Jump to content

Hyper-V Cluster in DMZ


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben bereits ein Drei-Knoten Failover-Cluster im internen Netz und möchten nun noch ein Zwei-Knoten Failover-Cluster in unserer DMZ aufbauen.

 

Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht.

Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt?

 

Bei einer eigenständigen AD, würde man dann mit Vertrauensstellungen arbeiten, damit z.B. der SCVMM auch die VMs managen kann?

 

Gruß Marcel

Link zu diesem Kommentar
Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht.

 

Korrekt.

 

Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt?

 

Also wenn schon DMZ, dann würde das für mich bedeuten, eigene DMZ-AD mit allem Drum und Dran (also mindestens zwei DCs). Man könnte natürlich auch auf eine Virtualisierungsplatform setzen, die diese Voraussetzung nicht hat.

 

 

Bye

Norbert

Link zu diesem Kommentar
Man könnte natürlich auch auf eine Virtualisierungsplatform setzen, die diese Voraussetzung nicht hat.
Dessen sind wir uns bewusst. Da wir bereits Hyper-V einsetzen, möchten wir wegen der DMZ (auch im Hinblick auf SCVMM) nicht auf einen anderen Virtualisierungs-Anbieter wechseln. Microsoft hat sich darüber doch sicher auch Gedanken gemacht :suspect:

 

Marcel

Link zu diesem Kommentar
Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht.
Der Failover Cluster an sich braucht zwar kein CSA (Cluster Service Account) mehr wie bei 2003, typischerweise braucht man für die Network Names aber CNOs (Cluster Name Object = AD Computerkonten) und AD Benutzerkonten zur Administration des Clusters. Sprich: Ein AD is nach wie vor Voraussetzung, wie Norbert schon sagte.

Siehe auch: http://technet.microsoft.com/en-us/library/cc771404.aspx

Also wenn schon DMZ, dann würde das für mich bedeuten, eigene DMZ-AD mit allem Drum und Dran (also mindestens zwei DCs).

Sehe ich auch so...

Link zu diesem Kommentar
  • 1 Monat später...

Wir stehen gerade vor der selben Frage, haben momentan einen Hyper-V Cluster und die Daten liegen im SAN.

Wollen nun 2 Webserver und Postfix virtualisieren, sollten wir einen eigenen Cluster für 3 VM's in der DMZ aufbauen?

Wie sicher/unsicher ist es die VM's die in der DMZ laufen sollen, über den gleichen Host wie die VM's im Produktivnetz laufen zu lassen (eigene Netzwerkkarte und VLAN für DMZ im Host natürlich Vorraussetzung!)?

Gibt es einen Empfehlung von MS zum Thema Hyper-V und DMZ?

 

MFG

Link zu diesem Kommentar

Moin,

 

der Sinn einer DMZ ist die Trennung von Netzwerken. Wenn du VMs verschiedener Netzwerkbereiche auf demselben Host konzentrierst, hast du die Netzwerktrennung aufgehoben (und noch dazu die pyhsische Trennung). DMZ-VMs also niemals auf Produktions-Hosts.

 

Wenn es denn wirklich ein Hyper-V-Cluster in der DMZ sein soll, dann mit eigenem AD in der DMZ, das eben nur für den Cluster da ist (also keine weiteren Konten dort). Trusts verbieten sich, denn für die gilt dasselbe - man hätte eine Verbindung der Netze. Abgesehen davon, hat man eine DMZ ja gerade, weil man den Systemen dort nicht vollständig vertrauen kann ...

 

Zum VMM: Um einen Zwei-Knoten-Cluster in einer DMZ zu verwalten, braucht man wirklich keinen VMM. Also erübrigt sich die Frage.

 

Gruß, Nils

bearbeitet von NilsK
Ergänzung VMM
Link zu diesem Kommentar
  • 1 Jahr später...

Guten Abend,

 

Das trifft zwar nicht ganz das Thema des Threads, aber bevor ich einen neuen aufmache, poste ich lieber hier. Hat sich da in den letzten 1,5 Jahren etwas getan?

 

bei uns soll die DMZ virtualisiert werden. Unser Systemhaus hat vorgeschlagen, die "DMZ VM´s"auf die schon vorhandenen "internen" Hyperv Server zu legen, auf denen unsere DC´s, Exchange und andere liegen. Dazu sollen seperate Netzwerkkarten benutzt werden.

Ich habe dabei etwas Bauchschmerzen...

Kann man das so machen, hat das evtl schon jemand im Einsatz? Oder sollte mann es besser lassen, ist das ein Sicherheitsrisiko?

 

Bin für jede Meinung dankbar.

bearbeitet von Nillux
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...