Remove From My Forums

Hyper V Replikation in Domäne oder Workgroup ?

Frage
0

Anmelden

Hallo zusammen,
folgendes Szenario: zwei 2012R2 Server mit Hyper V. Die VMs auf dem einen sollen auf den anderen Server (Replikatserver) repliziert werden. Da eine VM auch ein "Ersatz"-DC ist (welcher nicht repliziert wird), wäre es nun doch besser, wenn beide Hyper V Server nicht in der Domäne wären, da sich diese ja ansonsten bei Ausfall des physischen DCs im Zweifel nicht mehr anmelden könnten (falls der Hyper V Server nicht noch angemeldet ist), da der virtuelle DC ja erst gestartet werden kann wenn der Host diesen gestartet hat - der Host jedoch wiederum benötigt den virtuellen DC zum Anmelden!? Ist das korrekt so? Gibt es möglicherweise eine einfache Lösung für dieses Problem?
Deshalb wäre es wohl am Besten, die beiden Hyper V Server außerhalb der Domäne laufen zu lassen. Dann funktioniert die Replikation jedoch anscheinend nur über einen "sicheren" Kanal (HTTPS) mittels Zertifikaten, was wohl sehr aufwendig wäre...
Über Tipps würde ich mich freuen!

Donnerstag, 9. Juli 2015 17:04

Antworten

|

Zitieren

Antworten

1

Anmelden
Moin,

ein Host braucht keinen DC zum Starten. Der Host bekommt dann zwar keine GPOs und Domänen Benutzer/Admins können sich möglicherweise nicht anmelden, aber die VMs laufen und mit einem lokalen Benutzer/Admin kann ich mich am Host anmelden.

Ich würde am DR Standort grundsätzlich einen DC betreiben und den Host in die Domäne aufnehmen. Ob der DC als VM oder auf Blech läuft ist Geschmackssache bzw. hängt vom DR Plan ab.

Ich persönlich bevorzuge Blech. Die Domäne ist als Identitätsspeicher das Herz der Umgebung und sollte IMHO von allen anderen Diensten unabhängig funktionieren können.

PS: Einen 'Ersatz-DC' gibt es nicht. Es gibt nur Domain Controller -> Multi Master Betrieb und FSMO
This posting is provided AS IS with no warranties.
- Als Antwort vorgeschlagen Florian Klaffenbach Freitag, 10. Juli 2015 06:07
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 24. Juli 2015 14:25
Donnerstag, 9. Juli 2015 18:34

Antworten

|

Zitieren
1

Anmelden
Das hängt davon ab, wie die Clients konfiguriert sind und wie die Netzwerkressourcen verbunden werden.

Der Client hat einen Cache für die Anmeldeinformationen der Benutzer, Netzwerklaufwerke werden standardmäßig als 'persistent:yes' (also dauerhaft) verbunden. Wenn der Client keinen DNS Server gesetzt hat, versucht er mit einem Fallback auf NetBios die Server per Broadcast im lokalen Netz zu finden.

Das kann eine Weile gut gehen; einen DR Plan würde ich darauf jedoch nicht aufbauen wollen.
This posting is provided AS IS with no warranties.
- Als Antwort vorgeschlagen Florian Klaffenbach Freitag, 10. Juli 2015 06:07
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 24. Juli 2015 14:25
Freitag, 10. Juli 2015 04:15

Antworten

|

Zitieren
1

Anmelden
Deshalb wäre es wohl am Besten, die beiden Hyper V Server außerhalb der Domäne laufen zu lassen. Dann funktioniert die Replikation jedoch anscheinend nur über einen "sicheren" Kanal (HTTPS) mittels Zertifikaten, was wohl sehr aufwendig wäre...
Über Tipps würde ich mich freuen!

Hi,

Zertifikate sind auch schnell erstellt:
http://www.windowspro.de/marcel-kueppers/hyper-v-replica-vm-replikation-zertifikaten-verschluesseln

Richtig ist, dass im AD Kerberos Replica schneller aktiviert ist, jedoch ist es sinnvoll generell verschlüsselt zu replizieren.

Die Vorteile einer Mitgliedschaft liegen auf der Hand:

- Gruppenrichtlinien können zentral gestaltet werden
- Anmeldedaten sind zentral und einheitlich
- Authentifizierung über Kerberos (Thema Replikate)
- Zusammenfassung der Computerobjekte im AD

Möchtest Du vllt irgendwann einen Host-Cluster erstellen, ist die Mitgliedschaft notwendig:

http://www.windowspro.de/marcel-kueppers/failover-cluster-einrichten-windows-server-2012-r2

@Florian

Ich verstehe diese Aussage nicht ganz, seit 2012 ist die Abhängigkeit zum AD gesunken:

bei Windows Server 2012 R2 starten die Hyper-V Hosts auch ohne Domäne. Du kannst also ohne Angst die DCs in die Domänen haben. Du kannst aber den Clusterservice nicht ohne Domäne starten.

Besten Gruss Marcel (http://www.windowspro.de/marcel-kueppers)
- Bearbeitet Marcel Küppers Freitag, 10. Juli 2015 09:24
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 24. Juli 2015 14:25
Freitag, 10. Juli 2015 09:11

Antworten

|

Zitieren

Alle Antworten

1

Anmelden
Hallo HC.Z,

bei Windows Server 2012 R2 starten die Hyper-V Hosts auch ohne Domäne. Du kannst also ohne Angst die DCs in die Domänen haben. Du kannst aber den Clusterservice nicht ohne Domäne starten.

Ich habe in meiner Umgebung keinen einzigen physischen DC und ich starte immer erst die Hosts und dann die DC.

Also die Lösung ist, Hyper-V Hosts in die Domäne und die DC vom automatisch starten lassen. Bitte den dran, der "Ersatz-DC" bringt dir nur etwas wenn er sich regelmässig mit deinem DC repliziert. Also lass immer beide laufen und den Ersatz nich als cold Standby rumliegen.

Ich hoffe das hilft weiter.

LG

Flo
- Als Antwort vorgeschlagen Florian Klaffenbach Freitag, 10. Juli 2015 06:07
Donnerstag, 9. Juli 2015 18:08

Antworten

|

Zitieren
1

Anmelden
Moin,

ein Host braucht keinen DC zum Starten. Der Host bekommt dann zwar keine GPOs und Domänen Benutzer/Admins können sich möglicherweise nicht anmelden, aber die VMs laufen und mit einem lokalen Benutzer/Admin kann ich mich am Host anmelden.

Ich würde am DR Standort grundsätzlich einen DC betreiben und den Host in die Domäne aufnehmen. Ob der DC als VM oder auf Blech läuft ist Geschmackssache bzw. hängt vom DR Plan ab.

Ich persönlich bevorzuge Blech. Die Domäne ist als Identitätsspeicher das Herz der Umgebung und sollte IMHO von allen anderen Diensten unabhängig funktionieren können.

PS: Einen 'Ersatz-DC' gibt es nicht. Es gibt nur Domain Controller -> Multi Master Betrieb und FSMO
This posting is provided AS IS with no warranties.
- Als Antwort vorgeschlagen Florian Klaffenbach Freitag, 10. Juli 2015 06:07
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 24. Juli 2015 14:25
Donnerstag, 9. Juli 2015 18:34

Antworten

|

Zitieren
1

Anmelden

Vielen Dank für eure Antworten! Das ist schon mal gut zu wissen - also die beiden Hosts in die Domäne aufnehmen wäre dann wohl die Methode der Wahl. Falls der DC1 ausfällt, dann kann man also die Hosts auch weiterhin im Zweifel über den lokalen Account starten.
Interessant finde ich, dass sich Clients selbst wenn der DC (testweise) ausfällt (und kein DC läuft) mit dem Domänenusername und Passwort anmelden können - GPOs werden dann allerdings nicht durchgesetzt.
Allerdings werden selbst Netzlaufwerke hergestellt selbst nach einem Neustart wenn vorher einmal ein laufender DC als alternativer DNS angegeben wurde - entfernt man diesen laufenden, alternativen DNS Server aus den IP Einstellungen und startet den Client neu, so ist das Netzlaufwerk noch immer vorhanden... Kann das jemand erklären?

Donnerstag, 9. Juli 2015 21:22

Antworten

|

Zitieren
1

Anmelden
Das hängt davon ab, wie die Clients konfiguriert sind und wie die Netzwerkressourcen verbunden werden.

Der Client hat einen Cache für die Anmeldeinformationen der Benutzer, Netzwerklaufwerke werden standardmäßig als 'persistent:yes' (also dauerhaft) verbunden. Wenn der Client keinen DNS Server gesetzt hat, versucht er mit einem Fallback auf NetBios die Server per Broadcast im lokalen Netz zu finden.

Das kann eine Weile gut gehen; einen DR Plan würde ich darauf jedoch nicht aufbauen wollen.
This posting is provided AS IS with no warranties.
- Als Antwort vorgeschlagen Florian Klaffenbach Freitag, 10. Juli 2015 06:07
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 24. Juli 2015 14:25
Freitag, 10. Juli 2015 04:15

Antworten

|

Zitieren
1

Anmelden
Deshalb wäre es wohl am Besten, die beiden Hyper V Server außerhalb der Domäne laufen zu lassen. Dann funktioniert die Replikation jedoch anscheinend nur über einen "sicheren" Kanal (HTTPS) mittels Zertifikaten, was wohl sehr aufwendig wäre...
Über Tipps würde ich mich freuen!

Hi,

Zertifikate sind auch schnell erstellt:
http://www.windowspro.de/marcel-kueppers/hyper-v-replica-vm-replikation-zertifikaten-verschluesseln

Richtig ist, dass im AD Kerberos Replica schneller aktiviert ist, jedoch ist es sinnvoll generell verschlüsselt zu replizieren.

Die Vorteile einer Mitgliedschaft liegen auf der Hand:

- Gruppenrichtlinien können zentral gestaltet werden
- Anmeldedaten sind zentral und einheitlich
- Authentifizierung über Kerberos (Thema Replikate)
- Zusammenfassung der Computerobjekte im AD

Möchtest Du vllt irgendwann einen Host-Cluster erstellen, ist die Mitgliedschaft notwendig:

http://www.windowspro.de/marcel-kueppers/failover-cluster-einrichten-windows-server-2012-r2

@Florian

Ich verstehe diese Aussage nicht ganz, seit 2012 ist die Abhängigkeit zum AD gesunken:

bei Windows Server 2012 R2 starten die Hyper-V Hosts auch ohne Domäne. Du kannst also ohne Angst die DCs in die Domänen haben. Du kannst aber den Clusterservice nicht ohne Domäne starten.

Besten Gruss Marcel (http://www.windowspro.de/marcel-kueppers)
- Bearbeitet Marcel Küppers Freitag, 10. Juli 2015 09:24
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 24. Juli 2015 14:25
Freitag, 10. Juli 2015 09:11

Antworten

|

Zitieren
0

Anmelden

Die Frage: Replica in der Domäne oder in der Workgroup, entscheidet auch das Gesamtkonzept. Hat der DR Standort eine andere Gesamtstruktur? Vertrauensstellungen? Gibt es überhaupt einen seperaten DR Standort? Sind die Server im gleichen Rechenzentrum?

Besten Gruss Marcel (http://www.windowspro.de/marcel-kueppers)

Freitag, 10. Juli 2015 09:48

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Hyper V Replikation in Domäne oder Workgroup ?

Frage

Antworten

Alle Antworten