none
Rozdělení rolí na servery; jakou edici serveru?

    Dotaz

  • Zdravím.

    Chtěl bych tu postavit novou doménu, kde by měly fungovat služby Active Directory, DNS, DHCP a 802.1x NAP  (NAP ještě vyžaduje roli CA). Původní plán byl takový, že toto všechno dám na jeden server 2008 R2 strandard, ke kterému nainstaluji druhý server, kde budou stejné služby duplicitně jako záložní.

    V tomto dokumentu http://www.microsoft.com/downloads/en/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&displaylang=en jsem se dočetl toto:

    Auto-enrollment of user certificates for EAP-TLS authentication is
    available with Windows Server 2003 Enterprise Edition. For this 
    test lab deployment, the Certificates Request Wizard will be used 
    to obtain a computer certificate for NPS1.

    Zde na fóru jsem se dozvěděl, že Certifikační Autoritu (tu potřebuji jenom pro NAP) bych měl podle Best Practicies nainstalovat zvlášť na jiný server. Ten nový server by měl být edice Standard, nebo Enterprise? Jak byste umístění těchto rolí řešili, a jakou edici Serveru 2008 R2 na dané role zakoupit?

    Děkuji, JŠ

    18. února 2011 14:02

Odpovědi

  • Noo .. Ak nemate cluster ( mam na mysli cluster z tych fyzickych VmWare strojov, nie clustrovanie virtualnych masin ), tak v pripade vypadku toho VmWare stroja Vam zhasnu vsetky virtualne stroje, ktore na tomto VmWare serveri bezali ... Tam je potom jedno, ci som mal jeden DHCP stroj alebo tri - ak vsetky bezali ako virtualne masiny na jednom zeleze a to zelezo z akehokolvek dovodu zhaslo ( co i len restart VmWare stroja znamena vypadok vsetkych virtualnych Win2008 strojov, i ked len docasny ... ), tak nemam ziadnu sluzbu z toho virtualneho prostredia ... Ani, AD, ani DNS, DHCP, NAP ...

    Fyzicka instalacia vobec nie je nutna - ja by som nad nou uvazoval len preto, aby som mal dostupnu AD v pripade vypadku virtualizacneho riesenia - virtualizovane prostredie nebezi, AD je stale dostupna a v poriadku. AD je kriticka sluzba - zabezpecuje autentizaciu, castokrat aj konfiguraciu ( DNS, Exchange, CA, DHCP, ... ). Vlastne vsetko zavisi od dostupnosti a korektnej funkcnosti AD, toto je kriticka aplikacia Microsoft sieti, preto uvazujem o jej zabezpeceni aj takymto sposobom. Samozrejme, tato fyzicka instalacia nie je povinna, vobec ju nemusite uvazovat, to len ja som paranoik co sa desi problemov s AD :) :).

    Inak ostatne plati ako som pisal predtym k tym roliam. Teda vo Vasom pripade :

    jeden fyzciky server VMWare, na nom tri virtualne PC :

     PC1 = AD, DNS
     PC2 = CA, IIS
     PC3 = DHCP, NAP

    druhy fyzicky server = Windows Server 2008 R2 ako druhy domenovy radic. ( Alebo mozno tento fyzicky ako "primarny", a virtualny DC ako "sekundar" )

    Alebo kupte aj ten druhy VMWare stroj a na DRUHY VMWare stroj dajte DRUHY domenovy radic. Ak nebudete clusterovat tie VMWare stroje, tak NEDAVAJTE OBA DOMENOVE RADICE NA JEDEN VMWARE SERVER.

     

    Boris

    • Označen jako odpověď Jiri Simek 21. února 2011 9:12
    18. února 2011 15:57
  • No moc problémů nečekej...fungovat to bude úplně v pohodě. DNS i DHCP jsou velmi nekonfliktní služby, které se prostě rozběhnou a pak od nakonfigurování běží a běží.

    • Označen jako odpověď Jiri Simek 21. února 2011 9:12
    18. února 2011 19:21
  • Kludne to nainstalujte tak, ako ste uviedli :

    Virtual1 ( VMWare1 predpokladam ) : PC1 = CA ; PC2 = AD, DNS, DHCP, NAP

    Virtual2 ( VMWare 2, ano? ) : PC3 = AD, DNS, DHCP, NAP ( plus PC1 v pripade dlhodobeho vypadku Virtual1 )

     

    Takto to ale vidim na 3 licencie ( PC1, PC2 a PC3 ), nie 4 ... Ci som nieco zle pochopil ?

     

    K tomu DHCP :

    ad1. nemusite nevyhnutne pouzivat PowerShell skript, simultanne pouzitie dvoch DHCP serverov Vam moze vyriesit tzv. Split-Scope Approach :

    http://technet.microsoft.com/en-us/library/ee405264(WS.10).aspx

     

    ad2. ak prevadzkujete DHCP sluzbu na domenovom radici, je tu potencialne riziko problemov. Blizsie info :

    http://technet.microsoft.com/en-us/library/dd334715(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx ( tu najma odsek zacinajuci slovami "When the DHCP Server service is installed on a domain controller" )

    http://support.microsoft.com/kb/255134 ( i ked sa tento clanok uvadza len k Windows 2000, cast "Summary" a prve tri odseky casti "More Information" mozno povazovat za vseobecne platne )

     

    Nechcem Vam tymto strasit - len som Vas chcel upozornit na potencialne mozne problemy / vysvetlit svoje stanovisko preco som tie role navrhol separovat na samostatne OS. Je preto na Vas, aby ste si zvazili, co je pre Vas hrozbou a ako sa k nim postavite ( ako si postavite svoj monitoring, pripadne recovery plan ).

     

    Ak budete mat cas, mrknite aj sem :

    http://www.windowsecurity.com/articles/DHCP-Security-Part1.html
    http://www.windowsecurity.com/articles/DHCP-Security-Part2.html

    Nechcem Vas zahltit linkami, su to len dalsie napady na premyslanie. Tak vela stastia ...

     

    Boris.

    • Označen jako odpověď Jiri Simek 21. února 2011 9:11
    19. února 2011 21:21

Všechny reakce

  • Zdravim :)

    K Vasmu dotazu ( http://social.technet.microsoft.com/Forums/cs-CZ/windowsservercs/thread/fe5cad56-3932-4a2d-972c-d7868afb1c4f ) :

    Pisali ste, ze tieto servre ( 3x Windows Server 2008 R2, Standard Edition - buduca nova AD ) pobezia vo virtualnom prostredi. Preco chcete stavat dva domenove radice? Ja verim, ze to virtualizacne riesenie mate vo failover clusteri ( Hyper-V alebo VMWare ), a teda o vysoku dostupnost sa stara samotny virtualizacny cluster, nie? I ked ... Je pravda, ze domenovy radic by som ja v takomto pripade tiez postavil este jeden, ale tentokrat fyzicky ( teda prve DC ako virtualnu masinu vo virtualizacnom clustri, druhe DC ako fyzicku, nie virtualnu masinu ).

    Certifikacna autorita na Windows Server 2008 R2 Standard Edition je postacujuca. V navode, ktory uvadzate, bola spomenuta Windows 2003 Enterprise edicia - to preto, lebo na Windows Server 2003 ste museli pouzit Enterprise ediciu Windows systemu, ak ste chceli postavit certifikacnu autoritu integrovanu do AD ( tzv. Enterprise CA ).

    Co sa tyka rozdelenia roli :

    Ja zastavam nazor, ze domenovy radic ma byt LEN domenovy radic a nic ine, preto na DC instalovat len AD DS a DNS. DNS so zonami obsluhujucimi len AD domeny, tieto zony vsetky integrovat do AD, klientom cez DHCP definovat ako DNS servre len tieto DC/DNS masiny a na domenovych radicoch pre DNS sluzbu konfigurovat Forwarder a nepouzivat Root Hints. ( Windows Server 2008 R2, Std. Ed., 2x (dva servre) )

    Certifikacna autorita by mala byt tiez len certifikacnou autoritou, max. CA plus IIS. IIS kvoli CDP, teda kvoli publikovaniu CRL. CRL je sice mozne publikovat aj cez LDAP do AD, HTTP(S) mi ale pride univerzalnejsie vzhladom na ucel nasadenia - NAP / 802.1x. V tomto scenari bude kritickejsia dostupnost IIS kvoli CRL, nez dostupnost samotnej CA ( resp. v zavislosti od toho, s akou dlhou dobou platnosti budu vystavovane certifikaty jednotlivym PC ). ( Windows Server 2008 R2, Std. Ed., 1x (jeden virtualny server vo vysoko dostupnom clusteri) ).

    NAP, DHCP samostatna masina. Windows Server 2008 R2 Std. postacujuca. Ak by to inak neslo ( financne alebo ine limity ), je mozne prevadzkovat NAP na DC a DHCP na CA ... Radsej by som ale uvazoval ako o samostatnom stroji, a nechal DC a CA na pokoji ...

     

    Tolko moj nazor.

     

    18. února 2011 15:12
  • Rád Vás opět vidím :)

    Děkuji za Váš názor. Měl bych ještě upřesňující dotazy:

    Provozujeme to na VmWare (výhledově dva stroje, zatím jenom jeden), o clusteru jsme uvažovali, ale nakonec jsme ho zavrhli, protože postavit jednu službu (typu DNS, DHCP etc) dvakrát je jednodušší cesta, než řešit přepínání clusteru. Další věc je ta, že provozování MS clusteru pod VmWare je (nebo aspoň bylo) v rozporu s "best practices" od VmWare kvůli virtuálním síťovkám, správě time serveru atd. Pokud bychom clustering řešeli na úrovni VmWare, tak to zase je v rozporu s Best Practicies u Microsoftu: Co jsem četl, tak pozastavování a přepínání běhu Windows Serveru mu nedělá dobře - tedy hlavně konzistenci Active Directory.

    Takže mám jednoduché virtuální prostředí, a žádné fyzické železo na běžnou fyzickou instalaci Windows Serveru. Měl bych podle Vás za těchto podmínek ještě něco nainstalovat jinak? Proč uvažujete i fyzickou instalaci? Dá se bez ní obejít, aby to všechno šlo virtuálně?

    Děkuji, JŠ

    18. února 2011 15:32
  • Mozna se ta predstava rozchazi s puvodnim dotazem. Jestlize byl puvodni zamer dat vse na jeden server, predstavuji si, ze je zde financni limit, takze by odpoved mela smerovat k dostupnemu reseni. Failover clustering nemusi byt zrovna levne reseni pro malou firmu (http://technet.microsoft.com/en-us/library/cc732181(WS.10).aspx )

     

    18. února 2011 15:41
    Moderátor
  • Mozna se ta predstava rozchazi s puvodnim dotazem. Jestlize byl puvodni zamer dat vse na jeden server, predstavuji si, ze je zde financni limit, takze by odpoved mela smerovat k dostupnemu reseni. Failover clustering nemusi byt zrovna levne reseni pro malou firmu (http://technet.microsoft.com/en-us/library/cc732181(WS.10).aspx )

     


    Skutečně, clusterovat nechceme. Pro zajištění vysoké dostupnosti to ani není pro tyto služby potřeba - prostě tu službu nainstalujeme vedle, a při výpadku prvního serveru, se klient automaticky zeptá druhého nakonfigurovaného - to tedy byl původní záměr.
    18. února 2011 15:46
  • Noo .. Ak nemate cluster ( mam na mysli cluster z tych fyzickych VmWare strojov, nie clustrovanie virtualnych masin ), tak v pripade vypadku toho VmWare stroja Vam zhasnu vsetky virtualne stroje, ktore na tomto VmWare serveri bezali ... Tam je potom jedno, ci som mal jeden DHCP stroj alebo tri - ak vsetky bezali ako virtualne masiny na jednom zeleze a to zelezo z akehokolvek dovodu zhaslo ( co i len restart VmWare stroja znamena vypadok vsetkych virtualnych Win2008 strojov, i ked len docasny ... ), tak nemam ziadnu sluzbu z toho virtualneho prostredia ... Ani, AD, ani DNS, DHCP, NAP ...

    Fyzicka instalacia vobec nie je nutna - ja by som nad nou uvazoval len preto, aby som mal dostupnu AD v pripade vypadku virtualizacneho riesenia - virtualizovane prostredie nebezi, AD je stale dostupna a v poriadku. AD je kriticka sluzba - zabezpecuje autentizaciu, castokrat aj konfiguraciu ( DNS, Exchange, CA, DHCP, ... ). Vlastne vsetko zavisi od dostupnosti a korektnej funkcnosti AD, toto je kriticka aplikacia Microsoft sieti, preto uvazujem o jej zabezpeceni aj takymto sposobom. Samozrejme, tato fyzicka instalacia nie je povinna, vobec ju nemusite uvazovat, to len ja som paranoik co sa desi problemov s AD :) :).

    Inak ostatne plati ako som pisal predtym k tym roliam. Teda vo Vasom pripade :

    jeden fyzciky server VMWare, na nom tri virtualne PC :

     PC1 = AD, DNS
     PC2 = CA, IIS
     PC3 = DHCP, NAP

    druhy fyzicky server = Windows Server 2008 R2 ako druhy domenovy radic. ( Alebo mozno tento fyzicky ako "primarny", a virtualny DC ako "sekundar" )

    Alebo kupte aj ten druhy VMWare stroj a na DRUHY VMWare stroj dajte DRUHY domenovy radic. Ak nebudete clusterovat tie VMWare stroje, tak NEDAVAJTE OBA DOMENOVE RADICE NA JEDEN VMWARE SERVER.

     

    Boris

    • Označen jako odpověď Jiri Simek 21. února 2011 9:12
    18. února 2011 15:57
  • Samozřejmě, že druhý server poběží na druhém VmWare serveru, všechny virtuální stroje na jednom železe opravdu nemají smysl. Tady akorát přemýšlím, kolik licencí potom koupit. AD je skutečně kritická služba - o tom nemá smysl diskutovat. Pokud ale neběží NAP, tak jsou klienti taky nepoužitelné. DHCP může na 5 minut vypadnout, ale také bych jí raději považoval za kritickou službu. Takže tu máme tři kritické role, které bychom měli nainstalvoat dvakrát - každou kopii na jiné železo. IIS používat nebudeme.

    Z Vašeho návrhu mi dohromady vychází 6 licencí. Pokud bych Váš PC1 a PC2 sloučil, jaké problémy mohu očekávat? Ve výsledku by to vypadalo takto:

    Virtual1:  PC1 = CA, PC2 = AD, DNS, DHCP, NAP

    Virtual2: PC3 = AD, DNS, DHCP, NAP ; PC1 bychom zde pouštěli ručně při delším výpadku Virtual1

    To dělá dohromady 4 licence Serveru 2008 R2 standard. Zatím máme zakoupené a nainstalované ty 2 původně plánované.

    • Označen jako odpověď Jiri Simek 21. února 2011 9:12
    • Zrušeno označení jako odpověď Jiri Simek 21. února 2011 9:12
    18. února 2011 16:27
  • No moc problémů nečekej...fungovat to bude úplně v pohodě. DNS i DHCP jsou velmi nekonfliktní služby, které se prostě rozběhnou a pak od nakonfigurování běží a běží.

    • Označen jako odpověď Jiri Simek 21. února 2011 9:12
    18. února 2011 19:21
  • DVA DHCP se nemusi mit na siti radi :-)
    18. února 2011 20:39
    Moderátor
  • proč ne? Jednoduše se udělá obor, na každém bude polovina vyloučená a je to. A počítači je jedno, ze kterého si vezme IP. Problémem jsou DHCP se stejnými obory. Ale obávám se, že když už si pečlivě prochází BPA apod. tak tohle je něco, co bere jako samozřejmost.
    18. února 2011 20:49
  • DVA DHCP se nemusi mit na siti radi :-)


    Toto jsem vyřešitl Powershell skriptem. Druhý DHCP server je v defaultu vypnutý, Powershell skript hlídá pingem dotupnost prvního dhcp serveru a podle potřeby  druhou DHCP službu zapne nebo vypne. Toto řešení má výhodu v tom, že fixaci na MAC adresy stačí udržovat jenom na jednom serveru, zatímco druhý nemá žádnou takovou databázi a funguje jenom pro pžípad výpadku.

    proč ne? Jednoduše se udělá obor, na každém bude polovina vyloučená a je to. A počítači je jedno, ze kterého si vezme IP. Problémem jsou DHCP se stejnými obory. Ale obávám se, že když už si pečlivě prochází BPA apod. tak tohle je něco, co bere jako samozřejmost.

    Máte pravdu, udělal jsem to přesně jak píšete podle BPA :)

    19. února 2011 9:27
  • Vsimnete si, ze nepisi, ze na siti nesmi byt dva DHCP.

    Kontrola a zapinani v pripade poruchy mi pripada, ze je sice pekna ficura, ale je to dalsi mozny duvod k nejake poruse funkce.  System by mel byt jednoduchy :-)

     

    19. února 2011 12:00
    Moderátor
  • Kludne to nainstalujte tak, ako ste uviedli :

    Virtual1 ( VMWare1 predpokladam ) : PC1 = CA ; PC2 = AD, DNS, DHCP, NAP

    Virtual2 ( VMWare 2, ano? ) : PC3 = AD, DNS, DHCP, NAP ( plus PC1 v pripade dlhodobeho vypadku Virtual1 )

     

    Takto to ale vidim na 3 licencie ( PC1, PC2 a PC3 ), nie 4 ... Ci som nieco zle pochopil ?

     

    K tomu DHCP :

    ad1. nemusite nevyhnutne pouzivat PowerShell skript, simultanne pouzitie dvoch DHCP serverov Vam moze vyriesit tzv. Split-Scope Approach :

    http://technet.microsoft.com/en-us/library/ee405264(WS.10).aspx

     

    ad2. ak prevadzkujete DHCP sluzbu na domenovom radici, je tu potencialne riziko problemov. Blizsie info :

    http://technet.microsoft.com/en-us/library/dd334715(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx ( tu najma odsek zacinajuci slovami "When the DHCP Server service is installed on a domain controller" )

    http://support.microsoft.com/kb/255134 ( i ked sa tento clanok uvadza len k Windows 2000, cast "Summary" a prve tri odseky casti "More Information" mozno povazovat za vseobecne platne )

     

    Nechcem Vam tymto strasit - len som Vas chcel upozornit na potencialne mozne problemy / vysvetlit svoje stanovisko preco som tie role navrhol separovat na samostatne OS. Je preto na Vas, aby ste si zvazili, co je pre Vas hrozbou a ako sa k nim postavite ( ako si postavite svoj monitoring, pripadne recovery plan ).

     

    Ak budete mat cas, mrknite aj sem :

    http://www.windowsecurity.com/articles/DHCP-Security-Part1.html
    http://www.windowsecurity.com/articles/DHCP-Security-Part2.html

    Nechcem Vas zahltit linkami, su to len dalsie napady na premyslanie. Tak vela stastia ...

     

    Boris.

    • Označen jako odpověď Jiri Simek 21. února 2011 9:11
    19. února 2011 21:21
  • Děkuji Vám. Nejspíš pojedu ten zredukovaný model, potom časem případně přesunu role na jiné servery. Ještě uvidíme, co ukáže praxe. Jinak jsem se ještě rozhodl, že na certifikační server nakonec pro jistotu použiju edici Enterprice. V jednom dokumentu, který teď rychle nenajdu píšou, že Enterprice verze krom autoenrollmentu umožňuje vydávat i certifikáty pro wifi připojení (to budeme časem taky nasazovat jako 802.1x NAP). Další instalace pojedu jako Standard - když už je máme koupený. Je takovýto mix edic v doméně funkčně v pořádku?

    Jinak na vysvětlenou k těm licencím: 1. licence = PC1 na virtual1, druhá licence = PC2 na virtual1, třetí licence = PC3 na virtual2. Ta čtvrtá licence je potřeba k tomu, abych mohl PC1 příležitostně při výpadku spustit i pod virtual2.

    21. února 2011 9:11