[MickePersson]

Jo en UPS finns redan också, och backuplösning med för den delen Jag såg dock det som lite irrelevant i sammanhanget och därför nämnde jag inget om det - jag var mest nyfiken på hur folk här hade byggt o figgat ett system med de grejor jag tog upp som var själva grunden.

Kan dock nämna att jag till slut valde att köra DC på namnservrarna, efter massor av läsning på nätet kom jag fram till att det faktiskt ska vara säkrare än att köra rena DNS:er eftersom AD:t handskakar alla zonöverföringar med domänanslutna maskiner och att överföringarna sker krypterat. Säkrar man bara upp så domänanslutningar bara kan ske innanför huvudbrandväggen ska det vara lugnt. Och då kör jag ns2 som RODC (Read-Only; AD:ts version av sekundär zon).

Utöver det har jag kommit fram till att HyperV-värdarna får ha två virtuella nätverk figgade; ett på vardera NIC (ett för publika IP-adresser och ett för privata). Då kan jag ha t.ex. (virtuella) sql-servrar på privata IP och (virtuella) servrar som behöver åtkomst till dessa, t.ex. web-server, får två virtuella nätverkskort där det privata dock inte har någon gateway figgad, men genom att då vara på samma subnet kan accessa sql-server via privata adresser (som då går genom fvs318g routern där jag säkrar upp trafiken ytterligare).

Någon som har några kommentarer på det, vad nackdelar och risker kan vara med detta i förhållande till andra möjliga lösningar?

[Westman]

Citat:

Ursprungligen postat av MickePersson

Jo en UPS finns redan också, och backuplösning med för den delen Jag såg dock det som lite irrelevant i sammanhanget och därför nämnde jag inget om det - jag var mest nyfiken på hur folk här hade byggt o figgat ett system med de grejor jag tog upp som var själva grunden.

Kan dock nämna att jag till slut valde att köra DC på namnservrarna, efter massor av läsning på nätet kom jag fram till att det faktiskt ska vara säkrare än att köra rena DNS:er eftersom AD:t handskakar alla zonöverföringar med domänanslutna maskiner och att överföringarna sker krypterat. Säkrar man bara upp så domänanslutningar bara kan ske innanför huvudbrandväggen ska det vara lugnt. Och då kör jag ns2 som RODC (Read-Only; AD:ts version av sekundär zon).

Utöver det har jag kommit fram till att HyperV-värdarna får ha två virtuella nätverk figgade; ett på vardera NIC (ett för publika IP-adresser och ett för privata). Då kan jag ha t.ex. (virtuella) sql-servrar på privata IP och (virtuella) servrar som behöver åtkomst till dessa, t.ex. web-server, får två virtuella nätverkskort där det privata dock inte har någon gateway figgad, men genom att då vara på samma subnet kan accessa sql-server via privata adresser (som då går genom fvs318g routern där jag säkrar upp trafiken ytterligare).

Någon som har några kommentarer på det, vad nackdelar och risker kan vara med detta i förhållande till andra möjliga lösningar?

Ska du köra hyper-v som kluster eller var för sig? Annars så är det bra att ha interna "nätet" på egna kort och helst i en egen switch. Kanske lite overkill i en relativt liten miljö men det kan vara värt det.

Du har inte funderat på att göra webbservrarna redundanta med hjälp av Microsofts ARR?

EDIT: Såg att du ska köra RODC på ns2, kommer den att vara den du exponerar mot internet (dns) och att ns1 endast är åtkomlig internt?

[MickePersson]

Citat:

Ursprungligen postat av Westman

Ska du köra hyper-v som kluster eller var för sig? Annars så är det bra att ha interna "nätet" på egna kort och helst i en egen switch. Kanske lite overkill i en relativt liten miljö men det kan vara värt det.

Inledningsvis var för sig då det inte finns något SAN ännu att ha VHD-filerna på centralt för båda att komma åt och ha failover ens med varandra (helst skulle det väl behövas ytterligare åtminstone en fysisk burk ytterligare för ett kluster också) så VHD-filerna ligger "lokalt" på speglade diskar på varje hyper-v värd.

Citat:

Ursprungligen postat av Westman

Du har inte funderat på att göra webbservrarna redundanta med hjälp av Microsofts ARR?

Det är faktiskt en punkt jag ännu inte löst eller rättare sagt ägnat tid åt att lösa, men tankarna har funnits där. Måste dock erkänna att jag inte hört talas om ARR så det får jag tacka för tipset om och kolla upp lite närmare

Citat:

Ursprungligen postat av Westman

EDIT: Såg att du ska köra RODC på ns2, kommer den att vara den du exponerar mot internet (dns) och att ns1 endast är åtkomlig internt?

Det var ju smart tänkt och vore naturligtvis optimalt, men inledningsvis blir båda exponerade mot Internet där ns2 mest är en första backup som kan svara om ns1 går ner tillfälligt. Men jag tänkte så småningom ha en virtuell server (privat adress) för övervakningsmjukvara och liknande interna funktioner på. Den kan jag ju då även installera DC och DNS på och ha som enda redigerbara så kan både ns1 och ns2 bli RODC som exponerade publikt så säkrar man upp det ytterligare lite

[Westman]

Citat:

Ursprungligen postat av MickePersson

Det var ju smart tänkt och vore naturligtvis optimalt, men inledningsvis blir båda exponerade mot Internet där ns2 mest är en första backup som kan svara om ns1 går ner tillfälligt. Men jag tänkte så småningom ha en virtuell server (privat adress) för övervakningsmjukvara och liknande interna funktioner på. Den kan jag ju då även installera DC och DNS på och ha som enda redigerbara så kan både ns1 och ns2 bli RODC som exponerade publikt så säkrar man upp det ytterligare lite

Om du bara har två dc:s varav den ena är rodc så får du problem om den vanliga dc:n går ned. Bara så att du är medveten om vilka krav det här ställer på dina kunskaper om ad-restore och hantering av fsmo-roller.