Toon posts:

[Server 2019] Service gefaald, maar staat niet in lijst

Pagina: 1
Acties:

Vraag

vrijdag 3 juli 2020 13:50

Acties:
  • 0Henk 'm!
  • The_Butler
  • Registratie: April 2001
  • Nu online

The_Butler

Topicstarter
In een test omgeving draai ik twee windows 2019 servers waarvan de eerste (1) de AD draait en de tweede (2) de functie van backup Domain Conroller op zich neemt.

Beide machines zijn nieuwe rackservers, geen virtualisatie. Tussen beide hangt een HP Aruba switch die (nog) niet geconfigureerd is. Beide machines draaien zog. SCADA software die tijdens de instalatie behoorlijk wat zooi installeerden (.Net etc) . Tijdens het testen ben ik altijd ingelogd als Administrator.

Ik heb nu de tweede server de backup Domain Conroller taak gegeven; volgens deze guide https://thesolving.com/se...-active-directory-domain/

Alles leek ok te werken todat mijn Administrator wachtwoord op de (1) server werd geweigerd. Ik begon me in te lezen, deed een herstart en na een poos pakte hij het wachtwoord weer, ietswat vreemd maar het leek me relevant om te vermelden.

Nu heb ik het probleem dat bij het opstarten van de (1) server het inlog proces gigantisch lang duurt - en de eventlog staat vol met foutmeldingen.
Service cannot be started. Microsoft.AspNetCore.Server.HttpSys.HttpSysException (0x80004005): Access is denied
at Microsoft.AspNetCore.Server.HttpSys.UrlGroup.RegisterPrefix(String uriPrefix, Int32 contextId)
at Microsoft.AspNetCore.Server.HttpSys.UrlPrefixCollection.RegisterAllPrefixes(UrlGroup urlGroup)
at Microsoft.AspNetCore.Server.HttpSys.HttpSysListener.Start()
at Microsoft.AspNetCore.Server.HttpSys.MessagePump.StartAsync[TContext](IHttpApplication`1 application, CancellationToken cancellationToken)
at Microsoft.AspNetCore.Hosting.Internal.WebHost.<StartAsync>d__26.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
at Microsoft.AspNetCore.Hosting.Internal.WebHost.Start()
at PCS.Hosting.Windows.Internal.WebHostService.OnStart(String[] args)
at System.ServiceProcess.ServiceBase.Se...
Nu weet ik dat als een service 'access denied' heeft er een probleem met rechten is (ik weet hoe ik dit oplos) dus ik ga op zoek naar de Microsoft.AspNetCore.Server.HttpSys.HttpSys service.... maar ik kan dat kreng nergens in mijn lijst met services vinden?

Hoe kan mijn eventlog zeggen dat een service niet opgestart kan worden omdat 'access denied' als die service helemaal niet voorkomt in de lijst?

Iemand een suggestie?

Ik heb uiteraard de foutmeling in Google gegooid maar niks relevants gevonden.

at your service

Beste antwoord (via The_Butler op 04-07-2020 11:02)

vrijdag 3 juli 2020 23:17

  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Overigens een hele andere vraag.

Hoe zit het met je design?
Welke AD Services wil je allemaal gebruiken? Wil je web beheerd, of via conventionele MMC tooling?
Is je eerste DC een Full install of een Core?
Welke lagen van security wil je?
Hoe ziet je netwerk topologie er uit?
Wat is je IP nummerplan?
Moet het remote benaderbaar zijn?
Welke firewall heb je tussen Internet en de twee domein controllers?

Overigens, SCADA mag je niet op een Domein Controller installeren en moet altijd op een separate server. De correcte minimale architectuur is:

1 of 2 x VMware host of Hype-V host
1 of 2 x Domein controller, uit veiligheids overwegingen Core only wanneer het kan (Powershell leren) met daarop DNS en AD Services, dit moeten losse VM's zijn. 512MB/1GB geheugen met een 60GB disk is voldoende.
1 of 2 x SCADA server, dedicated voor SCADA
1 x RDS in Workgroupmode Windows server voor beheer.

Ik heb nog eens gekeken en vond nog ergens een link naar een simpele how-to:
https://automatech.com/wp...-Server-2012-R2-Final.pdf

[Voor 45% gewijzigd door Wim-Bart op 03-07-2020 23:25]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

Alle reacties

vrijdag 3 juli 2020 13:53

Acties:
  • +2Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 31-01 16:08

MAX3400

XBL: OctagonQontrol

SCADA software die tijdens de instalatie behoorlijk wat zooi installeerden (.Net etc)
+
Microsoft.AspNetCore.Server.HttpSys.HttpSys service.... maar ik kan dat kreng nergens in mijn lijst met services vinden
Bel SCADA? Allicht dat ik te simpel denk: je installeert een berg (eigenlijk ongewilde) software op je DC's, hebt geen idee "wat" er geinstalleerd wordt en dan gaan er dingen fout?

/edit: dus er zijn services geinstalleerd onder het Administrator account, het account is later "geweigerd", ging "toevallig" weer werken en dan gaat dingen ineens trager / anders? Beetje laat maar daar is het Administrator-account niet voor bedoeld :)

[Voor 23% gewijzigd door MAX3400 op 03-07-2020 13:55]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 3 juli 2020 13:56

Acties:
  • 0Henk 'm!
  • The_Butler
  • Registratie: April 2001
  • Nu online

The_Butler

Topicstarter
MAX3400 schreef op vrijdag 3 juli 2020 @ 13:53:
[...]

+

[...]

Bel SCADA? Allicht dat ik te simpel denk: je installeert een berg (eigenlijk ongewilde) software op je DC's, hebt geen idee "wat" er geinstalleerd wordt en dan gaan er dingen fout?
Er is een support ticket voor me aangemaakt; maar ik weet nieteens of deze foutmelding iets met hun temaken heeft op dit moment - ik probeer het probleem van twee kanten aan te vallen, vandaar mijn post hier met de specifieke vraag hoe windows kan klagen over een service die ik niet terug kan vinden in de lijst....

at your service

vrijdag 3 juli 2020 13:57

Acties:
  • +1Henk 'm!
  • _Arthur
  • Registratie: Juli 2001
  • Nu online

_Arthur

blub

The_Butler schreef op vrijdag 3 juli 2020 @ 13:50:
Nu weet ik dat als een service 'access denied' heeft er een probleem met rechten is (ik weet hoe ik dit oplos) dus ik ga op zoek naar de Microsoft.AspNetCore.Server.HttpSys.HttpSys service.... maar ik kan dat kreng nergens in mijn lijst met services vinden?

Hoe kan mijn eventlog zeggen dat een service niet opgestart kan worden omdat 'access denied' als die service helemaal niet voorkomt in de lijst?

Iemand een suggestie?
https://docs.microsoft.co...tpsys?view=aspnetcore-3.1

vrijdag 3 juli 2020 14:05

Acties:
  • +1Henk 'm!
  • hmmmmmmmmmpffff
  • Registratie: September 2009
  • Laatst online: 12:42

hmmmmmmmmmpffff

Ik denk dat je even in je http.sys config moet kijken. Het lijkt erop dat er getracht wordt een poort te openen die al in gebruik is. Heb je al gekeken of dat ook zo is?

Overigens zou ik je afraden om een algemeen administrator account te gebruiken voor services. Maak liever per service een apart serviceaccount aan. Het is wel een aanname op basis van de informatie die je hier post.

vrijdag 3 juli 2020 14:48

Acties:
  • 0Henk 'm!
  • Xelefim
  • Registratie: Maart 2019
  • Laatst online: 31-01 17:50

Xelefim

krijg je de service wel te zien als je via powershell de services oplijst via het get-service commando?

- BSc TI + CCNA R&S (Expired ofcourse) + CCNA SEC (Also expired ofc)-

vrijdag 3 juli 2020 15:10

Acties:
  • 0Henk 'm!
  • The_Butler
  • Registratie: April 2001
  • Nu online

The_Butler

Topicstarter
Xelefim schreef op vrijdag 3 juli 2020 @ 14:48:
krijg je de service wel te zien als je via powershell de services oplijst via het get-service commando?
Nee... maar ik heb nu wel een .JSON file gevonden in de software directory van die aplicatie die dezelfde naam heeft als mijn error log dus het lijkt er heel sterk op dat het probleem in die hoek gezocht moet worden.

https://tweakers.net/i/uWwiSOGtEF6h4TCXK8yz_JKJXB0=/800x/filters:strip_exif()/f/image/8KaH6cGHKHlN0vrnNhWIYE6G.png?f=fotoalbum_large


Ik heb de SCADA software opnieuw geinstalleerd maar de fouten blijven; Ik heb deze feedback ook aan de vendor gegeven dus hopelijk dat ze op maandag een oplossing hebben voor me.

at your service

vrijdag 3 juli 2020 18:18

Acties:
  • +1Henk 'm!
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 12:36

Killah_Priest

Heb je de dotnetcore runtime geïnstalleerd op de server (hoewel ik zou verwachten dat een leverancier de boel als self-hosted applicatie zou compilen of zelfs als native code).

Wat betreft de service: een service genaamd Microsoft.AspNetCore.Server.HttpSys.HttpSys zul je nergens vinden aangezien dit simpelweg de naam is van de .NET namespace waar de HttpSysException class onderdeel van is.
De foutmelding is wel erg knullig, ipv een "friendly error" krijg je alleen de stacktrace te zien (errors die te verwachten zijn, en dat zijn access denieds natuurlijk, behoor je gewoon netjes af te vangen als developer en duidelijke meldingen laten genereren)

De service die faalt heeft een andere naam (waarschijnlijk dus je SCADA pakket) als wat de error weergeeft, in die hoek zit ook je oplossing.

vrijdag 3 juli 2020 18:19

Acties:
  • +1Henk 'm!
  • Dennism
  • Registratie: September 1999
  • Nu online

Dennism

Als dit een vers geinstalleerde domain controller is zou ik er geen tijd in steken eigenlijk. Een domaincontroller wil je zo "schoon" mogelijk houden en een machine met problemen als deze zou ik niet direct meer vertrouwen.

Ik zou dus zeggen Demote, Nuke and rebuild.

Kijk daarnaast ook goed of de software die wil draaien wel supported is op een domaincontroller, daar het eigenlijk normaliter niet de bedoeling is om DC's als applicatie server te gebruiken, daar heb je member servers voor.

[Voor 3% gewijzigd door Dennism op 03-07-2020 18:20]

Chronia Lvl 60 Warlock Diablo 3

vrijdag 3 juli 2020 18:25

Acties:
  • +1Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Nu online

HKLM_

Verwijder die app van je DC mocht je geen andere server dan een dc hebben om de software te draaien installeer dan hyper-v op 1 van de nodes en maak een aparte hyper-v vm aan. Is dit netjes nee maar beter als direct op de dc...

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

vrijdag 3 juli 2020 18:27

Acties:
  • 0Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 31-01 16:08

MAX3400

XBL: OctagonQontrol

HKLM_ schreef op vrijdag 3 juli 2020 @ 18:25:
Verwijder die app van je DC mocht je geen andere server dan een dc hebben om de software te draaien installeer dan hyper-v op 1 van de nodes en maak een aparte hyper-v vm aan. Is dit netjes nee maar beter als direct op de dc...
Installeer dus Hyper-V "Core" en maak 2 VM's aan; eentje met een DC en eentje member-server voor SCADA :)

/edit: kost je wel een extra licentie Server 2019 maar ach...

[Voor 6% gewijzigd door MAX3400 op 03-07-2020 18:28]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 3 juli 2020 18:33

Acties:
  • +1Henk 'm!
  • Dennism
  • Registratie: September 1999
  • Nu online

Dennism

MAX3400 schreef op vrijdag 3 juli 2020 @ 18:27:
[...]

Installeer dus Hyper-V "Core" en maak 2 VM's aan; eentje met een DC en eentje member-server voor SCADA :)

/edit: kost je wel een extra licentie Server 2019 maar ach...
Dat hoeft hem niet eens een extra licentie te kosten, immers heeft hij nu (zoals ik opmaak uit zijn post) 2 servers met een baremetal DC geïnstalleerd, hij zal dus nu al 2x een Server 2019 licentie moeten hebben.

Met die 2 licenties kan hij gewoon op beide fysieke servers een Hyper-V core installatie doen (kost immers geen licentie) met daarop op iedere node 2 VM's (met 1 licentie mag je 2 VM opzetten), 1 VM voor de DC op die node (in totaal 2 DC's) en op iedere node een 2de installatie voor de SCADA applicatie server.

Chronia Lvl 60 Warlock Diablo 3

vrijdag 3 juli 2020 18:36

Acties:
  • +1Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 31-01 16:08

MAX3400

XBL: OctagonQontrol

@Dennism tenzij ik niet kan tellen; er zijn nu 2 licenties (ik neem aan Standard) aanwezig. Als je dan meer dan 2 VM's gaat optuigen boven op Hyper-V Core, dan heb je voor elke VM een eigen licentie nodig.

Je mag alleen "Server OS'en" doorlicenseren als je op je Hyper-V een Datacenter licentie hebt. En, maar ik moet even lezen, ook daar zitten weer beperkingen aan vanwege je core-count per node.

/edit: Ah, ik snap nu eigenlijk waar de woordenbrij zit. Met 2x Hyper-V licenseren met de bestaande Standaard-license, mag je per node 2 OSE's activeren (zegt Microsoft) dus dat is inderdaad wat @Dennism waarschijnlijk bedoelt. d:)b

[Voor 22% gewijzigd door MAX3400 op 03-07-2020 18:42]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 3 juli 2020 18:42

Acties:
  • +3Henk 'm!
  • Dennism
  • Registratie: September 1999
  • Nu online

Dennism

MAX3400 schreef op vrijdag 3 juli 2020 @ 18:36:
@Dennism tenzij ik niet kan tellen; er zijn nu 2 licenties (ik neem aan Standard) aanwezig. Als je dan meer dan 2 VM's gaat optuigen boven op Hyper-V Core, dan heb je voor elke VM een eigen licentie nodig.

Je mag alleen "Server OS'en" doorlicenseren als je op je Hyper-V een Datacenter licentie hebt. En, maar ik moet even lezen, ook daar zitten weer beperkingen aan vanwege je core-count per node.
Nee hoor, met een standaard licentie mag je 2 VM's optuigen, zie ook https://www.microsoft.com...ilentAuth=1&wa=wsignin1.0

Hyver-V Core heeft geen licentie nodig, mits je enkel de Hyper-V role draait op de fysieke node, je mag dus met 1 standaard licentie Hyper-V Core installeren op de fysieke node, met daarnaast 2 VM's, Datacenter is pas interessant vanaf (even snel uit mijn hoofd) 13 of meer VM's, tot dat moment is het stapelen van Standard license's goedkoper.

Chronia Lvl 60 Warlock Diablo 3

vrijdag 3 juli 2020 20:27

Acties:
  • +1Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Hyper-V Core is de weg te gaan. Dan kan je VM's draaien per host. En dan voor Scada de nodige hardware "toewijzen".

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

vrijdag 3 juli 2020 23:17

Acties:
  • Beste antwoord
  • +1Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Overigens een hele andere vraag.

Hoe zit het met je design?
Welke AD Services wil je allemaal gebruiken? Wil je web beheerd, of via conventionele MMC tooling?
Is je eerste DC een Full install of een Core?
Welke lagen van security wil je?
Hoe ziet je netwerk topologie er uit?
Wat is je IP nummerplan?
Moet het remote benaderbaar zijn?
Welke firewall heb je tussen Internet en de twee domein controllers?

Overigens, SCADA mag je niet op een Domein Controller installeren en moet altijd op een separate server. De correcte minimale architectuur is:

1 of 2 x VMware host of Hype-V host
1 of 2 x Domein controller, uit veiligheids overwegingen Core only wanneer het kan (Powershell leren) met daarop DNS en AD Services, dit moeten losse VM's zijn. 512MB/1GB geheugen met een 60GB disk is voldoende.
1 of 2 x SCADA server, dedicated voor SCADA
1 x RDS in Workgroupmode Windows server voor beheer.

Ik heb nog eens gekeken en vond nog ergens een link naar een simpele how-to:
https://automatech.com/wp...-Server-2012-R2-Final.pdf

[Voor 45% gewijzigd door Wim-Bart op 03-07-2020 23:25]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zaterdag 4 juli 2020 11:56

Acties:
  • 0Henk 'm!
  • The_Butler
  • Registratie: April 2001
  • Nu online

The_Butler

Topicstarter
Wim-Bart schreef op vrijdag 3 juli 2020 @ 23:17:
Overigens een hele andere vraag.

Hoe zit het met je design?
Welke AD Services wil je allemaal gebruiken? Wil je web beheerd, of via conventionele MMC tooling?
...Je komt voor advies op tweakers om een service en aan het eind van de discussie loop je weg met een nieuwe architectuur.

Goed; in het kort is hier mijn project (ik ben trouwens specialist in veiligheids PLC's en weet het een en ander van IT maar ben absoluut geen guru).

Het project is een nieuwbouw industriele faciliteit in het zuidelijk halfrond, welke wordt gebouwd naast een bestaande faciliteit van de klant. Zowel proces (pijpwerk) als IT zal deels moeten integreren met de bestande site. IT is een puinhoop daar (verschillende partijen hebben systemen staan, operators hebben toegang tot USB poorten, kritieke netwerken kunnen betrekkelijk eenvoudig betreden worden etc.

Tijdens een vergadering over de architectuur en cyber security had ik naar voren gebracht om het project zoveel mogelijk op zich zelf te laten staan van IT perspectief, een eigen redundant (twee keer uitgevoerd) netwerk, redundate servers voor de SCADA, 5 operator stations met 2 of 4 monitoren etc...

Er moet wel verbinding met de buitenwereld zijn; er is een link naar het ERP systeem van de klant welke belangrijke data van de klant verstuurd (stock management, lopende en afgehandelde orders voor billing etc dit is trouwens niet eenrichtingsverkeer). Ook moet er, helemaal met de Covid-19 bende een manier zijn om het hele systeem van buitenaf te benaderen voor faultfinding en support.

De systemen voor de operators op de site moeten compleet dichtgetimmerd zijn (Gebruiker mag geen USB gebruiken, mag niet eigen programmas opstarten of de SCADA client uitschaken etc), normaal vind ik het prettig om dit via group policies te doen - vandaar mijn beslissing om AD te gebruiken. Ook zullen er nieuwe client machines op een later tijdstip bijgezet worden, maar de kans is groot dat ik daar niet persoonlijk bij kan zijn.

Mijn gekozen architectuur:

Server 01 - Draait SCADA (primary) , is AD, slaat plant data op voor 3 jaar
Server 02 - Draait SCADA (secondary), is backup AD en slaat ook plant data op voor 3 jaar
Server 03 - Draait Microsoft SQL - 1 netwerk poort is gereserveerd voor verkeer naar SAP
5 Clients (HP Z2)
1 engineering workstation met alle relevante ontwikkeling software
2 Managed switches die alleen voor het interne netwerk bedoeld zijn
Er is ook 2km glasvezel om te communiceren met apperatuur in de haven maar dat is niet echt relevant

Om toegang naar buiten te regelen ga ik werken met een kleine switch die specifiek aangezet moet worden om dan via het netwerk van de klant een remote desktop verbinding te geven naar mijn engineering workstation.

De SCADA software werkt met USB licenties waarop ook de licenties voor de clients staan. Voor zover ik weet kan een Sentinel USB licentie niet werken in een virtualisatie omgeving.

...als ik had geweten dat mjin SCADA software zoveel moeite had met windows 2019 server dan had ik waarschijnlijk een andere architectuur gekozen. Ik vond alleen het gemak van group policies en de flexibiliteit om een veilig netwerk op te bouwen het waard. Ook omdat de SAP consultant het erover had om een soort van Java plugin te installeren op mijn systeem voor de communicatie, en wie weet komen er nog andere software paketten om de hoek kijken; ik wil in feite de architectuur zo hebben omdat ik altijd de rechten op de PC's Servers goed kan instellen.

Dus, dit is het project
/roastme

at your service

zaterdag 4 juli 2020 12:24

Acties:
  • +1Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 31-01 16:08

MAX3400

XBL: OctagonQontrol

The_Butler schreef op zaterdag 4 juli 2020 @ 11:56:
[...]


...Je komt voor advies op tweakers om een service en aan het eind van de discussie loop je weg met een nieuwe architectuur.
Stom he? ;)
een manier zijn om het hele systeem van buitenaf te benaderen voor faultfinding en support.
Tenzij ik iets mis; daar gaat je huidige inrichting en het voorstel van @Wim-Bart niet veel aan doen? "Buitenaf" is nogal breed gedefinieerd dus allicht gaat dit (aanzienlijk) extra geld, tijd en spullen kosten. Meer info?
Architectuur
In https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=7820156 staat een heel ander voorstel; sowieso wordt daar gesproken over de inzet van RODC's. Dit is zijdelings / naast het advies wat we hierboven al geven om bij absolute voorkeur je DC's je DC's te laten zijn en niks anders erop te installeren.

"Backup AD" bestaat niet; in principe zijn alle DC's in een domain (en waarschijnlijk bij jou ook meteen het forest) DC alleen de FSMO's zijn natuurlijk niet allemaal tweeledig uitgevoerd.
De SCADA software werkt met USB licenties waarop ook de licenties voor de clients staan. Voor zover ik weet kan een Sentinel USB licentie niet werken in een virtualisatie omgeving.
Dat zou ik nog eens nazoeken; je kan namelijk wel "fysieke hardware" zoals een USB-poort, harddrive, in sommige gevallen een GPU, direct toewijzen / koppelen aan een VM.
/roastme
Meh, je legt alles goed uit en staat open voor kritiek; daar hoeven we geen roast voor te organiseren :)

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zaterdag 4 juli 2020 12:30

Acties:
  • 0Henk 'm!
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

Offtopic, maar ben benieuwd naar het volgende:
De bron die TS geeft: https://thesolving.com/se...-active-directory-domain/

Heeft het over PDC en BDC. Voor zover ik weet kun je Multimaster niet uitschakelen sinds Windows 2000, maar het artikel gaat uit van PDC/BDC technologie, voor zover ik weet voor het laatst gebruikt in NT4. Kan Multimaster dus wel uit? En wat zijn dan de caveats? Is een ADDS server dan nog steeds snapshot aware? Uitschakelen van Multimaster kan namelijk handig zijn voor debugging van simpele omgevingen voor luie sysadmins.

[Voor 4% gewijzigd door Trommelrem op 04-07-2020 12:30]

zaterdag 4 juli 2020 12:35

Acties:
  • 0Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 31-01 16:08

MAX3400

XBL: OctagonQontrol

Trommelrem schreef op zaterdag 4 juli 2020 @ 12:30:
....
In essentie kan je nog steeds, als je zou willen, inderdaad N+1 DC's hebben of er (semi-bewust) voor kiezen om 1 DC te hebben. Er zijn tientallen scenario's valide om te kiezen voor eender aantal DC's dus daar zit op zich niks nieuws in.

ADDS snapshot-aware? Niet volledig maar snapshot "waar"? Op VM-niveau? Of System-State achtige zaken? Je kan bijna je hele DC ook "scripted" alles naar een share of tape laten schrijven. Maar waarom zou je; een extra DC (en zeker klein / virtueel) kost de wereld niet en het transferren van FSMO is ook "logischer / makkelijker" geworden de laatste jaren.

Ik draai je vraag, alhoewel nuttig, even om: waarom bekrompen(er) met een omgeving omgaan als het mucho flexibeler en robuuster kan?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zaterdag 4 juli 2020 12:43

Acties:
  • 0Henk 'm!
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

MAX3400 schreef op zaterdag 4 juli 2020 @ 12:35:
[...]
In essentie kan je nog steeds, als je zou willen, inderdaad N+1 DC's hebben of er (semi-bewust) voor kiezen om 1 DC te hebben. Er zijn tientallen scenario's valide om te kiezen voor eender aantal DC's dus daar zit op zich niks nieuws in.
Voor zover ik weet is een single ADDS server prima, mits goed gebackupt en mits er geen tweede server is met een Azure AD Sync.

Ik vroeg mij alleen af hoe je nu nog een PDC/BDC kunt configureren. Ik dacht dat dat iets was uit het NT4 tijdperk en dat je tegenwoordig alleen een PDC rol hebt, maar dat dat geheel anders is dan de vroegere NT4 PDC.
ADDS snapshot-aware? Niet volledig maar snapshot "waar"? Op VM-niveau? Of System-State achtige zaken? Je kan bijna je hele DC ook "scripted" alles naar een share of tape laten schrijven. Maar waarom zou je; een extra DC (en zeker klein / virtueel) kost de wereld niet en het transferren van FSMO is ook "logischer / makkelijker" geworden de laatste jaren.
Is er sinds 2012 niet iets als USN rollback waarmee een server met ADDS rol zich bewust is dat er een snapshot op VM niveau is teruggezet?
Ik draai je vraag, alhoewel nuttig, even om: waarom bekrompen(er) met een omgeving omgaan als het mucho flexibeler en robuuster kan?
Geen idee, ik vroeg mij gewoon af of de BDC rol nou was verdwenen of niet. Ik dacht dat dat sinds Windows 2000 weg was en dat alleen NT4 nog een PDC en BDC had. Ik houd mij in het dagelijkse leven niet bezig met de technische inrichtingen van domain controllers, dus ik kan het natuurlijk verkeerd hebben.

zondag 5 juli 2020 01:06

Acties:
  • 0Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

The_Butler schreef op zaterdag 4 juli 2020 @ 11:56:
[...]


...Je komt voor advies op tweakers om een service en aan het eind van de discussie loop je weg met een nieuwe architectuur.
[...]
Duidelijke omschrijving. Waar ik een paar key-punten uit haal.
  • Het moet veilig, wat onderverdeeld is tussen werkstations en servers.
  • Er moet een methodiek van "externe" toegang komen.
  • Het moet stabiel zijn.
  • Het moet integer zijn.
Je kan al zien dat dus de basis behoefte niet in techniek zit (wee moeten dit gebruiken, om dat te doen). Waardoor je zaken netjes kan opsplitsen in deel projecten.

Je wilt een aantal zaken regelen met behulp van Active Directory. Op zich niks mis mee, zou ook mijn eerste keuze zijn wanneer je in een Windows omgeving zit. Dus niks mis mee om op verder te borduren. Echter zou ik toch ook even kijken naar andere oplossingen. Zeker om het aantal aanvalsvectoren te vergroten, waardoor hacken van het systeem moeilijker wordt.

Even uitgaande van de volgende configuratie:
Active Directory - je wilt een integer, redundant systeem, wat natuurlijk niet via "gaten" in andere software aangevallen kan worden.
Database server - Dit moet ook een veilig systeem zijn, en een integer systeem.
Scada server - Deze server moet veilig zijn en dubbel uitgevoerd.
Werkstations - Beheerd met group policies en dergelijke.

Mijn aanpak, met beperkte middelen, zou het volgende zijn:
1. Virtualiseer
2. Verdeel

Ik zou eerst definiëren welke omgevingen ik heb. Aan de hand van dit zou ik een aantal "VLANs" de lucht in trappen:
VLAN1 - Beheer
VLAN2 - Backend
VLAN3 - Frontend
VLAN666 - DMZ (als dat er is)

Daarnaast zou ik deze VLAN's op de 2 fysieke servers beschikbaar maken, netjes via 2 adapters per server, of eventueel adapters 4 per server.

Ik zou zelf geen Hyper-V nemen, reden is niet nodig. Pak gewoon de gratis ESX versie. Je hebt 2 hosts, dus waar praten we over. Wil je er een cluster van maken, kan dat later ook nog. Gewoon upgraden.

De beheer interface van ESX en de (R)ILO/AMT/... interfaces van je hosts en je Switches stop je in dit VLAN, VLAN 1 dus.
Op je eerste host tuig je een pFSense VM op, die zorgt tussen het verkeer van de VLANs, eventueel een tweede op de tweede host. pFSense kan zonder problemen verkeer routeren, maar wel lekker veilig.
(https://docs.netgate.com/...ng-high-availability.html)

Je tweede actie wordt twee domein controllers. De eerste wordt een full Windows installate, de tweede wordt een core only. Deze komen in de backend VLAN. Benodigde poorten worden via de pfSense open gezet naar de domein controllers, zoals DNS, DHCP, AD Services.

De derde actie wordt inrichten van de SCADA servers in het frontend VLAN. Deze installeer je op de twee nieuwe virtuele machines. En die geef je lekker veel geheugen en cores. Omdat je maar 2 standaard licenties hebt mag je maar 4 Windows VM's installeren. Daarom wordt Stap 4 uitgevoerd op deze servers.

De vierde actie is inrichten 2 x SQL Server en bouw een always-on cluster op de twee Windows VM's waar scada op staat. Voordeel is, wanneer 1 host/server weg valt, alles blijft draaien.

Ik heb even wat snel zitten schetsen...

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zondag 5 juli 2020 12:52

Acties:
  • 0Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 31-01 15:57

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat zijn nu exact je requirements? Ik leest iets over remote access, toegang tot een ERP systeem, iets met security en dan ook nog redudantie.

Precies voor industriele toepassingen is een (semi) industrie standaard ontwikkeld door Cisco en Rockwell. Deze heet heel toepasselijk "Ethernet to the Factory". Deze standaard gaat héél ver, en misschien wel te ver voor jullie requirements, maar ik zou er toch even met een schuin oog naar gaan kijken. :)

Ethernet-to-the-Factory 1.2 Design and Implementation Guide

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 6 juli 2020 13:14

Acties:
  • 0Henk 'm!
  • The_Butler
  • Registratie: April 2001
  • Nu online

The_Butler

Topicstarter
Wim-Bart schreef op zondag 5 juli 2020 @ 01:06:
[...]

Je kan al zien dat dus de basis behoefte niet in techniek zit (wee moeten dit gebruiken, om dat te doen). Waardoor je zaken netjes kan opsplitsen in deel projecten.
Bedankt voor je heldere uiteenzetting! Ik hebnogal veel op me'n bord op dit moment maar zal hier later zeker op terug komen.

at your service

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee