none
Escenario de implantacion roles de servidor RRS feed

  • Pregunta

  • Hola a todos, me han pedido que prepare un proyecto de implantación para una empresa cuyas necesidades iniciales deben cubrir VPN, almacenamiento escalable, aplicaciones en red y todo por el menor coste de inversión posible, jeje ya sabéis. la red cubrirá necesidades para unos 7 usuario con previsión de crecimiento a corto plazo de 30 0 40 usuarios más, por lo que tiraré por windows server 2012 Estándar. 

    Mi duda es como determinar correctamente cuantos servidores utilizar y que roles usarán, inicialmente he pensado en 4 servidores con los siguiente roles:

    SRV01 (2 Tarjetas red LAN y WAN) ...............DC01 y DNS, DHCP y Enrutamiento NAT

    SRV02 (2 Tarjetas red LAN y WAN) ...............DC02 y DNS2(como 2º DC), DHCP (en conmutación por error) y Enrutamiento NAT).

    SRV03 (2 Tarjetas red LAN y WAN)..........................................Servidor VPN.

    SRV04 (1 Tarjeta red LAN)........ Servidor aplicaciones y almacenamiento ISCSI sobre NAS en este mismo servidor.

    que os parece? acepto sugerencias de mejora y posibles errores de planteamiento que no haya tenido en cuenta.

    NOTA: para abaratar costes tenia pensado aprovechar las dos instancias de maquinas virtuales que puedo usar con Windows server Estándar y adquirir solo dos servidores físicos y virtualizar en dos más para obtener así los 4.

    Gracias de antemano,

     
    domingo, 31 de agosto de 2014 12:43

Respuestas

  • Hola David,

    Lo primero no recomendable de tu planteamiento son los DC compartiendo roles con el servicio VPN/NAT y en Failover Clustering, todos estos servicios no deberían acompañar al Controlador de Dominio, sin embargo tener 2 controladores es algo absolutamente necesario, ya que muchos servicios, aplicaciones y clientes dependen de su presencia.

    Supongo que tu plan de tener 2 servidores NAT va por balanceo o tolerancia, pues bien, lo primero es recordar que el NLB y el Clustering no deberían estar en los mismos equipos, son tipos diferentes de Cluster, tomando en cuenta además que en el mejor de los casos tendrá 30 conexiones VPN (cada servidor puede aceptar 1000 conexiones concurrentes sin problemas), considero que con un solo servidor basta y sobra, solo tendrías que planificar tu plan de contingencia por si este servidor (SVR3 en mi recomendación, es interrumpido (si usas Hyper-V podrías tener replicado el segundo en estado Stand-By por ejemplo).

    Otro punto a considerar es que la licencia de Windows 2012 estándar cubre 2 instancias de VM siempre y cuando el host solo se use como servidor de virtualización, entonces, si al host le colocas otros roles, solo tendrás 1 instancia de VM licenciada, en resumen, asegúrate de que el Host físico solo se use como servidor de virtualización para aprovechar las dos instancias, luego si necesitas más VMs solo adquieres mas licencias estándar para ese servidor.

    Dicho esto, quedaría a mi parecer:

    SRV01 (1 Tarjeta red LAN) ...............DC01 y DNS (En servidor físico 1)

    SRV02 (1 Tarjeta red LAN) ...............DC02 y DNS (En servidor físico 2)

    SRV03 (2 Tarjetas red LAN y WAN) ... DHCP, Enrutamiento NAT, Servidor VPN. (Replicado)

    SRV04 (1 Tarjeta red LAN)........ Servidor aplicaciones y almacenamiento ISCSI sobre NAS en este mismo servidor.

    A ver que te parece!

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE



    • Editado Jesus.Penaranda domingo, 31 de agosto de 2014 17:44
    • Propuesto como respuesta Uriel Almendra lunes, 1 de septiembre de 2014 14:22
    • Marcado como respuesta DavidCasas lunes, 1 de septiembre de 2014 16:45
    domingo, 31 de agosto de 2014 17:41
  • Hola David,

    Entiendo tu planteamiento y me parece lógico, creo que el escenario de sumar el DC+DNS+DHCP en dos servidores está bien, puede ser bien soportado, sin embargo no me deja de preocupar el NAT, básicamente porque eso significaría que el controlador de dominio tenga una dirección publica visible. Entonces aquí creo que la solución final pasa por balancear:

    1. Es mas probable/Impactante la caída del NAT, por lo que el esquema que has planteado termina siendo la solución a implementar.

    2. Es mas probable/Impactante los riesgos de seguridad al exponer al DC instalándole una dirección publica, por lo que mantengo 2 servidores con DC+DNS+DHCP y uno solo como NAT.

    Como te decía al inicio, el riesgo de que haya un solo NAT puedes contenerlo guardando una copia de la maquina virtual que tomaría minutos en ponerlo en línea. Pero nuevamente, es cosa de ponerlo en la balanza!

    Espero que vaya todo bien! y no olvides marcar la respuesta para cerrar este hilo si mi respuesta te fue de ayuda.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Marcado como respuesta DavidCasas lunes, 1 de septiembre de 2014 21:24
    lunes, 1 de septiembre de 2014 19:55

Todas las respuestas

  • Hola David,

    Lo primero no recomendable de tu planteamiento son los DC compartiendo roles con el servicio VPN/NAT y en Failover Clustering, todos estos servicios no deberían acompañar al Controlador de Dominio, sin embargo tener 2 controladores es algo absolutamente necesario, ya que muchos servicios, aplicaciones y clientes dependen de su presencia.

    Supongo que tu plan de tener 2 servidores NAT va por balanceo o tolerancia, pues bien, lo primero es recordar que el NLB y el Clustering no deberían estar en los mismos equipos, son tipos diferentes de Cluster, tomando en cuenta además que en el mejor de los casos tendrá 30 conexiones VPN (cada servidor puede aceptar 1000 conexiones concurrentes sin problemas), considero que con un solo servidor basta y sobra, solo tendrías que planificar tu plan de contingencia por si este servidor (SVR3 en mi recomendación, es interrumpido (si usas Hyper-V podrías tener replicado el segundo en estado Stand-By por ejemplo).

    Otro punto a considerar es que la licencia de Windows 2012 estándar cubre 2 instancias de VM siempre y cuando el host solo se use como servidor de virtualización, entonces, si al host le colocas otros roles, solo tendrás 1 instancia de VM licenciada, en resumen, asegúrate de que el Host físico solo se use como servidor de virtualización para aprovechar las dos instancias, luego si necesitas más VMs solo adquieres mas licencias estándar para ese servidor.

    Dicho esto, quedaría a mi parecer:

    SRV01 (1 Tarjeta red LAN) ...............DC01 y DNS (En servidor físico 1)

    SRV02 (1 Tarjeta red LAN) ...............DC02 y DNS (En servidor físico 2)

    SRV03 (2 Tarjetas red LAN y WAN) ... DHCP, Enrutamiento NAT, Servidor VPN. (Replicado)

    SRV04 (1 Tarjeta red LAN)........ Servidor aplicaciones y almacenamiento ISCSI sobre NAS en este mismo servidor.

    A ver que te parece!

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE



    • Editado Jesus.Penaranda domingo, 31 de agosto de 2014 17:44
    • Propuesto como respuesta Uriel Almendra lunes, 1 de septiembre de 2014 14:22
    • Marcado como respuesta DavidCasas lunes, 1 de septiembre de 2014 16:45
    domingo, 31 de agosto de 2014 17:41
  • Hola Jesús:

    Lo primero agradecerte tu rápida respuesta y decirte que tu planteamiento es bastante limpio y lo tendré muy en cuenta para mi implantación.

    No obstante me surge alguna duda sobre tu recomendación inicial que posiblemente venga dada por no haberme explicado correctamente. No tenia intención de poner el controlador de dominio junto con VPN ni si quiera montar clustering, Jesús imagina la siguiente situación:

    Monto un primer servidor (SRV01) con dos tarjetas de red, una para LAN conectada al Switch y otra para WAN conectada al router (ambas tarjetas con rangos distintos), con rol DC y DNS principal, añado DHCP para que los clientes tengan automáticamente Ip´s y DNS necesarias y por último NAT, que junto con DHCP también reparte a los clientes puerta de enlace (Tarjeta WAN) para salir a internet.

    Resumen SRV01: DC, DNS, Enrutamiento (Solo NAT) y DHCP.

    ahora me planteo, ¿Y si cae este servidor?

    1.- El dominio queda sin DC y DNS, pues Ok, como bien decías Jesús y como buena práctica monto un segundo servido SRV02 donde agrego al bosque un DC y DNS secundario. Primer problema solucionado.

    2.- Sin DHCP los clientes no obtienen las ip´s y DNS necesarias, pues Ok, decido instalar DCHP en este segundo servidor mediante conmutación por error, ¡¡¡mis clientes ya tienen ip´s!!!. Solo falta la DNS, pues Configuro las "Opciones de ámbito" del DHCP, agregando a la opción "Servidores DNS" como Ip alternativa la de este segundo servidor ¡¡¡mis clientes ya pueden resolver!!!. Segundo problema solucionado. 

    3.- Mis clientes no tienen puerta de enlace para salir a internet por caída del primer server; Al igual que el primer servidor decido montar 2 tarjetas de red para este segundo (LAN y WAN), instalo a este SRV02 NAT para enrutar a los clientes a la tarjeta WAN de este segundo server agregando su ip en la opción "Enrutador" desde las "opciones de ámbito" del DHCP. ¡¡¡mis clientes ya salen a internet por este segundo server!!. Tercer problema solucionado.

    Resumen SRV02: DC, DNS, Enrutamiento (Solo NAT) y DHCP.

    Jesús, como veras no he montado Failover Cluster y el servicio VPN lo montaré en un tercer Server independiente.

    Esta prueba la he realizado en laboratorio y funciona todo correctamente al simular caída de servidor principal, verificando en el cliente que las ips, DNS y puerta enlace son entregadas por SRV02. ¿Jesús crees que es lo más correcto o se me escapa algo en el planteamiento?

    Dada tu experiencia y amplios conocimientos agradecería mucho tus comentarios sobre este planteamiento que intenta dar algo de "alta disponibilidad" sin disponer de todos los recursos deseados por temas de costes y necesitando cubrir otras necesidades que pide la empresa VPN, Almacenamiento escalable, Servidor aplicaciones. 

    Un saludo,

     

    lunes, 1 de septiembre de 2014 11:37
  • Hola David,

    Entiendo tu planteamiento y me parece lógico, creo que el escenario de sumar el DC+DNS+DHCP en dos servidores está bien, puede ser bien soportado, sin embargo no me deja de preocupar el NAT, básicamente porque eso significaría que el controlador de dominio tenga una dirección publica visible. Entonces aquí creo que la solución final pasa por balancear:

    1. Es mas probable/Impactante la caída del NAT, por lo que el esquema que has planteado termina siendo la solución a implementar.

    2. Es mas probable/Impactante los riesgos de seguridad al exponer al DC instalándole una dirección publica, por lo que mantengo 2 servidores con DC+DNS+DHCP y uno solo como NAT.

    Como te decía al inicio, el riesgo de que haya un solo NAT puedes contenerlo guardando una copia de la maquina virtual que tomaría minutos en ponerlo en línea. Pero nuevamente, es cosa de ponerlo en la balanza!

    Espero que vaya todo bien! y no olvides marcar la respuesta para cerrar este hilo si mi respuesta te fue de ayuda.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Marcado como respuesta DavidCasas lunes, 1 de septiembre de 2014 21:24
    lunes, 1 de septiembre de 2014 19:55