Windows server: oddělení AD a vzdálené plochy

Windows server: oddělení AD a vzdálené plochy
« kdy: 10. 07. 2019, 11:14:08 »
Ahoj, budu přeinstalovávat windows server (následně i příležitostně spravovat), který je nyní v této konfiguraci.

Železo - hyper-v
1. virtuál - active directory
2. virtuál - vzdálená plocha pro tenké klienty (cca 15)

Má smysl to nechávat rozdělené nebo to můžu slepit dohromady za předpokladu že budou dobře nastavené práva atd.? Nevím jestli se to takto standardně dělá. Z mého pohledu se virtualizací akorát oberu o výkon.
Jelikož je moje hlavní platforma linux tak s tímto nemám zkušenosti, resp všechny windows server co jsem dělal byly na kvm se vzdálenou plochou bez AD.

Díky
« Poslední změna: 10. 07. 2019, 23:27:50 od Petr Krčmář »


Re:windows server, oddělení AD a vzdálené plochy
« Odpověď #1 kdy: 10. 07. 2019, 11:26:50 »
Ahoj,

záleží na jakém stroji ti to běží a jestli je schopné těch cca 15 klientů utáhnout najednou. Nevidím důvod proč by to nemohlo být sjednocené pokud máš dobře nastavené AD jak píšeš. Návodů na tohle téma je opravdu hromada.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:windows server, oddělení AD a vzdálené plochy
« Odpověď #2 kdy: 10. 07. 2019, 11:36:09 »
Obecne doporuceni - oddelit AD controler od jinych sluzeb - je to best practice pro spravu M$ produktu. AD controlery by mely byt minimalne 2

Technicky sloucit vse na jeden virtual neni problem, ale kdyz se neco rozbije, tak se urcite nudit nikdo nebude :D

Re:windows server, oddělení AD a vzdálené plochy
« Odpověď #3 kdy: 10. 07. 2019, 11:37:20 »
Pokud tomu nerozumis, tak na to nesahej.

Pokud to musis spravovat, tak rozhodne nechat oddelene.

Uz z tveho dotazu je videt, ze tomu vubec nerozumis a zejmena uz z hlediska bezpecnosti.

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:windows server, oddělení AD a vzdálené plochy
« Odpověď #4 kdy: 10. 07. 2019, 14:27:11 »
AD nie je velmi zrave, takze samotna prevadzka tejto virtualky nebude velmi narocna ...


Re:windows server, oddělení AD a vzdálené plochy
« Odpověď #5 kdy: 10. 07. 2019, 17:28:36 »
záleží na jakém stroji ti to běží a jestli je schopné těch cca 15 klientů utáhnout najednou. Nevidím důvod proč by to nemohlo být sjednocené pokud máš dobře nastavené AD jak píšeš. Návodů na tohle téma je opravdu hromada.

Asi bych bral spíš relevantní zdroje, tedy specifikace a doporučení Microsoftu.

AD by mělo být oddělené od čehokoliv.
SQL server by měl být také oddělen (toto se často nedodržuje, nicméně kobinace SQL+něco je nesupportovaná kombinace).

Terminálové služby (RDS) by měly být také samostatně - v podstatě je to desktop, se všemi riziky, které se sebou práce uživatelů přináší.

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Windows server: oddělení AD a vzdálené plochy
« Odpověď #6 kdy: 11. 07. 2019, 07:50:00 »
Posledny riadok zodpovedal preco neprevadzkovat RDS spolu s AD, ale inac je to funkcne, vratane SQL, a chodi to ...

Re:Windows server: oddělení AD a vzdálené plochy
« Odpověď #7 kdy: 11. 07. 2019, 08:05:50 »
Posledny riadok zodpovedal preco neprevadzkovat RDS spolu s AD, ale inac je to funkcne, vratane SQL, a chodi to ...

Důvodů je víc. Jedním je např. synchronní zápis AD a značně snížený výkon všech ostatních operací. Dalším důvodem je řešení problematických situací, kdy pak nejde použít hotfixy a postupy kvůli zkříženým rolím.

U SQL - nepočítám Express, který jede na 1 CPU a nemá žádnou podporu - je zase problém s přiřazením CPU jader a synchronním zápisem replay logů.

Dále je problematické pořadí náběhu služeb. Jak už tu někdo psal, AD by měly být v doméně dvě, aby v době startu služeb bylo aspoň jedno k dispozici. Pokud to máte na jedné instalaci, je problém o to hlubší, protože musíte zajistit aby nejprve naběhly a inicializovaly se služby AD a teprve pak nabíhaly ty ostatní. To se pak musí řešit závislostmi, do kterých když sáhnete, bude to fungovat spolehlivě do dalších velkých aktualizací, které na takové postupy nejsou připravené.

Velkým důvodem je, že o AD nesmíte přijít, jinak přijdete o celé nastavení domény, oprávnění a spoustu práce. Už jen kvůli tomu se AD nijak neohrožuje, nic se na něj neinstaluje, nic se tam nespouští. Na druhou stranu, licence Windows Serveru umožňuje dvě instalace, takže jedna je právě vhodná pro AD, a samotné dokáže běžet s velmi malými prostředky.

Mohl bych Vám tu rozepsat dalších asi šest odstavců, proč to není dobrý nápad kombinovat. Bohužel vždy se najde někdo, kdo si nainstaloval jednu instalaci a pak napíše "ale funguje to!".
« Poslední změna: 11. 07. 2019, 08:10:54 od Miroslav Šilhavý »

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Windows server: oddělení AD a vzdálené plochy
« Odpověď #8 kdy: 11. 07. 2019, 09:42:00 »
Ja som nepovedal, ze to doporucujem, ale ze to chodi ...
Problemy s perfomancom zacnu samozrejme stupat s pribudajucim poctom userov, resp. zlozitostou infrastruktury.

Re:Windows server: oddělení AD a vzdálené plochy
« Odpověď #9 kdy: 11. 07. 2019, 09:54:45 »
Důvodů je víc. Jedním je např. synchronní zápis AD a značně snížený výkon všech ostatních operací. Dalším důvodem je řešení problematických situací, kdy pak nejde použít hotfixy a postupy kvůli zkříženým rolím.

U SQL - nepočítám Express, který jede na 1 CPU a nemá žádnou podporu - je zase problém s přiřazením CPU jader a synchronním zápisem replay logů.

Dále je problematické pořadí náběhu služeb. Jak už tu někdo psal, AD by měly být v doméně dvě, aby v době startu služeb bylo aspoň jedno k dispozici. Pokud to máte na jedné instalaci, je problém o to hlubší, protože musíte zajistit aby nejprve naběhly a inicializovaly se služby AD a teprve pak nabíhaly ty ostatní. To se pak musí řešit závislostmi, do kterých když sáhnete, bude to fungovat spolehlivě do dalších velkých aktualizací, které na takové postupy nejsou připravené.

Velkým důvodem je, že o AD nesmíte přijít, jinak přijdete o celé nastavení domény, oprávnění a spoustu práce. Už jen kvůli tomu se AD nijak neohrožuje, nic se na něj neinstaluje, nic se tam nespouští. Na druhou stranu, licence Windows Serveru umožňuje dvě instalace, takže jedna je právě vhodná pro AD, a samotné dokáže běžet s velmi malými prostředky.

Mohl bych Vám tu rozepsat dalších asi šest odstavců, proč to není dobrý nápad kombinovat. Bohužel vždy se najde někdo, kdo si nainstaloval jednu instalaci a pak napíše "ale funguje to!".

Díky za vysvětlení a doplnění mých neznalostí.  :)

Re:Windows server: oddělení AD a vzdálené plochy
« Odpověď #10 kdy: 12. 07. 2019, 21:23:51 »
Ja som nepovedal, ze to doporucujem, ale ze to chodi ...

Ale jistě, lze to rozběhat, a chodí to. Do momentu, kdy něco databázi AD rozbije. Pak už to nikdo nedá do kupy.

Pro těch 15 userů stačí dát AD microsoftí minimum 2 jádra, 2GB RAM (klidně dynamickou a dovolit to přidusit až na 1GB, ale pro boot dát dvě), a 24GB disk.
V HV autostart virtualů tak, že AD startuje třeba 30s po náběhu a ten terminalserver po dalších 2 minutách.

BTW hostitel by správně měl být taky členem té domény; ke spuštění ji nepotřebuje, klíče si kešuje.

Re:Windows server: oddělení AD a vzdálené plochy
« Odpověď #11 kdy: 15. 07. 2019, 10:04:21 »
Pro těch 15 userů stačí dát AD microsoftí minimum 2 jádra, 2GB RAM (klidně dynamickou a dovolit to přidusit až na 1GB, ale pro boot dát dvě), a 24GB disk.

Pod toto bych se podepsal. Moje zkušenost je, že ve skutečnosti si to vystačí se 768 MB RAM. Na vSpehere je dobré nastavit garanci 768 MB nebo 1 GB, nízkou prioritu na alokaci RAM, ale umožnit si vzít 2-4 GB. Urychlí to starty a po usazení se RAM uvolní. Disk bych dával 40-60 GB, ale to se dá přidat vždycky i bez restartu.