See182 0 Geschrieben 7. September 2016 Melden Teilen Geschrieben 7. September 2016 Hallo zusammen, in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten. Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren. Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder? Gibt es auch eine Art Best Practice für solche Sachen? Bin da relativ neu in solchen Sachen und wollte daher mal Fragen :D Viele Grüße Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 7. September 2016 Melden Teilen Geschrieben 7. September 2016 Backup Software = keine Windows Rolle Firewall Software = keine Windows Rolle Druckertreiber = keine Windows Rolle Nur mal so nebenbei. Zitieren Link zu diesem Kommentar
See182 0 Geschrieben 7. September 2016 Autor Melden Teilen Geschrieben 7. September 2016 Backup Software = keine Windows Rolle Firewall Software = keine Windows Rolle Druckertreiber = keine Windows Rolle Nur mal so nebenbei. Ich weiß, dass die Software keine Windows Rolle per se, ich wollte nur ein paar Beispiele nennen. Ein Printserver ist eine Rolle, findet man in den Rollen unter Druck- und Dokumentdienste. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 7. September 2016 Melden Teilen Geschrieben 7. September 2016 Ich würde schon versuchen alles so gut es geht zu trennen. Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen. Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren. Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt. Zitieren Link zu diesem Kommentar
See182 0 Geschrieben 7. September 2016 Autor Melden Teilen Geschrieben 7. September 2016 Ich würde schon versuchen alles so gut es geht zu trennen. Hier im Board gibt es die besten Beispiele dafür, wenn jemand auf einem DC noch andere Rollen installiert und bei Problemen hat dies einfach zu lösen. Vor allem ein Backup Server (den man in einem Disaster Fall benötigt und keine Probleme damit haben will) und eine Firewall (was eine kritische Komponente ist und potentiell angegriffen wird) würde ich in jedem Fall auf eigene Systeme (evtl. sogar physikalisch laufen lassen) installieren. Mit Virtualisierung und Datacenter Lizenz ist das auch kein Problem mehr im gegensatz zu Physikalischen Maschinen, bei denen Leistung brach liegt. Also wir haben auch ein DC und eine Backup Server physikalisch. :-D Aber gut prinzipiell stimmt es ja, wenn wirklich alles getrennt ist, dann ist da die Ausfallsicherheit geringer. Zitieren Link zu diesem Kommentar
Beste Lösung magheinz 110 Geschrieben 7. September 2016 Beste Lösung Melden Teilen Geschrieben 7. September 2016 Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht. M 4.97 Ein Dienst pro ServerVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT Verantwortlich für Umsetzung: Administrator Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html 1 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 7. September 2016 Melden Teilen Geschrieben 7. September 2016 (bearbeitet) in meinem Betrieb arbeiten wir aktuell mit zwei Hyper-V Server, die zusammen so ca. 20 bis 30 VM's verwalten. Wir werden von einem Dienstleister betreut, der darauf schwört, jede einzelne Windows Rolle in einer für sich eigenen VM zu installieren. Ich bin da anderer Meinung, klar AD, SQL etc. sollen ihre eigene Umgebung haben, aber muss man nicht für den Printserver, für die Backup Software (in diesem Fall BackupExec) und für die Firewall Software jeweils eine eigene VM erstellen, oder? Überleg doch einfach mal. Du hast einen DC und konfigurierst ihn als Printserver. Jetzt macht der Printserver die Grätsche, aus welchen Gründen auch immer, Du mußt jetzt also einen DC demoten und anschließend das AD und DNS bereinigen. Zusätzlich hast Du noch den Quatsch mit dem PS. Wäre es nur ein PS, geht vieles schneller. Genau deshalb sollte man das so machen. Geht nicht immer, aber sobald die Möglichkeit gegeben ist, umstellen. bearbeitet 7. September 2016 von Sunny61 3 Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 7. September 2016 Melden Teilen Geschrieben 7. September 2016 @See182 Ich schrieb Druckertreiber = keine Windows Rolle, nicht Printserver = Keine Windows Rolle Druckertreiber stammen von den unterschiedlichsten Herstellern und können die merkwürdigsten Schwierigkeiten verursachen, bis hin zu einem Bluescreen und damit die Systemstabilität maßgeblich beeinträchtigen. Was ist also besser, der Ausfall lediglich eines Printservers oder ein notwendiger Neustart nur eines Printservers bei Wartungsarbeiten, oder aber ein mitreißen komplett aller Dienste auf einem Serversystem wie AD, WaWi, etc.? Aber es ist okay, Du bist neu und musst das Wissen erst erlangen und das geht am besten in dem das Kind in den Brunnen fällt. Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 7. September 2016 Melden Teilen Geschrieben 7. September 2016 Auch beim Backup Server immer bedenken: wie kann ich VM's wiederherstellen wenn die Backup-Server VM down/kaputt ist? Ich bevorzuge da einen physischen Server inkl zusätzlichem Backup ausser Haus Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 8. September 2016 Melden Teilen Geschrieben 8. September 2016 (bearbeitet) Ein Dienst, eine VM. Ein AD DC kann auch immer gut DNS Server sein, aber dann hört es auch schon auf. Das erspart im Fehlerfall viel Arbeit. DC kaputt? In einer Stunde neu installiert. Hatten wir erst vor ein paar Monaten hier. Reduziert Komplexität und Ausfallzeiten und das wollen wir doch alle. bearbeitet 8. September 2016 von Doso Zitieren Link zu diesem Kommentar
See182 0 Geschrieben 13. September 2016 Autor Melden Teilen Geschrieben 13. September 2016 Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht. M 4.97 Ein Dienst pro ServerVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT Verantwortlich für Umsetzung: Administrator Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 13. September 2016 Melden Teilen Geschrieben 13. September 2016 Gut, glaube die Meinungen sind hier eindeutig :D Vielen Dank für die Infos. Und zusätzlich noch der Hinweis auf die Berechtigungen. So viel wie nötig, so wenig wie möglich. D.h. bei einem Printserver reicht es IMO aus, dass der angemeldete Benutzer auf dem System Adminrechte hat, er muss nicht Domain Adminrechte haben. Falls der Benutzer dann auf einem Share Zugriffsrechte braucht, einfach in eine passende Gruppen packen, die auf dem Share eingetragen ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.