15
Sollte ein Domaincontroller nicht auch gleichzeitig der Fileserver sein ?
Hallo, ich habe die undankbare Aufgabe, im Unternehmen die Infrastruktur zu erneuern.
Wir haben noch einen alten DC, der mit Windows 2003 läuft (Klar, dass muss weg )
Wir haben daneben einen recht guten Fileserver, der auch schon mit Windows Server 2008 R2 betrieben wird.
In der Vergangenheit wurde der DC leider nur benutzt, um nicht Domain-User auszuschliessen.
Ich würde das ganze gern so umstellen, dass der DC mehr macht,da er ja eigentlich dafür da ist.
Nehme wir also an, ich schmeisse den alten DC weg und richte auf dem aktuellen Fileserver einen neuen DC ein. Die Files bleiben natürlich auch drauf.
DC bedeutet ja, dass er auch gleich DHCP und DNS macht.
Ich hätte dann also einen Server für alles Domeincontroller, Freigaben DHCP und DNS .
Meine Frage kann das zu Problemen kommen, sollte ich die Freigaben doch besser wo anders realisieren ?
Wir haben noch einen alten DC, der mit Windows 2003 läuft (Klar, dass muss weg )
Wir haben daneben einen recht guten Fileserver, der auch schon mit Windows Server 2008 R2 betrieben wird.
In der Vergangenheit wurde der DC leider nur benutzt, um nicht Domain-User auszuschliessen.
Ich würde das ganze gern so umstellen, dass der DC mehr macht,da er ja eigentlich dafür da ist.
Nehme wir also an, ich schmeisse den alten DC weg und richte auf dem aktuellen Fileserver einen neuen DC ein. Die Files bleiben natürlich auch drauf.
DC bedeutet ja, dass er auch gleich DHCP und DNS macht.
Ich hätte dann also einen Server für alles Domeincontroller, Freigaben DHCP und DNS .
Meine Frage kann das zu Problemen kommen, sollte ich die Freigaben doch besser wo anders realisieren ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 283685
Url: https://administrator.de/contentid/283685
Printed on: April 26, 2024 at 11:04 o'clock
15 Comments
Latest comment
Klar kann es Probleme geben, muss es aber nicht ;)
Ich würde mir aber vermutlich lieber einen ws2k12 mit zwei vm's hinstellen, einmal dc, einmal fs.
Ich würde mir aber vermutlich lieber einen ws2k12 mit zwei vm's hinstellen, einmal dc, einmal fs.
dass der DC mehr macht,da er ja eigentlich dafür da ist.
Hallo,
das ist falsch! Ein MS Domänenkontroller ist ein Domänenkontroler und sonst nichts! Nur DNS und DHCP haben noch etwas darauf zu suchen.
Ein DC hat neben der Systempartition noch eine Partition für die Domänen-Datenbank und eine für die Log-Dateien. Aus Sicherheitsgründen wird die Cache-Funktion für diese HDDs deaktiviert. (Ob das heute auch noch so ist, bin ich mir nicht ganz sicher, bis 2003 war es aber noch so).
Das ist für einen File-Server aber aus Performance-Gründen äußerst ungünstig.
Jürgen
PS: MS emphiehlt ebenfalls die ausschließliche Nutzung eines DCs als DC.
In der Vergangenheit wurde der DC leider nur benutzt, um nicht Domain-User auszuschliessen.
Hä?Ich würde das ganze gern so umstellen, dass der DC mehr macht,da er ja eigentlich dafür da ist.
Und was?Nehme wir also an, ich schmeisse den alten DC weg und richte auf dem aktuellen Fileserver einen neuen DC ein. Die Files bleiben natürlich auch drauf.
Dann verlierst Du alle Benutzer und Gruppen und damitr auch die Zugriffsberechtigungen.DC bedeutet ja, dass er auch gleich DHCP und DNS macht.
Nein, ist Quatsch. Kann man machen, ja. Aber das Eine impliziert nicht das Andere.Ich hätte dann also einen Server für alles Domeincontroller, Freigaben DHCP und DNS .
Kann man machen.- Wie groß ist Eure Firma? Wieviel User & Computer. Nur 1 DC ist da möglicherweise eh ein Risiko.
- Mach zuerst den anderen Server zu einem weiteren DC der bestehenden Domäne. Dann erst kannst Du den alten demoten (zum Nicht-DC machen). Der neue DC übernimmt dann alle AD-Aufgaben.
- Wenn der alte DC auch DNS ist, und die Zonen im AD integriert sind, dann übertrage alles auf den neuen, bevor Du den alten zum Member demotest. Und stelle die DNS-Clients um oder übernimm die IP-Adresse.
- Wenn der alte DC auch DHCP ist, dann musst Du das auch übertragen.
- wenn Du mir hier inhaltlich nicht folgen kannst, dann rate ich Dir - mit Verlaub - lass das von jemanden machen, der das kann. z.B. ein Externer.
Meine Frage kann das zu Problemen kommen, sollte ich die Freigaben doch besser wo anders realisieren ?
Ich persönlich trenne DC und Fileserver rigoros.E.
2
Hallo,
ein DC sollte generell keine anderen Aufgaben bekommen.
(Vielleicht noch DNS und DHCP)
Du kannst evtl noch zum Kosten sparen den Fileserver zum zweiten DomänenController machen (früher als BC bekannt) aber einen zweiten solltest Du auf alle Fälle haben. Wenn Dir der erste ausfällt, und dabei die AD-Datenbank zerschießt (ist keine Seltenheit), dann viel Spass beim neu aufsetzen des AD.
Aber haben ja alles auch schon meine Vorredner gesagt
ein DC sollte generell keine anderen Aufgaben bekommen.
(Vielleicht noch DNS und DHCP)
Du kannst evtl noch zum Kosten sparen den Fileserver zum zweiten DomänenController machen (früher als BC bekannt) aber einen zweiten solltest Du auf alle Fälle haben. Wenn Dir der erste ausfällt, und dabei die AD-Datenbank zerschießt (ist keine Seltenheit), dann viel Spass beim neu aufsetzen des AD.
Aber haben ja alles auch schon meine Vorredner gesagt
@emeriks
Zu eins, damit meine ich, das jeder in der Domian auf alles Zugriff hat.
Zu zwei, ich dachte daran, dass es ja durchaus möglich ist Arbeitsplätze über die dazugehörigen Scripts einzurichten. (sowas gibts hier bis dato nicht)
Zu drei - vier, ahh okay, DANKE für die Info.
Antworten auf deine Fragen:
1: unsere Firma umfasst etwa 80 Mitarbeiter.
2: Ja, dass würde ich sowieso. Ich will halt nur natürlich vorher klar haben was mit den Files passiert.
3: der alte DC macht DNS. Ja, ich hätte die vorhanden Einstellungen natürlich importiert.
4: Nein leider ist der alte DC nicht der DHCP Server. Aus mir unbekannten gründen macht das aktuell die FW, die wir selber nicht managen. Hier kann ich allerdings auch ein Backup der Einstellungen bekommen (ich bin da bereits im Gespräch)
5: ich kann dir durchaus Folgen.
Mal eine Frage am Rande, nehmen wir mal an, man macht den alten DC zum FileServer. Der alte DC hat leider nur 3 GB Ram. Wieviel sollte er denn haben wenn er nur Files Speichert?
Zu eins, damit meine ich, das jeder in der Domian auf alles Zugriff hat.
Zu zwei, ich dachte daran, dass es ja durchaus möglich ist Arbeitsplätze über die dazugehörigen Scripts einzurichten. (sowas gibts hier bis dato nicht)
Zu drei - vier, ahh okay, DANKE für die Info.
Antworten auf deine Fragen:
1: unsere Firma umfasst etwa 80 Mitarbeiter.
2: Ja, dass würde ich sowieso. Ich will halt nur natürlich vorher klar haben was mit den Files passiert.
3: der alte DC macht DNS. Ja, ich hätte die vorhanden Einstellungen natürlich importiert.
4: Nein leider ist der alte DC nicht der DHCP Server. Aus mir unbekannten gründen macht das aktuell die FW, die wir selber nicht managen. Hier kann ich allerdings auch ein Backup der Einstellungen bekommen (ich bin da bereits im Gespräch)
5: ich kann dir durchaus Folgen.
Mal eine Frage am Rande, nehmen wir mal an, man macht den alten DC zum FileServer. Der alte DC hat leider nur 3 GB Ram. Wieviel sollte er denn haben wenn er nur Files Speichert?
Hallo,
das macht nicht richtig Sinn. Wenn es hardwaretechnisch ein 32bit-System ist, wäre bei 4GB sowieso Schluß (Maximal 3,5GB ist davon nutzbar). (Es sei denn, es ist ein "richtiger" Server mit Speichererweiterungsfunktion. Aber auch das ist in heutiger Zeit unsinnig)
Eventuell wäre die Nutzung der Hardware als (Eigenbau-) NAS denkbar (zB. FreeNAS). Aber auch da geht die Tendenz zu 64bit-Systemen.
Grundsätzlich ist es so, dass der freie RAM in einem File-Server zum Cachen der Daten genutzt werden soll. Daraus folgt, dass viel RAM einen File-Server "schneller" macht. Bei einem 64bit-System sollten es schon 4 - 8GB sein.
Die Anforderungen an einen DC sind dagegen gering. Wenn der "alte" DC ein 64bit-System ist, lohnt hier vielleicht die Aufrüstung auf 4 - 8GB RAM und die Weiternutzung als (zweiter)DC unter Win2k8 oder Win2k12 (64bit). Das hängt gegebenenfalls auch von der Verfügbarkeit von Treibern für die aktuellen Server-BS ab.
Die Zusammenlegung von AD, DNS und DHCP auf einem Windows-Server macht schon wegen der AD-Integration von DNS und der automatischen Übernahme von DHCP-Zuweisungen ins DNS Sinn. Also DHCP auch auf den neuen AD-Kontroller und auf der FW deaktivieren.
Ein NAS als File-Server-Ersatz wäre auch Grundsätzlich eine Überlegung wert (egal ob Eigenbau oder handelsüblich). AD-Integration ist in der Regel gegeben.
Jürgen
das macht nicht richtig Sinn. Wenn es hardwaretechnisch ein 32bit-System ist, wäre bei 4GB sowieso Schluß (Maximal 3,5GB ist davon nutzbar). (Es sei denn, es ist ein "richtiger" Server mit Speichererweiterungsfunktion. Aber auch das ist in heutiger Zeit unsinnig)
Eventuell wäre die Nutzung der Hardware als (Eigenbau-) NAS denkbar (zB. FreeNAS). Aber auch da geht die Tendenz zu 64bit-Systemen.
Grundsätzlich ist es so, dass der freie RAM in einem File-Server zum Cachen der Daten genutzt werden soll. Daraus folgt, dass viel RAM einen File-Server "schneller" macht. Bei einem 64bit-System sollten es schon 4 - 8GB sein.
Die Anforderungen an einen DC sind dagegen gering. Wenn der "alte" DC ein 64bit-System ist, lohnt hier vielleicht die Aufrüstung auf 4 - 8GB RAM und die Weiternutzung als (zweiter)DC unter Win2k8 oder Win2k12 (64bit). Das hängt gegebenenfalls auch von der Verfügbarkeit von Treibern für die aktuellen Server-BS ab.
Die Zusammenlegung von AD, DNS und DHCP auf einem Windows-Server macht schon wegen der AD-Integration von DNS und der automatischen Übernahme von DHCP-Zuweisungen ins DNS Sinn. Also DHCP auch auf den neuen AD-Kontroller und auf der FW deaktivieren.
Ein NAS als File-Server-Ersatz wäre auch Grundsätzlich eine Überlegung wert (egal ob Eigenbau oder handelsüblich). AD-Integration ist in der Regel gegeben.
Jürgen
Die Zusammenlegung von AD, DNS und DHCP auf einem Windows-Server macht schon wegen der AD-Integration von DNS und der automatischen Übernahme von DHCP-Zuweisungen ins DNS Sinn. Also DHCP auch auf den neuen AD-Kontroller und auf der FW deaktivieren.
Man muss das schon vollständig in Zusammenhang bringen.Ja, wenn ein DC auch DHCP-Server ist, dann kann er - ohne weitere Berechtings-Konfiguration - auch die Records im DNS aktualsieren, wenn
- er auch DNS-Server ist und die betreffenden DNS-Zonen bereitstellt
- die Aktualsierung der DNS-Records aktiviert ist
- und er sich selbst als ersten DNS-Server eingetragen hat
Es kann aber auch ein Member-Server DHCP-Server sein und trotzdem die DNS-Records aktualsieren können. Dazu muss der Member-Server
- Mitglied der Gruppe "DnsUpdateProxy" sein
- die Aktualsierung der DNS-Records aktiviert ist
- er den DNS-Server, welcher die betreffenden Zonen bereitstellt, als ersten DNS-Server eingetragen haben
5: ich kann dir durchaus Folgen.
OK.Den Dateien passiert erstmal gar nichts, wenn Du den FS zum weiteren DC der Domäne machst.
ABER
Anschließend gibt es die Gruppe lokale Gruppe "Administratoren" und den lokalen Benutzer "Administrator" nicht mehr. Beim Promoten wird die lokale SAM-DB verworfen und der FS übernimmt als DC die SAM-DB der Domäne. Das hat zur Folge, das u.U. der Zugriff auf Dateien und Ordner verloren gehen kann, wenn dort die lokalen Administratoren oder der lokale Administrator als einzige Berechtigungen oder als einzige Vollzugriff hatten. Deshalb würde ich das zuvor prüfen und falls es zutrifft, diese ACE mit gleichwertigen für Domänen-Konten ersetzen. z.B. mit "subinacl".
- In der Domäne einen Fileserveradmin anlegen, z.B. "FSadmin"
- dann z.B. mit subinacl die ACL's bearbeiten und die betreffenden ACE's ersetzen: VORDEFINIERT\Administratoren --> DOMÄNE\FSadmin
Zitat von @chiefteddy:
das ist falsch! Ein MS Domänenkontroller ist ein Domänenkontroler und sonst nichts! Nur DNS und DHCP haben noch etwas darauf zu suchen.
das ist falsch! Ein MS Domänenkontroller ist ein Domänenkontroler und sonst nichts! Nur DNS und DHCP haben noch etwas darauf zu suchen.
Auch das ist falsch. Die richtige Antwort ist. es kommt drauf an:
Je nach Andwendungsfall kann es sinnvoll und wirtschaftlich sein, da mehr drauf laufen zu lassen oder gar nichts anderes, nicht einmal DNS udnDHCP.
Um zu beurteilen, ob das sinnvoll ist oder nicht, da noch Files-Services drauf laufen zu lassen, sollte man zumindest wissen, wieviele Cleints da drauf zugreifen sollen udn welche Last diese erzeugen.
lks
Hallo @Lochkartenstanzer,
natürlich hast Du Recht. Aber dann kannst Du jede Frage mit "das kommt darauf an" beantworten! Und das hilft keinem weiter.
Wenn Du am "grünen Tisch" nach MS-Vorgaben (so wie es in den Zertifizierungskursen geschult wird) ein AD-Netzwerk planst, gibt es einen DC mit DNS und DHCP; einen 2. DC mit DNS und dann einen File-Server, einen Exchange-Server usw.
Das hat durchaus objektive Gründe, und die sind von MS auch publiziert.
Natürlich kann man von diesen Vorgaben abweichen. Doch dann sollte man sehr genau wissen, was man tut und welche Konsequenzen das hat. Und was man bei der Konfiguration dann alles beachten muß.
Auf ein Problem bezüglich der Platten-Performance bzw. des Schutzes vor Datenverlust in der AD-Datenbank habe ich oben schon erwähnt.
Und wie ich ebenfalls oben schon geschrieben habe, muß der DC nicht der beste und leistungsstärkste Server im System sein. Viel wichtiger ist, dass er sich auf sein Aufgabe "konzentrieren" kann und stabil läuft. Und das bekommt man eben am besten hin, wenn der DC eben nur DC, DNS und DHCP ist/macht. Jedes weitere Programm/ Dienst, jeder zusätzliche Zugriff und Datenverkehr macht den DC - das "Herzstück" des Netzwerkes - potenziell instabiler und unsicherer.
Jürgen
natürlich hast Du Recht. Aber dann kannst Du jede Frage mit "das kommt darauf an" beantworten! Und das hilft keinem weiter.
Wenn Du am "grünen Tisch" nach MS-Vorgaben (so wie es in den Zertifizierungskursen geschult wird) ein AD-Netzwerk planst, gibt es einen DC mit DNS und DHCP; einen 2. DC mit DNS und dann einen File-Server, einen Exchange-Server usw.
Das hat durchaus objektive Gründe, und die sind von MS auch publiziert.
Natürlich kann man von diesen Vorgaben abweichen. Doch dann sollte man sehr genau wissen, was man tut und welche Konsequenzen das hat. Und was man bei der Konfiguration dann alles beachten muß.
Auf ein Problem bezüglich der Platten-Performance bzw. des Schutzes vor Datenverlust in der AD-Datenbank habe ich oben schon erwähnt.
Und wie ich ebenfalls oben schon geschrieben habe, muß der DC nicht der beste und leistungsstärkste Server im System sein. Viel wichtiger ist, dass er sich auf sein Aufgabe "konzentrieren" kann und stabil läuft. Und das bekommt man eben am besten hin, wenn der DC eben nur DC, DNS und DHCP ist/macht. Jedes weitere Programm/ Dienst, jeder zusätzliche Zugriff und Datenverkehr macht den DC - das "Herzstück" des Netzwerkes - potenziell instabiler und unsicherer.
Jürgen
Zitat von @chiefteddy:
Hallo @Lochkartenstanzer,
natürlich hast Du Recht. Aber dann kannst Du jede Frage mit "das kommt darauf an" beantworten! Und das hilft keinem weiter.
Hallo @Lochkartenstanzer,
natürlich hast Du Recht. Aber dann kannst Du jede Frage mit "das kommt darauf an" beantworten! Und das hilft keinem weiter.
deswegen solte die erste fage sein,. Wieil user sind drauf und was für traffic verursachen die. Dann kann man sofort anschätzen, ob man das in Erwägugn zieht oder nicht.
lks
Hallo,
das ändert aber nichts daran, das bei der HDD, auf der die AD-Datenbank liegt, der Cache deaktiviert wird. Das ist bei einem File-Server äußerst kontraproduktiv. Egal ob 10, 100 oder 1000 User.
Das heißt, es müßte in den vorhandenen File-Server eine weitere HDD (sinnvoller weise ein RAID1) nur für die AD-Datenbank und die Logs nachgerüstet werden.
Und nach der Installation des AD müßte man überprüfen, ob auf dem Daten-RAID der Cache noch aktiv ist.
Soviel zu "man sollte wissen, was man tut".
Jürgen
das ändert aber nichts daran, das bei der HDD, auf der die AD-Datenbank liegt, der Cache deaktiviert wird. Das ist bei einem File-Server äußerst kontraproduktiv. Egal ob 10, 100 oder 1000 User.
Das heißt, es müßte in den vorhandenen File-Server eine weitere HDD (sinnvoller weise ein RAID1) nur für die AD-Datenbank und die Logs nachgerüstet werden.
Und nach der Installation des AD müßte man überprüfen, ob auf dem Daten-RAID der Cache noch aktiv ist.
Soviel zu "man sollte wissen, was man tut".
Jürgen
hallo jürgen, hallo @all
klar ist der cache auf der 2ten hdd aktiv.. warum auch nicht ? ob der raid cache aktiv ist, ist eher eine frage des raid controllers & ob er cache hat, und eine bbu...
wenn du am "grünen Tisch" nach MS-Vorgaben ganz genau zugehört hättest, würdest du auch wissen, das du sehr wohl mit der richtigen hardware, also usv, raidcontroller mit bbu etc... die partition mit der ad-datenbank mit cache rennen lassen kannst!
oder denk mal an virtualisierung.. da rennt der dc auch mit cache... das ganze sollte natürlich nur mit cert. hardware laufen.
ob ein dc grundsätzlich auch file server sein soll- tja das ist so eine sache...
a. türlich geht das... fast jedes praxis netzwerk bis ca. 20 user- besteht aus der kombi dc und fileserver bzw. db server.
die hersteller medistar, docexp. und dampsoft ist da gaaaaanz weit vorne- gut dampsoft ist für zahnärzte- die können sich eh nur einen sever leisten ( die armen) mit dem richtigen server geht das- kein problem.
b. der TO schreibt das ca. 80 user auf den file server zugreifen, da würde ich dann eher davon abraten. wir wissen ja auch nicht was die user so machen- ist ja nen unterschied ob 80 user eine .doc datei speichen, eine pdf öffnen- oder videos speichen, cad dateien..oder andere io lastige tätigkeiten.
@lks voll recht, mit seiner frage- was für traffic wird erzeugt!
c. die nächste frage wäre ja wohl- was für server hardware genutzt wird- bei 80 usern wird das wohl kein xeon E3 sein...
lg
frank
klar ist der cache auf der 2ten hdd aktiv.. warum auch nicht ? ob der raid cache aktiv ist, ist eher eine frage des raid controllers & ob er cache hat, und eine bbu...
wenn du am "grünen Tisch" nach MS-Vorgaben ganz genau zugehört hättest, würdest du auch wissen, das du sehr wohl mit der richtigen hardware, also usv, raidcontroller mit bbu etc... die partition mit der ad-datenbank mit cache rennen lassen kannst!
oder denk mal an virtualisierung.. da rennt der dc auch mit cache... das ganze sollte natürlich nur mit cert. hardware laufen.
ob ein dc grundsätzlich auch file server sein soll- tja das ist so eine sache...
a. türlich geht das... fast jedes praxis netzwerk bis ca. 20 user- besteht aus der kombi dc und fileserver bzw. db server.
die hersteller medistar, docexp. und dampsoft ist da gaaaaanz weit vorne- gut dampsoft ist für zahnärzte- die können sich eh nur einen sever leisten
( die armen) mit dem richtigen server geht das- kein problem.b. der TO schreibt das ca. 80 user auf den file server zugreifen, da würde ich dann eher davon abraten. wir wissen ja auch nicht was die user so machen- ist ja nen unterschied ob 80 user eine .doc datei speichen, eine pdf öffnen- oder videos speichen, cad dateien..oder andere io lastige tätigkeiten.
@lks voll recht, mit seiner frage- was für traffic wird erzeugt!
c. die nächste frage wäre ja wohl- was für server hardware genutzt wird- bei 80 usern wird das wohl kein xeon E3 sein...
lg
frank
Hallo @Vision2015,
ich stimme Dir in allen Punkten zu. Meine "grundlegende" Schulung für MS-Produkte ist schon einige Zeit her und erfolgte auf Basis von Win2k3. Und da war es so, das die Installationsroutiene beim Einrichten des DC den Festplattencache aus Sicherheitsgründen (Datenverlust beim Schreiben auf die HDD bei Stromausfall) deaktivierte (das habe ich oben ja auch geschrieben). Natürlich konnte man das nachträglich wieder ändern. Die Logik von MS dahinter ist ja nachvollziehbar und durchaus richtig. Das man mit USV und batteriegestütztem Cache auf dem RAID-Kontroller auch anders die Datenintegrität der AD-Datenbank sichern kann, ist ja unbestritten.
Wenn das bei den aktuellen Server-Versionen von MS heute anders ist - ich lerne immer gerne dazu.
Ich habe das ganze ja auch nur als Bsp. dafür herangezogen, dass es gute Gründe gibt, die Empfehlungen des Herstellers zu beachten. Und wenn man davon abweicht, sollte man schon genau wissen , was man tut. (Und ohne dem Fragesteller zu nahe treten zu wollen, mit seine Frage machte er nicht diesen Eindruck. Aber dafür ist dieses Forum ja da)
Jürgen
PS: Und diese "eierlegende Wollmilchsau" Small Business Server von MS war mir schon immer suspekt.
PPS: In der heutigen Zeit mit dem Trend zur Virtualisierung ist es ja nun auch kein nicht lösbares (finanzielles und technisches) Problem, die Dienste wieder auf mehere (virtuelle) Server zu verteilen und damit die Möglichkeit zu haben, jedem Dienst seine optimale Umgebung zu bieten.
ich stimme Dir in allen Punkten zu. Meine "grundlegende" Schulung für MS-Produkte ist schon einige Zeit her und erfolgte auf Basis von Win2k3. Und da war es so, das die Installationsroutiene beim Einrichten des DC den Festplattencache aus Sicherheitsgründen (Datenverlust beim Schreiben auf die HDD bei Stromausfall) deaktivierte (das habe ich oben ja auch geschrieben). Natürlich konnte man das nachträglich wieder ändern. Die Logik von MS dahinter ist ja nachvollziehbar und durchaus richtig. Das man mit USV und batteriegestütztem Cache auf dem RAID-Kontroller auch anders die Datenintegrität der AD-Datenbank sichern kann, ist ja unbestritten.
Wenn das bei den aktuellen Server-Versionen von MS heute anders ist - ich lerne immer gerne dazu.
Ich habe das ganze ja auch nur als Bsp. dafür herangezogen, dass es gute Gründe gibt, die Empfehlungen des Herstellers zu beachten. Und wenn man davon abweicht, sollte man schon genau wissen , was man tut. (Und ohne dem Fragesteller zu nahe treten zu wollen, mit seine Frage machte er nicht diesen Eindruck. Aber dafür ist dieses Forum ja da)
Jürgen
PS: Und diese "eierlegende Wollmilchsau" Small Business Server von MS war mir schon immer suspekt.
PPS: In der heutigen Zeit mit dem Trend zur Virtualisierung ist es ja nun auch kein nicht lösbares (finanzielles und technisches) Problem, die Dienste wieder auf mehere (virtuelle) Server zu verteilen und damit die Möglichkeit zu haben, jedem Dienst seine optimale Umgebung zu bieten.
So würde ich es lösen:
2 physikalische Server, mind. 32GB RAM, besser 64GB (oder mehr, falls ihr entsprechend viele Server habt), erweiterbar, und ausreichend Rechenleistung.
Darauf Hyper-V 2012R2. Falls ihr mehr als 5-6 Server insgesamt habt, würde ich anstelle der kostenlosen Hyper-V-Version die Datacenter nehmen, die ist dann günstiger, weil alle Microsoft-VMs damit bereits mit lizensiert sind.
Daraus ein Kluster machen für die Ausfallsicherheit.
Für den Speicher wiederrum würde ich für "kleinere" Unternehmen wie ihr es seid zu Synology gehen. 2 mal das gleiche Modell je nach euren Anforderungen. Weitere Features der Synology könntet ihr ggf. einfach mitbenutzen.
Die Synology-NAS würde ich entsprechend dimensionieren, dass Kapazität und Durchsatz für Fileserver + alle anderen Server via iSCSI ausreichen und Platz nach oben bleibt.
Ob ihr dem Microsoft-Best-Practice folgt und als einzelne zusätzliche dritte Maschine einen alten physikalischen Server als zusätzlichen DC nehmt - kostet halt eine weitere Lizenz...
Auf Microsofts SCVMM würde ich definitiv verzichten.
Für Backups würde ich wohl zu Altaro greifen, da deutlich günstiger als Konkurrenzprodukte, der Grundumfang ist aber gleich und alles Weitere braucht man eher nicht.
Unbedingt ändern müsst ihr die Berechtigungen auf Datei/Ordnerebene. Ihr dürft nicht allen alles zugänglich machen. Das darf kein Wirtschaftsprüfer sehen, sonst knallts richtig!!! Habt ihr keinen IT-Sicherheitsbeauftragten?
2 physikalische Server, mind. 32GB RAM, besser 64GB (oder mehr, falls ihr entsprechend viele Server habt), erweiterbar, und ausreichend Rechenleistung.
Darauf Hyper-V 2012R2. Falls ihr mehr als 5-6 Server insgesamt habt, würde ich anstelle der kostenlosen Hyper-V-Version die Datacenter nehmen, die ist dann günstiger, weil alle Microsoft-VMs damit bereits mit lizensiert sind.
Daraus ein Kluster machen für die Ausfallsicherheit.
Für den Speicher wiederrum würde ich für "kleinere" Unternehmen wie ihr es seid zu Synology gehen. 2 mal das gleiche Modell je nach euren Anforderungen. Weitere Features der Synology könntet ihr ggf. einfach mitbenutzen.
Die Synology-NAS würde ich entsprechend dimensionieren, dass Kapazität und Durchsatz für Fileserver + alle anderen Server via iSCSI ausreichen und Platz nach oben bleibt.
Ob ihr dem Microsoft-Best-Practice folgt und als einzelne zusätzliche dritte Maschine einen alten physikalischen Server als zusätzlichen DC nehmt - kostet halt eine weitere Lizenz...
Auf Microsofts SCVMM würde ich definitiv verzichten.
Für Backups würde ich wohl zu Altaro greifen, da deutlich günstiger als Konkurrenzprodukte, der Grundumfang ist aber gleich und alles Weitere braucht man eher nicht.
Unbedingt ändern müsst ihr die Berechtigungen auf Datei/Ordnerebene. Ihr dürft nicht allen alles zugänglich machen. Das darf kein Wirtschaftsprüfer sehen, sonst knallts richtig!!! Habt ihr keinen IT-Sicherheitsbeauftragten?