Добрый день коллеги.Ситуация следующая есть компания Н, 150 компьютеров. Есть 3 железных новых сервера. Хранилища отдельного нет.
Всего два офиса, Расположены удаленно.

Закуплена лицензия Windows Server 2016 Standart на каждое ядро (3 сервера, по 2 процессора, по 8 ядер=  всего 48 ). Требуется организовать Доменную сеть. Не могу определиться как лучше установить, 2 варианта

1. 1 сервер ) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)AD DNS, - 2)DHCP,

    2 сервер ) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)Windows Server 2016 (Будет использоваться для хранилища), 2)Veritas

    3 сервер находиться в соседнем здании) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)AD DNS, 2)DHCP, WSUS  



2. 1 сервер ) Полноценный Windows  Server 2016 на нем  AD DNS,  плюс роль Hyper-v c виртуалкой 1)DHCP

    2 сервер ) Полноценный Windows  Server 2016  (Будет использоваться для хранилища)на нем 1 Hyper-v виртуалка Veritas

    3 сервер находиться в соседнем здании) Полноценный Windows  Server 2016 с  AD DNS , плюс роль Hyper-v  с виртуалкой 1)DHCP, WSUS

который из вариантов ты умеешь чинить?

Я бы вынес на физику. Но это не точно, я маску на улице нашёл

Красиво жить не запретишь. Выделять 8-ядерный сервер на контроллер домена для смешной цифры в 120 машин - это роскошно. А тут еще два таких.

А прежде чем ставить КД на виртуалку почитали рекомендации МС что этого нельзя делать?

По факту роль контроллера домена будет отлично работать даже на самом минимуме, на который ставится ОС . И брать крутой сервер исключительно для AD - расточительство. Если конечно кроме домена сервера не будут еще чем-то другим заниматься.

(0) Любой контроллер домена - это софт который работает на железе. Так что без разницы как ты его назовешь.

Серверы покупались на будущее, поэтому и такие конфигурации. Вы же не покупаете старый пк что бы пока только печатать. Все всегда покупается на будущее и с запасом.

(4) почему нельзя? можно ссылку

(4)  Мне вот тоже интересно почему?

(1) Какой вариант более надежный?

(8) (9) Кд вырубает кеширование на дисках.
Да и вообще (ИМХО) виртуальные сервера это зло. Ну, для работы пользователей, а не для удобства админов...

А никого не смутило что АД, ДНС, ДШСПи, ВСУС человек собирается раскидывать по разным серверам...?

ЗЫ: все это прекрасно уживется на одном серваке хоть железном, хоть виртуальном... По уму делать кластер из двух виртуалок с горячим резервом, и не забыть еще резервный АД сделать... А третий под файлопомойки можно и железным оставить... Ну и не забыть сервера для инет шлюза / почтовика / сервера администрирования антивируса...

ЗЫЫ: а с 1С там что?

(12) Нет не смутило. По всем правилам, на контроллер домена больше ничего не устанавливается (рекомендации Microsoft). Так то можно все в один запихнуть и Ждать пока упадет

DHCP на разных серверах, потому что нужна репликация, если один из них отвалиться.

Почтовик, 1С, Антивирус - не наша головная боль. Все предоставляется с верхнего звена

(11) ну и что? при чем тут виртуалка? есть негатив про дуал хомед и дхцп, про виртуалку ничего нет
(10) который умеешь чинить) один в железе AD DNS DHCP WSUS, на другом в виртуалке резервный AD DNS DHCP

Хотябы один КД и DNS должен быть железными

Видел эпичный фейл с подходом "виртуализуем все!"
1)по безопасности везде авторизация через AD, локальные пароли отключены
2)падает гипервизор (пул виртуалок или еще че)
3)вы не можете попасть в админку гипервизора из-за помершего домена..писец замкнутый круг (особенно когда выясняется что репликация плохо работала)

(11) >Да и вообще (ИМХО) виртуальные сервера это зло
Это счастье великое когда вместо 50 серваков можно один поставить, функционал такойже, а экономия на железе офигенная

(13) ну Микрософт и не то напишет в рекомендациях лишь бы лишние лицензии продать... и как раньше все это на одной железке уживалось...
ЗЫ: мое мнение кластер виртуалок из пары серваков, базу всус перекинуть на внешнюю железку, чтоб легче было виртуальные серваки гонять по кластеру.

(8)(9) https://social.technet.microsoft.com/wiki/ru-ru/contents/articles/26972.aspx
ну для конфы в (0) в любом раскладе будет трындец

Я за физику в виде роутера с samba ad

(17) Вы бы еще Windows Server 2003 к примеру взяли бы.

Только в виртуалки с обязательных отключением синхронизации времени и теневого копирования не менее 2 шт. Так же завершать работу, а не сохранять состояние. Из допслужб DHCP с зеркалированием. Я теперь всегда выбираю поколение 1 вирт.контейнера, т.к. с версией 2 были проблемы, что перестали загружаться из-за UEFI. Вирт. сервер КД памяти жрет около 1-1.6 Гб. 1 ядра достаточно, можно и два. Нагрузки 0%-1% cpu. 300+ компов.

в одной мелкой конторе 1 сервер, вот там на простом pentiume 4 отдельный КД и в вирт. машине еще один.

если мы контроллер ставим в виртуалку,то зачем хост вгонять в этот домен?хост вообще должен быть отдельно и из рабочей сети недоступен,тогда виртуалки на нем живут с удовольствием,а админы потом не кусают локти

(20) Вы считаете что виртуальные сервера будут лучше? А остальные роли сервера лучше размещать на на отдельных виртуальных серверах такие как WSUS, DHCP&

DHCP нет смысла выносить от КД отдельно. Тем более в версии windows 2012+ где есть функция балансировки нагрузки и арендованных адресов. На серверах у меня ssd+hdd sata 3tb в зеркале. Контейнеры ВМ на ssd. WSUS у меня не в вирт. машине, ему нужен для норм. работы SQL, а база обновлений сейчас весит  437 Gb.

(24)  Средством чего вы делаете бэкап виртуальных машин и где храните? Почему в зеркале, это Raid 1? У него же медленная скорость на запись, почему не Raid 10?

КД нельзя восстанавливать из архива. В ВМ у меня несколько xp, 8.1, сервера терминалов, несколько систем на linux. Бакап symantec backup exec на отдельном старом сервере набитом жесткими дисками до отказа без зеркала. HDD да, raid 1. К хранимым данным на HDD нет требований к скорости, это документы office, архив медицинских снимков (бюджетная сфера в регионе), дистрибутивы.
ps: линейная запись 20Gb -110 Мб/сек, причем первые 5 гб попадают в кэш системы со скоростью записи 450 Мб/сек.

Всегда считал, что виртуалка хороша только для поддержки кучи вэб-сервисов, каждая из которых мало нагружена, например какая-нибудь корпоративная вэб-хрень, таким образом относительно удобно утилизируются избыточные мощности сервера. Для серьезных же вещей - это больше баловство.

для службы терминалов очень удобны виртуалки

(27) 1C конечно не виртуалке, все остальное pacs сервер, openfire, redmine, видеоконференцсвязь trueconf на 9 пользователей, шлюз в защищенную сеть zastava office на win2003 в ВМ на 2-х машинах. ВМ обязательно должны быть на SSD и памяти достаточно. Вот сейчас 5 ВМ, загрузка ЦП 10 %,простой core i5

Я тут летом столкнулся с забавным админом у заказчика. Один сервер, на нем виртуалки, отдельно терминал, отдельно скуль, отдельно сервер 1с предприятия, отдельно файл сервер. Жаловались, что 1с тормозит. Убрали виртуалку, все то же самое оставили на машине - жалобы исчезли. Утилизировать мощность тоже надо с умом. :)

"Хотябы один КД и DNS должен быть железными "
+1

Я так понимаю все за железный сервер. А все кто за железный сервер используют Windows Server 2016 или более ранние версии?

(32) А что есть разница?

(31) и если он есть, то иметь роль PDC и хозяина инфраструктуры. Чувствительно, когда ложится хозяин инфраструктуры.

Кто нибудь еще в курсе как происходит процесс лицензирования Windows Server 2016 Standart. Возьмем к примеру один сервер 16 ядер, на все ядра закуплена лицензия. Если я установлю полноценный сервер, могу ли я установить еще Роль Hyper V на сервере и поднять 2 виртуальные машины с Windows Server 2016 Standart?

(35)
Гугл роскомнадзор заблочил?
https://habrahabr.ru/post/272553/

(36) Да, не пускает

(23) один живой просто потому, что убрать непонятки. В виртуалке ты будешь гадать, сломалось обновление оси, виртуалки или еще чего. А так ты будешь знать, что если что - потушишь железо, если что потушишь вм, и юзеры будут работать

(35) Мне пришлось изучить недавно.
Windows Server 2016 лицензируется по физическим ядрам. На каждое ядро нужна лицензия. Кроме того, на каждый физический процессор нужно минимум 8 лицензий (даже если ядер меньше), а на физический сервер нужно минимум 16 лицензий.

Лицензии продаются пачками по две штуки (и изредко по 16 штук). То есть строчка в прайсе с кучей непонятных букв, среди которых есть "2Lic" - это пачка из двух лицензий.

Редакция Standard, при условии, что физ. сервер правильно лицензирован, дает право на использование в одной из конфигураций:
  - один экземпляр на физ. сервере + один виртуальный в HyperV. (Ну или без виртуального, если не нужен.)
  - один экземпляр на физ. сервере + два виртуальных в HyperV, при условии, что на физ. экземпляре используется только роль HyperV и больше ничего (в т.ч. сторонних приложений)
  - другая ОС на физ. сервере + другой гипервизор + неограниченое количество виртуальных экземпляров.

(39) > другая ОС на физ. сервере + другой гипервизор + неограниченое количество виртуальных экземпляров.

вот это интересно

(40) вот только подтверждение этому не могу найти

по теме... DHCP роль, мне кажется, лучше роутеру отдать.
А так ничего страшного, если оба КД будут на виртуалках, с условием, что гарантировано на разных хотсах, и хосты не в домене. Сам пользую XenServer, поэтому не знаю реализуемо ли это на Hyper-V

(0) я за виртуалку.... но КД должен быть не один..

КД в облаке еще не предлагали?

1 сервер: AD, DHCP, WSUS, Veritas
2 сервер: резервный AD (здесь же можно временно хранить бэкапы / организовать файлопомойку / сервер печати / почту и т.д.)
3 сервер: AD, DHCP, WSUS

Кстати, DHCP сейчас каждая кофеварка может раздавать, с этим можно вообще не париться.

Виртуалки под эти задачи не нужны от слова совсем. Если дури (памяти в данном случае) много, можно дополнительно поднять терминалы. Второй проц в каждом сервере под эти задачи точно избыточен - нечем ему там заниматься.

Первый КД виртуальный, второй железный (можно даже за пару рублей на АВито купить - потянет) Остальное по желанию. Первый регулярно бэкапить чтобы поднять в момент

(46) всегда было интересно что будет если поднять архив КД недельной давности при
1. наличии резервного КД в сети
2. отсутствии резервного

(47) USN rollback будет. Рассинхронизация БД

(47)  потеряются внесённые изменения в домен. Это уж очевидно.
Раз в 30 дней компьютеры включённые в домен меняют ключи. Те, что поменяли с даты архива не смогут войти в домен, их надо перевводить. Вроде все.  Восстанавливать из архива когда есть один рабочий КД нет смысла, просто ставишь с нуля ещё один за 15 минут.

забыл, подчищаешь следы от мертвого КД ещё минут 30

Не нашёл как редактировать прошлые сообщения. В 1 случае, если надо, то захватываешь роли rid pdc и хозяина инфраструктуры.

(45) Сделал следующее

1 сервер: AD, DHCP, WSUS, Kaspersky Security Center 10  HyperV- Proxy
2 сервер: Файловое хранилище. Veritas
3 сервер: AD, DHCP, WSUS

(52) HyperV- Proxy это как?

(53) Поднята роль Hyper-v, Установлена серверная ОС, а на ней поднят Proxy

(52) а можно про железо подробнее.. и сколько стоило?

(55) ответа не последовало. жаль. хотел позлорадствовать над покупкой железа на полляма чтобы просто AD, DHCP, WSUS развернуть

(56) это не пол ляма, при таких покупках не то что сумму, цены не показывают

(57) да, перечитал (0) еще раз.. скорее всего железа там не менее чем на $100К