Hyper-V best practice

Je hebt gelijk dat een mogelijke attack-surface "groter" is bij een GUI-based uitvoering. Andersom, je totale TCO & beheer wordt, zeker in deze opstelling, juist negatiever want zodra je je host patcht (met exact!!! dezelfde patches als een GUI-host), moet ie ook herstarten.

En al je VM's zijn allemaal nu single point of failure voor elke organisatie. Maar die moet je dus ook patchen en herstarten.

Daarnaast, met 1 host en geen "beheer domain"; hoe ga je vulnerabilities scheiden zodat beide organisaties geen last van elkaar hebben?

Microsoft gaat volgend jaar stoppen met hyper-v server.

Een Core server installatie los van het domein is in theorie veiliger, maar in de praktijk betekent het dat je nu 4 VMs hebt die je onderhoudt en een losse hypervisor die je niet onderhoudt
Daarnaast, mocht je in de toekomst naar 2 servers of meer gaan wordt live migration mogelijk. Microsoft roept nog steeds dat dit ook zonder domein kan maar in de praktijk werkt het voor geen meter (1 op de 10 pogingen werkt het )
Overigens gaat Microsoft niet volgend jaar stoppen met Hyper-V server, ze brengen Hyper-V Server 2022 niet uit, Hyper-V Server 2019 blijft nog tot in 2024 supported.

Niet dat dit voor TS uit maakt, de gratis Hyper-V Server zou duurder zijn in licenties gek genoeg...
Als je Hyper-V Server op de Hypervisor installeert:
4x Server Standard voor de VMs

Als je Server 2022 Standard op de Hypervisor installeert met de Hyper-V role erbij:
2x Server Standard, waarvan 1 voor de fysieke server. Beide Standard licenties geven je het recht om 2 Standard VMs op die fysieke server te activeren.

Oftewel wil je 2 of 4 licenties kopen

@Ben(V) @RGAT met extended support 2029 maar soit; alles heeft een prijs

Overigens kan je ook (alvast) gaan inlezen in Azure HCI; het is niet specifiek en per definitie in de cloud maar wel een "more cost effective" manier om te virtualiseren & licenseren.

mvandek2 schreef op zaterdag 18 december 2021 @ 18:33:
[...]

De hypervisor onderhouden we natuurlijk ook maar dat zal veel minder zijn en daardoor minder kritisch dan een volledige Windows 2019 Server.

Die vind ik raar; als je host het niet meer doet, doen 4 VM's het niet. En niets is, in je test, redundant uitgevoerd.

RGAT schreef op zaterdag 18 december 2021 @ 18:18:


Niet dat dit voor TS uit maakt, de gratis Hyper-V Server zou duurder zijn in licenties gek genoeg...
Als je Hyper-V Server op de Hypervisor installeert:
4x Server Standard voor de VMs

Als je Server 2022 Standard op de Hypervisor installeert met de Hyper-V role erbij:
2x Server Standard, waarvan 1 voor de fysieke server. Beide Standard licenties geven je het recht om 2 Standard VMs op die fysieke server te activeren.

Oftewel wil je 2 of 4 licenties kopen

Dit maakt niets uit qua licenties.

Met 1 Windows Server Standaard licentie mag je 2 VM's installeren op een host, of de onderliggende hypervisor nu vSphere is, een gratis Hyper-V Server variant of dat je kiest om Windows Server Standard te installeren met de Hyper-V rol, in dit laatste geval mag echter die fysieke Server Standard installtie geen andere rollen vervullen, die je dat wel neemt de fysieke installatie namelijk wel een licentie in en zou je voor 1 fysieke installatie en 4 VM's 3 licenties nodig hebben.

Wil je dus 4 VM draaien op een host, heb je altijd 2x licentie nodig voor Windows Server standard en in niche gevallen 3 licenties, nooit 4.

[Voor 12% gewijzigd door Dennism op 18-12-2021 18:46]

Dennism schreef op zaterdag 18 december 2021 @ 18:42:
[...]


Dit maakt niets uit qua licenties.

Met 1 Windows Server Standaard licentie mag je 2 VM's installeren op een host, of de onderliggende hypervisor nu vSphere is, een gratis Hyper-V Server variant of dat je kiest om Windows Server Standard te installeren met de Hyper-V rol, in dit laatste geval mag echter die fysieke Server Standard installtie geen andere rollen vervullen, die je dat wel neemt de fysieke installatie namelijk wel een licentie in en zou je voor 1 fysieke installatie en 4 VM's 3 licenties nodig hebben.

Wil je dus 4 VM draaien op een host, heb je altijd 2x licentie nodig voor Windows Server standard en in niche gevallen 3 licenties, nooit 4.

Heb je daar een bron oid van? Want volgens Microsoft is het:

2 Windows Server Standard edition permits use of one running instance of the server software in the physical OSE on the licensed server (in
addition to two virtual OSEs), if the physical OSE is used solely to host and manage the virtual OSEs.

(Bron-PDF)
Oftewel je mag er 2 VMs op activeren zolang de licentie ook op de fysieke host gebruikt is.

mvandek2 schreef op zaterdag 18 december 2021 @ 18:33:
[...]

De hypervisor onderhouden we natuurlijk ook maar dat zal veel minder zijn en daardoor minder kritisch dan een volledige Windows 2019 Server.
Qua licenties heb je inderdaad een punt.

Zie hier precies de reden dat het een slecht idee is om de Hypervisor los te beheren, je wilt die nu al minder gaan onderhouden. Over een jaar onderhoudt je 'm niet/nauwelijks
Zeker in jouw geval: je hebt geen redundantie, die 4 VMs zijn minder kritisch dan de hypervisor waar ze op draaien, de hypervisor zou je grootste zorg en prioriteit moeten krijgen.

Overigens bedenk ik me net dat je er met een paar losse Server Standard licenties niet bent... Je hebt 28 cores, 16 daarvan zitten in de licentie, je hebt er 12 'teveel' en mag dus (volgens de HPE calculator):
Windows Server® Standard Additional License APOS (16 core) 1
Windows Server® Standard Additional License APOS (4 core) 3
Er bij kopen

[Voor 28% gewijzigd door RGAT op 18-12-2021 18:59]

RGAT schreef op zaterdag 18 december 2021 @ 18:52:
[...]


Heb je daar een bron oid van? Want volgens Microsoft is het:

[...]
(Bron-PDF)
Oftewel je mag er 2 VMs op activeren zolang de licentie ook op de fysieke host gebruikt is.

Je linkt de bron

2 Windows Server Standard edition permits use of one running instance of the server software in the physical OSE on the licensed server (in
addition to two virtual OSEs), if the physical OSE is used solely to host and manage the virtual OSEs.

Als jij een andere rol installeert op die fysieke installatie (of applicaties, denk bijvoorbeeld aan een backup applicatie, een veel gemaakte fout) dan de Hyper-V rol, dan snoept die fysieke installatie een licentie op.

Installeer je alleen de Hyper-V rol op de fysieke host, dan geeft diezelfde standard licentie je het recht 2 VM's te installeren naast de fysieke installatie op de host.

Dennism schreef op zaterdag 18 december 2021 @ 18:58:
[...]


Je linkt de bron


[...]


Als jij een andere rol installeert op die fysieke installatie (of applicaties, denk bijvoorbeeld aan een backup applicatie, een veel gemaakte fout) dan de Hyper-V rol, dan snoept die fysieke installatie een licentie op.

Installeer je alleen de Hyper-V rol op de fysieke host, dan geeft diezelfde standard licentie je het recht 2 VM's te installeren naast de fysieke installatie op de host.

Ging mij vooral om je stelling:

of de onderliggende hypervisor nu vSphere is, een gratis Hyper-V Server variant of dat je kiest om Windows Server Standard te installeren met de Hyper-V rol

In de quote zou de gratis Hyper-V server namelijk niet mogen hiermee aangezien de physical OSE dan niet met je licentie geactiveerd is, zelfde geldt voor vSphere natuurlijk. Dit is ook wat Microsoft in de MCSA's aanleert (naja, totdat ze die begin dit jaar stopte...)

Het niks naast de Hypervisor mogen installeren geldt alleen voor Hyper-V Server, een Server Standard met Hyper-V role kan je prima ook VeeAm oid op installeren zonder de licentie ongeldig te maken.

Waarom maakt Microsoft nou niet zelf eens een calculator met ondubbelzinnige uitleg van hoe het exact werkt, waar je gewoon zegt 'ik heb x cores en y sockets en wil z VMs' en je krijgt een offerte voorgeschoven voor licenties

[Voor 8% gewijzigd door RGAT op 18-12-2021 19:04]

Wat een gereutel over "licenties". Ja, een auditor of anderszins controle zal vast aantonen dat er niet betaald is.

@mvandek2 wil testen! En volgens mij mag dat zonder meer zonder licentie. Ik denk toch dat niemand hier, desnoods in een thuislabje, eerst alles gaat licenseren samen met de accountant.

En anders is er nog een omweg: download de officiele trials van Microsoft. Die werken 100% functioneel. En je overtreed gedurende de trial geen enkele regel.

MAX3400 schreef op zaterdag 18 december 2021 @ 19:21:
Wat een gereutel over "licenties". Ja, een auditor of anderszins controle zal vast aantonen dat er niet betaald is.

@mvandek2 wil testen! En volgens mij mag dat zonder meer zonder licentie. Ik denk toch dat niemand hier, desnoods in een thuislabje, eerst alles gaat licenseren samen met de accountant.

En anders is er nog een omweg: download de officiele trials van Microsoft. Die werken 100% functioneel. En je overtreed gedurende de trial geen enkele regel.

Voor testen gebruik je uiteraard geen betaalde licentie, daar kan je inderdaad prima trials voor gebruiken.
Echter ga je ooit live na de test is het wel handig je licenties goed op orde te hebben als het zakelijk ingezet wordt

Ik zou als ik TS was gewoon voor Server standard kiezen en niet voor Hyper-V server in dat geval, Hyper-V server zal immers vervallen in de toekomst en met een standaard licentie kan je zelf kiezen of je voor een installatie met GUI gaat of voor een Core installatie die minder onderhoud vereist.

Dennism schreef op zaterdag 18 december 2021 @ 19:27:
[...]

Echter ga je ooit live na de test is het wel handig je licenties goed op orde te hebben als het zakelijk ingezet wordt

Ik denk dat topicstarter dan ook nog wel wat andere designs & argumenten mag oplossen

We wachten af; het weekend is net halverwege en allicht leidt de lockdown tot nieuwe inzichten

mvandek2 schreef op zaterdag 18 december 2021 @ 18:00:
Ik ben Hyper-V aan het testen om er 2 kleine organisaties (<10 medewerkers) mee te virtualiseren, beide krijgen 2 VMs met Windows 2019 Server Standard als resp. DC/fileserver en RDS server.
Totaal dus 4 VMs op een host met 2x E5-2680 v4 / 128Gb / 2x 480SSD en 2x 4Tb Sata in Raid1.

Na me ingeGoogled en testomgevingen gemaakt te hebben begrijp ik niet waarom er veel wordt aangeraden Windows 2019 server met hyper-V role als host te gebruiken en de host met een domein te joinen omwille veiligheid.
Het lijkt mij juist het beste de host zo onkwetsbaar mogelijk te maken, dus Hyper-V Server 2019 (wat volgens mij een uitgeklede Windows 2019 Server core is) als host en verder stand-alone laten.

Het is natuurlijk wel gemakkelijk om Window server als host te hebben met alle vertrouwde functionaliteit maar niet veiliger en verder lijkt het me alleen maar nadelen hebben qua onderhoud, updates, herstarts, enz.

Wat is volgens jullie best-practice?

Waarom überhaupt voor een bedrijf wat <10 medewerkers een hele hyperv constructie optuigen?
Alles in Azure / Microsoft 365 hangen is een denk ik een veel betere optie.

Gebruik Azure AD + Intune ipv je AD server, gebruik sharepoint of Azure storage ipv Fileserver en gebruik Microsoft 365 Virtual desktop ipv RDS dan heb je een omgeving welke denk ik wel minder kost en qua onderhoud minder nodig heeft en modern is.

Wil je wel echt vm’s blijven draaien pak dan Azure VM’s met Server 2022 en hot patching. Als je echt om-prem hyper-v wilt maak dan of een cluster of maak een shared Nothing constructie tussen je nodes zodat je live migratie kan configureren voor je HA.

[Voor 7% gewijzigd door HKLM_ op 18-12-2021 19:44]

Dennism schreef op zaterdag 18 december 2021 @ 19:06:
[...]


Hyper-V server is gratis, die physical ose behoeft geen betaalde licentie als je dat als basis gebruikt. Een gratis vSphere variant bijvoorbeeld ook niet. Een betaalde vSphere variant natuurlijk wel, maar die koop je bij VMware

De VM's moeten natuurlijk wel worden afgedekt wanneer je Hyper-V server of vSphere gebruikt software gebruikt, daarvoor gebruik je per 2 VM's (bij 16 cores max) een Windows Server standard licentie, of een datacenter licentie als je in een keer alle VM's wil afdekken.


[...]


Nee, dat mag dus niet, hou dat maar eens lang een auditor Daar kan je keihard op nat gaan.

Bij Windows Standard, gebruik je in de fysiek OSE alleen de hyper-v rol mag je 2 VM's installeren, installeer je een andere rol, of bij bijvoorbeeld Veeam, dan snoept de fysieke OSE een licentie op en mag je nog maar 1 VM installeren met die licentie en heb je voor VM 2 en 3 een 2de licentie nodig, voor 4 en 5 een 3de etc.

Je hebt daar dus eigenlijk 2 mogelijkheden.

Hyper-V standard met 1 alleen Hyper-V rol kost je fysieke OSE geen licentie en mag je met 1 licentie 2 VM's activeren, met 2 licenties 4, met 3 licenties 6 en ga zo verder.

Hyper-V standard met meerdere rollen, denk aan de Hyper-V rol, maar bijvoorbeeld ook ingezet in een backup rol dan kost je fysieke installatie je wel een licentie en mag je dus 1 fysieke OSE installeren met die licentie en 1 VM en heb je voor VM 2 en 3 een 2de standaard licentie nodig, voor 4 en 5 een 3de en zo verder.

Dit klopt dus gewoon niet, dit zijn verschillende SKU's:
Hyper V Server (2016/2019)
Windows Server 2016-2022

Hyper-V Server is niet hetzelfde als Server Standard met de Hyper-V role.
Op Hyper-V Server mag je dus niet andere zaken op de fysieke host installeren behalve containers/VMs.
Op Server 2022 Standard met Hyper-V role heb je een licentie nodig en mag je doen wat je wilt met de fysieke host.

Wat je stelt klopt niet en wordt door o.a. de bron die ik aanhaalde van Microsoft zelf nota bene tegengesproken, dit komt ook duidelijk terug in hun MCSA certificering dat wat je zegt niet klopt.
Kan je dit dus onderbouwen met een bron of is het alleen maar dat je het zo ooit hebt ingesteld en er in Settings 'activated' staat? Dat kan ik namelijk ook met een 12 eurocent licentie van Aliexpress bereiken maar is natuurlijk niet de bedoeling.

Hyper-V Server is gratis op de fysieke host, je betaalt voor de VMs (en dan dus niet 1 Standard key voor 2 VMs maar 1 key per VM) daarom is Hyper-V Server gratis: je betaalt het terug in de VM licenties.
Hier mag je op de fysieke host niets extra installeren, het is een hypervisor en meer niet. Dus geen AD, geen Steam, geen VeeAm etc.

Server Standard op de fysieke host kost je 1 Standard licentie en geeft je het recht op DIE machine met Server Standard licentie 2 Server Standard VMs te activeren. Als je dan VeeAm, BitTorrent, Wireshark enz op de fysieke machine installeert blijft de licentie geldig.

Dit is hoe Microsoft zegt hoe het zit, dat je Hyper-V Server nog steeds 'activated' zegt nadat je er andere zaken op installeert maakt het nog niet geldig en je komt dan inderdaad die audit niet door.
Met een Server Standard hypervisor met Hyper-V role en VeeAm geinstalleerd kom je prima door die audit, dit is gewoon ook aangeraden door zowel Microsoft als VeeAm (en vele andere backup providers). Als je er dan BitTorrent naast installeert kom je nog steeds door een licentie audit van Microsoft maar een security audit van een derde partij kan problemen geven +)

@RGAT

Je hebt deels gelijk, het klopt inderdaad dat Hyper-V server een 1:1 verhouding heeft, en geen 1:2 verhouding wanneer je standaard licenties toepast. Dit was me inderdaad even ontschoten, moet ook zeggen dat ik dit product buiten PoC's nog nooit heb toegepast.

Wat op zich wel vreemd is, immers waarom dan Hyper-V server gebruiken als je al standard licenties koopt om je cores mee af te dekken voor de VM's, dan kan je net zo goed Windows Server standaard core installeren met de Hyper-V rol, dat is praktisch gezien hetzelfde, maar dan mag je wel 2 VM's installeren met dezelfde licentie. Dit zal verwacht ik dan ook wel een van / de reden(en) zijn dat MS stopt met Hyper-V server.

Server Standard op de fysieke host kost je 1 Standard licentie en geeft je het recht op DIE machine met Server Standard licentie 2 Server Standard VMs te activeren. Als je dan VeeAm, BitTorrent, Wireshark enz op de fysieke machine installeert blijft de licentie geldig.

Dat klopt echter nog steeds niet, wanneer je in de fysieke OSE rollen of software installeert die niet gebruikt wordt voor het managen van de virtuele OSEs.

Dat staat ook duidelijk in de PDF van MS:

2 Windows Server Standard edition permits use of one running instance of the server software in the physical OSE on the licensed server (in
addition to two virtual OSEs), if the physical OSE is used solely to host and manage the virtual OSEs.

Waarbij 'solely' het kernwoord is, die fysieke OSE mag niets anders doen dan het managen van de VM's (heel basaal, het uitvoeren van de Hyper-V rol). Iets als Veeam zou daar een discussie punt kunnen zijn (immers is het maken van backups het hosten en managen van VM's, de een zal ja zeggen, de ander nee) en dan kun je beter aan de veilige kant zitten en Veeam dus beter op een andere machine / VM draaien, maar bijv. het draaien van Bittorrent is zeker niet in dienst van het hosten en managen van de VM's.

[Voor 7% gewijzigd door Dennism op 18-12-2021 20:38]

mvandek2 schreef op zaterdag 18 december 2021 @ 19:42:
[...]

Ik zeg niet dat ik de host minder wil onderhouden, die houden we ook up-to-date maar omdat er minder functionaliteit te onderhouden is zal het onderhoud "minder" (updates, patches, enz.) zijn.

Soms vraag ik me serieus af waarom bepaalde antwoorden niet gelezen/begrepen worden en dat er dan hetzelfde wordt herhaald door de topicstarter?

Ik zeg letterlijk niet dat dit alles is (of juist teveel) maar als je beetje rondkijkt: https://www.manageengine....dition-(x64)-updates.html versues https://www.manageengine....dition-(x64)-updates.html is allebei 331 patches.

@mvandek2 waarom denk / zeg je dat je minder onderhoud nodig hebt? Er is juist meer onderhoud omdat je niet alleen exact moet weten wat je op de host uitspookt maar ook moet realiseren of/wat voor invloed dat heeft op je guests. En je restore-mogelijkheden. En of je niet (ook) in een patchronde drivers moet updaten.

Dennism schreef op zaterdag 18 december 2021 @ 20:33:
@RGAT

Je hebt deels gelijk, het klopt inderdaad dat Hyper-V server een 1:1 verhouding heeft, en geen 1:2 verhouding wanneer je standaard licenties toepast. Dit was me inderdaad even ontschoten, moet ook zeggen dat ik dit product buiten PoC's nog nooit heb toegepast.

Wat op zich wel vreemd is, immers waarom dan Hyper-V server gebruiken als je al standard licenties koopt om je cores mee af te dekken voor de VM's, dan kan je net zo goed Windows Server standaard core installeren met de Hyper-V rol, dat is praktisch gezien hetzelfde, maar dan mag je wel 2 VM's installeren met dezelfde licentie. Dit zal verwacht ik dan ook wel een van / de reden(en) zijn dat MS stopt met Hyper-V server.


[...]


Dat klopt echter nog steeds niet, wanneer je in de fysieke OSE rollen of software installeert die niet gebruikt wordt voor het managen van de virtuele OSEs.

Dat staat ook duidelijk in de PDF van MS:


[...]


Waarbij 'solely' het kernwoord is, die fysieke OSE mag niets anders doen dan het managen van de VM's (heel basaal, het uitvoeren van de Hyper-V rol). Iets als Veeam zou daar een discussie punt kunnen zijn (immers is het maken van backups het hosten en managen van VM's, de een zal ja zeggen, de ander nee) en dan kun je beter aan de veilige kant zitten en Veeam dus beter op een andere machine / VM draaien, maar bijv. het draaien van Bittorrent is zeker niet in dienst van het hosten en managen van de VM's.

Denk dat het punt van Hyper-V Server vooral een poging was vanuit Microsoft om de gratis VMWare gebruikers naar zich toe te trekken (hobbyisten en kleine zakelijke omgevingen), aangezien 2022 het niet meer heeft lijkt het erop dat Microsoft ook door heeft dat gratis klanten nauwelijks betalen (of ze proberen nog meer hun Azure omgeving te pushen hiervoor...)

Fair point overigens, zie het nu ook staan nu je het zegt (over de fysieke OSE alleen voor managen van de VMs), ik moet nog eens in de lesboeken terug kijken want ik zou zweren dat de MCSA's dit letterlijk als selling point noemen dat je juist wel andere zaken kan installeren

Denk dat we het iig ongeacht hoe het nou zit wel eens zijn dat Microsoft Server licenties nou niet bepaald logisch of makkelijk gemaakt zijn Volgende stap zijn de CALs en eventuele SQL licenties Microsoft: maak een cmdlet/tool om alles op een server (inclusief VMs enz) te indexeren en een totale prijs voor alle licenties te berekenen, zoals het nu is, snapt niemand er meer wat van...

RGAT schreef op zaterdag 18 december 2021 @ 22:37:


Denk dat we het iig ongeacht hoe het nou zit wel eens zijn dat Microsoft Server licenties nou niet bepaald logisch of makkelijk gemaakt zijn Volgende stap zijn de CALs en eventuele SQL licenties Microsoft: maak een cmdlet/tool om alles op een server (inclusief VMs enz) te indexeren en een totale prijs voor alle licenties te berekenen, zoals het nu is, snapt niemand er meer wat van...

Op zich valt het nu nog wel mee, het is in het verleden wel erger geweest. SQL is nu met core licenties bijvoorbeeld ook een stuk makkelijker. Deployments met CALs zie ik eigenlijk amper meer, al zal dat bij bepaalde software mogelijk nog wel populair zijn.

MS heeft trouwens wel van dat soort tools (in ieder geval gehad, ik weet niet hoe actief ze daar nog op ontwikkelen) maar dat was ook geen succes. Zelfs met die tools was je bij een beetje audit nog weken bezig

[Voor 6% gewijzigd door Dennism op 18-12-2021 22:41]

@RGAT @Dennism Microsoft SILA ?

En ja, er was nog een tool van ze; bij voorkeur op een aparte server, moest een week of wat meedraaien, de logs waren huge en soms kreeg je daarna nooit meer feedback van de auditor of Microsoft.

mvandek2 schreef op zaterdag 18 december 2021 @ 22:47:
[...]
Ik stel alleen dat Hyper-V Server funtioneel armer is dan Windows 2019 Server en dat dit logischer wijs minder patches moet betekenen.

Je hebt mijn linkjes dus niet gelezen / bekeken? Er zijn letterlijk dezelfde patches uitgebracht. In aantal. In KB-nummer. En in datum.

Dus logischerwijs (volgens jou) zouden er minder patches zijn. Niets is minder waar.

MAX3400 schreef op zaterdag 18 december 2021 @ 22:50:
[...]

Je hebt mijn linkjes dus niet gelezen / bekeken? Er zijn letterlijk dezelfde patches uitgebracht. In aantal. In KB-nummer. En in datum.

Dus logischerwijs (volgens jou) zouden er minder patches zijn. Niets is minder waar.

Dat hetzelfde aantal patches uitgebracht is wil niet alles zeggen, zo heel een core installatie vaak minder patches nodig dan een installatie met Gui, terwijl ze wel hetzelfde aantal patches in de repository hebben.

Daarnaast heeft een core versie niet altijd een reboot nodig bij een bepaalde patches, datzelfde resultaat kun je echter bereiken door je Server Standard gewoon in core modus te installeren in plaats van in Gui mode.

een Core install (wat Hyper-V server altijd is) heeft wat updates en restarts betreft wel degelijk minder onderhoud nodig dan een Gui install van Windows Server Standard wanneer beide voorzien zijn van dezelfde rollen.

MAX3400 schreef op zaterdag 18 december 2021 @ 22:43:
@RGAT @Dennism Microsoft SILA ?

En ja, er was nog een tool van ze; bij voorkeur op een aparte server, moest een week of wat meedraaien, de logs waren huge en soms kreeg je daarna nooit meer feedback van de auditor of Microsoft.

I know, maar tegenwoordig zou Microsoft met een beetje Powershell al zo een hele hypervisor 'leeg' kunnen trekken en in enkele minuten kunnen vaststellen wat er op de hypervisor en in de VMs draait.


Anyway, terugkomend op de originele vraag van TS:
Waarom een hypervisor in een domein gooien? Omdat die dan beter te beheren is voor zowel updates, beveiliging en configuratie. Omdat hoewel Hyper-V Server in theorie minder attack surface heeft, Server 2022 Standard ook vrij weinig attack surface heeft, tenzij je Server 2022 Desktop Experience installeert. Denk dat het verschil tussen Hyper-V Server en Server Standard (Core mode) nauwelijks iets uit maakt, maar mocht iemand zin hebben 2 VMs aan te slingeren en te vergelijken wat beide allemaal standaard aan hebben staan
Ook wil je de host in je domein hebben voor live migration, maakt overstappen naar een nieuwe server zoveel makkelijker, of mocht je een keer redundantie willen.

Wil je de host minder kwetsbaar maken? Dan zet je er een firewall voor met degelijke configuratie, of geef je de host geen netwerk en installeer je updates handmatig.
Voor zowel Hyper-V Server als Server Standard met Hyper-V role zou die server niet in een client-subnet moeten zitten dus je enige directe dreiging komt vanuit je management-netwerk welke je uiteraard met een firewall afsluit.
Je hypervisor heeft geen netwerkprinter etc nodig, hooguit WinRM/RPC en wUpdate. Enige dreiging die je dan nog hebt zou je op beide typen servers tegelijk hebben.

mvandek2 schreef op zaterdag 18 december 2021 @ 22:54:
Ik ben zeker ook nog geinteresseerd wat jullie vinden van het dringende advies de host altijd met een domein te joinen.
Zie bijv. https://www.altaro.com/hyper-v/domain-joined-hyper-v-host/

Wat ik in dat artikel vooral lees is niet zozeer dat je het zou moeten doen, maar dat het geen kwaad kan zolang je weet wat je doet. En als je je host wel in het domein zet, wordt beheer ineens een heel stuk eenvoudiger.

mvandek2 schreef op zaterdag 18 december 2021 @ 22:54:
Ik ben zeker ook nog geinteresseerd wat jullie vinden van het dringende advies de host altijd met een domein te joinen.
Zie bijv. https://www.altaro.com/hyper-v/domain-joined-hyper-v-host/

Met alle respect: heb je dat artikel zelf wel gelezen? De auteur besteedt 5 of 6 alinea's aan de voordelen van HyperV-hosts in een domain. En zo'n zelfde aantal aan de nadelen van HyperV-hosts die niet in een domain zitten. Denk dat je inhoudelijk op die argumenten in moet gaan.

Anyway, het belangrijkste argument is de attack-surface. Een hyperV-host die niet in een domain zit, staat in workgroup mode en is dus alleen maar beschermd met het administrator password. Zo ongeveer alle andere security features verdwijnen. Geen ip-sec, geen fijnmazige scheiding van verantwoordelijkheden, geen group policy's, geen centraal te regelen firewall en nog een stuk of 1000 andere.
De attack surface is echt een factor 10 tot 100 keer zo groot