Fragen zu Windows Server 2012, E-Mail-Server und Firewall

[dapc]

Hallo,

nachdem ich jetzt schon zwei andere Themen eröffnet habe, um endlich meinen "perfekten" Server zu bauen, bin ich endlich fertig und der Server läuft. Habe darauf Windows Server 2012 Datacenter (Dank DreamSpark ) mit ein paar VM's in Hyper-V. Es läuft ein DC, DHCP-Server, DNS-Server, WSUS auf dem Host.
Jetzt habe ich noch ein paar Fragen:
1. Ich habe mich bevor ich die Domäne hatte, immer über meine Live-ID von Microsoft angemeldet (Win8). Dabei wurde auf allen Rechner die Hintergrundbilder, Einstellungen und Apps, die ich runtergeladen habe automatisch Synchronisiert. Ist das mit dem DC auch irgendwie möglich?
2. Ich will auf dem Server noch VisualSVN Server installieren. Sollte ich das in eine VM oder direkt auf den Host installieren?
3. Gleiche Frage wie 2, bloß brauch ich noch MyMovies Server.
4. Ich will zum Spaß/Test einen E-Mail Server mit Kontakte und Kalender einrichten. Sollte ich dafür Exchange (Dreamspark) oder eine alternative Verwenden?
5. Ich würde gerne noch eine Firewall installieren. Dachte an die Sophos UTM9. Gibt es da noch andere, die mit Hyper-V funktionieren und vielleicht noch besser sind.

System:
-Intel Xeon 1230V2
-32GB RAM
-SSD für System und VM's
-Normale Platten für die Daten

Danke schon mal für eure Antworten. Hoffe, ich stelle keine Fragen, die schon öfter beantwortet wurden (habe gesucht, aber nichts gefunden).
Gruß
dapc

 

[Eye-Q]

Es läuft ein DC, DHCP-Server, DNS-Server, WSUS auf dem Host.

Direkt auf dem Host, der dann zusätzlich noch die Hyper-V-Rolle beinhaltet? Von Microsoft (und auch von mir) wird dringend empfohlen, dass ein Hyper-V-Host nichts anderes außer die Hyper-V-Rolle bereitstellt. Somit haben sich Fragen 2 und 3 auch schon erledigt.

4. Ich will zum Spaß/Test einen E-Mail Server mit Kontakte und Kalender einrichten. Sollte ich dafür Exchange (Dreamspark) oder eine alternative Verwenden?

Je nachdem, ob Du das eine oder andere auch beruflich verwenden kannst. "Zum Spaß/Test" kann man alles machen, da kannst Du auch mehrere Maschinen mit unterschiedlichen Mailsystemen betreiben und die untereinander Mails austauschen lassen.

5. Ich würde gerne noch eine Firewall installieren. Dachte an die Sophos UTM9. Gibt es da noch andere, die mit Hyper-V funktionieren und vielleicht noch besser sind.

Die Sophos ist schon sehr mächtig, aber eine virtualisierte Firewall ist eigentlich nicht der Sinn der Sache, da das Hostsystem ja theoretisch auch über die Schnittstelle erreicht werden kann, mit der die Sophos ins Netz geht.

 

[dapc]

OK, mir war nicht klar, das die Hyper-V-Rolle einzeln laufen soll. Gibt es dafür einen Grund?
Dachte einen DC sollte man nicht in einer VM installieren?
Kann ich dann die ganzen Programme und Rollen auf einer VM laufen lassen, oder sollte man das dann aufteilen? Evtl. mit Begründung.

Naja, ich studiere Informatik und werde nach dem Studium ein paar bekannte Firmen betreuen (Wenn ich das mal alles verstanden habe). Gibt es noch Mailsysteme, die auf der Hyper-V VM laufen. Da ist ja die Kompatibilität mit Linux nicht so gut, oder?

Das eine virtuelle Firewall nicht perfekt ist, ist mir klar, aber man bekommt sie umsonst und ich denke, etwas Sicherheit bringt sie ja auch, oder?

 

[RogerG781]

Der Grund ist zum einen eine saubere Rollentrennung und auch der Support durch Microsoft. Dies ist zwar in deinem Szenario nicht notwendig, allerdings solltest du dir solche Best Practice angewöhnen, damit du später in den Produktivumgebunden solche Installationen intuitiv richtig angehst ;-)
Ein DC sollte nicht in einer VM installiert werden ist so nicht korrekt. Bei einem virtualisiertem DC besteht die Gefahr, dass man mal eben einen Prüfpunkt erstellt und diesen später evtl. wieder einspielt, dies ist zwingend zu vermeiden, weil so die Domäne aus dem Tritt kommt und Fehler autreten. Dies ist allerdings mit der aktuellen Generation (WS2012) machbar. Würde dennoch davon abraten, Prüfpunkte bei einem DC zu erstellen.

Der Linux Support ist mit WS2012 und Hyper-V V3 nochmals deutlich verbessert worden. Ich selbst nutze derzeit Ubuntu 12.04 LTS mit aktivierten Integration Components auf einigen Hyper-V-Hosts.

Mailsysteme gibt es viele, du kannst es mit Open Xchange auf Linux Basis probieren oder mit Exchange auf Windows Basis. Bedenke jedoch in beiden Fällen, dass ein Mailserver korrekt eingerichtet werden sollte, bevor dieser Verbindung mit dem Internet erhält, da kann man viel Falsch machen

Sicher bringt eine virtuelle Firewall etwas Sicherheit, aber auch hier musst du zunächst die Hyper-V Netzwerkkonfiguration überdenken, ehe du eine Firewall einsetzt.

 

[dapc]

Ok, also nochmal:
Host nur Hyper-V (auch keine Freigaben?)
1. VM mit DC, DHCP-Server, DNS-Server, WSUS. Kann ich dann auch VisualSVN Server und MyMovies installieren, oder sollte man da eine extra VM verwenden. Wie viele Rollen sind den sinnvoll auf einer VM?
2. VM Firewall (was meinst du mit Netzwerkkonfiguration überdenken?)
Weitere VM's für Mails usw. Werde da mal mehrere testen.

Kannst du noch was zu meinem 1ten Punkt oben sagen?
Kann ich eigentlich den Host dann in die Domäne von der VM einbinden? Sonst habe ich da ja dann jedes mal ein festes PW, was sich nicht ändert.

 

[RogerG781]

Der Host kann Freigaben enthalten, aber ist ja nicht so sinnvoll, die würde ich zentral, evtl. auf einen File-Server oder den DC mit legen.
1. Ich würde die Infrastruktursachen von denen, mit denen du Produktiv arbeiten willst, trennen. Heißt DC, DHCP, DNS und WSUS (vermute ne geringe Clientanzahl) auf einem Infrastruktur-Server und VisualSVN und MyMovies auf einen Produktivserver.
2. Um die Firewall sinnvoll einzusetzen, musst du die Netzwerkkonfiguration auf dem Hyper-V-Host sinnvoll einrichten, heißt Netzwerkswitche konfigurieren, Externe und Interne Netze einrichten und auf welche Netze der Host z.B. Zugriff hat.
Den Host kannst du auf jeden Fall mit in die Domäne aufnehmen. Dies ist in deinem Szenario kein Problem. Als Anmerkung; In Produktivumgebungen bei Kunden kommt es auf den Einzelfall an, ob der Host mit in die Domäne kommt.

 

[dapc]

Ok, danke RogerG781.
zu 1: Dann werde ich zwei VM's verwenden, wie du gesagt hast. Ja, es sind so 7-10 Clients. Denke, das ist kein Problem.
Werde die Festplatten da beim Host abmelden und direkt zum Infrastruktur-Server durchreichen lassen. Sollte ja von der Performance nichts ausmachen, oder?
zu 2: Ja, das wollte ich auch so machen. Dachte, es gibt da noch was spezielles zu beachten.

 

[RogerG781]

1. Das Durchreichen erhöht die Performance ein wenig, aber mittlerweile kaum messbar.
Da der Infrastrukturserver ja nicht so ausgelastet ist, kannst du die Platten auch auf dem Host lassen und VHDx mit fester Größe anlegen, dabei bleibst etwas flexibler.

2. Erstmal nicht, wollte nur darauf hinweisen, dass es etwas Vorplanung benötigt, ehe man eine Firewall-Appliance als VM einsetzt ;-)

 

[dapc]

Ok, super, nochmal danke. Dann werde ich das jetzt alles so machen Immer wieder schön, wenn einem so kompetent geholfen wird.
Ich denke, ich werde sie trotzdem durchreichen, da die Platten zum Teil schon beschrieben sind und ich sonst wieder VHDx-Images erstellen muss.


Eine Frage habe ich noch. Habe sie ganz am Anfang gestellt. Vielleicht weiß da noch einer was dazu:
1. Ich habe mich bevor ich die Domäne hatte, immer über meine Live-ID von Microsoft angemeldet (Win8). Dabei wurde auf allen Rechner die Hintergrundbilder, Einstellungen und Apps, die ich runtergeladen habe automatisch Synchronisiert. Ist das mit dem DC auch irgendwie möglich?
Habe mich jetzt ein bisschen schlau gemacht, aber leider nichts gefunden.

 

[LichtiF]

Also zentrale Windows Profile gibt es bei Domäne auch musst halt bei den AD Benutzer unter Profil - Benutzerprofil - \\NAMESERVER\FREIGABE\%username% einrichten.

Habe mich noch nicht so Tief mit WIN 8 beschäftigt aber die Apps sollten auch da sein weil die Anmeldung am APPStore ja eh nur über die Live-ID geht.

 

[dapc]

Ok, super, danke. Denke, den Rest sollte ich hinbringen.