzeichnis der VMs vom Scan ausnehmen.
Moderne/vernünftige Security-Lösungen machen das selbstständig. Kann mich nicht erinnern, wann ich das letzte Mal händisch Ausnahmen für sowas definiert habe.

Cheers,
jsysde
jsysde
jsysde Jan 25, 2024 at 19:19:35 (UTC)
Goto Top
Moin.
Zitat von @Schally:
[...]Nur noch eine Frage , warum wird das ganze auf VM / HV gemacht , da ich ja einen richtigen Server habe?
Naja, du bist flexibler. Recovery, falls nötig, geht deutlich schneller. Einmal Hardware => Mehrere Server. Usw., die Liste mit den Vorteilen ist ziemlich lang. face-wink

Moderne Sicherheitskonzepte sehen explizit die Trennung von Diensten auf unterschiedlichen Servern vor (Ein DC ist ein DC ist ein DC etc.), das lässt sich mit VMs deutlich einfacher darstellen.

Cheers,
jsysde
radiogugu
radiogugu Jan 26, 2024 at 07:34:14 (UTC)
Goto Top
Auf dem Host läuft ja der AV das hab ich soweit hinbekommen auf das er die AV prüft aber wie ist den der Live Schutz der AV damit abgedeckt oder kann man das vernachlässigen ?

Was ist damit gemeint?

Hast du ein Anti-Virus Programm installiert? Wenn ja welches (bitte nicht Avira, Norton, AVAST)?

Falls es installiert und der Echtzeitschutz des Programms nicht manuell deaktiviert wurde, dann sollte doch der Schutz gegeben sein.

Gruß
Marc
NordicMike
NordicMike Jan 26, 2024 updated at 08:13:24 (UTC)
Goto Top
Backup ist nicht nötig da wir vorher nur ein NAS hatten

So geil, die Ansicht.

Ein Blitzschlag oder Kontaktproblem auf dem Neutralleiter und die Firma kann geschlossen werden.

Das könnte man sogar noch abwarten und Wetten abschließen face-smile
Avoton
Avoton Jan 26, 2024 at 08:30:46 (UTC)
Goto Top
So geil, die Ansicht.
Das hatte er glaube ich falsch verstanden und dachte, ich meine ein Backup bevor er alles installiert. Da der Server noch nackt ist, hat er da ja sogar Recht.

Ich meinte aber ein Backup der VMs sobald die laufen.

Gruß,
Avoton
Schally
Schally Jan 26, 2024 at 12:20:29 (UTC)
Goto Top
Zitat von @Avoton
Das hatte er glaube ich falsch verstanden und dachte, ich meine ein Backup bevor er alles installiert. Da der Server noch nackt ist, hat er da ja sogar Recht.

Ich meinte aber ein Backup der VMs sobald die laufen.



Backup wird täglich nachts gemacht gestern war der Test heute morgen geprüft und es hat geklappt