Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: rusty 10. 07. 2019, 11:14:08

Název: Windows server: oddělení AD a vzdálené plochy
Přispěvatel: rusty 10. 07. 2019, 11:14:08
Ahoj, budu přeinstalovávat windows server (následně i příležitostně spravovat), který je nyní v této konfiguraci.

Železo - hyper-v
1. virtuál - active directory
2. virtuál - vzdálená plocha pro tenké klienty (cca 15)

Má smysl to nechávat rozdělené nebo to můžu slepit dohromady za předpokladu že budou dobře nastavené práva atd.? Nevím jestli se to takto standardně dělá. Z mého pohledu se virtualizací akorát oberu o výkon.
Jelikož je moje hlavní platforma linux tak s tímto nemám zkušenosti, resp všechny windows server co jsem dělal byly na kvm se vzdálenou plochou bez AD.

Díky
Název: Re:windows server, oddělení AD a vzdálené plochy
Přispěvatel: docmartn 10. 07. 2019, 11:26:50
Ahoj,

záleží na jakém stroji ti to běží a jestli je schopné těch cca 15 klientů utáhnout najednou. Nevidím důvod proč by to nemohlo být sjednocené pokud máš dobře nastavené AD jak píšeš. Návodů na tohle téma je opravdu hromada.
Název: Re:windows server, oddělení AD a vzdálené plochy
Přispěvatel: Vilith 10. 07. 2019, 11:36:09
Obecne doporuceni - oddelit AD controler od jinych sluzeb - je to best practice pro spravu M$ produktu. AD controlery by mely byt minimalne 2

Technicky sloucit vse na jeden virtual neni problem, ale kdyz se neco rozbije, tak se urcite nudit nikdo nebude :D
Název: Re:windows server, oddělení AD a vzdálené plochy
Přispěvatel: czechsys 10. 07. 2019, 11:37:20
Pokud tomu nerozumis, tak na to nesahej.

Pokud to musis spravovat, tak rozhodne nechat oddelene.

Uz z tveho dotazu je videt, ze tomu vubec nerozumis a zejmena uz z hlediska bezpecnosti.
Název: Re:windows server, oddělení AD a vzdálené plochy
Přispěvatel: Medo77 10. 07. 2019, 14:27:11
AD nie je velmi zrave, takze samotna prevadzka tejto virtualky nebude velmi narocna ...
Název: Re:windows server, oddělení AD a vzdálené plochy
Přispěvatel: Miroslav Šilhavý 10. 07. 2019, 17:28:36
záleží na jakém stroji ti to běží a jestli je schopné těch cca 15 klientů utáhnout najednou. Nevidím důvod proč by to nemohlo být sjednocené pokud máš dobře nastavené AD jak píšeš. Návodů na tohle téma je opravdu hromada.

Asi bych bral spíš relevantní zdroje, tedy specifikace a doporučení Microsoftu.

AD by mělo být oddělené od čehokoliv.
SQL server by měl být také oddělen (toto se často nedodržuje, nicméně kobinace SQL+něco je nesupportovaná kombinace).

Terminálové služby (RDS) by měly být také samostatně - v podstatě je to desktop, se všemi riziky, které se sebou práce uživatelů přináší.
Název: Re:Windows server: oddělení AD a vzdálené plochy
Přispěvatel: Medo77 11. 07. 2019, 07:50:00
Posledny riadok zodpovedal preco neprevadzkovat RDS spolu s AD, ale inac je to funkcne, vratane SQL, a chodi to ...
Název: Re:Windows server: oddělení AD a vzdálené plochy
Přispěvatel: Miroslav Šilhavý 11. 07. 2019, 08:05:50
Posledny riadok zodpovedal preco neprevadzkovat RDS spolu s AD, ale inac je to funkcne, vratane SQL, a chodi to ...

Důvodů je víc. Jedním je např. synchronní zápis AD a značně snížený výkon všech ostatních operací. Dalším důvodem je řešení problematických situací, kdy pak nejde použít hotfixy a postupy kvůli zkříženým rolím.

U SQL - nepočítám Express, který jede na 1 CPU a nemá žádnou podporu - je zase problém s přiřazením CPU jader a synchronním zápisem replay logů.

Dále je problematické pořadí náběhu služeb. Jak už tu někdo psal, AD by měly být v doméně dvě, aby v době startu služeb bylo aspoň jedno k dispozici. Pokud to máte na jedné instalaci, je problém o to hlubší, protože musíte zajistit aby nejprve naběhly a inicializovaly se služby AD a teprve pak nabíhaly ty ostatní. To se pak musí řešit závislostmi, do kterých když sáhnete, bude to fungovat spolehlivě do dalších velkých aktualizací, které na takové postupy nejsou připravené.

Velkým důvodem je, že o AD nesmíte přijít, jinak přijdete o celé nastavení domény, oprávnění a spoustu práce. Už jen kvůli tomu se AD nijak neohrožuje, nic se na něj neinstaluje, nic se tam nespouští. Na druhou stranu, licence Windows Serveru umožňuje dvě instalace, takže jedna je právě vhodná pro AD, a samotné dokáže běžet s velmi malými prostředky.

Mohl bych Vám tu rozepsat dalších asi šest odstavců, proč to není dobrý nápad kombinovat. Bohužel vždy se najde někdo, kdo si nainstaloval jednu instalaci a pak napíše "ale funguje to!".
Název: Re:Windows server: oddělení AD a vzdálené plochy
Přispěvatel: Medo77 11. 07. 2019, 09:42:00
Ja som nepovedal, ze to doporucujem, ale ze to chodi ...
Problemy s perfomancom zacnu samozrejme stupat s pribudajucim poctom userov, resp. zlozitostou infrastruktury.
Název: Re:Windows server: oddělení AD a vzdálené plochy
Přispěvatel: docmartn 11. 07. 2019, 09:54:45
Důvodů je víc. Jedním je např. synchronní zápis AD a značně snížený výkon všech ostatních operací. Dalším důvodem je řešení problematických situací, kdy pak nejde použít hotfixy a postupy kvůli zkříženým rolím.

U SQL - nepočítám Express, který jede na 1 CPU a nemá žádnou podporu - je zase problém s přiřazením CPU jader a synchronním zápisem replay logů.

Dále je problematické pořadí náběhu služeb. Jak už tu někdo psal, AD by měly být v doméně dvě, aby v době startu služeb bylo aspoň jedno k dispozici. Pokud to máte na jedné instalaci, je problém o to hlubší, protože musíte zajistit aby nejprve naběhly a inicializovaly se služby AD a teprve pak nabíhaly ty ostatní. To se pak musí řešit závislostmi, do kterých když sáhnete, bude to fungovat spolehlivě do dalších velkých aktualizací, které na takové postupy nejsou připravené.

Velkým důvodem je, že o AD nesmíte přijít, jinak přijdete o celé nastavení domény, oprávnění a spoustu práce. Už jen kvůli tomu se AD nijak neohrožuje, nic se na něj neinstaluje, nic se tam nespouští. Na druhou stranu, licence Windows Serveru umožňuje dvě instalace, takže jedna je právě vhodná pro AD, a samotné dokáže běžet s velmi malými prostředky.

Mohl bych Vám tu rozepsat dalších asi šest odstavců, proč to není dobrý nápad kombinovat. Bohužel vždy se najde někdo, kdo si nainstaloval jednu instalaci a pak napíše "ale funguje to!".

Díky za vysvětlení a doplnění mých neznalostí.  :)
Název: Re:Windows server: oddělení AD a vzdálené plochy
Přispěvatel: Marek Staněk 12. 07. 2019, 21:23:51
Ja som nepovedal, ze to doporucujem, ale ze to chodi ...

Ale jistě, lze to rozběhat, a chodí to. Do momentu, kdy něco databázi AD rozbije. Pak už to nikdo nedá do kupy.

Pro těch 15 userů stačí dát AD microsoftí minimum 2 jádra, 2GB RAM (klidně dynamickou a dovolit to přidusit až na 1GB, ale pro boot dát dvě), a 24GB disk.
V HV autostart virtualů tak, že AD startuje třeba 30s po náběhu a ten terminalserver po dalších 2 minutách.

BTW hostitel by správně měl být taky členem té domény; ke spuštění ji nepotřebuje, klíče si kešuje.
Název: Re:Windows server: oddělení AD a vzdálené plochy
Přispěvatel: Miroslav Šilhavý 15. 07. 2019, 10:04:21
Pro těch 15 userů stačí dát AD microsoftí minimum 2 jádra, 2GB RAM (klidně dynamickou a dovolit to přidusit až na 1GB, ale pro boot dát dvě), a 24GB disk.

Pod toto bych se podepsal. Moje zkušenost je, že ve skutečnosti si to vystačí se 768 MB RAM. Na vSpehere je dobré nastavit garanci 768 MB nebo 1 GB, nízkou prioritu na alokaci RAM, ale umožnit si vzít 2-4 GB. Urychlí to starty a po usazení se RAM uvolní. Disk bych dával 40-60 GB, ale to se dá přidat vždycky i bez restartu.