Имя: Пароль:
IT
Админ
Виртуальный или железный контроллер домена?
,
0 Razor1212007
 
19.04.18
13:31
Добрый день коллеги.Ситуация следующая есть компания Н, 150 компьютеров. Есть 3 железных новых сервера. Хранилища отдельного нет.
Всего два офиса, Расположены удаленно.

Закуплена лицензия Windows Server 2016 Standart на каждое ядро (3 сервера, по 2 процессора, по 8 ядер=  всего 48 ). Требуется организовать Доменную сеть. Не могу определиться как лучше установить, 2 варианта

1. 1 сервер ) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)AD DNS, - 2)DHCP,

    2 сервер ) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)Windows Server 2016 (Будет использоваться для хранилища), 2)Veritas

    3 сервер находиться в соседнем здании) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)AD DNS, 2)DHCP, WSUS  



2. 1 сервер ) Полноценный Windows  Server 2016 на нем  AD DNS,  плюс роль Hyper-v c виртуалкой 1)DHCP

    2 сервер ) Полноценный Windows  Server 2016  (Будет использоваться для хранилища)на нем 1 Hyper-v виртуалка Veritas

    3 сервер находиться в соседнем здании) Полноценный Windows  Server 2016 с  AD DNS , плюс роль Hyper-v  с виртуалкой 1)DHCP, WSUS
1 Йохохо
 
19.04.18
13:36
который из вариантов ты умеешь чинить?
2 Cool_Profi
 
19.04.18
13:37
Я бы вынес на физику. Но это не точно, я маску на улице нашёл
3 Провинциальный 1сник
 
19.04.18
13:38
Красиво жить не запретишь. Выделять 8-ядерный сервер на контроллер домена для смешной цифры в 120 машин - это роскошно. А тут еще два таких.
4 eklmn
 
гуру
19.04.18
13:39
А прежде чем ставить КД на виртуалку почитали рекомендации МС что этого нельзя делать?
5 Провинциальный 1сник
 
19.04.18
13:41
По факту роль контроллера домена будет отлично работать даже на самом минимуме, на который ставится ОС . И брать крутой сервер исключительно для AD - расточительство. Если конечно кроме домена сервера не будут еще чем-то другим заниматься.
6 Ислам
 
19.04.18
13:44
(0) Любой контроллер домена - это софт который работает на железе. Так что без разницы как ты его назовешь.
7 Razor1212007
 
19.04.18
13:48
Серверы покупались на будущее, поэтому и такие конфигурации. Вы же не покупаете старый пк что бы пока только печатать. Все всегда покупается на будущее и с запасом.
8 Йохохо
 
19.04.18
13:55
(4) почему нельзя? можно ссылку
9 Razor1212007
 
19.04.18
13:57
(4)  Мне вот тоже интересно почему?
10 Razor1212007
 
19.04.18
13:58
(1) Какой вариант более надежный?
11 Cool_Profi
 
19.04.18
14:05
(8) (9) Кд вырубает кеширование на дисках.
Да и вообще (ИМХО) виртуальные сервера это зло. Ну, для работы пользователей, а не для удобства админов...
12 Противный
 
19.04.18
14:08
А никого не смутило что АД, ДНС, ДШСПи, ВСУС человек собирается раскидывать по разным серверам...?

ЗЫ: все это прекрасно уживется на одном серваке хоть железном, хоть виртуальном... По уму делать кластер из двух виртуалок с горячим резервом, и не забыть еще резервный АД сделать... А третий под файлопомойки можно и железным оставить... Ну и не забыть сервера для инет шлюза / почтовика / сервера администрирования антивируса...

ЗЫЫ: а с 1С там что?
13 Razor1212007
 
19.04.18
14:12
(12) Нет не смутило. По всем правилам, на контроллер домена больше ничего не устанавливается (рекомендации Microsoft). Так то можно все в один запихнуть и Ждать пока упадет

DHCP на разных серверах, потому что нужна репликация, если один из них отвалиться.

Почтовик, 1С, Антивирус - не наша головная боль. Все предоставляется с верхнего звена
14 Йохохо
 
19.04.18
14:12
(11) ну и что? при чем тут виртуалка? есть негатив про дуал хомед и дхцп, про виртуалку ничего нет
(10) который умеешь чинить) один в железе AD DNS DHCP WSUS, на другом в виртуалке резервный AD DNS DHCP
15 Garikk
 
19.04.18
14:24
Хотябы один КД и DNS должен быть железными

Видел эпичный фейл с подходом "виртуализуем все!"
1)по безопасности везде авторизация через AD, локальные пароли отключены
2)падает гипервизор (пул виртуалок или еще че)
3)вы не можете попасть в админку гипервизора из-за помершего домена..писец замкнутый круг (особенно когда выясняется что репликация плохо работала)

(11) >Да и вообще (ИМХО) виртуальные сервера это зло
Это счастье великое когда вместо 50 серваков можно один поставить, функционал такойже, а экономия на железе офигенная
16 Противный
 
19.04.18
14:25
(13) ну Микрософт и не то напишет в рекомендациях лишь бы лишние лицензии продать... и как раньше все это на одной железке уживалось...
ЗЫ: мое мнение кластер виртуалок из пары серваков, базу всус перекинуть на внешнюю железку, чтоб легче было виртуальные серваки гонять по кластеру.
17 eklmn
 
гуру
19.04.18
15:07
(8)(9) https://social.technet.microsoft.com/wiki/ru-ru/contents/articles/26972.aspx
ну для конфы в (0) в любом раскладе будет трындец
18 Garykom
 
гуру
19.04.18
15:10
Я за физику в виде роутера с samba ad
19 Razor1212007
 
19.04.18
15:12
(17) Вы бы еще Windows Server 2003 к примеру взяли бы.
20 MaximSh
 
19.04.18
15:21
Только в виртуалки с обязательных отключением синхронизации времени и теневого копирования не менее 2 шт. Так же завершать работу, а не сохранять состояние. Из допслужб DHCP с зеркалированием. Я теперь всегда выбираю поколение 1 вирт.контейнера, т.к. с версией 2 были проблемы, что перестали загружаться из-за UEFI. Вирт. сервер КД памяти жрет около 1-1.6 Гб. 1 ядра достаточно, можно и два. Нагрузки 0%-1% cpu. 300+ компов.
21 MaximSh
 
19.04.18
15:24
в одной мелкой конторе 1 сервер, вот там на простом pentiume 4 отдельный КД и в вирт. машине еще один.
22 Сияющий в темноте
 
19.04.18
15:30
если мы контроллер ставим в виртуалку,то зачем хост вгонять в этот домен?хост вообще должен быть отдельно и из рабочей сети недоступен,тогда виртуалки на нем живут с удовольствием,а админы потом не кусают локти
23 Razor1212007
 
19.04.18
15:33
(20) Вы считаете что виртуальные сервера будут лучше? А остальные роли сервера лучше размещать на на отдельных виртуальных серверах такие как WSUS, DHCP&
24 MaximSh
 
19.04.18
15:46
DHCP нет смысла выносить от КД отдельно. Тем более в версии windows 2012+ где есть функция балансировки нагрузки и арендованных адресов. На серверах у меня ssd+hdd sata 3tb в зеркале. Контейнеры ВМ на ssd. WSUS у меня не в вирт. машине, ему нужен для норм. работы SQL, а база обновлений сейчас весит  437 Gb.
25 Razor1212007
 
19.04.18
15:54
(24)  Средством чего вы делаете бэкап виртуальных машин и где храните? Почему в зеркале, это Raid 1? У него же медленная скорость на запись, почему не Raid 10?
26 MaximSh
 
19.04.18
16:09
КД нельзя восстанавливать из архива. В ВМ у меня несколько xp, 8.1, сервера терминалов, несколько систем на linux. Бакап symantec backup exec на отдельном старом сервере набитом жесткими дисками до отказа без зеркала. HDD да, raid 1. К хранимым данным на HDD нет требований к скорости, это документы office, архив медицинских снимков (бюджетная сфера в регионе), дистрибутивы.
ps: линейная запись 20Gb -110 Мб/сек, причем первые 5 гб попадают в кэш системы со скоростью записи 450 Мб/сек.
27 Пузан
 
19.04.18
16:10
Всегда считал, что виртуалка хороша только для поддержки кучи вэб-сервисов, каждая из которых мало нагружена, например какая-нибудь корпоративная вэб-хрень, таким образом относительно удобно утилизируются избыточные мощности сервера. Для серьезных же вещей - это больше баловство.
28 Garikk
 
19.04.18
16:13
для службы терминалов очень удобны виртуалки
29 MaximSh
 
19.04.18
16:15
(27) 1C конечно не виртуалке, все остальное pacs сервер, openfire, redmine, видеоконференцсвязь trueconf на 9 пользователей, шлюз в защищенную сеть zastava office на win2003 в ВМ на 2-х машинах. ВМ обязательно должны быть на SSD и памяти достаточно. Вот сейчас 5 ВМ, загрузка ЦП 10 %,простой core i5
30 Пузан
 
19.04.18
16:17
Я тут летом столкнулся с забавным админом у заказчика. Один сервер, на нем виртуалки, отдельно терминал, отдельно скуль, отдельно сервер 1с предприятия, отдельно файл сервер. Жаловались, что 1с тормозит. Убрали виртуалку, все то же самое оставили на машине - жалобы исчезли. Утилизировать мощность тоже надо с умом. :)
31 XMMS
 
19.04.18
16:46
"Хотябы один КД и DNS должен быть железными "
+1
32 Razor1212007
 
19.04.18
16:50
Я так понимаю все за железный сервер. А все кто за железный сервер используют Windows Server 2016 или более ранние версии?
33 Cool_Profi
 
19.04.18
16:51
(32) А что есть разница?
34 MaximSh
 
19.04.18
16:53
(31) и если он есть, то иметь роль PDC и хозяина инфраструктуры. Чувствительно, когда ложится хозяин инфраструктуры.
35 Razor1212007
 
19.04.18
17:19
Кто нибудь еще в курсе как происходит процесс лицензирования Windows Server 2016 Standart. Возьмем к примеру один сервер 16 ядер, на все ядра закуплена лицензия. Если я установлю полноценный сервер, могу ли я установить еще Роль Hyper V на сервере и поднять 2 виртуальные машины с Windows Server 2016 Standart?
36 XMMS
 
19.04.18
17:48
(35)
Гугл роскомнадзор заблочил?
https://habrahabr.ru/post/272553/
37 Razor1212007
 
19.04.18
17:49
(36) Да, не пускает
38 Йохохо
 
19.04.18
19:01
(23) один живой просто потому, что убрать непонятки. В виртуалке ты будешь гадать, сломалось обновление оси, виртуалки или еще чего. А так ты будешь знать, что если что - потушишь железо, если что потушишь вм, и юзеры будут работать
39 mistеr
 
19.04.18
19:05
(35) Мне пришлось изучить недавно.
Windows Server 2016 лицензируется по физическим ядрам. На каждое ядро нужна лицензия. Кроме того, на каждый физический процессор нужно минимум 8 лицензий (даже если ядер меньше), а на физический сервер нужно минимум 16 лицензий.

Лицензии продаются пачками по две штуки (и изредко по 16 штук). То есть строчка в прайсе с кучей непонятных букв, среди которых есть "2Lic" - это пачка из двух лицензий.

Редакция Standard, при условии, что физ. сервер правильно лицензирован, дает право на использование в одной из конфигураций:
  - один экземпляр на физ. сервере + один виртуальный в HyperV. (Ну или без виртуального, если не нужен.)
  - один экземпляр на физ. сервере + два виртуальных в HyperV, при условии, что на физ. экземпляре используется только роль HyperV и больше ничего (в т.ч. сторонних приложений)
  - другая ОС на физ. сервере + другой гипервизор + неограниченое количество виртуальных экземпляров.
40 Fram
 
19.04.18
19:13
(39) > другая ОС на физ. сервере + другой гипервизор + неограниченое количество виртуальных экземпляров.

вот это интересно
41 Fram
 
19.04.18
19:34
(40) вот только подтверждение этому не могу найти
42 Fram
 
19.04.18
19:49
по теме... DHCP роль, мне кажется, лучше роутеру отдать.
А так ничего страшного, если оба КД будут на виртуалках, с условием, что гарантировано на разных хотсах, и хосты не в домене. Сам пользую XenServer, поэтому не знаю реализуемо ли это на Hyper-V
43 HawkEye
 
20.04.18
21:41
(0) я за виртуалку.... но КД должен быть не один..
44 Garykom
 
гуру
20.04.18
22:14
КД в облаке еще не предлагали?
45 _alex1974
 
21.04.18
10:21
1 сервер: AD, DHCP, WSUS, Veritas
2 сервер: резервный AD (здесь же можно временно хранить бэкапы / организовать файлопомойку / сервер печати / почту и т.д.)
3 сервер: AD, DHCP, WSUS

Кстати, DHCP сейчас каждая кофеварка может раздавать, с этим можно вообще не париться.

Виртуалки под эти задачи не нужны от слова совсем. Если дури (памяти в данном случае) много, можно дополнительно поднять терминалы. Второй проц в каждом сервере под эти задачи точно избыточен - нечем ему там заниматься.
46 KRV
 
21.04.18
11:19
Первый КД виртуальный, второй железный (можно даже за пару рублей на АВито купить - потянет) Остальное по желанию. Первый регулярно бэкапить чтобы поднять в момент
47 Fram
 
22.04.18
06:39
(46) всегда было интересно что будет если поднять архив КД недельной давности при
1. наличии резервного КД в сети
2. отсутствии резервного
48 MaximSh
 
22.04.18
09:21
(47) USN rollback будет. Рассинхронизация БД
49 MaximSh
 
22.04.18
09:28
(47)  потеряются внесённые изменения в домен. Это уж очевидно.
Раз в 30 дней компьютеры включённые в домен меняют ключи. Те, что поменяли с даты архива не смогут войти в домен, их надо перевводить. Вроде все.  Восстанавливать из архива когда есть один рабочий КД нет смысла, просто ставишь с нуля ещё один за 15 минут.
50 MaximSh
 
22.04.18
09:30
забыл, подчищаешь следы от мертвого КД ещё минут 30
51 MaximSh
 
22.04.18
09:35
Не нашёл как редактировать прошлые сообщения. В 1 случае, если надо, то захватываешь роли rid pdc и хозяина инфраструктуры.
52 Razor1212007
 
24.04.18
14:41
(45) Сделал следующее

1 сервер: AD, DHCP, WSUS, Kaspersky Security Center 10  HyperV- Proxy
2 сервер: Файловое хранилище. Veritas
3 сервер: AD, DHCP, WSUS
53 Йохохо
 
24.04.18
14:56
(52) HyperV- Proxy это как?
54 Razor1212007
 
24.04.18
15:53
(53) Поднята роль Hyper-v, Установлена серверная ОС, а на ней поднят Proxy
55 Fram
 
24.04.18
22:45
(52) а можно про железо подробнее.. и сколько стоило?
56 Fram
 
30.04.18
20:15
(55) ответа не последовало. жаль. хотел позлорадствовать над покупкой железа на полляма чтобы просто AD, DHCP, WSUS развернуть
57 Йохохо
 
30.04.18
20:19
(56) это не пол ляма, при таких покупках не то что сумму, цены не показывают
58 Fram
 
30.04.18
20:32
(57) да, перечитал (0) еще раз.. скорее всего железа там не менее чем на $100К
Я не хочу быть самым богатым человеком на кладбище. Засыпать с чувством, что за день я сделал какую-нибудь потрясающую вещь — вот что меня интересует. Стив Джобс