Active Directory Umbau

[Mac_Leod]

Hallo,

ich eröffne diesen Thread, um mir ein paar andere Meinungen einzuholen, ob ich nicht direkt noch etwas an dem Konstrukt bzw bedenken sollte.
Hintergrund:

Wie auf dem Bild zu sehen, gibts es eine kleine Windows Domäne, alles virtualisiert.Auf einem der beiden DCs laufen gefühlt 100 Dienste/Roles, welche ich fast alle auf kleinere Server (nicht DCs) verteilen möchte. Es ist immer ein Graus die DCs zu warten, die Checkliste an Prüfpunkten ist extrem lang für die Verifizierung das zB.: nach Windows Updates wieder alles funktioniert.
Dazu kommt auch noch Upgrade auf 2019 an, das heißt beide DCs werden komplett durch neue ersetzt. Also die Gelegenheit das mal "schön zu machen". Wie wo welcher Dienst installiert wird, ist mir klar, der Umzug der CA wird wahrscheinlich am spannendsten.

Auf DNS, DHCP und VPN gehe ich hier nicht ein, da diese von anderen Servern bereit gestellt werden, ohne Software Einsatz aus dem Hause von MS. Evtl. ziehe ich den Print Server auch noch in die Linux Welt um mal sehen.

Mich würde bevor ich los lege einfach mal eure Meinung interessieren wie clever diese Lösung ist, auch erstmal ohne extra Redundanzen einzubauen.

Danke Mac

 

[Benzer]

Ganz klar: Ein Server = eine Applikation / Aufgabe / Rolle.

 

[xexex]

Mich würde bevor ich los lege einfach mal eure Meinung interessieren wie clever diese Lösung ist, auch erstmal ohne extra Redundanzen einzubauen.

Stelle dir doch einfach mal die Frage wieso?

Hast du 100 Drucker und eine Managementsoftware dafür? Verarbeitest tausende Radius abfragen von hunderten APs? Wieso willst du die Rollen CA und Radius, die allesamt vom AD abhängig sind überhaupt trennen?

 

[Zensai]

Ich schließe mich dem an. Würde höchstens die Root CA abkoppeln. Das sind jetzt alles keine Services die groß Achtung erfordern.

Für so ziemlich alle anderen Services kann man separate Maschinen nehmen, aber hier bei nem 30 Mann AD würd ich mir das sparen und eher die Prüfliste bei der Wartung optimieren. LDAP, Radius und Drucker zusammen sind in unter 30 Minuten abgefrühstückt.

 

[Mac_Leod]

Naja ich bin tatsächlich über die Risiko Analyse aus der Iso 27001 heran gegangen.
Welches Risiko habe ich, wenn der DC1 nicht zur Verfügung steht.

Drucker:
Problem ist, das jedes mal wenn der DC gewartet wird jemand da steht, der drucken möchte.
CA:
gehört meiner Meinung nach einfach nicht auf einen DC.
Radius:
Kunden kommen halt nicht mehr ins WLAN, wenn der DC aus ist, das passiert öfter als man denkt.

edit:
es ist ein 330 Client Domäne aktuell + 400 VMs (also noch mal 400 clients dazu)

 

[Baalthorun]

Wenn Datacenterlizenzen vorhanden sind und ausreichen Kapazität zur Verfügung steht, spricht nichts dagegen die Services auf eigene Maschinen zu migrieren. Die Grundlast eines Windows Servers 2019 Core ohne GUI hällt sich auch in Grenzen. Musst halt eine 2019er Management Maschine zusätzlich einplanen, sofern nicht vorhanden.

Generell würde ich aber die Verfügbarkeit erhöhen. Du schreibst der DC ist jetzt öfter offline als man zuerst glauben mag. Warum ist dem denn so? Updates gibt es ggf. einmal im Monat und die kannst so schedulen, dass du nur Nachts eine kurze Downtime hast.

 

[xexex]

Drucker:
Problem ist, das jedes mal wenn der DC gewartet wird jemand da steht, der drucken möchte.

Wie gesagt vertretbar, bin eigentlich von einem wesentlich kleinerem Netzwerk ausgegangen. Ab einer bestimmten größe macht es sinn, schon alleine um den mal neu starten zu können ohne alle DC Dienste zu unterbrechen.

 

[McClane]

Auch bei einem Unternehmen mit 30 Usern sind Dienste auf einem DC tabu.
Schon allein wegen den Problemen beim Restore der Maschine im Fehlerfall. Also den DC zurücksetzen weil der neue Druckertreiber das System bluescreent ist nicht schön. Wer da nicht mitdenkt zerstört sich die Domäne.
Lass die DCs für sich, den Rest kannst du verteilen wie es dein Sicherungskonzept und die Arbeitslast hergibt.
In der Praxis ist es immer vorteilhaft nur einen Dienst offline nehmen zu müssen, wenn aus irgendwelchen Gründen ein Neustart ansteht.

 

[xexex]

Auch bei einem Unternehmen mit 30 Usern sind Dienste auf einem DC tabu.
Schon allein wegen den Problemen beim Restore der Maschine im Fehlerfall. Also den DC zurücksetzen weil der neue Druckertreiber das System bluescreent ist nicht schön. Wer da nicht mitdenkt zerstört sich die Domäne.

Welcher Druckertreiber zerstört heute eine VM? Seit mehr als 10 Jahren sind Kerneltreiber für Drucker tabu! Klar kannst du auch bei 30 Leuten 10 Server für jeden Mist aufsetzen, entspricht aber nicht der Realität und macht nur einen unnötigen Aufwand.

Wir leben im Jahr 2020, dank Virtualisierung, Datensicherung und Replikation kannst du einen Server in 1-10 Minuten komplett wiederherstellen. Da ist der Aufwand um die Rollen aufzuteilen, die Server einzeln zu pflegen und die Probleme zu beheben höher, als wenn du gleich schlichtweg einen Cut machst.

Verstehe mich nicht falsch! Exchange, SQL und Dokumente gehören nach Möglichkeit nicht auf einem DC, aber die Dienste die der TE genannt hat, sind strikt mit dem AD verknüpft, laufen ohne AD nicht und in einem Backupfall würden sie im schlimmstenfalls die Wiederherstellung einer zeitgleichen Kopie aller Server erfordern.

Ich kritisiere aber nicht den Wunsch die Rollen möglichst aufzutrennen, man sollte sich nur auch der Nachteile bewusst sein! Alleine beim DC kann ich aus 15 Jahren Erfahrungen nur sagen, durch einen zweiten DC und der damit verbundenen Replikation und Problemen bei der Datensicherung, bekommt man meist mehr Probleme und Ausfallzeiten, als wenn man auf einen zweiten DC komplett verzichten würde.

DAS muss dann aber jeder für sich entscheiden und hängt stark von der sonstigen Backupstrategie ab.

EDIT: Was ich machen würde?
Einen DC mit Radius - damit habe ich die gesamte Authentifizierung auf einem Server, das eine läuft ohne das andere eh nicht.
Einen Druckserver - falls überhaupt viele Drucker vorhanden sind. Ansonsten kann man den Daten und den Druckserver zusammenfassen.
Einen Zertifikatsserver - Der ist in der Tat recht problematisch, vor allem wenn es später darum geht ein Upgrade auf eine neuere Serverversion durchzuführen. Zudem stört es hier meist auch nicht, wenn er noch auf einer alten OS Version aufsetzt.

An sich ist der Plan von @Mac_Leod aber ok. Er kennt die Umgebung besser als wir alle hier. Ich bin zuerst nur nicht von 500, sondern eher maximal 50 Clients ausgegangen. Wenn man die Lizenzen und das Blech dazu hat, spricht ausser dem Aufwand nichts gegen eine Trennung, zwingend ist sie aber trotzdem nicht.

 

[McClane]

Wenn du nach 15 Jahren Erfahrung mit einem DC auskommst, solltest du vielleicht deine Berufswahl überdenken.
Bei mir sind es übrigens über 20 Jahre. Ich denke ich weiß was ich tue.

 

[xexex]

Wenn du nach 15 Jahren Erfahrung mit einem DC auskommst, solltest du vielleicht deine Berufswahl überdenken.

Wirklich? Dann nenne mit einen Vorteil mehrer DCs, wenn du die Verfügbarkeit von dem einen zu 99.999% gewährleisten kannst.

Ich kann dir hingegen gerne mindestens 5 Nachteile mehrere DCs nennen. Aber ich denke wenn du mit solchen Sprüchen um dich wirfst, wirst du viele davon selbst kennen.

 

[McClane]

Die 99,999% sind schon futsch beim ersten Windows Update. Zumindest bei Windows Server 2016.
In meiner derzeitigen Umgebung mit ca. 1000 Arbeitsplätzen an 12 Standorten und 8 DCs habe ich keine Probleme. Ich hab aber auch eine brauchbare Backup- und Restorestrategie falls mal ein DC streikt.
Anders herum kann ich an jedem Standort den DC oder die DCs offline nehmen, ohne das mein Telefon die ganze Zeit klingelt.
Da habe ich weniger Zahnschmerzen als bei den SQL oder Citrix Clustern. Exchange DAGs sind allerdings auch ziemlich brauchbar. Es gibt gute ohne weniger gute Redundanzmodelle. Aber man muss sich mit jedem einfach gut auskennen, sonst gibts im Ernstfall ein Desaster. Den einzigen Nachteil den ich sehe, ohne Ahnung sollte man keine Domain betreiben. Aber das gilt für alles in der IT.

 

[xexex]

Die 99,999% sind schon futsch beim ersten Windows Update. Zumindest bei Windows Server 2016.

Wird denn 24/7 gearbeitet? Meist nicht und da ist ein Update innerhalb eines Wartungsfensters mit 0 "Downtime" verbunden. Das gute darin? Schlägt was fehl oder gibt es irgendwelche Probleme wird einfach ein früherer Snaphot genommen, Auswirkungen auf die restlichen Server hat es keine, da keinerlei Replikation auf AD Ebene stattfindet.

In meiner derzeitigen Umgebung mit ca. 1000 Arbeitsplätzen an 12 Standorten und 8 DCs habe ich keine Probleme.

Siehst du! Da ist der springende Punkt! Bei einer solchen Konfiguration, wird man vermutlich nicht auf einen einzelnen DC zurückgreifen, außer es ist eh alles in einem RZ zentralisiert.

 

[Mac_Leod]

Ich melde mich mal aus dem Urlaub zurück, danke für die Tipps. Das Feedback bestärkt meinen Plan.

@xexex
2019 Datacenter ist unendlich vorhanden.

Aktuell bin ich noch am überlegen ob ich für 4 Außenstandorte jeweils einen DC hoch ziehe, was mir ans Herz gelegt wurde.
Nur sind diese bis auf Router und Switche dafür gerade nicht ausgelegt. So nen richtiges must have Argument find ich gerade nicht, denn über redundantes S2S VPN ist es ziemlich egal ob sich Clients beim lokalen DC oder beim HQ DC melden. Latenz hin oder her.