none
Forefront TMG (ISA), Terminal server, Exchange на один физ. сервер RRS feed

  • Общие обсуждения

  • Есть небольшой филиал организации, где требуется развернуть три сервера для 20 пользователей, Forefront TMG(ISA) для доступа в интернет, Терминальные службы для работы с бизнес преложением и Exchnage сервер.
    Разумно ли разместить все три сервера в одной виртуальной среде, заранее благодарю за советы.
    11 марта 2010 г. 8:04

Все ответы

  • Если сервер на котором собираетесь разместить содержит достаточно для этого ресурсов, то почему бы и нет.

    11 марта 2010 г. 8:22
  • вы про AD забыли
    11 марта 2010 г. 9:26
  • Это поддерживаемая схема, по крайней мере Exchange и TMG.

    Предыдущий оратор прав, Вы забыли о контроллерах домена.
    Несколько мысле вслух -)

    1) хостовая машина standalone, не в домене;
    2) контроллер домена, если будет он будет на виртуальной машине этого же сервера, должен из подниматься первым (настраивается в свойствах виртуальных машин), далее стоит правильно расставить приоритеты запуска остальных виртуальных машин.
    3) возможны потери производительности на сетевых интефейсах.
    11 марта 2010 г. 9:57
    Модератор
  • Да согласен, контроллер AD не указал но коли присутствует Exchange то он подразумевался.
    Кстати вопрос, стоит ли совмещать контроллер AD с Exchange или Терминальным сервером в одной виртуалке?
    11 марта 2010 г. 11:48
  • Я предположил что Двух процессорная (Xeon 2ГГц) машина с 16 Гб памяти, 2-мя SAS/SATA дисками в зеркале должна потянуть эти задачи, а Вы как считаете?

    11 марта 2010 г. 11:51
  • под такие задачи я бы рекоммендовал MS EBS Premium
    статья по виртуализации EBS(Standard) тут http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=933b2eb6-f3bb-47c1-a227-13bb2ccc0a94
    совмещать AD, Exchange и Терминальник категорически не рекоммендуется. В EBS Premium входит лицензия на 4 сервер - там можно терминальник и развернуть
    Необходимо использовать как минимум 2 сетевые карты - интернет и офис.
    если по best practices - 3 - отдельная карта на менеджмент интерфейс
    если планируется использовать несколько интернет провайдеров - тогда, пожалуй, необходимо предусмотреть место под установку доп карт.
    вряд ли 20 юзеров смогут загрузить сеть, а вот диски точно надо смотреть не только по объему. 2 по 1 Тб SATA под все - явно неправильный конфиг.


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    11 марта 2010 г. 13:28
    Отвечающий
  • В чем смысл размещения трех сервисов в одной ВМ? В экономии лицензии на сервер?
    11 марта 2010 г. 14:12
    Модератор
  • В чем смысл размещения трех сервисов в одной ВМ? В экономии лицензии на сервер?

    в экономии памяти, например.
    которую к сожалению hyper-v пока использует прямолинейно.
    3 ВМ возьмут больше, чем 1 с 3 сервисами.
    Но 3 ВМ позволят индивидуально контроллировать каждый из сервисов.

    Маленький оффтоп.
    Всем сказочникам, рассказывающим про дешевую память - посчитайте стоимость брендовой памяти свыше 48 Gb(12*4) на 1 сервер с Xeon 55xx или больше 32Gb на Xeon 54xx

    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    11 марта 2010 г. 15:25
    Отвечающий
  • Саш, сомнительная экономия на ОЗУ при возможных педалях при совмещении сервисов -)
    11 марта 2010 г. 15:37
    Модератор
  • на 20 человек и 3-4 виртуальные машины - конечно никакой экономии нет.
    мое предложение - 1 хост на 16 Gb и EBS Premium(4 ВМ)


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    11 марта 2010 г. 15:52
    Отвечающий
  • А если такой вариант: Server Core с установленными AD,ISA,Exchange, на ней установить роль Hyper-V, на него воткнуть полноценный winserver и в нем поднять TS. Ну или если совсем с ресурсами проблема, то при желании из XP можно сделать TS %)
    11 марта 2010 г. 16:05
  • Не сказал еще одну важную деталь, в головном офисе поднята AD, филиальный контроллер AD предполагается сделать поддоменом главного домена, в этой связи EBS как я понимаю не подойдет поскольку его домен не поддерживает присоединение к другому домену.

    11 марта 2010 г. 17:36
  • Exchange нельзя установить на Server Core как и ISA
    11 марта 2010 г. 17:50
  • Не сказал еще одну важную деталь, в головном офисе поднята AD, филиальный контроллер AD предполагается сделать поддоменом главного домена, в этой связи EBS как я понимаю не подойдет поскольку его домен не поддерживает присоединение к другому домену.


    1. без особых на то требований лучше делать не отдельный домен, а дополнительный контроллер в том же домене
    2. а зачем на 20 человек свой контроллер и сервер exchange? канал связи с головным офисом какой? 
    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    12 марта 2010 г. 7:14
    Отвечающий
  • Канал связи WiMax 1 Мбит, сейчас пользователи терминально работают в головном офисе, для придания подразделению автономности было принято решение поднят в филиале выше указанные сервера и сделать отдельный выход в интернет. Головной офис и филиал находятся в одном городе, но по образу этого филиала будут запускаться другие филиалы находящиеся в других городах и скорее всего каналы свзяи с головным офисом будут хуже. Количество пользователей в других филиалах возможно будет больше.
    12 марта 2010 г. 11:47
  • Канал связи WiMax 1 Мбит, сейчас пользователи терминально работают в головном офисе, для придания подразделению автономности было принято решение поднят в филиале выше указанные сервера и сделать отдельный выход в интернет. Головной офис и филиал находятся в одном городе, но по образу этого филиала будут запускаться другие филиалы находящиеся в других городах и скорее всего каналы свзяи с головным офисом будут хуже. Количество пользователей в других филиалах возможно будет больше.

    канал потолще технически невозможно получить или считается, что это дорого?
    стоимость оборудования серверной, дополнительного железа, софта, электропитания и кондиционирования, обслуживания и резервного копирования, риски НСД, утечки и потери информации учтены?
    автономность подразделения нужна для чего? уйти от риска падения канала? или есть другие причины?

    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    12 марта 2010 г. 14:08
    Отвечающий
  • Считается что для задач которые будут работать (IP телефония с ЦО, электроная почта, файловый обмен) через существующий канал, этой толщины достаточно, с филиалами в других городах канал может быть еще хуже.

    Сейчас учитывается только стоимость оборудования, софта, кондиционирования. Электропитание уже организовано, резервное копирование и обслуживание частично лягут на человека на месте, частично на сотрудников центральный отделения. По рискам НСД, утечки и потери информации анализ не проводился, спасибо Вам что упомянули, это тоже важный момент, про который вспоминаем в последнюю очередь.

    Автономность нужна в первую очередь от пропадания связи с ЦО, в этом случае удаленный офис останется без работы.

    25 марта 2010 г. 5:54
  • <Электропитание уже организовано
    Стоимость электропитания по счетчику на 1 год посчитайте - для 1 серверной и для распределенного варианта.
    < резервное копирование и обслуживание частично лягут на человека на месте, частично на сотрудников центральный отделения
    А это потенциально приведет к перекладыванию ответственности, дублированию части бекапов, отсутствии бекапов некоторых данных и потенциальным конфликтам при восстановлении. например, когда в случае сбоя бекап начнут делать и в филиале и в центре.
    Стоимость серверов+лицензий+работы по настройке+документирование новой системы+ЗП местным админам(а не эникеям) - сколько месяцев на эти деньги можно оплачивать нормальные каналы?
    Сколько времени потребуется в такой схеме на установку обновления на все серверы Exchange? Такая задача также будет выполняться сотрудниками разных подазделений? ИТ-бюджет общий? Местные ИТ-ки кому подчиняться будут?

    Через год-два внесение изменений(новый Exchange, к примеру) в такую структуру будет обсуждаться и согласовываться месяцами... 


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    29 марта 2010 г. 11:39
    Отвечающий
  • Всех приветствую.

    Очень интересное обсуждение, и ситуация очень похожа на мою, только с небольшими корректировками.

    И у меня тут же созрел вопрос.

    Хостовая машина 2х4-ядерных проца, 16 гиг оперативы. 4 сетевые.

    Запутался в возможностях работы. Поднято 3 виртуальные машины, одна пограничная с NAT и Forefront TMG одна с AD+Exchange и одна с терминалками. Все поднято на Hyper-V Server R2.

    По моему скудному разумению, необходимо 5 сетевых:

    1. вход в погранца из интернета;

    2. Выход с погранца в локальную сеть;

    3. Вход в AD+Exchange

    4. Вход к терминалкам

    5 Управление самим гипервизором.

    Объясните мне доходчиво, мне надо покупать доп. сетевуху? или как-то можно разрулить это при помощи вланов?

    Я вчера попытался, конечным результатом моих попыток стала потеря связи с гипервизором. точнее через RDP я попадаю к нему, а консоль не может достучаться. В свойствах сетевых указаны две Microsoft Virtual Network Switch Adapter и две сетевые созданные для виртуалок. Что-то я окончательно запутался со всеми этими сетями. У Microsoft Virtual Network Switch Adapter стоят IP 192.168.10.1 и 10.10 а у виртуальных 10.2 и абсолютно левый IP внешнего интернета.

    Помогите, растолкуйте как мне сделать все красиво?

    Спасибо.

    2 апреля 2010 г. 7:57
  • такой вопрос большетянет на отдельную тему.

    зачем отдельный интерфейс для 2, 3 и 4?

    а где второй кд?

    а где защита от сбоев сетевых интерфейсов и свичей?

    Как надо:

    1-2 team mgmgt

    3-4 team office network

    5 или 5-6 external

    если ethernet switch один, то в тимах смысла нет.


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    2 апреля 2010 г. 8:04
    Отвечающий
  • Я половину не понял, но из того что понял.

    Второй кд будет на второй хостовой машине, что за защита от сбоев интерфейсов и свитчей?

    ethernet switch один - что за тимы? (планирую вланами разделять, но это пока в будущем)

    Насчет как надо я тоже не доехал. Вопрос был в чем, у меня 4 сетевухи в сервере (железные) могу ли я посредством вланов сделать так, чтобы не надо было докупать еще сетевых? т.е. допустим на сетевую №1 повесить только управление Hyper-V, на вторую повесить машину с TMG но на ней будет две виртуальные сети с указанием VLAN ID, на третьей будет машина с AD и Exchange и на 4-й будет терминалка?

    Спасибо.

     

    2 апреля 2010 г. 9:21
  • У Вас есть несколько физических серверов, ethernet switch и ethernet порт с интернетом - это типа ЦОД.

    и есть ethernet switch + провода + котиентские ПК

    Что будет, если switch в ЦОД умрет?

    Что будет, если ляжет канал к провайдеру?

    Для отказазоустойчивости и к этому виду отказа необходимо в ЦОД в ядре использовать 2 управляемых switch.

    каждый логический интрфейс (mgmt и сеть ВМ) подключить к каждому switch. если один switch или патчкорд выйдет из строя - система будет работать. switch в клиентском сегменте также надо подключать к 2 switch в ЦОД

    подключение 1 сервера к 2 switch можно настроить в 2 способа:

    1. switch spanning tree - switch определил избыточность топологии и один из линков заблокировал. если "активный" линк упадет - резервный поднимется

    2. link-aggregation или nic-teaming - оба линка ктивно работают


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    2 апреля 2010 г. 9:33
    Отвечающий
  • Ага, с этим понятно вроде...

    Но все же втолкуйте мне, я привык что мне надо в голове уложить принцип работы и тогда все понятно становится. На одну физическую сетевую, я могу повесить 2-3 виртуальные? назначить им разные IP и насколько корректно они будут работать?

     

    2 апреля 2010 г. 9:49
  • Можете. Именно об этом Александру Вас выше и спрашивал, зачем нужны 2, 3, 4 сетевые карты.

    Вы можете создать несколько External-сетей с привязкой к одному физическому адаптеру. Главное, что бы производительность и безопасность этих виртуальных сетей исходила из соображений здравого смысла.

    2 апреля 2010 г. 10:16
    Модератор
  • Денис, в варианте 2,3,4 - это будет одна локальная сеть.

    вот если объединять 1 и 2,3,4 - тогда это надо несколько сетей hyper-v привязывать к 1 адаптеру. Сделать можно через VLAN. Требуются правильные дрова на хосте, настройки на switch, прямые руки и чтение доки. того же blogs.technet.com/vm

     


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    2 апреля 2010 г. 10:24
    Отвечающий
  • Саш, проблема как раз у человека и возникает в том, кажется, что возникают трудности с привязкой конкретных виртуальных адапетов конкретной виртуальной машины к конкретному виртуальной сети на основе физического адаптера.
    2 апреля 2010 г. 10:32
    Модератор
  • Спасибо, да, действительно, интересовала привязка нескольких виртуальных сетей к одной на хосте. Этот вопрос я понял, растолкуйте пожалуйста, еще один. Естественно что у меня сейчас на хостовой машине полный бардак с сетевыми подключениями. Как мне сбросить все настройки на дефолт так сказать? т.е. чтобы я могу теперь уже правильно создать все виртуальные сети.
    2 апреля 2010 г. 10:36
  • Я бы посоветовал Вам следующую схему, с использованием ваших четырех адаптеров.

    Создается две External-сети на разных сетевых адаптерах, для примера External1 и External2. Виртуальной машине TMG даете два сетевых адаптера с привязкой к обеим созданным сетям - один адаптер для провайдера, другой для доменной структуры. Больше ни для чего External1 и External2 не использовать. Далее создаете сеть External3 на основе третьего физического интерфейса, привязав к ней сетевые интерфейсы виртуальных машин AD DS и Terminal Services. Четверный сетевой адаптер у Вас остается исключительно под менеджмент.

    Т.е. по факту из существующей схемы Вам нужно сетевому интерфейсу виртуальной машины с терминальными службами переназначить сеть, используемую виртульной машиной с AD DS.

    Сбросить настройки на дефолт: 1) удалить все виртуальные сети через консоль Hyper-V; 2) удалить роль Hyper-V -)

    2 апреля 2010 г. 11:07
    Модератор
  • Сбросить настройки на дефолт: 1) удалить все виртуальные сети через консоль Hyper-V; 2) удалить роль Hyper-V -)

    Удалить роль Hyper-V не выйдет, т.к. хостовая машина только ее и умеет :)

    Виртуальные сети через консоль не получится, не могу достучаться консолью до сервера :) (вчера сломал)

    Как-то можно через ps сделать?

    2 апреля 2010 г. 11:54
  • Как говорит Василий Гусев, с помощью PoSh "можно" -)

    http://pshyperv.codeplex.com/

    2 апреля 2010 г. 12:07
    Модератор
  • с external 1 все понятно - тыкаем в провайдера.

    external 2 и 3 будут тупо воткнуты в соседние порты одного свича. в чем смысл?

    external 4 будет там же, где и 2-3 но тут хотя бы смысл в отделении трафика управления от трафика вм

     


    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    2 апреля 2010 г. 12:17
    Отвечающий
  • Исходя из рекомендации виртуализации брандмауэров ISA/TMG виртуальные адаптеры лучше привязывать к разным физическим интерфейсам - только поэтому. На уровне виртуальных машин так будет правильнее. Как будет реализована дальнейшая топология сети - другой вопрос, Саш.
    2 апреля 2010 г. 12:25
    Модератор
  • т.е. при реализации виртуализации на 5, к примеру, серврерах желательно в каждый сервер добавить по 4 сетевухи и взять на 2 core switch по 10 портов чтобы вм с tmg могла красиво переезжать по узлам кластера? и все ради того, чтобы выдергиванием шнурка можно было прервать атаку из инета?  
    Заходите в "гости" на http://kupchinetsky.spaces.live.com
    2 апреля 2010 г. 12:45
    Отвечающий
  • Именно так -)
    3 апреля 2010 г. 6:42
    Модератор
  • Приветствую, господа, Александр и Денис.

    Это получается, если я правильно понял, можно таким образом на одну сетевую хоть 100 ВМ повесить, главное чтобы сетевая справлялась?

    Спасибо.

    8 апреля 2010 г. 6:21
  • Теоретически - да. Практически Вы можете получить просадку производительности по сетевой подсистеме - об это писал коллега Артем Синицын. Так же мы можете столкнуться с проблемой назначения виртуальным машинам МАС-адресов - на одним сетевой интерфейс по дефолту есть ограничение в 256 МАС-адресов.

    8 апреля 2010 г. 6:37
    Модератор