Virtualização de um AD e Exchange no mesmo servidor [fechado]

Navegue suas respostas
4

Eu sei que esta pergunta já foi feita há algum tempo.
Mas ainda não está claro para mim.

Por que não estou claro?
As pessoas sugerem às vezes que é preferível ter 1 DC em hardware físico. (Até mesmo a Microsoft diz isso). Também está previsto ter o Exchange Server e outros dados da empresa circulares nas mesmas máquinas físicas em diferentes VMs. Ouvi dizer que as pessoas ainda poderiam romper o sistema de convidados e comprometer todas as máquinas virtuais, é verdade?

Então, é bom virtualizar os all controladores de domínio?

Editar: tente fazer a minha pergunta mais no tópico.

Algo sobre mim e minha situação

Atualmente sou um desenvolvedor júnior e tento aprender um pouco mais sobre administração de sistemas, então ajudo pequenas empresas no meu tempo livre. Eu tento ajudá-los com sua infraestrutura, como planejar, administrar e configurar novos servidores / hardware. Uma de minha empresa me perguntou se é possível virtualizar os controladores de domínio.

Configuração

Sua configuração atual é de 3 servidores, onde cada servidor tem uma determinada função.
Funções dos 3 servidores:

  • DC e Exchange na mesma máquina
  • servidor de arquivos
  • TerminalServer para CRM e Office.

Uma unidade de fita faz backups dos 3 servidores.
Eles também têm 3 servidores que não estão conectados à energia, que atua como um substituto para os outros servidores, se um servidor falhar. Eu disse a eles que é um desperdício de dinheiro se esses servidores não forem usados até serem substituídos.

Então, eles trabalharam em um novo conceito de TI com uma nova empresa de TI.

Novo Conecpt

2 Servidores virtualizados com o Hyper-V em uma configuração ativa / passiva. Virtualize tudo:

  • DC
  • Trocar
  • servidor de arquivos
  • TerminalServer com CRM e Office

O conceito parece ser muito bom, mas eu tinha algo em mente que poderia haver alguns problemas com a virtualização de um Active Directory.

Por que estou preocupado

Cheguei a esta conclusão desde que experimentei o FreeIPA (algo como o Active Directory) na minha empresa local, uma vez que tentamos integrar alguns dispositivos Linux e procurando uma sincronização com o FreeIPA. Virtualizamos o FreeIPA no Hyper-V e no KVM e tivemos problemas enormes com o serviço de sincronização de horário, por isso também tivemos problemas com o login de nossos sistemas.

Eu também pesquisei toda a Internet e os sites relacionados à Microsoft sobre esse tópico específico, mas cada link diz que ainda é recomendável executar 1 DC em hardware físico.

Aqui está o artigo technet que me confundiu.

http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx

Maintain physical domain controllers in each of your domains. This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.

Quais riscos podem ocorrer?

Quais erros / exploits / o que quer que possa ocorrer em uma plataforma de virtualização?
E ainda, se tivermos 2 servidores virtualizados (que são o mesmo hardware, 2 servidores Dell R520), existe um grande risco de que o bug / exploit atinja os dois servidores?

Além disso, ainda fazemos backups para que possamos recuperar tudo, se conseguirmos um bug.
De qualquer forma, a empresa não tinha uma configuração redundante antes e eles disseram que não é sua maior preocupação. Eles não querem perder dados e não querem ter nenhum risco de segurança.

Eu já tenho uma boa resposta do MDMarra e ele resolve algo para mim.

Mas ainda assim ele disse que é mais uma questão de disponibilidade do que de segurança, mas quando a plataforma hyper-v tem uma falha catastrófica eu ainda perderia dados / teria uma falha de segurança. Talvez eu seja um pouco paranóico, mas quanto mais componentes forem lançados em algum hardware, mais riscos de segurança ocorrerão.

Talvez eu precise de mais respostas para resolver minhas perguntas corretamente, já que eu ainda não diria a nenhum cliente que é uma boa maneira de virtualizar tudo .

    
por Christian Schmitt 22.08.2013 / 14:28

2 respostas

8

A recomendação para ter um DC físico não é uma recomendação de segurança, é uma recomendação de disponibilidade. No caso de uma falha de hipervisor catastrófico (bug, exploração, o que seja) se a sua solução de virtualização estiver offline, você ainda deseja que pelo menos um DC fora desse ambiente forneça serviços de diretório.

É claro que é perfeitamente possível ser 100% virtual. Em vez de manter um host físico por perto, algumas pessoas terão um cluster de gerenciamento separado para que os DCs possam ser executados lá, bem como o cluster de dados de produção, que oferece alguma diversidade. Se uma organização faz algo como o vSphere em produção e o Hyper-V em DR, eles podem manter um DC quente no DR e ter diversidade de plataforma dessa maneira. A linha do MS Party ainda é manter um DC físico, mas há outras maneiras de atingir o espírito dessa recomendação e ser 100% virtual.

    
por 22.08.2013 / 14:35
3

Originalmente, acho que essa recomendação veio dos problemas que os hipervisores tinham com o tempo preciso (necessário para o AD para a autenticação do Kerberos). Também é fácil acabar com um único ponto de falha não intencional (o host físico, a SAN) se você estiver em um ambiente de tamanho médio.

Agora, acho que a maior preocupação é o que você fará se não conseguir acessar o vCenter

    
por 22.08.2013 / 22:31

Tags

Como alterar o dispositivo de inicialização em vm instalado no Citrix Xen Server para DVD verificar quais pacotes de 32 bits estão instalados em um servidor de 64 bits