Вход | Регистрация


Информационные технологии :: Администрирование

Виртуальный или железный контроллер домена?

Виртуальный или железный контроллер домена?
Я
   Razor1212007
 
19.04.18 - 13:31
Добрый день коллеги.Ситуация следующая есть компания Н, 150 компьютеров. Есть 3 железных новых сервера. Хранилища отдельного нет.
Всего два офиса, Расположены удаленно.

Закуплена лицензия Windows Server 2016 Standart на каждое ядро (3 сервера, по 2 процессора, по 8 ядер=  всего 48 ). Требуется организовать Доменную сеть. Не могу определиться как лучше установить, 2 варианта

1. 1 сервер ) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)AD DNS, - 2)DHCP,

    2 сервер ) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)Windows Server 2016 (Будет использоваться для хранилища), 2)Veritas

    3 сервер находиться в соседнем здании) HyperV Server 2016 на нем виртуалки 2 виртуалки - 1)AD DNS, 2)DHCP, WSUS  



2. 1 сервер ) Полноценный Windows  Server 2016 на нем  AD DNS,  плюс роль Hyper-v c виртуалкой 1)DHCP

    2 сервер ) Полноценный Windows  Server 2016  (Будет использоваться для хранилища)на нем 1 Hyper-v виртуалка Veritas

    3 сервер находиться в соседнем здании) Полноценный Windows  Server 2016 с  AD DNS , плюс роль Hyper-v  с виртуалкой 1)DHCP, WSUS
 
 
   Йохохо
 
1 - 19.04.18 - 13:36
который из вариантов ты умеешь чинить?
   Cool_Profi
 
2 - 19.04.18 - 13:37
Я бы вынес на физику. Но это не точно, я маску на улице нашёл
   Провинциальный 1сник
 
3 - 19.04.18 - 13:38
Красиво жить не запретишь. Выделять 8-ядерный сервер на контроллер домена для смешной цифры в 120 машин - это роскошно. А тут еще два таких.
   eklmn
 
4 - 19.04.18 - 13:39
А прежде чем ставить КД на виртуалку почитали рекомендации МС что этого нельзя делать?
   Провинциальный 1сник
 
5 - 19.04.18 - 13:41
По факту роль контроллера домена будет отлично работать даже на самом минимуме, на который ставится ОС . И брать крутой сервер исключительно для AD - расточительство. Если конечно кроме домена сервера не будут еще чем-то другим заниматься.
   Ислам
 
6 - 19.04.18 - 13:44
(0) Любой контроллер домена - это софт который работает на железе. Так что без разницы как ты его назовешь.
   Razor1212007
 
7 - 19.04.18 - 13:48
Серверы покупались на будущее, поэтому и такие конфигурации. Вы же не покупаете старый пк что бы пока только печатать. Все всегда покупается на будущее и с запасом.
   Йохохо
 
8 - 19.04.18 - 13:55
(4) почему нельзя? можно ссылку
   Razor1212007
 
9 - 19.04.18 - 13:57
(4)  Мне вот тоже интересно почему?
   Razor1212007
 
10 - 19.04.18 - 13:58
(1) Какой вариант более надежный?
 
 Рекламное место пустует
   Cool_Profi
 
11 - 19.04.18 - 14:05
(8) (9) Кд вырубает кеширование на дисках.
Да и вообще (ИМХО) виртуальные сервера это зло. Ну, для работы пользователей, а не для удобства админов...
   Противный
 
12 - 19.04.18 - 14:08
А никого не смутило что АД, ДНС, ДШСПи, ВСУС человек собирается раскидывать по разным серверам...?

ЗЫ: все это прекрасно уживется на одном серваке хоть железном, хоть виртуальном... По уму делать кластер из двух виртуалок с горячим резервом, и не забыть еще резервный АД сделать... А третий под файлопомойки можно и железным оставить... Ну и не забыть сервера для инет шлюза / почтовика / сервера администрирования антивируса...

ЗЫЫ: а с 1С там что?
   Razor1212007
 
13 - 19.04.18 - 14:12
(12) Нет не смутило. По всем правилам, на контроллер домена больше ничего не устанавливается (рекомендации Microsoft). Так то можно все в один запихнуть и Ждать пока упадет

DHCP на разных серверах, потому что нужна репликация, если один из них отвалиться.

Почтовик, 1С, Антивирус - не наша головная боль. Все предоставляется с верхнего звена
   Йохохо
 
14 - 19.04.18 - 14:12
(11) ну и что? при чем тут виртуалка? есть негатив про дуал хомед и дхцп, про виртуалку ничего нет
(10) который умеешь чинить) один в железе AD DNS DHCP WSUS, на другом в виртуалке резервный AD DNS DHCP
   Garikk
 
15 - 19.04.18 - 14:24
Хотябы один КД и DNS должен быть железными

Видел эпичный фейл с подходом "виртуализуем все!"
1)по безопасности везде авторизация через AD, локальные пароли отключены
2)падает гипервизор (пул виртуалок или еще че)
3)вы не можете попасть в админку гипервизора из-за помершего домена..писец замкнутый круг (особенно когда выясняется что репликация плохо работала)

(11) >Да и вообще (ИМХО) виртуальные сервера это зло
Это счастье великое когда вместо 50 серваков можно один поставить, функционал такойже, а экономия на железе офигенная
   Противный
 
16 - 19.04.18 - 14:25
(13) ну Микрософт и не то напишет в рекомендациях лишь бы лишние лицензии продать... и как раньше все это на одной железке уживалось...
ЗЫ: мое мнение кластер виртуалок из пары серваков, базу всус перекинуть на внешнюю железку, чтоб легче было виртуальные серваки гонять по кластеру.
   eklmn
 
17 - 19.04.18 - 15:07
(8)(9) https://social.technet.microsoft.com/wiki/ru-ru/contents/articles/26972.aspx
ну для конфы в (0) в любом раскладе будет трындец
   Garykom
 
18 - 19.04.18 - 15:10
Я за физику в виде роутера с samba ad
   Razor1212007
 
19 - 19.04.18 - 15:12
(17) Вы бы еще Windows Server 2003 к примеру взяли бы.
   MaximSh
 
20 - 19.04.18 - 15:21
Только в виртуалки с обязательных отключением синхронизации времени и теневого копирования не менее 2 шт. Так же завершать работу, а не сохранять состояние. Из допслужб DHCP с зеркалированием. Я теперь всегда выбираю поколение 1 вирт.контейнера, т.к. с версией 2 были проблемы, что перестали загружаться из-за UEFI. Вирт. сервер КД памяти жрет около 1-1.6 Гб. 1 ядра достаточно, можно и два. Нагрузки 0%-1% cpu. 300+ компов.
   MaximSh
 
21 - 19.04.18 - 15:24
в одной мелкой конторе 1 сервер, вот там на простом pentiume 4 отдельный КД и в вирт. машине еще один.
   Сияющий в темноте
 
22 - 19.04.18 - 15:30
если мы контроллер ставим в виртуалку,то зачем хост вгонять в этот домен?хост вообще должен быть отдельно и из рабочей сети недоступен,тогда виртуалки на нем живут с удовольствием,а админы потом не кусают локти
   Razor1212007
 
23 - 19.04.18 - 15:33
(20) Вы считаете что виртуальные сервера будут лучше? А остальные роли сервера лучше размещать на на отдельных виртуальных серверах такие как WSUS, DHCP&
   MaximSh
 
24 - 19.04.18 - 15:46
DHCP нет смысла выносить от КД отдельно. Тем более в версии windows 2012+ где есть функция балансировки нагрузки и арендованных адресов. На серверах у меня ssd+hdd sata 3tb в зеркале. Контейнеры ВМ на ssd. WSUS у меня не в вирт. машине, ему нужен для норм. работы SQL, а база обновлений сейчас весит  437 Gb.
   Razor1212007
 
25 - 19.04.18 - 15:54
(24)  Средством чего вы делаете бэкап виртуальных машин и где храните? Почему в зеркале, это Raid 1? У него же медленная скорость на запись, почему не Raid 10?
   MaximSh
 
26 - 19.04.18 - 16:09
КД нельзя восстанавливать из архива. В ВМ у меня несколько xp, 8.1, сервера терминалов, несколько систем на linux. Бакап symantec backup exec на отдельном старом сервере набитом жесткими дисками до отказа без зеркала. HDD да, raid 1. К хранимым данным на HDD нет требований к скорости, это документы office, архив медицинских снимков (бюджетная сфера в регионе), дистрибутивы.
ps: линейная запись 20Gb -110 Мб/сек, причем первые 5 гб попадают в кэш системы со скоростью записи 450 Мб/сек.
   Пузан
 
27 - 19.04.18 - 16:10
Всегда считал, что виртуалка хороша только для поддержки кучи вэб-сервисов, каждая из которых мало нагружена, например какая-нибудь корпоративная вэб-хрень, таким образом относительно удобно утилизируются избыточные мощности сервера. Для серьезных же вещей - это больше баловство.
   Garikk
 
28 - 19.04.18 - 16:13
для службы терминалов очень удобны виртуалки
   MaximSh
 
29 - 19.04.18 - 16:15
(27) 1C конечно не виртуалке, все остальное pacs сервер, openfire, redmine, видеоконференцсвязь trueconf на 9 пользователей, шлюз в защищенную сеть zastava office на win2003 в ВМ на 2-х машинах. ВМ обязательно должны быть на SSD и памяти достаточно. Вот сейчас 5 ВМ, загрузка ЦП 10 %,простой core i5
   Пузан
 
30 - 19.04.18 - 16:17
Я тут летом столкнулся с забавным админом у заказчика. Один сервер, на нем виртуалки, отдельно терминал, отдельно скуль, отдельно сервер 1с предприятия, отдельно файл сервер. Жаловались, что 1с тормозит. Убрали виртуалку, все то же самое оставили на машине - жалобы исчезли. Утилизировать мощность тоже надо с умом. :)
   XMMS
 
31 - 19.04.18 - 16:46
"Хотябы один КД и DNS должен быть железными "
+1
   Razor1212007
 
32 - 19.04.18 - 16:50
Я так понимаю все за железный сервер. А все кто за железный сервер используют Windows Server 2016 или более ранние версии?
   Cool_Profi
 
33 - 19.04.18 - 16:51
(32) А что есть разница?
 
 
   MaximSh
 
34 - 19.04.18 - 16:53
(31) и если он есть, то иметь роль PDC и хозяина инфраструктуры. Чувствительно, когда ложится хозяин инфраструктуры.
   Razor1212007
 
35 - 19.04.18 - 17:19
Кто нибудь еще в курсе как происходит процесс лицензирования Windows Server 2016 Standart. Возьмем к примеру один сервер 16 ядер, на все ядра закуплена лицензия. Если я установлю полноценный сервер, могу ли я установить еще Роль Hyper V на сервере и поднять 2 виртуальные машины с Windows Server 2016 Standart?
   XMMS
 
36 - 19.04.18 - 17:48
(35)
Гугл роскомнадзор заблочил?
https://habrahabr.ru/post/272553/
   Razor1212007
 
37 - 19.04.18 - 17:49
(36) Да, не пускает
   Йохохо
 
38 - 19.04.18 - 19:01
(23) один живой просто потому, что убрать непонятки. В виртуалке ты будешь гадать, сломалось обновление оси, виртуалки или еще чего. А так ты будешь знать, что если что - потушишь железо, если что потушишь вм, и юзеры будут работать
   mistеr
 
39 - 19.04.18 - 19:05
(35) Мне пришлось изучить недавно.
Windows Server 2016 лицензируется по физическим ядрам. На каждое ядро нужна лицензия. Кроме того, на каждый физический процессор нужно минимум 8 лицензий (даже если ядер меньше), а на физический сервер нужно минимум 16 лицензий.

Лицензии продаются пачками по две штуки (и изредко по 16 штук). То есть строчка в прайсе с кучей непонятных букв, среди которых есть "2Lic" - это пачка из двух лицензий.

Редакция Standard, при условии, что физ. сервер правильно лицензирован, дает право на использование в одной из конфигураций:
  - один экземпляр на физ. сервере + один виртуальный в HyperV. (Ну или без виртуального, если не нужен.)
  - один экземпляр на физ. сервере + два виртуальных в HyperV, при условии, что на физ. экземпляре используется только роль HyperV и больше ничего (в т.ч. сторонних приложений)
  - другая ОС на физ. сервере + другой гипервизор + неограниченое количество виртуальных экземпляров.
   Fram
 
40 - 19.04.18 - 19:13
(39) > другая ОС на физ. сервере + другой гипервизор + неограниченое количество виртуальных экземпляров.

вот это интересно
   Fram
 
41 - 19.04.18 - 19:34
(40) вот только подтверждение этому не могу найти
   Fram
 
42 - 19.04.18 - 19:49
по теме... DHCP роль, мне кажется, лучше роутеру отдать.
А так ничего страшного, если оба КД будут на виртуалках, с условием, что гарантировано на разных хотсах, и хосты не в домене. Сам пользую XenServer, поэтому не знаю реализуемо ли это на Hyper-V
   HawkEye
 
43 - 20.04.18 - 21:41
(0) я за виртуалку.... но КД должен быть не один..
   Garykom
 
44 - 20.04.18 - 22:14
КД в облаке еще не предлагали?
   _alex1974
 
45 - 21.04.18 - 10:21
1 сервер: AD, DHCP, WSUS, Veritas
2 сервер: резервный AD (здесь же можно временно хранить бэкапы / организовать файлопомойку / сервер печати / почту и т.д.)
3 сервер: AD, DHCP, WSUS

Кстати, DHCP сейчас каждая кофеварка может раздавать, с этим можно вообще не париться.

Виртуалки под эти задачи не нужны от слова совсем. Если дури (памяти в данном случае) много, можно дополнительно поднять терминалы. Второй проц в каждом сервере под эти задачи точно избыточен - нечем ему там заниматься.
   KRV
 
46 - 21.04.18 - 11:19
Первый КД виртуальный, второй железный (можно даже за пару рублей на АВито купить - потянет) Остальное по желанию. Первый регулярно бэкапить чтобы поднять в момент
   Fram
 
47 - 22.04.18 - 06:39
(46) всегда было интересно что будет если поднять архив КД недельной давности при
1. наличии резервного КД в сети
2. отсутствии резервного
   MaximSh
 
48 - 22.04.18 - 09:21
(47) USN rollback будет. Рассинхронизация БД
   MaximSh
 
49 - 22.04.18 - 09:28
(47)  потеряются внесённые изменения в домен. Это уж очевидно.
Раз в 30 дней компьютеры включённые в домен меняют ключи. Те, что поменяли с даты архива не смогут войти в домен, их надо перевводить. Вроде все.  Восстанавливать из архива когда есть один рабочий КД нет смысла, просто ставишь с нуля ещё один за 15 минут.
 
 Рекламное место пустует
   MaximSh
 
50 - 22.04.18 - 09:30
забыл, подчищаешь следы от мертвого КД ещё минут 30
   MaximSh
 
51 - 22.04.18 - 09:35
Не нашёл как редактировать прошлые сообщения. В 1 случае, если надо, то захватываешь роли rid pdc и хозяина инфраструктуры.
   Razor1212007
 
52 - 24.04.18 - 14:41
(45) Сделал следующее

1 сервер: AD, DHCP, WSUS, Kaspersky Security Center 10  HyperV- Proxy
2 сервер: Файловое хранилище. Veritas
3 сервер: AD, DHCP, WSUS
   Йохохо
 
53 - 24.04.18 - 14:56
(52) HyperV- Proxy это как?
   Razor1212007
 
54 - 24.04.18 - 15:53
(53) Поднята роль Hyper-v, Установлена серверная ОС, а на ней поднят Proxy
   Fram
 
55 - 24.04.18 - 22:45
(52) а можно про железо подробнее.. и сколько стоило?
   Fram
 
56 - 30.04.18 - 20:15
(55) ответа не последовало. жаль. хотел позлорадствовать над покупкой железа на полляма чтобы просто AD, DHCP, WSUS развернуть
   Йохохо
 
57 - 30.04.18 - 20:19
(56) это не пол ляма, при таких покупках не то что сумму, цены не показывают
   Fram
 
58 - 30.04.18 - 20:32
(57) да, перечитал (0) еще раз.. скорее всего железа там не менее чем на $100К


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует