400 gebruikers 2DC's? (2003)

Los je problemen op en laat ze beiden aanwezig. Dat lijkt me veruit het beste advies.

Wat wil je doen als je over een tijdje 'problemen' hebt met de enige overgebleven domain controller, die ook wegdoen?

Welkom op GoT; ik mis wat info van je zoals beschreven in het topic: Voordat je toevlucht zoekt op GoT en een topic opent

Oftewel; misschien wil je dat topic eerst even doorlezen en dan je vraagstelling aanvullen met de punten die nu ontbreken. Dat werkt voor jou en voor ons aanzienlijk makkelijker om een duidelijk beeld te krijgen van je vraag en hoeven we minder te gokken om een oplossing te vinden.

Ik zie trouwens niet een duidelijk argument om je 2e DC op te doeken. Er is namelijk een enorm groot verschil tussen redundant uitvoeren en 2 machines die met elkaar sychroniseren en/of load-balanced door de omgeving worden aangesproken.

Bij gebrek aan een duidelijke netwerk-tekening van je (en een tekort aan technische info welke services hoe worden aangesproken), kan het antwoord net zo goed zijn dat je een 3e DC moet inrichten.

Op het moment dat je 400 Users tegelijkertijd inloggen loopt je netwerk dicht? Lijkt mij in elk geval best voor de hand liggend probleem.
Zeker op een server lijkt me dit, om over de bandbreedte op je netwerk maar niet te spreken, is dit een gigabit lijn?

Verwijderd schreef op vrijdag 03 oktober 2008 @ 17:09:
[...]


Grapjas
Het "probleem" is dat de ene server 99% uit de neus staat te eten en de andere alles doet.
De vraag is of het NODIG is om twee DC's te gebruiken.

Waarom bel je niet het bedrijf dat het 2 jaar geleden heeft ingericht?

Blijft de vraag staan: welke services heeft DC1 en welke services heeft DC2? Zijn die 100% hetzelfde of is de een bijvoorbeld verantwoordelijk voor een frontend-DHCP-scope en de ander voor een backend-DHCP-scope?

Er zijn meerdere whitepapers bij Microsoft te vinden die je door kan lezen want tot op heden krijg ik het gevoel dat elk antwoord wat we hier geven, toch niet goed is want je hebt je zinnen al enigszins gezet om de 2e DC eruit te trappen...

[ Voor 17% gewijzigd door MAX3400 op 03-10-2008 17:13 ]

Verwijderd schreef op vrijdag 03 oktober 2008 @ 17:09:
[...]


Grapjas
Het "probleem" is dat de ene server 99% uit de neus staat te eten en de andere alles doet.
De vraag is of het NODIG is om twee DC's te gebruiken.

Grapjas? Ik zit al tien jaar in het vak en probeer je te helpen met je vraag.

Als het antwoord niet duidelijk genoeg is dan kan dat misschien aan je vraagstelling liggen, maar goed, ik zal het toelichten:

In je startpost geef je aan dat:

Nu 1 van de 2 DC's problemen geeft

Mijn advies is om die problemen op te lossen en de server in het netwerk te houden. Wat het probleem is dat weet ik niet, dat vertel je niet.

De reden dat je 2 dc's wilt hebben is dat ze de slagader van je netwerk zijn. Als je maar 1 dc hebt en je na een update opeens een BSOD hebt of je schijf is volgelopen of wat dan ook maar, dan staan de gebruikers en je baas aan je bureau omdat ze niets meer kunnen. Dat is de reden waarom je meerdere DC's wilt hebben.

Load balancing kan ook een reden zijn, maar zoals je zelf al aangeeft is de belasting maar zeer laag. En dat is ook normaal in een netwerk met 400 gebruikers.

Waarom denk je zelf dat het best practice is om meerdere DC's te plaatsen?

Verwijderd schreef op vrijdag 03 oktober 2008 @ 17:20:
[...]Ik wil dus gewoon wat advies

Geen probleem dat je advies wil maar zoals ik eerder zei; Microsoft heeft daar mooie whitepapers voor en Tweakers is er niet om die voor je te herhalen.

En dan even op een ander vlak; Jazzy en ik zitten inderdaad al zeer lange tijd in dit vak en proberen nu dus te achterhalen wat de beide DC's doen, waarom ze daar staan en (wat Jazzy zegt) waarom de ene nu problemen geeft.

Maar je kan in ieder geval 1 overweging vast overdenken: zet DC2 uit en wat kunnen de users dan nog als DC1 ook overlijdt (hetzij door software of hardware fouten)?

Er bestaat inrichtingstechnisch of qua infrastructuur niet iets als "Microsoft policy". Een policy is beleid en heeft niets te maken met infrasctructurele overwegingen. Het enige dat MS kent net als andere bedrijven is ''best practice'' ofwel aanbevolen configuraties en infra volgens geldende praktijk richtlijnen en situaties.
Ik zou je adviseren, gezien het kennisniveau, er uberhaupt niet aan te komen het te laten oplossen door een dienstverlener, SPAM DOEN WE HIER NIET, hoe goed het ook bedoeld is

[ Voor 6% gewijzigd door sanfranjake op 03-10-2008 17:32 ]

Ik ben het met hierboven wel eens. Ik zou het alleen door een andere dienstverlener dan de aanlegger laten doen. Want als ze je niet kunnen beargumenteren wat je waarvoor waarin hebt geinvesteerd lijkt me dat niet helemaal de juiste partij

Verwijderd schreef op vrijdag 03 oktober 2008 @ 17:09:
Het "probleem" is dat de ene server 99% uit de neus staat te eten en de andere alles doet.
De vraag is of het NODIG is om twee DC's te gebruiken.
De server die voor 99% alles doet heeft ook geen belasting van meer dan 2%, zelf 's morgens als iedereen inlogt.

Het ligt er aan. In een kleine organisatie is het niet nodig om een tweede DC te hebben, maar hoe groter de organisatie wordt hoe belangrijker het wordt. Met name voor beschikbaarheidsdoeleinden kan het enorm handig zijn om twee DC's te hebben, zodat je indien nodig de boel kan rebooten, of indien er een probleem is - zoals bijvoorbeeld een kapotte NIC of ander onderdeel - dat niet het hele bedrijf uit z'n neus zit te vreten, want dat kost een hoop meer dan een server die weinig doet.

That being said, je kunt een TWEEDE DC ook heel goed virtualizeren. Uiteraard niet op dezelfde bak als DC1, maar als DC2 een fatsoenlijke server is, zou je kunnen overwegen deze te her-installeren als member server, en vervolgens met VMWare Server twee of drie andere (lichte) servers te draaien, waarvan 1 een domain controller.

Ik werk zelf in een bedrijf dat letterlijk 24/7 opereert, ook met kerstmis, nieuwjaarsdag, 4th of july (ik woon niet in NL), etc.... en als onze DC1 op zaterdag nacht als ik net een paar pilsjes op heb het begeeft, dan wil ik wel graag dat DC2 gewoon lekker doordraait.

Sterker nog, wij hebben 3 DC's, namelijk ook eentje in een datacenter voor noodgevallen (die zouden we dan op kunnen halen om in een ander gebouw verder te kunnen), en er komt waarschijnlijk een 4e bij onze "off-site printshop" ook voor noodgevallen. (Ons bedrijf moet na een aardbeving of andere ramp vrijwel direct weer verder kunnen op een andere lokatie).

Daar bovenop is het natuurlijk zo dat je je AD info op tape kunt backuppen, maar in de praktijk het restoren ervan meer pijn en ellende is dan je denkt. Als je DC1 in de fik vliegt neemt je DC2 alles over, en kun je op je gemak DC1 gaan herbouwen zonder dat je op zondagmiddag naar je werk moet om er maar voor te zorgen dat het op maandagochtend allemaal weer draait.

Dus JA. Ik raad altijd een tweede DC aan. Maar het kan dus ook een virtuele server zijn die bovenop een andere server draait.

Ms heeft een Technet artikel op de site staat, waarin eea over sizing van DC's staat (ik kan het artikel even niet vinden). De inhoud zal je echter verbazen.

Er staat me iets bij dat een single PIII800 Mhz met 512 MB geheugen een paar 100 users in een periode van 10 minuten succesvol kan valideren (niet iederaan logt exact op dezelfde tijd aan).

Edit: Toch nog gevonden: http://technet.microsoft.com/en-us/library/cc728303.aspx

By using this graph, you determine that an existing domain controller with a single 800 MHz processor (Configuration A) is adequate to support 800 users at 50% CPU usage. However, if you expect to support a greater number of users in the near future, you might decide to either add another domain controller with the same configuration or replace your existing domain controller with a higher-end model.

Qua load stelt het dus niets voor, het plaatsen van meerdere DC's wordt over het algemeen gedaan voor availability. (en het versnellen van het aanloggen als gebruik gemaakt wordt van een WAN.

Weet je wat FSMO's zijn? zo nee blijf dan a.u.b van je dc's af! Lijkt mee beetje gevaarlijk er zo eentje uit te gooien!

Question Mark schreef op zaterdag 04 oktober 2008 @ 11:24:
Ms heeft een Technet artikel op de site staat, waarin eea over sizing van DC's staat (ik kan het artikel even niet vinden). De inhoud zal je echter verbazen.

Er staat me iets bij dat een single PIII800 Mhz met 512 MB geheugen een paar 100 users in een periode van 10 minuten succesvol kan valideren (niet iederaan logt exact op dezelfde tijd aan).

Qua load stelt het dus niets voor, het plaatsen van meerdere DC's wordt over het algemeen gedaan voor availability. (en het versnellen van het aanloggen als gebruik gemaakt wordt van een WAN.

Daarom is virtualizatie van een tweede DC ook geen enkel probleem. Er is natuurlijk nog wel iets meer wat een tweede DC doet (zoals tweede DNS, backup DHCP met DHCP service disabled als je dat op DC1 gebruikt, WINS, etc), maar het neemt allemaal niet echt heel veel systeem capaciteit in.

Je kunt een tweede DC ook heel goed combineren met iets als SMS server, je Anti-Virus central management server, en andere centrale netwerk taken.

maartena schreef op zaterdag 04 oktober 2008 @ 20:54:
Je kunt een tweede DC ook heel goed combineren met iets als SMS server, je Anti-Virus central management server, en andere centrale netwerk taken.

Dat is verleidelijk als je puur naar de systeembelasting kijkt, maar zou ik toch niet aanbevelen. De meeste applicaties hebben een service-account nodig die local administrator is, als je een account local administrator maakt op een DC dan is die automatisch domain administrator. Dat strookt niet met het beginsel van zo weinig mogelijk rechten uitdelen.

Als het even kan dan zou ik de DC's niet meer taken geven dan DC, DNS, WINS en DHCP. Zaken als IAS of certificate authority kunnen natuurlijk ook prima, maar daar zou ik het bij houden.

Ik vind het toch ook wel bijzonder dat je 400 users als een klein netwerk typeert.

Bekijk het eens vanuit de business: wat kost het je wel niet als je ene DC een dag plat ligt, en je dus letterlijk 400 man naar huis kunt sturen? Die kosten zijn absoluut een veelvoud van de beheer- en installatiekosten die een extra DC je kost.

Daarnaast, doet je DC natuurlijk veel meer als alleen maar mensjes valideren bij het aanmelden. Denk aan DNS request verwerken (de hele dag!). (Zonder DC heb je geen DNS, je Global Catalog en je AD ligt plat en je PC's krijgen geen IP meer).

Het lijkt me zinvoller om te kijken naar het probleem wat je 2e DC veroorzaakt, mocht je er niet uit kunnen komen, dan installeer je een 3e DC, en faseer je de 2e uit.

Daarnaast is het onwijs belangrijk om je FSMO rollen te verdelen over je DC's, aangezien je het echt niet wil gaan seizen zodra er eentje is omgevallen. (dus alle 5 de rollen netjes over 2 of meer DC's verdelen).

Wij doen bij een netwerk van 50 users al kijken naar een 2e DC, gewoon omdat het TE makkelijk is om een 2e er naast te zetten en het je veel te veel gezeur oplevert als je DC plat gaat. Zoals al eerder aangegeven is het restoren van je system state of je AD in authorative mode terugzetten echt een behoorlijke klus, waar je goed bij moet opletten. Mocht je dit kunnen voorkomen door een 2e DC in te zetten, dan doe je dat natuurlijk lekker.

Ik zou het in ieder geval niet flikken bij 400 man...

hstuivenberg schreef op dinsdag 07 oktober 2008 @ 22:41:
Daarnaast is het onwijs belangrijk om je FSMO rollen te verdelen over je DC's, aangezien je het echt niet wil gaan seizen zodra er eentje is omgevallen. (dus alle 5 de rollen netjes over 2 of meer DC's verdelen).

In tegendeel, het is juist best practice om de FSMO rollen netjes op de eerste DC te houden in kleine tot middelgrote omgevingen. Voor load balancing is het totaal niet aan de orde, de belasting van de FSMO rollen valt totaal in het niet vergeleken bij de kerntaken van een DC.

Verder kun je prima gedurende langere tijd zonder alle 5 FSMO-rollen, tenzij je de hele dag bezig bent met het toevoegen van duizenden objecten of het toevoegen of verwijderen van domeinen. Zelfs de PDC-emulator kun je doorgaans wel een tijdje missen. En dan nog, zelfs als de uitgevallen DC definitief niet meer terug gaat komen dan kun je alsnog de rollen seizen. Klinkt vreselijk ingewikkeld maar is niet meer dan een kwartiertje werk:
How to view and transfer FSMO roles in Windows Server 2003
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

Meer informatie en best practices:
FSMO placement and optimization on Active Directory domain controllers

Dcpromo.exe performs the initial placement of roles on domain controllers. This placement is often correct for directories with few domain controllers.

Jazzy schreef op dinsdag 07 oktober 2008 @ 22:52:
[...]
In tegendeel, het is juist best practice om de FSMO rollen netjes op de eerste DC te houden in kleine tot middelgrote omgevingen. Voor load balancing is het totaal niet aan de orde, de belasting van de FSMO rollen valt totaal in het niet vergeleken bij de kerntaken van een DC.

Verder kun je prima gedurende langere tijd zonder alle 5 FSMO-rollen, tenzij je de hele dag bezig bent met het toevoegen van duizenden objecten of het toevoegen of verwijderen van domeinen. Zelfs de PDC-emulator kun je doorgaans wel een tijdje missen. En dan nog, zelfs als de uitgevallen DC definitief niet meer terug gaat komen dan kun je alsnog de rollen seizen. Klinkt vreselijk ingewikkeld maar is niet meer dan een kwartiertje werk:
How to view and transfer FSMO roles in Windows Server 2003
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

Meer informatie en best practices:
FSMO placement and optimization on Active Directory domain controllers

[...]

Jou artikel geeft toch echt iets anders aan:

On a per-domain basis, select local primary and standby FSMO domain controllers in case a failure occurs on the primary FSMO owner. Additionally, you may want to select off-site standby owners in the event of a site-specific disaster scenario. Consider the following in your selection criteria:
• If a domain has only one domain controller, that domain controller holds all the per-domain roles.
• If a domain has more than one domain controller, use Active Directory Sites and Services Manager to select direct replication partners with persistent, "well-connected" links.

Misschien is het een verschil van interpretatie van ons beiden.

De quote die ik aanhaalde staat in het zelfde artikel: Standaard staan alle FSMO rollen op de eerste DC, in omgevingen met weinig domain controllers is dat over het algemeen correct.

Dat gedeelte wat jij aanhaalt gaat over de plaatsing van rollen per forest en per domein. Maar dan heb je dus al een situatie waar de FSMO rollen en de plaatsing daarvan een veel grotere rol speelt.

Het lijkt me een no-brainer om meerdere domein controllers te houden. Mocht de laatste domein controller onverhoopt offline gaan (wat helemaal niet vreemd is om ooit te gebeuren, je hebt nog steeds met een hoop factoren te maken) en je moet gaan restoren vanaf een backup is dit vele malen meer werk dan (indien nodig) eventjes rollen overplaatsen.

Mijn voorstel is zelfs om tijdelijk een extra domein controller in te richten, desnoods virtueel en te gaan uitzoeken waar het probleem ligt met de andere domein controller. Ik ben zelf tegen de problemen aangelopen in de Proeftuin omgeving bij mijn werkgever, maar restoren is geen fijne klus in dat geval, zeker als je het concept Active Directory niet helemaal onder de knie hebt.