Windows 2000 Serverpark: Allemaal domein controllers ja/nee - Serversoftware en clouddiensten

woensdag 4 december 2002 11:13

Acties:

Topicstarter

Ik draai al langere tijd een Windows 2000 serverpark wat ik heb overgenomen van een vorige systeembeheerder. Mijn kennis in Windows 2000 was toen der tijd nog niet erg op peil. Op dit moment is het naar mijn idee goed op pijl maar ik ben altijd bij de vraag blijven steken of het het belangrijk is alle/bijna alle servers binnen het domein een domein controller te laten zijn of dat het beter/normaler is om enkele domein controllers te hebben of zelfs DEDICATED domein servers.

Momenteel hebben wij een internet router/web server die domein controller is, een intranet web/application server die domein controller is, mailserver die domein controller is en een fileserver die domein controller is. Alle systemen zijn Pentium 3 733mhz en hoger met ieder een 'naar verbruik gekeken' hoeveelheid geheugen.

Is het normaal dat meerdere van deze servers domein controller zijn (incl. global catalog) of moeten maar enkele van deze servers dit zijn of is het een goed plan om hier 2 simpele servers voor bij te plaatsen en alleen deze Domein controllers te laten zijn.

Er word gebruik gemaakt van een 100mbit netwerk via 3com superstacks. De mailserver in kwestie is Microsoft Exchange 2000. De router incl. firewall software in kwestie is Microsoft ISA Server 2001. Alle servers draaien Microsoft Windows 2000 Server Incl. SP3.

[ Voor 4% gewijzigd door BillyBee op 04-12-2002 11:14 ]

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 11:46

Acties:

arikkert

mijn kennis hiervan is niet zo up2date maar zo was het paar jaar terug:
- Je hebt een Primary Domain Controller (PDC)
- Je hebt 1 of meer Backup Domain Controllers (BDC)
Idee is dat als 1 van de controllers uitvalt, de andere nog gewoon beschikbaar zijn + Load balancing : de client kiest een willekeurig beschikbare server.
De BDC is ook echt een backup in de zin dat die dezelfde domaindata bevat als de PDC.
Meer BDC's levert meer voordelen van bovenstaande, maar 1 PDC en 1 BDC lijkt me voor pakweg 100 clients wel voldoende.

woensdag 4 december 2002 11:48

Acties:

Verwijderd

het is niet nodig om alle servers dc te maken... verder ligt het een beetje aan je omgeving (hoeveel servers/clients, meerdere lokaties, meerdere domains, meerdere trees, etc).

als je een nieuw forest moet aanmaken is het misschien verstandig om een dummy domain te maken als eerste (2 dc's, simpele dl360 ofzo) en het werkelijke domain (nieuwe tree) daaraan te koppelen... om die manier kunnen admins in het "werkelijke domain" zichzelf geen schema admin/enterprise admin maken en je forest om zeep helpen... maar ja als je 4 servers en 200 clients hebt is dat weer overdreven...

edit: arikkert we praten niet over nt4

[ Voor 9% gewijzigd door Verwijderd op 04-12-2002 11:51 ]

woensdag 4 december 2002 11:48

Acties:

Arno

PF5A

arikkert schreef op 04 December 2002 @ 11:46:
mijn kennis hiervan is niet zo up2date maar zo was het paar jaar terug:

Je kennis loopt inderdaad goed achter

Zo werkte het met NT4, waar er een writable SAM was en waar je BDC's een read-only kopie hadden

De webserver/router had IK member server gemaakt, verder moeten de andere twee wel DC zijn, aangezien je die er voor redundancy wel meer dan een nodig hebt

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

woensdag 4 december 2002 11:52

Acties:

Verwijderd

Er is een afweging om alle servers die noodzakelijk zijn voor de primaire processen ook BDC te maken, zodat ze indien de PDC niet bereikbaar is, toch de taken kunnen uitvoeren. In andere gevallen wordt gesteld dat 1 PDC en 1 BDC voldoende is. Vaak is dit afhankelijk van de omvang, en bijvoorbeeld de vraag of alle servers op dezelfde locatie staan, etc.

Een andere afweging is dat je kunt besluiten niet alle servers als DC beschikbaar te stellen, zodat die uitsluitend voor de primaire taken worden ingezet.

In jouw situatie, met de informatie die we nu hebben, lijkt een PDC en BDC voldoende.

[ Voor 16% gewijzigd door Verwijderd op 04-12-2002 11:53 ]

woensdag 4 december 2002 11:53

Acties:

Arno

PF5A

Verwijderd schreef op 04 december 2002 @ 11:52:
In jouw situatie, met de informatie die we nu hebben, lijkt een PDC en BDC voldoende.

PDC en BDC komen uit de tijd van het single master model met één SAM, met Windows 2000 heb je het multiple master model waar alle DC's gelijkwaardig zijn en ook allemaal de userdb kunnen aanpassen.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

woensdag 4 december 2002 11:54

Acties:

BillyBee

Topicstarter

Ik heb 50 clients op deze lokatie en 5 clients op een andere lokatie...niet echt flink dus. het aantal servers ligt aan het feit dat de load wel hoog ligt wat bv de mailserver betreft (antigen antivirus met realtime protection, max compression om on the fly mails te comprimeren enz.) de schets die ik als eerste gaf is de schets op de lokatie waar 50 clients aan hangen. Er is alleen nog niet concreet geantwoord op het feit of ik nu beter alle servers gewoon servers moet maken en bv 2 domein controllers op deze lokatie er bij moet plaatsen...

Edit: Typo's

[ Voor 3% gewijzigd door BillyBee op 04-12-2002 11:57 ]

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 11:54

Acties:

Verwijderd

Traag schreef op 04 December 2002 @ 11:53:
[...]

PDC en BDC komen uit de tijd van het single master model met één SAM, met Windows 2000 heb je het multiple master model waar alle DC's gelijkwaardig zijn en ook allemaal de userdb kunnen aanpassen.

Klopt, is alleen niet altijd gewenst/noodzakelijk. De vraag is hier niet of het kan (ja) maar of het nodig is (niet altijd)

woensdag 4 december 2002 12:30

Acties:

Kabouterplop01

chown -R me base:all

Het lijkt mij niet zo handig om alle machines DC te maken. Als er een gehackt wordt kun je de rest op de zelfde manier hacken. Zeker als je ISA ook DC is; De ISA is je default gateway. dus als je die hackt en de hacker kan een enterprise admin passwd bemachtigen, dan ben je zeker de ...... Dan is je forest gelijk een "open boek". (en alles schijnt te hacken te zijn) dan ben je binnen.(m.b.t. veiligheid)

woensdag 4 december 2002 12:32

Acties:

BillyBee

Topicstarter

Kabouterplop01 schreef op 04 december 2002 @ 12:30:
Het lijkt mij niet zo handig om alle machines DC te maken. Als er een gehackt wordt kun je de rest op de zelfde manier hacken. Zeker als je ISA ook DC is; De ISA is je default gateway. dus als je die hackt en de hacker kan een enterprise admin passwd bemachtigen, dan ben je zeker de ...... Dan is je forest gelijk een "open boek". (en alles schijnt te hacken te zijn) dan ben je binnen.(m.b.t. veiligheid)

Maar als de ISA wel LID is van het domein, maar geen domein controller...zou dat al helpen?

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 12:44

Acties:

Verwijderd

arikkert schreef op 04 December 2002 @ 11:46:
mijn kennis hiervan is niet zo up2date maar zo was het paar jaar terug:
- Je hebt een Primary Domain Controller (PDC)
- Je hebt 1 of meer Backup Domain Controllers (BDC)
Idee is dat als 1 van de controllers uitvalt, de andere nog gewoon beschikbaar zijn + Load balancing : de client kiest een willekeurig beschikbare server.
De BDC is ook echt een backup in de zin dat die dezelfde domaindata bevat als de PDC.
Meer BDC's levert meer voordelen van bovenstaande, maar 1 PDC en 1 BDC lijkt me voor pakweg 100 clients wel voldoende.

dit was dus onder nt 4 nog zo... tegenwoordig heb je geen backup of primary meer onder 2000. alles is "gelijk" aan elkaar

woensdag 4 december 2002 12:48

Acties:

Verwijderd

Kabouterplop01 schreef op 04 december 2002 @ 12:30:
Het lijkt mij niet zo handig om alle machines DC te maken. Als er een gehackt wordt kun je de rest op de zelfde manier hacken. Zeker als je ISA ook DC is; De ISA is je default gateway. dus als je die hackt en de hacker kan een enterprise admin passwd bemachtigen, dan ben je zeker de ...... Dan is je forest gelijk een "open boek". (en alles schijnt te hacken te zijn) dan ben je binnen.(m.b.t. veiligheid)

ummm als je de isa hackt en je kan het admin pw van het domain bemachtigen dan maakt het niet uit of je nu dc bent of niet...

bij 2 sites zou ik 2 dc's op de hoofdlokatie zetten en 1 op de tweede lokatie... zorg dat in beide sites een gc zit en regel de replicatie tussen de dc's op tijden dat het kan (en/of moet)

dit was dus onder nt 4 nog zo... tegenwoordig heb je geen backup of primary meer onder 2000. alles is "gelijk" aan elkaar

met nadruk op de " "

[ Voor 14% gewijzigd door Verwijderd op 04-12-2002 12:52 ]

woensdag 4 december 2002 12:52

Acties:

BillyBee

Topicstarter

Verwijderd schreef op 04 december 2002 @ 12:48:
[...]

ummm als je de isa hackt, kan je het admin pw van het domain bemachtigen... dan maakt het geen reet uit of je nu dc bent of niet...

bij 2 sites zou ik 2 dc's op de hoofdlokatie zetten en 1 op de tweede lokatie... zorg dat in beide sites een gc zit en regel de replicatie tussen de dc's op tijden dat het kan (en/of moet)

Hmm, hier heb ik wat aan

Thnx, maar euhm, om wat verduidelijking: is het uberhaupt niet stom dat er op een ISA (/externe internet) server DC word geregeld? als ik de fileserver en mailserver hou als DC...dan is dat toch voldoende?

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 12:53

Acties:

Verwijderd

isa zou ik idd geen dc maken... maar niet vanwege het risico die kabouterplop geeft

een mailserver idd liever ook niet...

woensdag 4 december 2002 12:58

Acties:

BillyBee

Topicstarter

Verwijderd schreef op 04 December 2002 @ 12:53:
isa zou ik idd geen dc maken... maar niet vanwege het risico die kabouterplop geeft
een mailserver idd liever ook niet...

Dus jouw suggestie is in feite dus: zet een losse dedicated (2nd) domain controller neer en behoud de fileserver als DC en trek DC van de ISA en MAIL af. Er blijven er dan dus 2 over?

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 13:01

Acties:

Routed

Waarschjnlijk heeft de vorige admin gewoon de wizzards gevolgd die je krijgt na de install van een 2k server, dan krijg je vanzelf allemaal dc's.

MS promoot het hebben van min 2dc's per lokatie ivm redundantie en performance, dit is op de grootste locatie hier maybe van toepassing maar op de kleine met 5 werkplekken is 1 wel te verantwoorden.

Ik zou het ook doen zoals iis5_rulez (wat het btw ook doet

), 2dc's op de hoofd locatie en de fileserver op de 2de locatie inrichten als DC, replicatie van de dozen regelen of hours en de ISA server standalone server maken (maybe zelfs niet in het hoofd domein hangen, daar ken ik ISA niet goed genoeg voor maar zo deed ik het met de rras server voor internet toegang.

Slash Care
Mementô

woensdag 4 december 2002 13:04

Acties:

BillyBee

Topicstarter

deff schreef op 04 December 2002 @ 13:01:
Waarschjnlijk heeft de vorige admin gewoon de wizzards gevolgd die je krijgt na de install van een 2k server, dan krijg je vanzelf allemaal dc's.

MS promoot het hebben van min 2dc's per lokatie ivm redundantie en performance, dit is op de grootste locatie hier maybe van toepassing maar op de kleine met 5 werkplekken is 1 wel te verantwoorden.

Ik zou het ook doen zoals iis5_rulez (wat het btw ook doet ), 2dc's op de hoofd locatie en de fileserver op de 2de locatie inrichten als DC, replicatie van de dozen regelen of hours en de ISA server standalone server maken (maybe zelfs niet in het hoofd domein hangen, daar ken ik ISA niet goed genoeg voor maar zo deed ik het met de rras server voor internet toegang.

Het probleem van ISA niet in het domein te hebben of in een ander domein is het probleem dat er dan geen authenticatie kan gebeuren. De firewall en webproxy maken gebruik van domein authenticatie, zodat we ook op een fatsoenlijke manier per computer maar ook per user kunnen loggen..

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 13:08

Acties:

Routed

ah ok weten we dat ook weer, maybe die maar eens doen als ik met die cisco meuk klaar ben.

Dus de ISA server dan maar wel in het domain doen

Slash Care
Mementô

woensdag 4 december 2002 13:14

Acties:

TheVMaster

Moderator WOS

Ik zou ISA gewoon in z'n eigen domein hangen (heb ik bij mij thuis ook)....en dan op ISA gewoon de groepen van het 'andere' domein rechten geven. Wil je overigens de Enterprise versie van ISA installeren dan zul je (volgens mij) de ActiveDirectory moeten installeren

Dus het moet dan idd een domaincontroller worden maar wel in een apart domain...

woensdag 4 december 2002 13:28

Acties:

BillyBee

Topicstarter

TheVisionMaster schreef op 04 december 2002 @ 13:14:
Ik zou ISA gewoon in z'n eigen domein hangen (heb ik bij mij thuis ook)....en dan op ISA gewoon de groepen van het 'andere' domein rechten geven. Wil je overigens de Enterprise versie van ISA installeren dan zul je (volgens mij) de ActiveDirectory moeten installeren Dus het moet dan idd een domaincontroller worden maar wel in een apart domain...

wat heeft het preciese nut van het feit dit in een ander domein te zetten en dan de groups van een ander domein te autoriseren? want zo is er toch nogsteeds 'contact' met het andere domein en kan er dus nog steeds geflikflooid worden???

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 14:05

Acties:

Verwijderd

je kan isa opzich wel in een ander domain hangen of standalone maken (je dan alleen geen array mogelijkheid meer), maar als je gebruik wilt maken van de groepen in je win2k domain zal je niet anders kunnen... (een trust schiet dan idd ook niet echt op)

persoonlijk zou ik echter nooit een isa server direct aan het inet hangen...

woensdag 4 december 2002 14:56

Acties:

BillyBee

Topicstarter

of je nu een hardware router hebt (waar gewoon software in zit) of een windows 2000 kernel beveiligd met ISA (op kernel level beveiliging...) wat volgens mij niet veel verschilt met elkaar... In software kan bij beide fouten zitten...En volgens mij zul je NOOIT het uitgebreide pakket zoals ISA terug vinden in een router (met dezelfde mogelijkheden). Persoonlijk lijkt het mij nutteloos ook nog een router aan te schaffen...Dubbelop..:S of is dat een foute interpretatie??

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 16:15

Acties:

Verwijderd

er is een verschil tussen een hardware router en een hardware firewall...

verder ga je tegen alle "security regels" in als je verkeer direct van je interne netwerk naar buiten toestaat of andersom (dit kan overigens ook met 1 fw geregeld worden mbv een dmz en 2 keer door dezelfde firewall gaan...)

trouwens bij veel grotere bedrijven hebben ze een perimeter router en 2 firewalls... maar die perimeter router zit er vaak alleen maar omdat de huurlijn geen rj45 connector heeft

woensdag 4 december 2002 16:20

Acties:

BillyBee

Topicstarter

Dit gaat mij ff te ver, hehe. Misschien dat je een wat concretere reply kunt geven van hoe je dat nu dus precies kunt oplossen. Hoe kun je je interne netwerk naar buiten laten gaan ZONDER een router rechtstreeks op je interne en op je externe netwerk te laten komen? Externe netwerk is zeg maar het kabel/adsl modem --> Internet.

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 16:32

Acties:

BillyBee

Topicstarter

Ken je mij dat documentje eens sturen? Heb de cd hier niet liggen.

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

woensdag 4 december 2002 18:16

Acties:

Verwijderd

zoek gewoon ff in dit forum... er zijn genoeg topics hierover...
probleem is natuurlijk wel dat je het management dan nog moet overtuigen dat ze weer veel meer moeten betalen

donderdag 5 december 2002 12:59

Acties:

Verwijderd

Tsja, na al deze antwoorden kan je nog nix he?
De lokatie met de 5 clients, daar zl je ben ik bang niet onder een DC met GC uitkomen ivm. Logon performance en adresboek lookups in outlook. Outlook gebruikt nl bij E2k de Global catalogue voor je adresboek en dat wil je niet over een 'dun' lijntje doen

De exchange server als DC me GC, kan, biedt iets extra performance, dichterbij Exchange kan je de GC niet krijgen ;-)
File server met DC rol lijkt me overbodig.
Conclusie:
locatie 1
2 DC's met ieder GC als rol is genoeg (wel kijken naar je FSMO rollen)
lokatie met 5 users - afhankelijk van bandbreedte ook een DC

Peter

donderdag 5 december 2002 13:49

Acties:

Verwijderd

uh ms raad af van exchange een dc te maken... een fileserver kan dat juist weer makkelijk hebben...

verder voeg je weinig toe

[ Voor 16% gewijzigd door Verwijderd op 05-12-2002 13:50 ]

donderdag 5 december 2002 19:12

Acties:

Verwijderd

thnx, ik zal het onthouden.

donderdag 5 december 2002 21:44

Acties:

BillyBee

Topicstarter

Thnx you guys! Heb er allemaal een hoop aan

6th Sense - International Online Coop Gaming: www.6thSense.eu - Antec P160 case,Antec 650w Trio,Asus P5N32-E SLI Plus,C2D E6600 3300mhz,Scythe Infinity,4GB G. Skill f2-6400phu2-2gbhz DDR2-800,GF 8800GTX - Vista 64-Bit

vrijdag 6 december 2002 09:18

Acties:

Verwijderd

BillyBee schreef op 05 December 2002 @ 21:44:
Thnx you guys! Heb er allemaal een hoop aan

succes ermee.

Microsoft heeft een stelregel.

Voor alles wat je meer doet moet een reden zijn.

WAAROM 2 forests ipv 1?
WAAROM 2 domains ipv 1
WAAROM 30 DC's ipv 2 ?

Als je daar geen goede doorgronde reden voor hebt moet je het NIET doen.

Is alleen maar administrative overhead.