maeck 10 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Hallo, wir haben bereits ein Drei-Knoten Failover-Cluster im internen Netz und möchten nun noch ein Zwei-Knoten Failover-Cluster in unserer DMZ aufbauen. Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht. Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt? Bei einer eigenständigen AD, würde man dann mit Vertrauensstellungen arbeiten, damit z.B. der SCVMM auch die VMs managen kann? Gruß Marcel Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht. Korrekt. Wie geht man da sinnigerweise vor? Konfiguriert man eine eigenständige neue Domäne in der DMZ, nur für das Failover-Cluster oder gibt es ein BestPractice, das einen anderen Weg mit der bestehenden AD aufzeigt? Also wenn schon DMZ, dann würde das für mich bedeuten, eigene DMZ-AD mit allem Drum und Dran (also mindestens zwei DCs). Man könnte natürlich auch auf eine Virtualisierungsplatform setzen, die diese Voraussetzung nicht hat. Bye Norbert Zitieren Link zu diesem Kommentar
maeck 10 Geschrieben 19. Juli 2011 Autor Melden Teilen Geschrieben 19. Juli 2011 Man könnte natürlich auch auf eine Virtualisierungsplatform setzen, die diese Voraussetzung nicht hat.Dessen sind wir uns bewusst. Da wir bereits Hyper-V einsetzen, möchten wir wegen der DMZ (auch im Hinblick auf SCVMM) nicht auf einen anderen Virtualisierungs-Anbieter wechseln. Microsoft hat sich darüber doch sicher auch Gedanken gemacht :suspect: Marcel Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Ich nehme mal an, es hat sich nichts daran geändert, dass ein Failover-Cluster eine Anbindung an ein Active Directory braucht. Der Failover Cluster an sich braucht zwar kein CSA (Cluster Service Account) mehr wie bei 2003, typischerweise braucht man für die Network Names aber CNOs (Cluster Name Object = AD Computerkonten) und AD Benutzerkonten zur Administration des Clusters. Sprich: Ein AD is nach wie vor Voraussetzung, wie Norbert schon sagte.Siehe auch: http://technet.microsoft.com/en-us/library/cc771404.aspx Also wenn schon DMZ, dann würde das für mich bedeuten, eigene DMZ-AD mit allem Drum und Dran (also mindestens zwei DCs). Sehe ich auch so... Zitieren Link zu diesem Kommentar
maeck 10 Geschrieben 19. Juli 2011 Autor Melden Teilen Geschrieben 19. Juli 2011 OK, ich merke schon ich komme um ein eigenes AD in der DMZ nicht drum herum ;) womit ich gerechnet habe :) Wie würde das dann aussehen (neben den beiden DCs), wird es ein AD das eine Vertrauensstellung zum internen AD hat oder sollte es völlig losgelöst sein? Gruß Marcel Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Das hängt doch wohl eher vom Sicherheitsbedürfnis / der Paranoia ab. ;) Ein Trust, auch wenn nur 1-way benötigt ebenfalls geöffnete Ports in der DMZ. bye Norbert Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 [...](auch im Hinblick auf SCVMM) [...] Marcel Mit SCVMM kann man auch ESX V-Center Administrieren oder in der nächsten Version Xen Desktop. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 oder in der nächsten Version Xen Desktop. Um genau zu sein XenServer und nicht XenDesktop. ;) Zitieren Link zu diesem Kommentar
TheDonMiguel 11 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Um genau zu sein XenServer und nicht XenDesktop. ;) Falls von Interesse, here we go: Citrix XenServer Fabric Management in System Center Virtual Machine Manager 2012 | Server Talk Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 23. August 2011 Melden Teilen Geschrieben 23. August 2011 Wir stehen gerade vor der selben Frage, haben momentan einen Hyper-V Cluster und die Daten liegen im SAN. Wollen nun 2 Webserver und Postfix virtualisieren, sollten wir einen eigenen Cluster für 3 VM's in der DMZ aufbauen? Wie sicher/unsicher ist es die VM's die in der DMZ laufen sollen, über den gleichen Host wie die VM's im Produktivnetz laufen zu lassen (eigene Netzwerkkarte und VLAN für DMZ im Host natürlich Vorraussetzung!)? Gibt es einen Empfehlung von MS zum Thema Hyper-V und DMZ? MFG Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 24. August 2011 Melden Teilen Geschrieben 24. August 2011 (bearbeitet) Moin, der Sinn einer DMZ ist die Trennung von Netzwerken. Wenn du VMs verschiedener Netzwerkbereiche auf demselben Host konzentrierst, hast du die Netzwerktrennung aufgehoben (und noch dazu die pyhsische Trennung). DMZ-VMs also niemals auf Produktions-Hosts. Wenn es denn wirklich ein Hyper-V-Cluster in der DMZ sein soll, dann mit eigenem AD in der DMZ, das eben nur für den Cluster da ist (also keine weiteren Konten dort). Trusts verbieten sich, denn für die gilt dasselbe - man hätte eine Verbindung der Netze. Abgesehen davon, hat man eine DMZ ja gerade, weil man den Systemen dort nicht vollständig vertrauen kann ... Zum VMM: Um einen Zwei-Knoten-Cluster in einer DMZ zu verwalten, braucht man wirklich keinen VMM. Also erübrigt sich die Frage. Gruß, Nils bearbeitet 24. August 2011 von NilsK Ergänzung VMM Zitieren Link zu diesem Kommentar
Nillux 10 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 (bearbeitet) Guten Abend, Das trifft zwar nicht ganz das Thema des Threads, aber bevor ich einen neuen aufmache, poste ich lieber hier. Hat sich da in den letzten 1,5 Jahren etwas getan? bei uns soll die DMZ virtualisiert werden. Unser Systemhaus hat vorgeschlagen, die "DMZ VM´s"auf die schon vorhandenen "internen" Hyperv Server zu legen, auf denen unsere DC´s, Exchange und andere liegen. Dazu sollen seperate Netzwerkkarten benutzt werden. Ich habe dabei etwas Bauchschmerzen... Kann man das so machen, hat das evtl schon jemand im Einsatz? Oder sollte mann es besser lassen, ist das ein Sicherheitsrisiko? Bin für jede Meinung dankbar. bearbeitet 3. Juni 2013 von Nillux Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 Was genau willst du jetzt hören? Lieber, ja es geht und wenn man mag, oder doch lieber Nils Posting oben? ;) Zitieren Link zu diesem Kommentar
Nillux 10 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 Was ich hören wollte, steht eigentlich in meinem obrigen Post. ;) Und da der Kommentar von Nils schon 1,5 Jahre alt ist, habe ich halt gefragt. Werde es aber nochmal überschlafen.... Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 3. Juni 2013 Melden Teilen Geschrieben 3. Juni 2013 Nur weil es älter ist, ist es technisch nicht zwingenderweise überholt. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.