WSUS op DC - Serversoftware en clouddiensten

dinsdag 8 april 2014 19:36

Acties:

Verwijderd

Topicstarter

Beste Tweakers,

Ik moet voor de 1e keer zelf een domein opzetten dat effectief in productie gaat.
Het betreft een omgeving voor een tiental gebruikers met 2 servers.(dc & fs)

Heb dus in een niet zo ver verleden op de schoolbanken een soortgelijke omgeving opgezet waar het allemaal wat minder nauw steekt.

Ben nu op een moment gekomen dat ik de WSUS server role moet opzetten. Hierdoor ging ik wat best practices opzoeken en kwam regelmatig tegen dat het niet aangeraden is dit op de DC te doen.

Nu ben ik eigenlijk op zoek waarom precies niet. Moet mijn keuzes ook naar oversten kunnen hard maken waarom wel of niet. Met antwoorden van "ik heb het zo gelezen", kom ik er niet.
http://technet.microsoft....rary/ff646928(WS.10).aspx
Hierop staat ondermeer vermeld dit niet te doen, maar een uitleg vind ik hier niet.

Ook op volgende link (http://community.spicewor...5-where-should-i-put-wsus), wordt wsus afgeraden op DC. Maar ook hier geen uitleg te vinden.

Iemand die hiervoor een degelijke verklaring kan geven?

dinsdag 8 april 2014 20:27

Acties:

Dennism

Verwijderd schreef op dinsdag 08 april 2014 @ 19:36:
Beste Tweakers,

Ik moet voor de 1e keer zelf een domein opzetten dat effectief in productie gaat.
Het betreft een omgeving voor een tiental gebruikers met 2 servers.(dc & fs)

Heb dus in een niet zo ver verleden op de schoolbanken een soortgelijke omgeving opgezet waar het allemaal wat minder nauw steekt.

Ben nu op een moment gekomen dat ik de WSUS server role moet opzetten. Hierdoor ging ik wat best practices opzoeken en kwam regelmatig tegen dat het niet aangeraden is dit op de DC te doen.

Nu ben ik eigenlijk op zoek waarom precies niet. Moet mijn keuzes ook naar oversten kunnen hard maken waarom wel of niet. Met antwoorden van "ik heb het zo gelezen", kom ik er niet.
http://technet.microsoft....rary/ff646928(WS.10).aspx
Hierop staat ondermeer vermeld dit niet te doen, maar een uitleg vind ik hier niet.

Ook op volgende link (http://community.spicewor...5-where-should-i-put-wsus), wordt wsus afgeraden op DC. Maar ook hier geen uitleg te vinden.

Iemand die hiervoor een degelijke verklaring kan geven?

In het eerste document staat de uitleg toch?

Issue

WSUS is installed on a domain controller.

Impact
If WSUS is installed a domain controller, this will cause database access issues due to how the database is configured.

Installing WSUS on a domain controller can also cause problems upgrading or installing WSUS in the future.

Resolution

Uninstall WSUS from the domain controller, demote the server to a non-domain controller, and reinstall WSUS.

Alternately, you can install WSUS on a different non-domain controller machine.

For detailed instructions about how to remove WSUS 3.0 SP2, see the Removal section in the Microsoft Support Article 972455: Description of Windows Server Update Services 3.0 Service Pack 2.

Ik weet niet hoe WSUS draait naast Windows fileservices (de deployments die ik gedaan hebben hadden een dedicated machine ervoor), maar als je tussen een DC of FS moet kiezen voor de WSUS role zou ik hem op de FS zetten. Op een DC zou ik altijd zo min mogelijk randzaken installeren zodat je het minste risico loopt dat er iets mis gaat met je DC, zeker daar je maar 1 DC lijkt te hebben in deze setting lijkt me dit in deze situatie extra belangrijk.

Verder zou in een ideale situatie de uitleg "voldoet niet aan best practices" natuurlijk voldoende moeten zijn voor management. Maar ik kan me ook voorstellen dat wanneer de klant een (zeer) beperkt budget heeft dit niet altijd op zal gaan.

dinsdag 8 april 2014 20:47

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Om welke versie van Windows Server gaat het? Zijn de installaties in een virtuele machine, of bare metal? Als je namelijk 2 fysieke bakken hebt om 'm op te installeren, en je maakt gebruik van een Windows Server editie die toestaat om Hyper-V te draaien, kan je er voor kiezen om de fysieke bak de Host te laten zijn, waarop je 2 VMs draait. Één is de DC, de ander de WSUS server. Zo heb je geen extra kosten voor nog een Windows licentie (die valt namelijk in je Hyper-V mogelijkheid) en heb je ze toch gescheiden.

De laatste keer dat ik in Licenties keek met Hyper-V was 2008R2 Enterprise die hier aan voldeed. Hoe dat nu is met 2012 en 2012R2 weet ik niet.

Commandline FTW | Tweakt met mate

dinsdag 8 april 2014 21:19

Acties:

Verwijderd

Topicstarter

Hero of Time schreef op dinsdag 08 april 2014 @ 20:47:
Om welke versie van Windows Server gaat het? Zijn de installaties in een virtuele machine, of bare metal? Als je namelijk 2 fysieke bakken hebt om 'm op te installeren, en je maakt gebruik van een Windows Server editie die toestaat om Hyper-V te draaien, kan je er voor kiezen om de fysieke bak de Host te laten zijn, waarop je 2 VMs draait. Één is de DC, de ander de WSUS server. Zo heb je geen extra kosten voor nog een Windows licentie (die valt namelijk in je Hyper-V mogelijkheid) en heb je ze toch gescheiden.

De laatste keer dat ik in Licenties keek met Hyper-V was 2008R2 Enterprise die hier aan voldeed. Hoe dat nu is met 2012 en 2012R2 weet ik niet.

Zijn 2 virtuele WS2K8 servers die reeds voorzien waren. Heb ook geen mogelijkheid om een 3e dedicated WSUS server op te zetten. Hoewel ik zeker ook een voorstander ben van je voorgestelde oplossing, is er geen mogelijkheid om met hyper-v te werken. Zit een beetje met hetzelfde probleem om DHCP te installeren. Voorlopig deelt de FW nog adressen uit maar zou ook op een server moeten komen. (dc of fs)

dinsdag 8 april 2014 21:24

Acties:

tomtom901

Moderator General Chat

DHCP kan je nog wel op een AD DC wegzetten, die service past daar wel. WSUS zou je dan kunnen implementeren op de FS, veel keuze heb je niet gezien je beperking van 2 servers.

dinsdag 8 april 2014 21:26

Acties:

Oogje

Je hebt het over een tiental gebruikers, dus ook 10 clientpc's?
Je zou dan kunnen overwegen wsus achterwege te laten.

Any errors in spelling, tact, or fact are transmission errors.

dinsdag 8 april 2014 21:34

Acties:

Verwijderd

Topicstarter

Oogje schreef op dinsdag 08 april 2014 @ 21:26:
Je hebt het over een tiental gebruikers, dus ook 10 clientpc's?
Je zou dan kunnen overwegen wsus achterwege te laten.

Windows updates van via GPO pushen? Of denk je aan nog een andere manier?
Het is nu wel zo dat er wrs iets meer dan 10 zullen zijn en met oog op een verdere groei van het bedrijf leek mij de installatie van WSUS geen slecht idee.

dinsdag 8 april 2014 21:39

Acties:

Verwijderd

Topicstarter

Dennism schreef op dinsdag 08 april 2014 @ 20:27:
[...]

In het eerste document staat de uitleg toch?

Issue

WSUS is installed on a domain controller.

Impact
If WSUS is installed a domain controller, this will cause database access issues due to how the database is configured.

Installing WSUS on a domain controller can also cause problems upgrading or installing WSUS in the future.

Resolution

Uninstall WSUS from the domain controller, demote the server to a non-domain controller, and reinstall WSUS.

Alternately, you can install WSUS on a different non-domain controller machine.

For detailed instructions about how to remove WSUS 3.0 SP2, see the Removal section in the Microsoft Support Article 972455: Description of Windows Server Update Services 3.0 Service Pack 2.

Ik weet niet hoe WSUS draait naast Windows fileservices (de deployments die ik gedaan hebben hadden een dedicated machine ervoor), maar als je tussen een DC of FS moet kiezen voor de WSUS role zou ik hem op de FS zetten. Op een DC zou ik altijd zo min mogelijk randzaken installeren zodat je het minste risico loopt dat er iets mis gaat met je DC, zeker daar je maar 1 DC lijkt te hebben in deze setting lijkt me dit in deze situatie extra belangrijk.

Verder zou in een ideale situatie de uitleg "voldoet niet aan best practices" natuurlijk voldoende moeten zijn voor management. Maar ik kan me ook voorstellen dat wanneer de klant een (zeer) beperkt budget heeft dit niet altijd op zal gaan.

Lees hier net een reactie (van een microsoft mvp) op het statement: "If WSUS is installed a domain controller, this will cause database access issues due to how the database is configured."

Reactie: "This actually, is an incorrect statement, most likely attributable to the technical writer who revised the WSUS docs last summer and may have relied on some other inaccurate cross-team references. The fact is that, while not recommended (installing any application on a Domain Controller is not recommended), WSUS works perfectly on a Domain Controller and is fully supported in that scenario. There are thousands of Small Business Server installations over the past half dozen years, that are just happy running WSUS on the SBS Server (which is a Domain Controller).
The reason you should not run WSUS on a DC, is not because of the risks to WSUS -- WSUS is a fairly trivial application and can be completely reinstalled and reconfigured from scratch in a half-day in organizations who need to do this kind of machine sharing -- rather the reason to not install any application on your Domain Controller is because of what happens to your DC services when you need to take that machine offline in order to FIX the trivial application you chose to install onto it in the first place."

Samengevat zegt deze dat de database toegang-uitleg die wordt gegeven nergens op slaat en slaat zijn uitleg meer aan bij die van u. Namelijk om zo weinig mogelijk applicaties op een DC te installeren. Stel dat er iets mis gaat met deze triviale applicaties dit niet in downtime resulteert voor de DC. Een uitleg die mij al meer aannemelijk klinkt ipv "database toegang fouten"

dinsdag 8 april 2014 21:43

Acties:

DiedX

Ik zou nooit een DC uitrusten met een andere rol dan DHCP. Overigens: 1 DC?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 8 april 2014 21:45

Acties:

Verwijderd

Topicstarter

DiedX schreef op dinsdag 08 april 2014 @ 21:43:
Ik zou nooit een DC uitrusten met een andere rol dan DHCP. Overigens: 1 DC?

Is een kleine omgeving waar er geen tijd/geld voorzien is voor een 2e DC op te zetten..

dinsdag 8 april 2014 22:33

Acties:

T0ny

Het is idd niet ideaal, maar Microsoft deed het zelf wel op hun Small Business Server versie, dus ja...

dinsdag 8 april 2014 23:57

Acties:

Dennism

T0ny schreef op dinsdag 08 april 2014 @ 22:33:
Het is idd niet ideaal, maar Microsoft deed het zelf wel op hun Small Business Server versie, dus ja...

Klopt, maar SBS was natuurlijk wel een geintegreerd product en niet 100% te vergelijken met een standaard DC. Als je kijkt hoe makkelijk zaken op een SBS om zeep te helpen zijn door af te wijken van de standaard beheersmethodes voor SBS (bijv. voor sommige zaken niet de beheersconsole te gebruiken) zou ik zeker niet altijd een parallel willen trekken dat wanneer iets op een SBS goed werkt het op een normale DC omgeving ook zo gaat werken, tenzij duidelijk in de documentatie staat dat het wel werkt.

Neemt niet weg natuurlijk dat het microsoft document inderdaad fouten kan bevatten (database access verhaal). Maar dan nog blijft het verstandig om zo min mogelijk zaken op een DC te zetten, zeker als dit je enige DC is.

woensdag 9 april 2014 09:57

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

DiedX schreef op dinsdag 08 april 2014 @ 21:43:
Ik zou nooit een DC uitrusten met een andere rol dan DHCP. Overigens: 1 DC?

Zijn genoeg DC's die ook de DNS server role hebben hoor...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 9 april 2014 12:44

Acties:

_H_G_

Verwijderd schreef op dinsdag 08 april 2014 @ 21:34:
[...]

Windows updates van via GPO pushen? Of denk je aan nog een andere manier?
Het is nu wel zo dat er wrs iets meer dan 10 zullen zijn en met oog op een verdere groei van het bedrijf leek mij de installatie van WSUS geen slecht idee.

De meeste MKB bedrijven laten de clients gewoon zelf updaten. Mogelijke groei is inderdaad een punt, maar ook hoe belangrijk die PCs zijn. En wie de updates gaat beheren: vaak is er geen tijd voor en vallen alle voordelen van WSUS weg, waardoor je het net zo goed weg kan laten.

woensdag 9 april 2014 12:59

Acties:

Oogje

_H_G_ schreef op woensdag 09 april 2014 @ 12:44:
[...]

De meeste MKB bedrijven laten de clients gewoon zelf updaten. Mogelijke groei is inderdaad een punt, maar ook hoe belangrijk die PCs zijn. En wie de updates gaat beheren: vaak is er geen tijd voor en vallen alle voordelen van WSUS weg, waardoor je het net zo goed weg kan laten.

Je bespaart me tikwerk

Ook gezien onderstaande zou ik WSUS lekker laten voor wat het is.

Verwijderd schreef op dinsdag 08 april 2014 @ 21:45:
[...]

Is een kleine omgeving waar er geen tijd/geld voorzien is voor een 2e DC op te zetten..

Any errors in spelling, tact, or fact are transmission errors.

maandag 14 april 2014 16:46

Acties:

rookie no. 1

Voor een kleine omgeving waar toch al maar voor één DC gekozen wordt vanwege kosten (beheer, investering), zou je inderdaad prima zonder WSUS kunnen. Tenzij...je niet wilt dat clients op een willekeurig moment (bv. na uitkomen van Windows Updates) een goedkope c.q. langzame internetverbinding dicht trekt gedurende bedrijfsuren en ze allemaal de helpdesk gaan bellen voor troubleshooting.

Mocht dat het geval zijn en wordt er toch enigzins beheer uitgevoerd in die omgeving, gewoon WSUS installeren en bij voorkeur op een apart volume en RAID-array of VHD. Dan kun je het makkelijker verplaatsen mocht je nog eens performance problemen tegen komen.

Tuurlijk geen best practice, maar in MKB is dat tochal zelden het geval

maandag 14 april 2014 22:35

Acties:

Wim-Bart

Zie signature voor een baan.

Verwijderd schreef op dinsdag 08 april 2014 @ 21:39:
[...]

Samengevat zegt deze dat de database toegang-uitleg die wordt gegeven nergens op slaat en slaat zijn uitleg meer aan bij die van u. Namelijk om zo weinig mogelijk applicaties op een DC te installeren. Stel dat er iets mis gaat met deze triviale applicaties dit niet in downtime resulteert voor de DC. Een uitleg die mij al meer aannemelijk klinkt ipv "database toegang fouten"

De onderliggende reden is heel basaal. WSUS heeft de interne SAM nodig van de server voor zijn databases (en nog meer). wat is er op een Member server wel en op een DC niet, juist een lokale SAM.

WSUS op een DC kan inderdaad heel veel problemen geven, ook omdat het een IIS component bevat. Gewoon niet doen dus. Je krijgt de meest wazige foutmeldingen en issues. Niet doen dus.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 15 april 2014 09:11

Acties:

Razwer

alsof IIS op een DC niet werkt

Ooit gehoord van AD Web services?

[ Voor 34% gewijzigd door Razwer op 15-04-2014 09:11 ]

Newton's 3rd law of motion. Amateur moraalridder.

dinsdag 15 april 2014 14:01

Acties:

sanfranjake

Computers can do that?

Welnee ik installeer al sinds SUS 1.0 op domain controllers (volgens mij kwam het uit in 2004 ofzo, heb er nog de nodige Windows 2000 bakken mee geupdate), dat levert echt geen problemen op in een kleine omgeving als de basis goed opgezet is (AD, DNS, etcetera).

Wat wel problemen kan geven (of kon, iig met WSUS 2.0 en 3.0, weet niet of dat nog steeds zo is) is front/backend installatie, dan mag SQL niet op een DC draaien.

[ Voor 23% gewijzigd door sanfranjake op 15-04-2014 14:03 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 15 april 2014 21:59

Acties:

Wim-Bart

Zie signature voor een baan.

Razwer schreef op dinsdag 15 april 2014 @ 09:11:
alsof IIS op een DC niet werkt
Ooit gehoord van AD Web services?

Yep, maar dat is ook niet je van het. Een DC moet zijn wat hij moet zijn: een DC enige rollen welke ik me kan indenken welke je zonder problemen op een DC kan integreren zijn DNS, DHCP, DFSR en eventueel WINS. Is net zoals het multihomed maken van een DC, kan ook, maar is ook niet aan te raden. Een DC is zo een belangrijk stuk infrastructuur dat je deze zo veel mogelijk DC laat zijn. En zeker in deze tijd van virtualisatie, dan kan je gewoon de rollen opdelen over verschillende systemen (distributed computing).

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 16 april 2014 00:21

Acties:

Razwer

Wim-Bart schreef op dinsdag 15 april 2014 @ 21:59:
[...]

Yep, maar dat is ook niet je van het. Een DC moet zijn wat hij moet zijn: een DC enige rollen welke ik me kan indenken welke je zonder problemen op een DC kan integreren zijn DNS, DHCP, DFSR en eventueel WINS. Is net zoals het multihomed maken van een DC, kan ook, maar is ook niet aan te raden. Een DC is zo een belangrijk stuk infrastructuur dat je deze zo veel mogelijk DC laat zijn. En zeker in deze tijd van virtualisatie, dan kan je gewoon de rollen opdelen over verschillende systemen (distributed computing).

LOL! AD Web services is een default rol sinds 2008R2 bij ADDS.
IIS op een DC vergelijken met een DC multihomed maken slaat echt nergens op. Een multihomed DC is simpelweg zo goed als onmogelijk te manifesteren zonder consessies te doen op functionaliteit. Bij IIS is dat toch zeker niet het geval.

Either way, dit artikel dekt alle argumenten over WSUS op een DC: https://social.technet.mi...-a-domain-controller.aspx
Zoals je daar kan lezen wijst geen vinger in de richting van IIS.

Bij elke post die je maakt blijf je me weer verbazen Wim-Bart...

Newton's 3rd law of motion. Amateur moraalridder.

woensdag 16 april 2014 09:05

Acties:

Rolfie

Wim-Bart schreef op maandag 14 april 2014 @ 22:35:
WSUS op een DC kan inderdaad heel veel problemen geven, ook omdat het een IIS component bevat. Gewoon niet doen dus. Je krijgt de meest wazige foutmeldingen en issues. Niet doen dus.

Deze is nieuw voor mij..... Nog nooit last van gehad....

Wim-Bart schreef op dinsdag 15 april 2014 @ 21:59:
Yep, maar dat is ook niet je van het. Een DC moet zijn wat hij moet zijn: een DC enige rollen welke ik me kan indenken welke je zonder problemen op een DC kan integreren zijn DNS, DHCP, DFSR en eventueel WINS.

DHCP is er eigenlijk ook 1 die je er niet op moet hosten vanuit security.
DFSR op een Domain controller?
Technisch kan het wel, maar dit zijn juist ook rollen die je eigenlijk niet op een ADS server will hebben.

Is net zoals het multihomed maken van een DC, kan ook, maar is ook niet aan te raden.

Maar is wel heel goed te doen. Vanuit Security kan dit juist een toegevoegde waarde zijn. Apart Back / Management netwerk

Een DC is zo een belangrijk stuk infrastructuur dat je deze zo veel mogelijk DC laat zijn.

Pracht bij grote netwerken, maar bij een MKB oplossing waarin maar 1 of 2 servers draaien is tot een totaal overbodig.

En zeker in deze tijd van virtualisatie, dan kan je gewoon de rollen opdelen over verschillende systemen (distributed computing).

Virtualisatie is alleen maar een component dat issues kan geven en het netwerk complexer maakt.
Juist bij MKB, KISS......

Technisch kan alles, maar is het ook verstandig?

Maar alles hangt helemaal van de omving af. Voor een netwerk van 5 of 25 of 2500 of 10000 man, richt je je services nu net even iets anders in....

woensdag 16 april 2014 09:28

Acties:

Quadradial

Omdat Microsoft zegt dat het geen "best practice" is om te doen?

*rent snel weg*

Being offended is feeling your displeasure at the fact that not everyone cares as much about the exact same things as you.

woensdag 16 april 2014 21:02

Acties:

Razwer

DFSR wil je wel op een DC, FRS is outdated en SYSVOL wil je juist via DFSR repliceren....

Newton's 3rd law of motion. Amateur moraalridder.

donderdag 17 april 2014 08:56

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Quadradial schreef op woensdag 16 april 2014 @ 09:28:
Omdat Microsoft zegt dat het geen "best practice" is om te doen?

Het is inderdaad geen best practise, maar werkt wel prima. Daarom ben ik het ook roerend eens met Rolfie in "WSUS op DC"

Rolfie schreef op woensdag 16 april 2014 @ 09:05:
Technisch kan alles, maar is het ook verstandig?

Maar alles hangt helemaal van de omving af. Voor een netwerk van 5 of 25 of 2500 of 10000 man, richt je je services nu net even iets anders in....

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Pagina: 1

Reageer