ComputerBase Menü
Aktuelles

Rollenverteilung auf verschiedene Server allgemein

Hyourinmaru

Hyourinmaru

Lt. Commander
Registriert
Feb. 2010
Beiträge
1.040
N'Abend zusammen,

ich möchte gerne mal wissen, welche der Serverrollen/Anwendungen hier (AD-DC, DNS, DHCP, Fileserver, Printserver, Exchange, Applicationserver, Terminalserver) der Sicherheit/Performance halber auf eigene Server verteilt werden sollten und welche man getrost auf einen Server installieren kann.

Ideal wäre es ja natürlich, wenn jede Rolle auf einem eigenen Server installiert wird, was aber wenn soviel Hardware nicht zur Verfügung steht und das Budget den Rahmen für mehr Serverhardware nicht erfüllt?

Meine Frage soll allgemein zur Rollenverteilung verstanden werden, weshalb ich hier auch keine Specs definiere.

MfG
Hyourinmaru
 
Zuletzt bearbeitet:
Das hängt sehr von der Netzwerkgröße ab!
 
Theoretisch könnte man das alles auf einem Server installieren. Praktisch sollte man es aber nicht tun, wenn es nicht absolut notwendig ist.

Meiner Meinung nach gibt's fünf Aspekte:
1) Ressourcen: Kann die Hardware alle Rollen stemmen? Bespiel: Einen Exchange 2013 willst du produktiv nicht unter 8 GB RAM betreiben. Wenn die Hardware das nicht hergibt muss die Rolle auf einen anderen Server.
2) Kompatibilität: Läuft die Software zusammen mit der anderen Software auf dem Server. Darunter fällt auch die Tatsache, dass Microsoft Installationen bestimmter Software auf einem DC nicht unterstützt.
3) Sicherheit: Kompromittiert die Rolle potentiell die Sicherheit einer anderen Rolle? Einen öffentlichen Mailserver oder einen Terminalserver würde ich nicht auf einem DC installieren, da dieser im Fall eines Sicherheitslecks auch kompromittiert wäre.
4) Administration: Will ich die Administration für bestimmte Rollen aufteilen? Manchmal ist es einfacher einen separaten Server einzurichten, der nur von einer definierten Gruppe von Administratoren gepflegt werden sollen und für den Rest "Off-Limits" ist. Das geht häufig auch über spezielle Berechtigungen in bestimmten Fällen aber eben auch nicht.
5) Risikostreuung: Wenn du nur einen Server hast und dieser Ausfällt ist die IT platt. Wenn File und DB-Server getrennt sind, kann einer der beiden Ausfallen, der andere ist evtl. aber nicht beeinträchtigt. Das gilt natürlich nur begrenzt, da häufig Verflechtungen bestehen (Bespiel: Nutzer können zwar den TS nutzen, wenn sie aber nicht an ihre Dateien auf dem Fileserver kommen können praktisch nicht arbeiten).

2) - 4) kann man auch mit VMs abdecken. 5) auch sofern man eine HA-Lösung mit redundanten Hosts und Storage hat.

Letztendlich kommt es aber häufig einfach darauf an was man sich leisten kann/will (finanziell und technisch).
 
Ideal wäre es ja natürlich, wenn jede Rolle auf einem eigenen Server installiert wird, was aber wenn soviel Hardware nicht zur Verfügung steht
Zum Vergrößern anklicken....
Dann wird virtualisiert.

Meiner Erfahrung nach werden AD, DHCP und DNS zusammen betrieben, der Rest getrennt.
 
Alles zusammen auf zwei ESX-Server, mit HA.

Gibt aber auch Leute, die der Meinung sind, dass der PDC unbedingt auf einer physischen Maschine laufen sollte. Na ja...
 
Die Frage wäre für mich noch, welches Budget zur Verfügung steht.
Des Weiteren solltest du die Ausfallsicherheit nicht außer Acht lassen sowie eine geeignete Backupmöglichkeit überlegen.
 
S.Longus schrieb:
Gibt aber auch Leute, die der Meinung sind, dass der PDC unbedingt auf einer physischen Maschine laufen sollte. Na ja...
Zum Vergrößern anklicken....

das sagt sogar Microsoft (zumindest wenn unterschiedliche Personenkreise das AD und die VM Umgebung administrieren)
 
Eine Aussage das ein DC physikalisch sein sollte ist mir jetzt neu, was aber gilt (und das ist nur logisch) ist, dass die DCs nicht alle auf einer Umgebung liegen sollten die bei einem Ausfall ohne DCs gar nicht mehr hochzufahren ist. So siehts nämlich bei Hyper-V Clustern aus.
Ist die Umgebung groß genug und ich habe getrennte virtuelle Umgebungen laufen kann ich ohne Probleme einen DC in einer und einen anderen in eine andere Umgebung stecken.
 
Masamune2 schrieb:
Eine Aussage das ein DC physikalisch sein sollte ist mir jetzt neu, was aber gilt (und das ist nur logisch) ist, dass die DCs nicht alle auf einer Umgebung liegen sollten die bei einem Ausfall ohne DCs gar nicht mehr hochzufahren ist. So siehts nämlich bei Hyper-V Clustern aus.
Zum Vergrößern anklicken....
Seit Server 2012 unterstützen die Failover-Cluster AD-less Cluster Bootstrapping, von daher gibt es diese Einschränkung nicht mehr.
 
Also ich handhabe das i.d.R. so:

VM1 - DC1

- ADDS
- DNS primär
- DHCP sekundär (optional)

VM2 - DC2

- ADDS
- DNS sekundär
- DHCP primär (standard)

VM3

- Fileserver
- Printserver

VM4

- Exchange

VM5

- Applicationserver,

VM6

- Terminalserver

______________

Die Kerndienste ADDS/DHCP/DNS können imho alle problemlos auf einer Büchse laufen - zumindest in den allermeisten Kundenumgebungen. (ab 5.000 User würde ich da vielleicht weiter trennen). Wenn es zwei DCs geben soll, vermasche ich die gerne die primären Rollen für DNS/DHCP, das muss man aber nicht unbedingt machen.

File- und Print kann normalerweise auch auf eine Kiste, sofern es in der Umgebung nicht Treiberprobleme mit den Druckern gibt. In den neueren Windows Server Versionen gibt es aber sowas wie Treiber-Isolationen, wo es meistens keine großen Probleme gibt. Auch hier wieder: ab einer gewissen Größe (> 250 User) kann man das aber auch auf zwei VMs verteilen. In kleineren Umgebung spricht m.E. auch nix dagegen, den WSUS mit auf den File- und Print-Server zu packen.

Exchange = immer getrennt (egal welche Umgebungsgröße)

SQL (ab Standard) = immer getrennt (egal welche Umgebungsgröße)

Terminal = immer getrennt (egal welche Umgebungsgröße)

Application = kommt immer so drauf an. Ich bin kein Fan davon, für jede kleine Piss-Applikationen eine eigene VM zu machen. Da wird der administrative Overhead einfach irgendwann zu groß. Größere Applikationsblöcke wie CRM/ERP/ECM/DMS gehören auf eigene Kisten, aber ein kleines Buchhaltungsprogramm, was am Ende nur 3-4 Leute nutzen kann auch mit ein paar anderen Sachen zusammenlaufen, sofern nicht die gleichen Ports verwendet werden. Hier gibt es aber keine generelle Pauschalaussage.
 
Masamune2 schrieb:
Eine Aussage das ein DC physikalisch sein sollte ist mir jetzt neu, was aber gilt (und das ist nur logisch) ist, dass die DCs nicht alle auf einer Umgebung liegen sollten die bei einem Ausfall ohne DCs gar nicht mehr hochzufahren ist. So siehts nämlich bei Hyper-V Clustern aus.
Zum Vergrößern anklicken....

Das ist nicht korrekt. Schon seit Server 2012 ist es überhaupt kein Problem ein Cluster ohne AD zu starten.
 
Zuletzt bearbeitet:
lol, man sollte halt alles lesen ^_^'
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Z
Radius Server mit NPS in Domänenumgebung; kein Internetzugang mit Smartphone.
Antworten
1
Aufrufe
1.188
Rache Klos
R
T
Inhouse Server oder Cloud
Antworten
17
Aufrufe
3.386
nubi80
nubi80
cc_aero
  • Frage
Ein neuer Homeserver muss her
Antworten
13
Aufrufe
7.039
snaxilian
S
D
Windows Server 2008 R2 Windows Server 2008R2 für Windows Server 2019 kompatibel
2
Antworten
20
Aufrufe
2.597
lowRange
L
slsHyde
Leserartikel [Projekt, Worklog, HowTo] Server in Eigenregie
2
Antworten
38
Aufrufe
30.714
slsHyde
slsHyde
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz