Hyper-V Netzwerk - ich steh im Wald

[dj-freeze 0]

Hallo zusammen,

 

nerv (ich schreib gerade das ganze nochmal, weil ich auf der Maus auf die Back-Taste gekommen bin - Text weg - schrei). Vielleicht können unsere Master-Virtualisierer mal den einen oder anderen Tip geben, da es sich hier nicht um die gewohnte Netzwerkumgebung handelt.

Ja, Lizenzen sind völlig legal vorhanden für Standard und Datacenter 2012 leider keine R2, aber darum geht's ja nicht.

 

Szenario:

Dedicated Server mit Hyper V Rolle installiert und öffentlicher IP!!!! (keine Router und nix)

Es sollen eigentlich keine weiteren Rollen installiert werden.

Name: H1

IP : 135.1.25.107

 

externer Switch 135.1.25.107             (Netz 135.1.25.0/25) gemeinsame Nutzung mit Host

interner Switch 192.168.137.1             (Netz 192.168.137.0/24) kein Gateway

 

virtuelle Maschinen (jeweils Windows Server)

 

DC1 (AD DS, DNS, DHCP)

IP: 192.168.137.2 (am internen Switch)

 

DC2 (AD DS, Remotezugriff incl. Routing)

IP 192.168.137.3 (am internen Switch)

 

DHCP funktioniert innerhalb des privaten Netzes super, Namen werden auch aufgelöst, sowie die IP´s …

 

soviel dazu jetzt die Probleme:

 

1. Gibt es keine Möglichkeit den internen Switch ans Internet zu bringen außer ICS

(Internetfreigabe des Hosts), das kann doch nicht die Lösung sein oder?

Ich wollte eigentlich die Methode „Share all to Internet“ nutzen und den Server für alle im Internet/Arbeitsplatz erreichbar machen indem ich im mit dem externen Switch eine öffentliche IP a la 135.1.25.120 zuweise…

 

1. Wie eventuell schon bemerkt möchte ich per VPN zugreifen, mein erster Fehler war es dem DC2 eine 2. Netzwerkkarte zu spendieren und mit dem externen Switch zu verbinden (IP: 135.1.25.108). Das VPN funktioniert halbwegs. Verbindung steht sofort, Gateway falsch (255.255.255.255 – scheint irgendwie eine Hostadresse zu sein), IP nicht vom DHCP da ich irgendwie nicht bis zum privaten Netz vordringe… Außerdem sind dann die Ordner SYSVOL und NETLOGON über Arbeitsplatz ohne Anmeldung erreichbar OHA….. wie also Löse ich diesen Ansatz nur mit der Internen Netzwerkkarte? Sorry aber sonst hat man einen Router und hier gibt’s ja irgendwie keine Möglichkeit.

 

1. Muss ich eventuell doch die Datacenter Lizenz nehmen und auf dem Host noch die Rollen für VPN und Routing zu installieren? Irgendwie sehe ich hier nicht mehr durch. Seit 3 vollen Tagen bin ich hier völlig im IP-Wald gefangen und Blicke langsam gar nicht mehr durch. Das Hinzufügen von Routen kann man auf dem Server machen aber nicht auf jedem mobilen Client (Smartphone etc.)

 

 

Bitte könnte mal jemand seinen Lösungsansatz dazu beitragen. Ich bin doch nicht der einzige der mit einem Dedicated  Windows Server hantiert und virtualisiert….

 

 

 

 

 

 

[Daniel -MSFT- 129]

Lass doch den Hyper-V-Host Hyper-V-Host sein und regel den Rest entweder mit einer Firewall als VPN-Endpoint davor (meine Empfehlung) oder mit einer VM. Es gibt virtuelle Apllicances, mit denen Du Routing, Firewall, etc. abbilden kannst. Hier mal ein Beispiel (keine Empfehlung): http://www.winfrasoft.com/products/appliances/ 

Es wird aus Sicherheitsgründen nicht empfohlen, Firewall und Insfrastruktur virtualisiert auf dem gleichen Host zu betreiben. Ich kenne Deine Möglichkeiten beim Netzwerkdesign nicht - daher mußt Du das abwägen.

[dj-freeze 0]

Genau das ist ja meiner Meinung nach auch das beste, das der Hyper-V Host auch nur das tut, nämlich virtualisieren.

 

Ich denke Du meinst pfSense mit der Aplliance? Sowas wie m0n0wall und IPCop sind mir nämlich auch schon über den Weg gelaufen als "Router". Aber ist das denn das Best Practice Scenario für das Rechenzentrum?

In diesem Fall geht's leider ja nicht anders als alles auf dem gleichen Host laufen zu lassen und ich bin der festen Überzeugung das ich damit auch nicht der einzige bin. Nur steht natürlich damit die Frage des Designs im Raum.

 

Ich würde ja fast eine separate VM als VPN-Server laufen, die nicht Domain-Member ist.

Oder wo würde man den in diesem Fall die VPN Firewall setzen? Im Moment ist ja der 2. DomainController auch ein VPN-Server. Das bringt sicher Vorteile aber auch Nachteile gerade in Puncto Sicherheit (UserDatenbank).

[Daniel -MSFT- 129]

Alles auf einem Host und den frei im Internet? Generell würde ich ein solches Szenario gar nicht empfehlen. Wie arbeiten denn die Clients mit den Diensten? Welche Dienste bietest Du darüber an?

 

Als Appliance kannst Du auch die TMG-Appliance nehmen, da die sehr gute Integrationsmöglichkeiten für die verschiedensten Microsoft-Dienste anbietet.

[dj-freeze 0]

Generell soll dieses Szenario natürlich so nicht produktiv laufen. Es ist vorerst nur mal ein Testeinsatz um die Möglichkeiten abzuwägen. Wie würden denn die Best Practice Empfehlungen aussehen um einen Einsatz im produktiven Active Directory zu gewährleisten. 50 User sollen von HomeOffice arbeiten können und  auf Dateien zugreifen mehr nicht. Da am Standort keine ausreichende Bandbreite verfügbar ist. Was wäre denn hier Empfehlenswert?

[Doso 77]

"Nur 50 User" - und dann hängt der Hyper-V Host direkt im Internet. Ich sehe da ein paar Probleme bei deinem Design.

[dj-freeze 0]

50 verschiedene. Max. 15-20 gleichzeitig. Das Problem wäre der Standort. Was für ein Problem siehst du denn noch dabei?

[dj-freeze 0]

Das kann man ja hier mal aufklären um es besser zu machen. Anbei ist Backup nicht problematisch. Replikation ist auch in Planung. Aber erstmal das grundgerüst

bearbeitet 2. September 2014 von dj-freeze

[Daniel -MSFT- 129]

Ganz ehrlich? Ich würde das ganz anders machen. Meine Lösung dafür wäre OneDrive for Business und SharePoint Online. Simple Einrichtung. Von überall aus nutzbar mit Offline-Synchronisation. Überschaubare Kosten, pay as you go.

bearbeitet 2. September 2014 von Daniel -MSFT-

[dj-freeze 0]

Active Directory bleibt wo dabei? 10 verschiedene Anbieter sind enormer Aufwand. Die Dateien sind lahme Office Files und keine Blu-ray dumps, deswegen sehe ich wegen der Nutzer Zahl keine Probleme

bearbeitet 2. September 2014 von dj-freeze

[NeMiX 76]

Hab sowas ähnliches auch im Einsatz für private Testzwecke. Rootserver mit ESXi und darauf hab ich als VM eine PFSense laufen die als einzige VM eine externe IP hat.

Direkt die Verwaltung oder SMB ans Internet zu hängen wäre mir zu unsicher (auch bei einer Testmaschine). 

Dein AD würde ich evtl. per Direct Access lösen, spart die VPN Einwahl und ist für mobile User sehr angenehm.

Es gibt Hoster die auch Firewalls vor den Server anbieten (bei OVH gibt es z.b. eine ASA), danach würde ich für den Business Einsatz schauen.

 

Wenn du deine Firmendaten direkt an die NSA abkippen willst, kannst du natürlich auch Cloudprodukte nutzen ;)

[Necron 71]

Hi,

 

noch eine Rückfrage zur Sicherheit: Es ist also ein Rootserver der bei einem Hoster steht, der dann produktiv für bis zu 50 User genutzt werden soll, die im Home Office sitzen?

 

Wenn das so sein sollte, dann kann ich Daniel nur beipflichten in so einem Fall wäre eher die Lösung das Konstrukt On-Premise in der Firma zu betreiben, wenn das nicht geht dann eher auf IaaS oder SaaS zurückgreifen. Für IaaS wäre zum Beispiel Microsoft Azure eine Möglichkeit. Für SaaS hat Daniel die Produkte schon benannt.

[dj-freeze 0]

Es handelt sich um einen Dedicated Server also richtige Hardware. Daniel hat im Grunde schon Recht aber dann bräuchte ja kaum einer einen Server. OneDrive habe ich seit Jahren im Einsatz. Hmm naja ist schon ok aber nicht Sinn der Sache das sich alle ihre Dateien zusammenwühlen müssen. SharePoint kenne ich ist aber keine Lizenz vorhanden. DesWeiteren ist seit 7 Monaten Azure im Einsatz so dass ich sagen kann, das sich das für den Produktivbetrieb ganz und gar nicht rechnet. Viel zu teuer. Die Rechnung von Microsoft von wegen Hardware ist teuer und so geht absolut nicht auf. 2-3 kleine Maschinen und eine grosse für Exchange und mal n 1TB speicher und schon sind mal eben mind. 500 Euro weg im Monat.

 

Wichtige Daten würde ich keinesfalls im Netz lagern, auch nicht bei Microsoft. Es handelt sich um Manuskripte und Lektorate die sowieso dann online gestellt werden. Wer das klaut ist selber Schuld. Direct Access finde ich auch sehr gut nur das dafür halt Windows 7 und 8 nur unterstützt werden, deswegen auch die VPN Lösungen.

 

Das ganze ist er mal nur ein Test um die Möglichkeiten auszuloten. Wahrscheinlich muss man wirklich schauen das man die Hardware irgendwo unterbringt. Denn Microsoft hat ja wohl an dieser Stelle mit dem Anschluss an ein Rechenzentrum mehr als gepennt. Von wegen "Datacenter"- Edition. KMU´s werden sich kaum ein eigenes Rechenzentrum hinstellen.

 

Backup und Replikation funktioniert mit Dedicated Hardware aber super, da sie ja direkt im Netz angebunden sind. Ich wird mal die vorgeschlagenen Ansätze mal zusammen in eine Trommel hauen und eine Mischlösung ausdenken müssen...

[Daniel -MSFT- 129]

Hi dj-freeze,

 

OneDrive ≠ OneDrive for Business

SharePoint ≠ SharePoint Online

 

Ich glaube, Du brauchst mal ein Technologieupdate :-)

 

Vergleich doch mal die Lösungen on-premises oder einem dedizierten Server mit meinem Vorschlag. Wenn man es richtig machen will, dann braucht man zwei Domaincontroller, einen Fileserver und einen Exchange-Server für das, was Du so vorhast. Das bekommst Du mit zwei Windows Server 2012-Lizenzen hin. 

 

  2x Windows Server 2012 R2

50x Windows Server 2012 R2 User-CALs

  1x Exchange Server 2013

50x Exchange 2013 User-CALs

50x Outlook 2013

 

Das sind laut Microsoft License Advisor Listenpreis 12.898 EUR.

 

Eventuell willst Du auch noch einen Terminal Server, dann wären es drei Serverlizenzen und eventuell Office Standard für die Clients anstelle von Outlook.

 

  +1x Windows Server 2012 R2

+50x Windows Server 2012 RDS User-CALs

+50x Office 2013 Standard

-50x Outlook 2013

 

Das macht dann Listenpreis 35.793 EUR.

 

Jetzt noch die Hardwarekosten dazu. Server plus Storage plus Switch schätze ich mal in der Größenordnung von 10k EUR. Falls Du es ausfallsicher haben willst z.B. mit einem Cluster in a Box geht es so ab 15k los und Du brauchst doppelt soviele Windows Server-Lizenzen und Software Assurance für den Exchange Server. Dann noch USV, Klima, Serverraummiete, Stromkosten, eine synchrone Internetanbindung mit min. 10 MBit Upstream, etc.

 

Wenn Du das ganze in einem Partnerrechenzentrum betreiben willst, dann brauchst Du dort ein dediziertes Outsourcing-Szenario, um Deine eigenen Lizenzen mitnehmen zu können. Alternativ kannst Du Windows, Exchange und Office über SPLA mieten, allerdings haben die Anwender dann kein Office auf dem lokalen PC. Oder, wenn es shared Hosting ist, die Lizenzen mitnehmen, die Lizenzmobilität haben. Das sind in Deinem Beispiel Exchange Server, Exchange CALs und Windows RDS-CALs. Für diese bräuchtest Du dann aber Software Assurance.

 

Wenn Du Dir einen Root-Server mietest, dann wird der auch so zwischen 100 und 200 EUR im Monat liegen. Also 1.200 bis 2.400 EUR pro Jahr für einen Server, das ganze mal zwei für zwei Server. Dazu schau Dir mal die Bedingungen der Serverbetreiber an, ob Du da überhaupt Deine eigenen Lizenzen mitbringen darfst. Hier mal am Beispiel von Hetzner: 

 

 

 

Einsatz von eigenen Lizenzen

Wir nehmen am Microsoft SPLA Programm teil. Die von uns zur Verfügung gestellte Windows Lizenz ist demnach eine SPLA Lizenz. Die Vermischung von eigenen Microsoft Lizenzen von Kunden mit der SPLA Lizenz von Hetzner müsste schriftlich festgehalten werden (Vertrag), da der Kunde Hetzner beauftragen müsste das Produkt für Ihn zu hosten. Weiterhin ist der Einsatz einer eigenen Microsoft Lizenz nicht in jedem Fall möglich (bspw. bei Terminal Server Lizenzen). Durch den erhöhten Verwaltungsaufwand haben wir uns entschieden keine Vermischung der Lizenzen zu zulassen. Der Einsatz von eigenen Microsoft Lizenzen auf einem von uns gemieteten Windows Betriebssystem ist daher nicht möglich.

 

Quelle: http://wiki.hetzner.de/index.php/Windows_Server_2012

 

Dann hast du weiterhin keine SLAs, denn den Service machst Du ja selbst. Ausfallsicherheit ist auch so la la, denn bei den Preisen ist vermutlich kein redundantes System mit drin. Platten vielleicht zwei als RAID 1. Das wird auch nicht so der Bringer beim Betrieb der virtuellen Maschinen.

 

Demgegenüber stelle ich mal Office 365. Ein 50 GB großes Exchange-Postfach sowie SharePoint Online mit 10 GB Speicher für das Team und 1 TB privaten Speicher über OneDrive for Business bekommst Du in der Standardversion für 3,80 EUR Benutzer/Monat (als Office 365 Business Essentials ab dem 1.10.). Falls Du erweiterte Enterprise-Funktionen nutzen willst, gibt es Office 365 E1 für 6,10 EUR Benutzer/Monat.

 

Für 50 Nutzer hochgerechnet sind das 50 x 50 GB Postfächer, 35 GB Teamspeicher, 50 x 1 TB persönlicher Speicher für 2.280 EUR im Jahr (Standard) oder 3.660 EUR im Jahr (Enterprise). Einen Vergleich der einzelnen Pläne findest Du hier: http://office.microsoft.com/de-de/business/alle-plane-fur-office-365-fur-unternehmen-vergleichen-FX104051403.aspx

 

Alle Dienste bieten ein SLA von 99,9 %, Support und erstklassige Datensicherheit plus Spam- und Antivirenfilterung. Mit SharePoint Online hast Du auch nicht nur einen dummen Fileserver, sondern kannst über Funktionen wie Versionierung, gleichzeitige Bearbeitung von Dokumenten online, serverseitiger Papierkorb, synchronisierte Metadaten (Autor, Titel, ISBN-Nummer, Auflage, etc.) verfügen.

 

Falls Du noch ein Office für jeden mit rein nehmen möchtest, das die Anwender auf bis zu fünf Fat-Clients (egal ob Windows oder Mac OS X), 5 Tablets (Office for iPad) und 5 SmartPhones (iPhone, Android, Windows Phone, etc.) nutzen dürfen, kommst Du auf 9,80 EUR Benutzer/Monat (Standard) respektive 18,20 EUR Benutzer/Monat (Enterprise - hier kannst Du auch einen Terminal Server mit abdecken, wenn Du die Office 365 über ein Volumenlizenzprogramm kaufst).

 

Falls Du nur mit den 1 TB pro Benutzer mit OneDrive for Business starten willst, das kostet zur Zeit 2,50 EUR Benutzer/Monat und ist in den obigen Tarifen schon inkludiert.

 

Lizenzierung pro Benutzer kann ganz einfach sein. Und bei den Azure-Preisen hast Du auch Äpfel mit Birnen verglichen. Da hast Du beim Storage z.B. mind. 99,9% SLA und drei Kopien Redundanz. Weiterhin sind die Windows-Serverlizenzen und die Windows CALs und der Virenschutz schon mit drin. Das lässt sich schlecht mit einem simplen Root-Server vergleichen.

 

Have fun!
Daniel

bearbeitet 3. September 2014 von Daniel -MSFT-

[Gen-2 10]

Wenn man noch Daten aus den vergangenen Jahren zu Hilfe nimmt und die vergangenen aufgelaufene reale Fixkosten wie Wartungskosten durch externe Anbieter, Hardware Support und Austausch Kosten plus Kosten für die Mitarbeiter wird das ganze schnell großstellig.
Problem der IT-Admins ist ja meistens das der buchhahlterische Aspekt bzw. der Gesamtkostenaspekt über Zeitraum x- gar nicht gesehen geschweige denn überhaupt bekannt ist.
Was so im Controlling an Kosten ausgerechnet wird entspricht ja nicht dem was der "gemeine" IT-Admin glaubt zu kennen wenn Listenpreise von SAS HDDs interessant sind. ;)

 

Sicherheitsfaktoren sind auch ein schwaches Argument. Die meisten SMB Kunden und Anbieter sind weit von dem entfernt was man sicherheitsbewusst nennen kann. Ob Cloud per se unsicher/sicherer ist kann kaum jemand wirklich belastbar beziffern. Gegentieliges bitte mitteilen. :)

Trotzdem steht Cloudlösungen wie den von US amerikanischen Anbietern, nun  mal eine Spähaffäre gegenüber die schlussendlich einigen Firmen zu recht als contra Punkt schwergewichtig in den Karren fährt.