Hilfe bei der Serverauswahl

[NilsK 2.934]

Moin,

 

laut Eingangspost sprechen wir von acht (!) Nutzern. Da finde ich die Betrachtungen, die hier angestellt werden, größtenteils völlig überzogen. Ich rate dazu, einen kompetenten Berater hinzuzuziehen, der Kosten und Nutzen in einen sinnvollen Zusammenhang stellt, indem er die richtigen Fragen stellt und Erfahrung mit so einem Kundenumfeld einbringt.

 

Gruß, Nils

 

[Weingeist 159]

Ist zwar ketzerisch, aber will man sich in Kleinstumgebungen zwei DC's wirklich antun? Ich mache das schon lange nicht mehr solange keine wichtigen Anwendungen regelmässig Daten in AD schreiben. Gründe:

- Die paar Passwörter die vielleicht falsch sind, interessiert kein Mensch.

- Wiederherstellungsart bei nur einem DC total egal und eh super schnell da kleine VM (selbst eine Cold-Copy tuts die man ab und wann auf die Seite legt + evtl. gleich auch auf dem System vorhält)

- Dadurch automatisch nie Ärger mit den Versionständen

- Kein Ärger mit Replikation (das überwachen/fehler beheben können die Leute vor Ort eh nicht, müsste man selber)

- Fehlersuche aller Art ist einfacher (DNS, AD, GPO) da nur eine einzige Maschine betroffen

- Wenn die PDC bzw. Betriebsmaster-Rolle wegknickt ist eh für vieles Essig, umschalten für die paar GB Restore lohnt nicht wirklich

- Jegliches Aufräumen im AD dauert immer länger als ein sauberer Restore (wenn eben mal in die Situation des aufräumens kommt)

- usw.

 

Alles in allem habe ich den zweiten DC seit es Virtualisierung gibt noch nie vermisst. Nen zweiter kommt bei mir nur bei einem Server-Upgrade rein, danach wird der alte rausgekickt.

 

VM-Aufteilung

- 1 VM mit DC

- 1 VM mit Fileserver, veröffentlicht mit DFS

- 1 VM für DB des Buchhaltungsprogramm, auch Zusatztools wie Zeiterfassung und sonstigen Betriebsspezifischen Kram (Backup eh meist aus Applikationen raus)

- 1 VM nur für Printserver (mache ich immer separat, Druckertreiber sind gerne Problemkind Nr. 1, ich war schon oft froh das ich ohne Auswirkungen einfach die VM rückspielen konnte oder den Printserver noch auf einer alten Server-Version belassen konnte weil die Treiber noch nicht gscheit auf den neuen funktionierten. Mache ich selbst bei simpelsten Systemen für 1 Mann-Betriebe so wo lokal auf dem Host gearbeitet wird)

- Restliche VM's wie gebraucht, möglichst separat und wenn dann nur 1 Funktion welche Aktuell sein muss (einfachere Rollbacks wenn nötig)

 

Hardware: Lieber 1 Sockelsysteme und max. 16 Kernen (Lizenzkosten, CPU und Chipsatzkosten, mehr GHZ fürs Geld etc.), SSD's nur Enterprise-Ware etc. Dafür aber Geld für Infrastruktur (2xOnline-USV, Umschalter für Geräte mit nur einem Netzteil usw. aufwenden). Bei schnellen SSD's als Primärspeicher kannst alles ins gleiche Disc-Set werfen, auch sonst in der Regel zügiger mit entsprechend Cache auf dem Controller. Zweites Disc-Set, evtl. separatem Controller, für Local-Backup.

 

Bei wunsch nach mehr Infos melden oder Diensleister ins Boot nehmen (je nach Grad deiner Selbstverwirklichungslust).

 

bearbeitet 31. März 2020 von Weingeist

[daabm 1.354]

@Weingeist ketzerisch finde ich das nicht mal - mir fehlt in Deiner Liste nur eins: Externes Backup. Mit dem Rest bin ich völlig einverstanden, läuft hier privat auch so (ist quasi eine 3-Mann-Firma). Kosten/Nutzen ist privat natürlich noch mal relevanter, das externe Backup fehlt mir noch - im Moment läuft es auf dem VM-Host mit. Suboptimal, wenn da die Platten abrauchen Ich hoffe, es hält, bis das externe Backup realisiert ist. Und wenn nicht - da privat, liegen die wirklich wichtigen Sachen eh in OneDrive. Gibt ja keine Datenbank, nur Dateien.

@noobi Der Tip von Nils ist gerechtfertigt. Kostet vielleicht 2k Euro, dann gibt's nen klaren Fahrplan ohne irreführende Sackgassen oder übertriebene Ausstattung.

[noobi 4]

Hallo Zusammen,

 

@Weingeist Vielen Dank für deinen sehr hilfreichen Beitrag! Aber natürlich auch alles anderen hier im Forum. Das war mein erstes Thema hier und ich bin begeistert von den vielen Beiträgen in der kurzen Zeit. Vielen Dank für eure Hilfe!

 

Wir werden nun folgendes System bestellen:

 

• AMD EPYC UP 7302P 16 Cores/32 Threads
• 128 GB RAM
• 2x 480GB SATA SSD für OS
• 4x 3840GB SATA SSD für VMs und Daten
• 10G Nic RJ45 2 Port
• 4 VMs
• 3x Windows Server 2019 Standard Lizenzen (Mir war anfangs nicht klar, dass entweder 1x phyisch oder 2x virtuell installiert werden darf)
• Backup der VMs mit Altaro VM Backup Unlimited Plus (Backup auf 2 örtlich getrennte QNAP NAS)
• 5 Jahre Vor Ort Service BRD 24h

 

[magheinz 110]

der Server klingt doch nett. bis auf den AMD, mit dem habe ich keine Erfahrung. Aber man hört viel gutes.

 

Zur Verfügbarkeit und "nur" 8 Leuten. Das eine hat mit dem anderne nix zu tun. Die Tatsache, das es sich um einen Handwerksbetrieb handelt ist da eher ausschlaggeben.

Ein Büro mit 8 Onlinebrokern hat sichelrich ganz andere Anforderungen, bei gleicher Nutzerzahl.

 

Leg dir noch jeweils eine Ersatz-SSD ins Regal. Es ist einfach b***d wenn die dann nicht verfügbar ist wenn du sie brauchst.

[Weingeist 159]

@noobi: Bis jetzt hatte ich den Mut für nen Epyc System nicht. Wäre aber genau die CPU die ich wählen würde. Wird sie auch für mein nächstes Test-System in der eigenen Umgebung welches ich in der Regel produktiv für die VDI verwende. Preis-Leistung ist unverschämt gut. (Chipsatz, CPU-Takt, RAM-Takt, anz. RAM-Channel, anz. PCI-Express-Lanes --> NVME-Discs). Im Netz liest man nichts Negatives über die 2. Serie. Bei Intel wäre meine Wahl entweder z.B. beim alten E5 16XX v3  (günstig) oder dann beim neuen W-3245. Letzteres ist aber bereits ziemlich teuer (inkl. Chipsatz).

 

Tipp bezüglich SSD:

- Tiefe average Latenz --> Wichtig im RAID-Betrieb! Sonst läuft der Krempel immer mit dem Speed des aktuell langsamsten Zugriffs! --> Die Spreu wird vom Weizen getrennt.

- Kondensator-Pufferung --> Wichtig bei SystemCrash/Stromausfall (Cache wird noch weggeschrieben). SSD's senden gerne/normal das Commit bevor effektiv weggeschrieben wurde. Write-Cache von RAID-Controllern wird mit SSD's normal ausgelassen

- mind. 3DWPD (drive writes per day) --> Je mehr desto besser, ab 3 sind sie in der Regel deutlich robuster, ab 10 kriegt man sie eigentlich nicht mehr kaputt im 0815 KMU-Betrieb, auch mit Dedupe nicht, da wirklich nur beste Chips verwendet werden und die Produktionsabläufe auch deutlich besser sind. Preis natürlich entsprechend.

--> Die 10er gibts leider so gut wie gar nicht als Option bei "kleinen" Server der grossen Hersteller. Und wenn dann zu völlig utopischen Preisen. DER Hauptgrund warum ich mittlerweile fast nur noch Supermicro-Barbones im Eigenbau kaufe sobald SSD's im Spiel sind. Fremdfabrikate (und wens nur die eigene Firmware bzw. der Herstellerflag darin ist) werden ja von den anderen aktiv "vergrault". (Musste noch kein einziges mal ne Intel 540er, X-25, DC3700 oder P4800X tauschen--> letztere noch wenig aussagekräftig, da noch wenig verbaut).
 

 

Bei den QNAP-NAS: Hier könnte man evtl. mit nem kleinen Zwischen-Switch für die separate LAN-Anbindung arbeiten welcher beim Backupjob eingeschaltet wird und danach wieder getrennt.

--> zwecks Ransomware-Schutz könnte eine z.Bsp. nur immer am Week-End aktiviert werden, die andere täglich.

 

Auch würde ich bei vielen File-Daten ein zweites Daten-Laufwerk auf dem Fileserver vorhalten welches auf einem NAS liegt. Einfach eine virtuelle Disc zusätzlich einbinden und ausser einem Dienstkonto/Dienstgruppe allen den Zugriff verwehren. Sync per Robocopy. Das Laufwerk deaktivieren, dann trennen. Besser noch anschliessend die LAN-Verbindung zur NAS kappen indem z.Bsp. die Stromversorung des Switches abgedreht wird. (Geht alles ziemlich easy mit Powershell). Entweder mit aktiviertem Dedupe und nem Fullbackup pro Datum (jeweils ein Ordner zbsp. mit Schema yyyy-mm-dd-TimeStamp) oder aber einfach eine Verzeichnis-Synchronisation. So muss im Fehlerfall bei wenig Zeit in der Regel erstmal nur die Systemdisc des Fileservers hochgezogen werden und die DFS-Ziele auf die vDisc welche auf dem NAS liegt umgebogen werden. So gewinnt man viel Zeit.

--> Stromverbindung kappen gibts PDU's mit Power-Funktion. Zbsp. mit diversen Protokollen von NetIO (PowerPDU)

 

 

@daabm: Stimmt, davon gehe ich (fälschlicherweise) eh immer aus. Irgend eine Form von externem Backup oder mindestens separater Brandabschnittt würde ich für den Desaster-Fall immer machen. Immer noch keine Garantie für Ransomware - das Zeug wird immer anpassungsfähiger - aber die Latte wird höher gesetzt.

Wegen Ransomware bin ich aktuell auch grad am überarbeiten meiner Standard-Vorgehensweise seit ja angeblich bereits ganze Veeam-Repositorys gelöscht wurden.

 

Aber selbst auf Cloud-Speicher sollte man sich nicht ausschliesslich verlassen. In der Firma eines Kollgen wurden z.Bsp. alle Cloud-Daten aufgrund eine Manipulationsfehlers der Mitarbeiter des Rechen-Zentrums gelöscht. Inkl. der Backups. Die Backups waren mehr Hardware-Snapshot-Syncs auf eine zweite SAN als ein richtiges Backup. (Eigentlich sind solche Syncs ja SEHR positiv zu sehen!). Diese wurden mit dem definitiven Löschflag versehen, ähnlich wie wenn man den Löschbefehl für aufgzeichneten Nutzerdaten gibt. Halt wie bei den grossen üblich, ein vollautomatisierter Vorgang. War dann komplett restlos alles unwiederbringbar weg. Jegliche (konkrete) Haftung wurde in den AGB's ausbedungen, er war also der Esel am Berg. So richtig. Gab zwar ein Kulanzangebot, aber die Daten waren futsch. Glücklicherweise hatte er wenigstens die unbezahlten Debitoren in Papierform sowie ne Kundenliste (alte Schule halt). Ebenso wichtige Aufzeichnungen. Der Anbieter war ein nahmhafter Grosskonzern den ich hier nicht nenne. Auch nicht per PN. Mittlerweile hat er seine Daten wieder lokal und sichert nur noch in die Cloud.

Klar diese Fälle sind vermutlich sehr selten, aber es gibt sie genau wie es die lokalen Verluste gibt. Nur werden diese garantiert allesamt unter den Teppich gekehrt mit einer entsprechenden Vereinbarung und Abfindung ;)

[noobi 4]

@Weingeist Wow, vielen Dank für deinen ausführlichen Beitrag. Wirklich klasse!

 

Deinem Tipp mit der Stromabschaltung werde ich auch mal nachgehen und das bei mir testen. Bis auf wenige Befehle habe ich um Powershell bisher noch einen großen Bogen gemacht. Muss mich hier aber auch mal hinsetzen und mich da tiefer einarbeiten.

 

Ja, Cloud Speicher ist wie gesagt sowieso unerwünscht hier, daher kein Thema. Schon Wahnsinn, was du da von deinem Kollegen schreibst...

[magheinz 110]

Die Idee mit dem switch ist ziemlich gut und die haben wir auch schon auf dem Schirm gehabt. Wenn möglich, würde ich den einfach an eine Zeitschaltuhr hängen. Sobald der vom potentiell dann angegriffenen Server gesteuert wird, solange ist der Schutz nur eingeschränkt vorhanden.

[Nobbyaushb 1.471]

vor 30 Minuten schrieb magheinz:

Die Idee mit dem switch ist ziemlich gut und die haben wir auch schon auf dem Schirm gehabt. Wenn möglich, würde ich den einfach an eine Zeitschaltuhr hängen. Sobald der vom potentiell dann angegriffenen Server gesteuert wird, solange ist der Schutz nur eingeschränkt vorhanden.

Ich fahre meinen Backup-Server nach dem letzten Backup herunter. hilft auch.
(derzeit nicht, da er folding rechnet)

[mwiederkehr 373]

Am 1.4.2020 um 22:17 schrieb Weingeist:

- mind. 3DWPD (drive writes per day) --> Je mehr desto besser, ab 3 sind sie in der Regel deutlich robuster, ab 10 kriegt man sie eigentlich nicht mehr kaputt im 0815 KMU-Betrieb, auch mit Dedupe nicht, da wirklich nur beste Chips verwendet werden und die Produktionsabläufe auch deutlich besser sind. Preis natürlich entsprechend.

Ich verwende für Standardserver die "Read Intensive" SSDs von HPE. Die haben offiziell 1 DWPD. Hatte noch nie einen Ausfall. Das gilt natürlich nicht für schreib-intensive Anwendungen. Bei meinen Kunden erzeugt das Windows Update wohl die höchste Schreiblast.

 

Bezüglich Schutz von Backups vor Malware: Der Backupserver muss (zumindest bei Veeam) nicht Mitglied der Domäne sein und von den Hosts aus auch nicht erreichbar. Veeam holt sich die Daten, die Hosts liefern sie nicht. Ich schränke den Zugriff auf den Backupserver gern ein: nur RDP und nur vom Admin-Netz.

 

Sichert man auf ein NAS, kann man dort ein Backup der Backupdaten konfigurieren. Und sei es nur ein Snapshot auf dem gleichen Volume, eine Malware kommt da nicht dran.

 

Wie Du eindrücklich geschildert hast, sind auch Daten in der Cloud nicht 100% sicher. Es ist aber unwahrscheinlich, dass man sich lokal Malware einfängt und gleichzeitig der Cloud-Provider einen Fehler macht.

 

Viele Cloud-Backup-Lösungen bieten mittlerweile einen Schutz gegen Malware. Bei Veeam Cloud Connect heisst das Feature "Insider Protection": gelöschte Backups werden damit für einen definierbaren Zeitraum nicht definitiv gelöscht, sondern sind nur noch für den Provider zugänglich. Bei Azure heisst das Feature "Immutable Storage" und man kann diverse Regeln festlegen, ob und wann etwas gelöscht oder überschrieben werden darf.

 

Welche Lösung man auch wählt, man sollte prüfen, ob sie für den Fall "Malware läuft als Domain-Admin in meiner Produktivumgebung" gerüstet ist.

[Weingeist 159]

DWPD: Nun, ich hatte da andere Erfahrungen gemacht und mich seither auf die minimal 3 DWPD beschränkt. Mir ist jede Disc die ich wechseln muss eine zu viel. Ich bin happy wenn ich so wenig wie möglich an die Systeme ran muss. Bei mir ist das aber auch schon einige Jahre her seit ich das letzte mal ne 1 DWPD verbaut habe, möglich das die Qualität hier generell auch besser wurde.

 

Wie genau die Angriffe auf die Veeam-Repositorys erfolgten, ist mir (noch) nicht bekannt. Keine Ahnung ob das Implementierungs-Fehler, Designfehler oder Bugs in der Backupsoftware waren. Muss ich mich auch erstmal schlau machen.

 

NAS: Da wäre ich mir nicht so sicher das die Daten da drauf gut geschützt sind. Die handelsüblichen 0815 NAS sind gespickt mit Sicherheitslöcher. Alleine schon aufgrund ihrer Funktionsvielfalt die weit über die Speicherbereitstellung hinausgeht. Sobald die mal auf dem Radar sind, wird es vermutlich für viele ungemütlich.