Tronde Geschrieben 23. November 2006 Geschrieben 23. November 2006 Hallo. Beim lesen hier im Forum und auf anderen Seiten im Internet habe ich jetzt schon des öfteren gelesen, dass man einen Terminal-Server nicht auf einem Domänencontroller installieren sollte. Leider stand nie ausführlich dabei warum man das denn nicht macht. Ich kann mir schon denken. dass der Server stark beansprucht wird und man ihn damit in die Knie zwingen kann. Aber ab wann kommt man in diesen Bereich? Ein Beispiel: Ich habe einen Small Business Server 2003 mit Exchange als DC. In der Domäne befinden sich ca. 20 Clients von denen 10 über eine Terminalsitzung arbeiten sollen. Warum sollte ich den Terminal-Server nicht direkt auf dem DC installieren, der bisher kaum beansprucht wird? Die Clients arbeiten alle mit Office und mit einer Software in der Patientendaten verwaltet werden. Wäre nett wenn ihr mir die Gründe nennen könnt warum man oben genanntes nicht macht. MfG Tronde Zitieren
carstenj Geschrieben 23. November 2006 Geschrieben 23. November 2006 Hi, also ich denke, dass alleine der von dir genannte Grund ausreicht. Denn man kann unmöglich alle Zusammenhänge in der IT erklären, und daher sollte man einen wichtigen Server nur mit dem notwendigsten austatten. Das minimiert die möglichen Fehlerquellen, auch wenn sich manche Dienste auf den ersten Blick gar nicht in die Quere kommen sollten. Wenn du die Rechte falsch gesetzt hast, können deine User u. U. bewusst oder unbewusst ne Menge Schaden anrichten. Wozu dieses Risiko eingehen? Zitieren
Tronde Geschrieben 23. November 2006 Autor Geschrieben 23. November 2006 Wenn es darum geht, dass sich irgendwelche Dienste nicht in die Quere kommen müsste ich ja für die kleinsten Aufgaben jeweils einen neuen Server aufsetzen. Mich verwirrt es gerade, da der SBS2k3 R2 ja bereits für die Terminallizensierung vorbeitet zu sein scheint. Mir ist klar, dass mir nur dieser eine Server wegbrechen brauch und es geht gar nichts mehr. Nur in meinem Beispiel von oben ist es so, dass die Datenbank für das Patientenverwaltungsprogramm auch auf dem Server liegt. Wenn die offline ist kann niemand arbeiten. Dem Kunden würde also auch kein Nutzen entstehen, wenn der Terminalserver noch läuft während der DC offline ist. Andersrum wäre es genau so schlecht. Die Userrechte habe ich ja selbst in der Hand. Und dies ist gar nicht so schwer abzusichern. Wir arbeiten in der Firma auch auf einem Terminalserver. Und unter den Accounts mit welchen wir arbeiten kriegen wir noch nichtmal was kaputt selbst wenn wir uns richtig Mühe geben. Zitieren
Thanks-and-Goodbye Geschrieben 23. November 2006 Geschrieben 23. November 2006 Das Rechtekonzept von Microsoft sieht vor, dass eine interaktive Anmeldung an Dcs nur Usern der administrativen Gruppen gestattet ist. Wird ein DC auch TS, dann musst du entweder (gar grausame Holzhammermethode, aber ITW schon selber vorgefunden) alle User zu Domänen-Admins machen (soll ich auch noch über die Sicherheitsrisiken sprechen?) oder du musst in den Richtlinien des Servers herumpfuschen, damit auch nicht-Admin-User sich interaktiv anmelden können. Das Herumpfuschen in diesen Richtlinien ist nicht ohne, ich habe es mal auf einer Testmaschine geschafft, dass ich mich zwar noch als normaler User anmelden konnte, der Admin aber komplett ausgesperrt war. Zitieren
carstenj Geschrieben 23. November 2006 Geschrieben 23. November 2006 Hi, Wenn es darum geht, dass sich irgendwelche Dienste nicht in die Quere kommen müsste ich ja für die kleinsten Aufgaben jeweils einen neuen Server aufsetzen. es kommt immer drauf, wie wichtig die einzelnen Dienste sind, aber in der Tat ist es oft empfehlenswert, das so zu machen. Wie wichtig nun die einzlnen Dienste sind, muss jeder (die Firma) selber entscheiden, da es natürlich auch eine Kostenfrage ist. Ich würde auf einen DC in der Regel nichts anderes installieren, aber es gibt in der Tat auch andere Philosophien. Zitieren
MBaeuml Geschrieben 23. November 2006 Geschrieben 23. November 2006 Normal sollte man sowieso immer 2 DCs haben, kann ja mal einer ausfallen. Ob man nun generell alle Dienste trennt hängt auch stark vom Budget ab, der Hardware und gewisse Kombinationen sollte man besser nicht betreiben. z.B. rät MS dringend davon ab auf einem Exchange auch Outlook zu installieren. Haben wir hier im Büro zwar so am laufen, es kann aber wohl Probleme mit DLLs zwischen Outlook und Exchange geben. Genauso ist es bei den Terminalservern. Wir haben bei mehreren (größeren)Kunden TS laufen, die auch gleichzeitig "2." DC sind. Bisher ohne Probleme. Und die vom Chief angesprochenen Probleme beim Anpassen der Gruppenrichtlinie sollten eigentlich nicht passieren. Auch da rät MS auf jedem Seminar, NICHT die Standard also Default Domain Policy zu ändern. Bei Updates kann es sonst zu Problemen kommen, da diese wohl gelegentlich überschrieben/erweitert werden. Wir fügen in eine neu erstellte eine entsprechende Gruppe hinzu (z.B. TS-User) und das hat bisher immer problemlos geklappt. Die optimale Lösung ist sicherlich pro Anwendung ein Server, ein bzw. zwei DC, einen Exchange, einen SQL, einen TS nur das kostet halt alles und die Gefahr das sich etwas untereinander behindert wird größer und damit auch die Ausfallwahrscheinlichkeit und dann geht gar nichts mehr. Probieren geht über studieren und es gibt ja noch ein Image und ein Backup:D Zitieren
Tronde Geschrieben 23. November 2006 Autor Geschrieben 23. November 2006 Dass man die Aufgaben auf einzelne Server verteilt solange das Budget es zulässt ist mir bekannt. In der Regel wird es auch so gemacht. Nur hat nicht jeder Kunde ein so großzügiges Budget. Das mit den Richtlinien stellt in meinen Augen auch kein großes Problem dar. Wie MBaeuml schon sagte wird eine neue OU erstellt und dort werden dann Richtlinien gesetzt. Die Default Domain Policy wird dabei nicht angefasst. Also bis auf die Tatsache, dass die Leistung des Servers für DC, EX und TS nicht ausreichen könnte kann ich noch keine wahren Nachteile erkennen. Zitieren
geloescht_Fisi_Markus Geschrieben 23. November 2006 Geschrieben 23. November 2006 einen sbs wirst du eh nicht zum TS machen können. Dies ist von MS nicht vorgesehen. Der TS muß Mitgliedsserver in der SBS-Domäne sein Zitieren
Tronde Geschrieben 23. November 2006 Autor Geschrieben 23. November 2006 Aber warum gibt es dann im Menü Verwaltung den Punkt Terminalserverlizensierung? Zitieren
hades Geschrieben 24. November 2006 Geschrieben 24. November 2006 Die Terminaldienstelizenzierung ist der Dienst, der die TSCALs (Terminal Server Zugriffslizenzen) verwaltet. Dieser Dienst kann problemlos auf einem Windows Server 2003 mit oder ohne R2 (sowohl Memberserver als auch auf einem DC) oder auf einem SBS2003 mit oder ohne R2 laufen. Ein Windows 2003 Terminal Server muss zwingend ueber eine installierte und konfigurierte Terminaldienstelizenzierung lizenziert werden, sonst stellt dieser nach AFAIK 120 Tagen den Dienst ein. Auf einem Small Business Server 2003 kann kein Terminal Server laufen, das ist eine technische Einschraenkung des SBS. Hier brauchst Du zwingend einen zusaetzlichen Server. Zitieren
Tronde Geschrieben 24. November 2006 Autor Geschrieben 24. November 2006 Ok. Dann danke ich euch für die Antwort. Dann habe ich mich durch die Einträge wohl verwirren lassen, da ausser der Terminalserverlizensierung auch noch die Terminaldiensteverwaltung und die Terminaldienstekonfiguration auf dem SBS2003 liegen. Gruß Tronde Zitieren
da3mon Geschrieben 24. November 2006 Geschrieben 24. November 2006 Ich persönlich würde sogar davon abraten einen DC auch als Exchange Server zu verwenden. Wir haben dies selber so praktiziert und dann kam es zum Crash. Exchange Datenbank bei Serverneustart 0kb groß (hmmm)... Du kannst nichts machen wenn du keinen Ersatz DC hast. Dedizierte Server und seien es nur Virtuelle sind auf jeden Fall zu empfehlen. .da3mon. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.