[MickePersson]

Jag behöver lite råd från andra mer tekniskt kompetenta hur jag bör bygga upp ett litet webbhotell på bästa sätt i liten skala. Har ett antal kunder jag byggt och underhåller hemsidor åt, och där fler och fler kunder av min bekvämlighet (för full kontroll) lagts över på en webbserver jag hade. Kunderna blev fler och servrarna också, det växte lite oorganiserat och oplanerat.

För att lösa detta har jag nu beställt en bredbandsuppkoppling med fiber och en tillräcklig hög fasta IP-adresser, och planerar att bygga upp ett parallellt system från grunden på bästa möjliga sätt, dit jag sedermera flyttar mina kunder till så jag kan avveckla det gamla oorganiserade systemet.

Jag har någorlunda bra koll på nätverkskonfigurering och servrar rent generellt, men är alls ingen expert på djupet.

Förutsättning:
--------------
Allt ska vara Microsoft-baserat utom möjligtvis brandväggen där jag redan kör en pfsense.

Tillgänglig hårdvara:
-------------------
2 st fysiska servrar (en lite enklare och en lite vassare)
1 st fysisk server med befintlig pfsense firewall i
1 st 24-portars 100Mbit switch
1 st Netgear FVS318G brandvägg/router med DMZ möjlighet på port #8

Min tanke är att ha båda fysiska servrar som Hyper-V värdar och alltså köra alla nödvändiga servrar som virtuella sådana. Inledningsvis körs de lösa med de virtuella servrarna körandes på respektive servers egna hårddiskar - men längre fram kommer ett SAN installeras som båda värdar arbetar mot.

Tillgänglig mjukvara:
-------------------
2 st Win 2008 R2 DataCenter Edition
1 st Win 2008 R2 Enterprise Edition
6 st Win 2008 R2 Standard Edition
2 st SQL 2008 R2 Standard Edition
1 st SmarterTools SmarterMail licens

Önskade virtuella servrar:
------------------------
DNS: ns1 + ns2
DC: dc1
WEB: w1 + w2
MAIL: m1 + m2
SQL: db1

(mailserver m2 tänkte jag ha som mxbackup och där använda en gratisversion av SmarterMail för ändamålet, vilket man kan och får)

Framtida utveckling:
-------------------
Befintligt gammalt system består av 3 fysiska servrar varav en riktig värsting som ev. blir en framtida fysisk "db2" när alla kunder är överflyttade, och en ganska bra som kan bli en framtida server för övervakning (typ System Center, i någon lämplig edition).

Givetvis kan jag köpa in t.ex. mer minne eller hårddisk - eller licenser för den delen, om det behövs.

Har skissat på detta massvis av gånger själv och gått genom det fram och tillbaka, man kan ju lägga upp det på rätt många olika sätt. Har också försökt läsa mig till vilket som är bäst för hosting verksamhet men inte hittat några riktigt bra förslag.

Tacksam för förslag; grovskissade eller detaljerade sådana. Behövs någon ytterligare info är det bara att fråga så ska jag svara efter bästa förmåga

[jonny]

Jag är inte riktigt med på din fråga, tror jag. Du har en brandvägg/router, bakom den har du en switch med servrarna. Med totalt tre burkar finns det inte så många alternativ; eller missar jag något?

[Jine]

Internet <- pfsense för brandvägg och routing <- switch, är det en layer-3 skulle jag rekommendera dig att separera miljöerna med vlan, annars får du nöja dig med ett switchat nät. <- Slutligen kopplar du servrarna till switchen.

Dun? Jag hänger inte med på riktigt vad "problemet" är heller.

Vill du ha redundans så sätter du upp en till pfSense burk som failover och en till switch på det, så har du två separata internetförbinelser ifall den ena går ner.

[KristianE]

Flytta ut ena DNS:en! Du gör en dundertabbe om du lägger båda internt på samma uppkoppling. Även MX-backupen behöver flyttas ut. Annars är de inga backuper.

Du kör inte detta på en privatlina hoppas jag.

[Jine]

Jag missade att du tänkt köra ns1/2 på samma nät med.

Precis som KristianE sa, dom ligga på helt separat fysisk plats, annan ISP och route jämtemot dig/dina kunder också. Utomlands skadar egentligen inte det heller, blir det inbördeskrig i Sverige (yeah right) är det endå ingen risk för dina saker.

[Westman]

Instämmer med KristianE, du ska inte ha backup-dns och backup-mx på samma lina. Köp backup-dns (finns väldigt bra leverantörer från 250:- / år) och hyr en vps som backup-mx (c:a 250 - 300 / månad).

[Westman]

Jag ser ett mycket större problem, du tänker köra active directory med en singel dc och med två dns:er. Det är ingen bra idé alls. För det första bör dc:s vara dns:er för enkelhetens skull och för det andra så ska du absolut ha två dc:s. Det går dock alldeles utmärkt att ha en sekundär dns hos en DNS-leverantör.

[MickePersson]

KristianE/Jine/Westman: Vad jag glömde nämna är att ns1/ns2 är för intern redundans ifall jag behöver starta om en av dom eller om en klabbar. Samma med MXBackupen, att "spoola" mailen temporärt bara. Längre fram är avsikten att ha åtminstone ns3 och en extra mxbackup som #3 i prioritetsordningen, externt lokaliserade på en hyrd server någonstans

KristianE: Nej det är faktiskt en företagslina köpt för ändamålet!

Westman: Har du något konkrekt förslag på backupdns-leverantör? Angående mer än en DC är jag iaf medveten om det, men tänkte mig även den som en _framtida_ förstärkning precis som ns3 och extra mxbackup. Jag kanske ska överväga att lägga in dc2 direkt från början istället ändå... Men visst har jag förstått det rätt att ns1+ns2 INTE bör vara DC samtidigt, av säkerhetsskäl - eller?

Alla: För att vidareutveckla mina tankar lite och kanske förklara mina tankar ytterligare (delvis med er input hittills som jag tackar för):

1. Grundkoppling: Internet -> pfsense -> switch

2. I switchen kopplar jag in de två fysiska servrarna (HyperV-värdarna)

3. På båda HyperV värdar figgar jag det fysiska NIC#1 till virtuellt nätverkskort för publika adresser, och det andra fysiska NIC#2 till virtuellt nätverkskort för privata adresser.

4. Jag vlan:ar switchen i en publik och en privat del och kopplar in respektive HyperV-värds NIC#1 till den publika delen och NIC#2 till den privata delen.

5. Sedan tilldelar jag respektive virtuell server vilket virtuellt nätverkskort som passar bäst för respektive "maskin" och dess ändamål. T.ex. ns1+ns2+m1 får publika adresser, övriga privata.

Här uppstår då frågan om HyperV-värdarna själva ser till att de virtuella servrarna med privata ip-adresser får tillgång till Internet via pfsense, så att man i pfsense t.ex. kan styra port 80 till w1 o w2 (vilken av dom trafiken ska gå till exakt styrs ju via dns:en)? Eller hur gör jag för att åstadkomma det?

Frågan är också om det räcker att dns:erna (och ev. mailservern) sitter "i switchen" (publika delen) enligt punkt 1 ovan, eller om de bör finnas mellan Internet och pfsense? Är som sagt ingen expert så jag vet inte om jag kan ha både privata och publika ip-adresser på insidan av pfsense om den nu NAT:ar?

Det är möjligt att jag låter helt dum här som inte tycker allt är uppenbart, men bär i minnet att jag inte är någon expert och har inte full kunskap om t.ex. routing och dns:er

[Westman]

Citat:

Ursprungligen postat av MickePersson

Westman: Har du något konkrekt förslag på backupdns-leverantör? Angående mer än en DC är jag iaf medveten om det, men tänkte mig även den som en _framtida_ förstärkning precis som ns3 och extra mxbackup. Jag kanske ska överväga att lägga in dc2 direkt från början istället ändå... Men visst har jag förstått det rätt att ns1+ns2 INTE bör vara DC samtidigt, av säkerhetsskäl - eller?

Om du ska exponera ns1 och ns2 utåt så är dc-rollen kanske ett säkerhetsproblem. Jag hade i så fall valt att de ns som exponeras _inte_ är ad-dns:er alls och kört ad-dns:en på dc;arna.

[Westman]

Förslag på dns-backup: DNS Made Easy