Nieuwe server inrichten

zondag 7 mei 2017 21:30

Acties:

Dumo-Technics

Topicstarter

Beste forumleden,

Ik draai thuis al enige tijd een server (Win 2012R2) met AD functie, RDS en VPN
Nu heb ik een nieuwe server hardware aangeschaft, en zou ik deze dus willen overzetten.

Ik ben nog aan het uitzoeken of ik de licenties kan hergebruiken of niet. Maar dit ter zijde.
Ik wil op de nieuwe server nog steeds AD draaien met RDS functie.

Echter ben ik aan het kijken naar alternatieven voor de VPN verbinding.
Optie 1: De VPN server in de firewall regelen (pfSense)
Optie 2: Vorige keer werd mij hier ook al DirectAccess aangeraden.

Echter ik ben toen niet verder ingegaan op het DA verhaal. Nu ik van server ga veranderen en misschien toch nieuwe licenties ga moeten aanschaffen ben ik dus aan het kijken om dit toch te implementeren.
Echter ik moet dan de windows versies op mijn client ook upgraden (draaien nu Win 7 Pro)
eventueel naar Windows 7 Ultimate want ik denk dat de prijs van een Enterprise versie nogal hoog zal uitvallen.

De 2e vraag die ik hier graag zou willen stellen is,
zouden jullie bij het overzetten van de domein een nieuwe domein controller aanmaken in een nieuw forest, dus de oude gewoon uitschakelen. Of gewoon migreren van de oude naar de nieuwe.

Zelf denk ik dat het beter zou zijn om opnieuw te beginnen, en dan een domein aanmaken die domein.be heet ipv domein.local, aangezien hier ook een webserver op komt te draaien in de toekomst,
en voor de DA verbindingen te realiseren is het denk ik ook makkelijker om intern ook met .be te werken.

Alvast bedankt

Met vriendelijke groet,
Stijn

http://www.dumo-technics.com

zondag 7 mei 2017 21:36

Acties:

HKLM_

Bedoel je de RDS roll in Windows server of gewoon je server overnemen met RDP ?

Als het RDS is wil je dat volgens mij niet combineren met een Domain controller. Volgens mij kan je befer niks behalve DNS en dhcp combineren met een DC.

[ Voor 51% gewijzigd door HKLM_ op 07-05-2017 21:37 ]

Cloud ☁️

zondag 7 mei 2017 21:37

Acties:

T1psY

Dumo-Technics

Topicstarter

RDS role. Dus ik maak gebruik van Remote App Server zodat ik op de client een app kan draaien die op de server geïnstalleerd staat

http://www.dumo-technics.com

zondag 7 mei 2017 21:38

Acties:

downtime

Everybody lies

T1psY schreef op zondag 7 mei 2017 @ 21:30:
Echter ik moet dan de windows versies op mijn client ook upgraden (draaien nu Win 7 Pro)
eventueel naar Windows 7 Ultimate want ik denk dat de prijs van een Enterprise versie nogal hoog zal uitvallen.

Volgens mij is Ultimate juist de duurste Windows versie.

Zelf denk ik dat het beter zou zijn om opnieuw te beginnen, en dan een domein aanmaken die domein.be heet ipv domein.local, aangezien hier ook een webserver op komt te draaien in de toekomst,
en voor de DA verbindingen te realiseren is het denk ik ook makkelijker om intern ook met .be te werken.

De naam van jouw interne domein en externe domein hoeven niet hetzelfde te zijn. Zeker voor een webserver maakt dat echt niks uit.
De belangrijkste reden om intern ook met een eigen "gekocht" domein te werken, is om lastige DNS-issues te voorkomen omdat ergens op internet iemand anders dezelfde naam als jij gebruikt. Dus als jij domain.tld gebruikt, en op internet is een website domain.tld die jij vanuit jouw netwerk wil bezoeken, dan is dat knap onhandig.

Daarnaast kan het bezitten van een eigen domein handig zijn als je ooit nog eens met externe certificaten wilt werken. Dan moet je vaak bewijzen dat je eigenaar bent van het domain waarvoor je een certificaat koopt. En ik geloof dat de uitgifte van certificaten voor .local domeinen sowieso stopt.

[ Voor 11% gewijzigd door downtime op 07-05-2017 21:42 ]

zondag 7 mei 2017 21:44

Acties:

T1psY

Dumo-Technics

Topicstarter

De licenties daar ben ik mij even over aan het inlezen. Ik zie dat DirectAccess wel enkel werkt op Windows 7 Enterprise of Ultimate, Windows 10 Enterprise. Ik heb er geen idee van welke duurder is.
Echter zal de beslissing om de windows clients te upgraden af hangen van de beslissing of ik DA ga gebruiken of niet. Indien ik op VPN blijf dan kan ik gewoon de Windows 7 clients blijven gebruiken.

@Downloader_NL De server draait inderdaad ook DNS service. Maar ik dacht dat dit sowieso was als je een domein controller inricht. (Tenzij meerdere DC, dan zal er maar 1 de DNS service draaien).
Ik kan echter ook DNS door de firewall gaan laten doen (pfSense) maar weet niet of dit een goede keuze is.
Echter met de RDS heb ik geen probleem dat deze op dezelfde server draait. Ik kan hem echter wel op de 2e server gaan draaien, omdat ik er nu 2 heb. Of eens kijken naar virtueel.

@downtime: Jij zou dus een nieuwe domein inrichten met intern ook de .be tld? En zou je dan de domein "domein.be" noemen of zou je er ook een subdomein aan mee geven "office.domein.be" ?

[ Voor 29% gewijzigd door T1psY op 07-05-2017 21:46 ]

http://www.dumo-technics.com

zondag 7 mei 2017 21:48

Acties:

Dennism

Licenties kan je hergebruiken als ze Retail of Volume licenties zijn, OEM licenties zijn gebonden aan de oude hardware en dus niet her te gebruiken op legale wijze.

Windows 7 Enterprise licenties kan je alleen zakelijk kopen via de verschillende volume license contracten, niet in retail / OEM vorm.

In zou altijd een sub domein meegeven, voor zover ik weet is dit ook best practice.

[ Voor 12% gewijzigd door Dennism op 07-05-2017 21:50 ]

zondag 7 mei 2017 21:52

Acties:

T1psY

Dumo-Technics

Topicstarter

De licenties die ik nu heb zijn retail licenties. Voor de clients maakt het niet uit aangezien dezelfde hardware met hetzelfde os blijft gebruikt.
Enkel voor de server. Die ik nu heb zit een Server 2012 R2 op retail licentie.
Deze kan ik dus over zetten op de nieuwe server als ik het goed begrijp.

Echter blijf ik dan alleen nog zitten met indien ik DA wil gaan gebruiken ik de clients zal moeten gaan upgraden. En dan lijkt het mij dat ik enkel naar Win7 Ultimate zal kunnen upgraden aangezien ik dan geen Enterprise zal kunnen aanschaffen

Qua inrichting ben ik momenteel idd aan het uitzoeken wat de beste oplossing zou zijn voor mij. Aangezien het niet makkelijk is om dit achteraf nog te wijzigen. Ik vind er wel veel info over op internet maar veel verschillende antwoorden. Dus ik kan moeilijk bepalen wat voor mij de best-practice is.
Ik vind het wel interessant om hierover al doende te leren. Zo heb ik reeds heel veel geleerd van toen ik de huidige server ingericht heb.

[ Voor 28% gewijzigd door T1psY op 07-05-2017 21:54 ]

http://www.dumo-technics.com

zondag 7 mei 2017 21:53

Acties:

downtime

Everybody lies

T1psY schreef op zondag 7 mei 2017 @ 21:44:
@downtime: Jij zou dus een nieuwe domein inrichten met intern ook de .be tld? En zou je dan de domein "domein.be" noemen of zou je er ook een subdomein aan mee geven "office.domein.be" ?

Ik vermoed dat het qua werk voor jou niet veel uitmaakt. Dan zou ik zeker overstappen naar een .be domein. Dan ben je futureproof.

Ik doe zelf iets vergelijkbaars en heb voor een subdomein gekozen: Dus office.domein.be. Als ik dan later ooit weer een extra domein wil inrichten dan kan het gewoon anderdomein.domein.be heten. Maar technisch gezien maakt het voor Windows niet uit of je nu domein.be gebruikt of office.domein.be.

Voor wat onderbouwing zou je dit Microsoft artikel eens kunnen lezen.

[ Voor 13% gewijzigd door downtime op 07-05-2017 21:57 ]

zondag 7 mei 2017 22:00

Acties:

T1psY

Dumo-Technics

Topicstarter

Oke dus dan ga ik sowieso mijn server inrichten met een nieuwe domein nieuw forest. En als domein dan office.domein.be gebruiken.
Ik veronderstel dat ik dan de A-records van mijn domein kan doorverwijzen naar mijn IP adres van op kantoor.
En ook A-records zal moeten maken voor de DA verbinding.

Iemand nog een idee over wat beste keuze is, DA of toch VPN blijven gebruiken?

http://www.dumo-technics.com

maandag 8 mei 2017 08:06

Acties:

HKLM_

T1psY schreef op zondag 7 mei 2017 @ 21:44:
De licenties daar ben ik mij even over aan het inlezen. Ik zie dat DirectAccess wel enkel werkt op Windows 7 Enterprise of Ultimate, Windows 10 Enterprise. Ik heb er geen idee van welke duurder is.
Echter zal de beslissing om de windows clients te upgraden af hangen van de beslissing of ik DA ga gebruiken of niet. Indien ik op VPN blijf dan kan ik gewoon de Windows 7 clients blijven gebruiken.

@Downloader_NL De server draait inderdaad ook DNS service. Maar ik dacht dat dit sowieso was als je een domein controller inricht. (Tenzij meerdere DC, dan zal er maar 1 de DNS service draaien).
Ik kan echter ook DNS door de firewall gaan laten doen (pfSense) maar weet niet of dit een goede keuze is.
Echter met de RDS heb ik geen probleem dat deze op dezelfde server draait. Ik kan hem echter wel op de 2e server gaan draaien, omdat ik er nu 2 heb. Of eens kijken naar virtueel.

@downtime: Jij zou dus een nieuwe domein inrichten met intern ook de .be tld? En zou je dan de domein "domein.be" noemen of zou je er ook een subdomein aan mee geven "office.domein.be" ?

Ik zeg ook niet dat je geen DNS op je dc moet draaien ik zeg dat DNS en de dhcp juist het enigste is wat je wilt. Alle overige software zoals VPN, RDS zou ik op een aparte server installeren.

Cloud ☁️

donderdag 11 mei 2017 14:21

Acties:

joenevd

Waarom niet eerst VMWare installeren?
Met een 2012 R2 standard licentie heb je recht op 2 virtuele instanties.
Dan kan je binnen dezelfde licenties rollen scheiden per Windows installatie.

Pak je 1 server met DC, DHCP, DNS. Eventueel ook File Server en Print Server als je dat nodig hebt.
Een 2e server wordt dan een RDS server.

In plaats van VPN kan je ook de Gateway rol van RDS activeren. Dan kan je over 443 remote inloggen op je RDS server. Omdat het voor thuis is, is het minder erg dat je de RDS rollen niet op aparte Windows installaties zet.

donderdag 11 mei 2017 22:46

Acties:

T1psY

Dumo-Technics

Topicstarter

Vmware zie ik minder zitten omdat het nu ook perfect werkt op 1 server, er niet veel gebruikers op zullen inloggen (2 bureau medewerkers en 3 techniekers en mezelf)
Het zou alleen maar meer beheer werk opleveren en is in mijn ogen niet echt nodig.
Tenzij het echt een specifieke reden heeft waarom jullie zeggen van doe het op 2 servers.
Maar dan nog zou ik denk ik eerder kiezen voor 2 fysieke servers (die zijn er nu toch) dan virtueel gaan draaien.

Edit: die rds gateway lijkt me ook een goeie. Ga ik eens bekijken. Lukt dit ook vanop een pc die niet domain joined is ?

[ Voor 12% gewijzigd door T1psY op 11-05-2017 22:47 ]

http://www.dumo-technics.com

donderdag 11 mei 2017 23:24

Acties:

joenevd

Rds gateway kan ook vanuit een pc die niet in het domein zit.
Let er op dat al die rollen (dc + rds) op 1 server juist een complexere situatie kan geven. Het wordt ook niet ondersteund. Ik lever aan mijn klanten liever geen niet ondersteunde situaties.

Edit:
Vind het knap dat het gelukt is om het zo te installeren. Daarvoor heb je wat moeten priegelen.

Zie ook deze handleiding om het te doen. En vooral ook zijn argumenten om het niet te doen.
https://rorymon.com/blog/?p=3477

[ Voor 34% gewijzigd door joenevd op 11-05-2017 23:29 ]

vrijdag 12 mei 2017 00:06

Acties:

Dennism

Als je virtueel gaat met 1 node zou ik voor Hyper-V kiezen ipv vSphere, zeker omdat je met de gratis vSphere versie alleen maar ghetto backups kan maken daar je voor zover ik weet geen toegang hebt tot de backup API van vSphere tenzij ze dat recent aangepast hebben. Ik zou trouwens altijd voor virtueel kiezen ipv 2x fysiek wanneer mogelijk en rollen splitsing is altijd handig en fijn om te hebben.

Hou er bij RDS gateway e.d. wel rekening mee dat je ook RDS cals nodig gaat hebben. Ik weet niet of je die nu al hebt.

Uit de 2012 R2 RDS licensing brief:

Do I need an RDS CAL if I am not running a multiuser environment but use functionality in Remote Desktop Services—for example, Remote Desktop Gateway?

Yes. An RDS CAL is required to use any functionality included in the Remote Desktop Services role in Windows Server. For example, if you are using RDS Gateway and/or Remote Desktop Web Access to provide access to a Windows client operating system on an individual PC, both an RDS CAL and Windows Server CAL are required.

vrijdag 12 mei 2017 00:31

Acties:

FreakNL

Well do ya punk?

Lekker hyper-v inderdaad. Je fysieke bak wil je toch zo min mogelijk op? Das alleen maar meer werk bij herinrichten en/of upgrade, een VM heb je echter zo overgezet en weer in de lucht. Hyper-v heeft ook een lagere drempel tov esxi.

vrijdag 12 mei 2017 08:41

Acties:

T1psY

Dumo-Technics

Topicstarter

Ik zie dat hyperV gratis is en dat ik met mijn Server 2012R2 standard 2 virtuele machines kan draaien.
Dit lijkt mij dan ook een goede oplossing.
Dan moet ik enkel nog user CALs aanschaffen want die heb ik nog niet.

http://www.dumo-technics.com

maandag 15 mei 2017 13:41

Acties:

Verwijderd

T1psY schreef op vrijdag 12 mei 2017 @ 08:41:
Ik zie dat hyperV gratis is en dat ik met mijn Server 2012R2 standard 2 virtuele machines kan draaien.
Dit lijkt mij dan ook een goede oplossing.
Dan moet ik enkel nog user CALs aanschaffen want die heb ik nog niet.

Klopt, echter kun je dan geen GUI gebruiken. Je zult je Hyper-v bak dan moeten beheren via remote mangement tools, als je de commandline niet fijn vindt werken.

maandag 15 mei 2017 13:53

Acties:

Dennism

Verwijderd schreef op maandag 15 mei 2017 @ 13:41:
[...]

Klopt, echter kun je dan geen GUI gebruiken. Je zult je Hyper-v bak dan moeten beheren via remote mangement tools, als je de commandline niet fijn vindt werken.

'
Kan prima met Gui als je dat liever hebt, een fysieke 2012 R2 installatie kost je geen van de 2 virtuele licenties mits je enkel de Hyper-V rol installeert, ga je andere rollen installeren binnen de fysieke installatie (denk bijv. aan DNS, AD of DHCP) dan telt de fysieke installatie wel mee voor de licenties en kan je nog maar 1 virtuele instantie gebruiken met dezelfde licentie.

Zie bijv: http://download.microsoft...2_Licensing_Datasheet.pdf

maandag 15 mei 2017 13:56

Acties:

Verwijderd

Dennism schreef op maandag 15 mei 2017 @ 13:53:
[...]

'
Kan prima met Gui als je dat liever hebt, een fysieke 2012 R2 installatie kost je geen van de 2 virtuele licenties mits je enkel de Hyper-V rol installeert, ga je andere rollen installeren binnen de fysieke installatie (denk bijv. aan DNS, AD of DHCP) dan telt de fysieke installatie wel mee voor de licenties en kan je nog maar 1 virtuele instantie gebruiken met dezelfde licentie.

Zie bijv: http://download.microsoft...2_Licensing_Datasheet.pdf

Had ik idd fout!

maandag 15 mei 2017 13:59

Acties:

mortal

Inderdaad gewoon twee losse vm's draaien met hyper-v. Dan kan je in de toekomst de vm's makkelijk migreren naar nieuwe hardware. En laat je domain controller ook alleen dc zijn.

Tevens kan je vm's makkelijk back-uppen (gratis met Windows server back-up)en snapshotten.

p.s. maak je hyper-v server niet lid van je domain als je je enige dc virtueel gaat draaien.

[ Voor 25% gewijzigd door mortal op 15-05-2017 14:02 ]

maandag 15 mei 2017 15:10

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat wil je precies voor functionaliteit gaan aanbieden vanaf die server?

Ik lees allemaal technische advies en weet ik wat, maar vertel eerst eens wat je wilt bereiken? Het enige wat ik tot nu toe gelezen heb is iets met een website?

Afhankelijk van de website heb je daar helemaal geen VPN, of AD voor nodig...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 15 mei 2017 15:52

Acties:

Dennism

Question Mark schreef op maandag 15 mei 2017 @ 15:10:
Wat wil je precies voor functionaliteit gaan aanbieden vanaf die server?

Ik lees allemaal technische advies en weet ik wat, maar vertel eerst eens wat je wilt bereiken? Het enige wat ik tot nu toe gelezen heb is iets met een website?

Afhankelijk van de website heb je daar helemaal geen VPN, of AD voor nodig...

Wat ik uit deze post haal is een gecentraliseerde werkomgeving voor 6 man.
T1psY in "Nieuwe server inrichten"

maandag 15 mei 2017 16:08

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Dennism schreef op maandag 15 mei 2017 @ 15:52:
[...]

Wat ik uit deze post haal is een gecentraliseerde werkomgeving voor 6 man.
T1psY in "Nieuwe server inrichten"

True, maar waarom dan de eis voor VPN? Een RD Gateway zorgt ook al voor encryptie van RDP verkeer, net als Direct Access dat zou kunnen.

Met de informatie die nu gegeven is, kan ik geen advies uitbrengen welke technische oplossing de beste zou zijn... Dat is mijn punt een beetje

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 15 mei 2017 22:24

Acties:

T1psY

Dumo-Technics

Topicstarter

Ik heb hyper-v gewoon zonder gui geïnstalleerd. Ik kan hem nu wel beheren vanaf een laptop via remote management. Ik ga hier geen gui op installeren want dit gaat denk ik alleen maar meer cpu en ram vragen onnodig.

Wat ik nu heb is dus 1 server2012RS met AD en RDS en een webserver en VPN.
VPN word gebruikt om de RDS Apps te kunnen openen van op een andere locatie. en toegang te krijgen tot file shares. Ik heb mij hier beter over ingelezen en dit zou dus niet meer nodig zijn aangezien met RDS Gateway ik de remote apps kan aanbieden via de webserver. VPN valt dus al af.

Dus ga ik op de hyper-v gewoon 2 server 2012R2 installaties doen,
1 voor AD en DNS
1 voor RDS en webserver

en de file shares dan via FTP aanbieden?

Ik twijfel dan wel nog of ik de laptops die op de baan zijn domain joined moet maken of niet aangezien ik met RD Gateway geen domain join nodig zou hebben.
Tenzij ik toch via DirectAccess zou kunnen werken.

Jullie geven me zo veel informatie tegelijk en ik zie door de bomen de bos niet meer bijna

Ik wil namelijk deze server van de 1e keer goed gaan inrichten en dit goed overdenken voor ik er zo maar aan begin.

http://www.dumo-technics.com

maandag 15 mei 2017 23:21

Acties:

joenevd

Er zijn meerdere strategieën mogelijk. Files via ftp moet je niet doen. Dat kan via de rds benaderd worden. Laptops in domein of niet moet je zelf weten, maar als je ze niet in het domein hangt zou ik ze alleen toegang geven via een gasten wifi naar de rds gateway.

Vraag

Alle reacties