Zmiana serwera na wydajniejszy, przenoszenie dysków i licencji

O MySQL pytałem w kontekście poczty.

Co do sasl sprawdzę, ale raczej już to weryfikowałem :confused:.

MySQL sprawdza się jak najbardziej.

1 polubienie

Więc tak : Serwer Dell R710, 1xSSD (System) 2x HDD - RAID 1 (Dane)

Hyper-V używam pierwszy raz jestem w trakcie konfiguracji więc kilka pytań… :frowning: Pierwsze to jak lepiej dysk wirtualek gdzie ma się znajdować na SSD (system gospodarza) czy na HDD (dane wszystkie).
Postawiłem system “gospodarza” i na Hyper-V dwie maszyny, tak radzisz zrobię AD i SQL razem + jeszcze chyba serwer DHCP dla klientów łączących się pod domeną a na drugiej wirtualne będzie Subiekt + pliki z HDD (tutaj chyba podmontuje dyski od systemu gospodarza i porobię uprawnienia na poszczególne foldery dla użytkowników???) no i zdalny pulpit dla pracowników.
Teraz pytanko, gospodarz ma adres ip .200 , Virtualka1 ip .201 Virtualk 2 ip .202 , jak to teraz scalić aby między soba virtualka 1 i 2 się widziały i jak na 1 jest AD i jakiś user zaloguje się do domeny, mógł korzystać z zasobów virtualki 2? i uprawnień do folderów które mu udostępnię (użytkownicy i uprawnienia są przypisane na Virtual1) więc skąd Virtual 2 ma o nich wiedzieć i je przestrzegać?? :smiley:

nic nie musisz scalac, wszystko powinno sie pingowac bez problemu bo “gospodarz” tworzy jakis witualny switch - a przynajmniej powinien. TS dodajesz do AD i tam robisz uwierzytelnianie.

jesli chodzi o dyski to ja robie odwrotnie. system hosta na HDD RAID1 (bo on nie potrzebuje ani szybkiego ani duzego dysku tylko musi być niezawodny) a VMki na SSD - rownież w RAID1 (przynajmniej system) a dane na macierzy, NAS czy co tam masz do dyspozycji. mozesz tez stworzyc kolejny VMD na HDD i dodac do VMki ktora jest na SSD.

Ty masz jakieś doświadczenie z AD? Pytam bo cos tam chcesz zdziałać ale widze ze błądzisz jak dziecko we mgle i nie do końca rozumiesz to wszystko. to nie jest złośliwe bo kazdy musi sie kiedys nauczyc - oczywiście mozesz sobie vmki z pomoca forum wyklikac ale jak pojawi sie pierwszy problem to jesteś zdany na forum.

Dokładnie tak samo bym zrobił. System z Hyper-V na HDD, SQLe na SSD.

Jeśli masz DHCP na routerze, to po co Ci DHCP na kontrolerze domeny? Pamiętaj tylko, aby DNS poprawnie działał. Jeśli masz DNS na routerze, to DNS na kontrolerze musi poprawnie przekierowywać zapytania do Twojego DNS.

  1. SSD - jaka pojemność? Powtórzę - też powinien być w RAID1
  2. SQL na serwerze domeny - Microsoft zawsze to odradza: https://support.microsoft.com/pl-pl/help/2032911/you-may-encounter-problems-when-installing-sql-server-on-a-domain-cont
  3. Hypervizor na SSD
  4. Obie VMki na SSD
  5. Na VMkach tworzysz dodatkowe dyski wirtualne (VHDX) na partycji z dyskami HDD (talerzowymi) - np. na dane (pliki), na pliki użytkowników. Dla SQL możesz utworzyć na SSD, ale nie jest to jakaś konieczność, ogromnej ‘skali’ przyspieszenia nie będzie
  6. pliki ‘z HDD’ kopiujesz’ na dysk w VMce
  7. tworzysz kontroler domeny - AD + DNS + DHCP (jak potrzebujesz). Na DNS ustawiasz forwarder na swój dodatkowy DNS. DHCP - czy używasz z AD, czy z routera - pierwszy DNS ma kierować na adres IP VMki z kontrolerem domeny (np. 201).
  8. Tam gdzie będzie udostępnianie plików - dodajesz jeszcze odpowiednie role
  9. dodatkową VMkę dodajesz do AD; tam, gdzie będą pliki do udostępniania - udostępniasz je, będziesz miał uprawnienia użytkowników z AD.

przyznaję rację, chyba nawet podczas instalacji SQL instalator o tym informuje - co prawda wcześniej sugerowałem przeniesienie go na AD ale jak słusznie zauwazył @bachus moze to byc problematyczne.
Mozesz zainstalowac SQL razem z aplikacjami na serwerze terminali ale musisz zapanowac na uprwanieniami tak zeby uzytkownicy nie narobili balaganu, zreszta zawsze trzeba nad tym panowac. Nie wiem czy na hypervizor mozna wrzucic SQL - w sensie czy to bedzie zgodne z licencja, pewnie nie.

Kolego, do tej pory miałem doczynienia z WS 2008 , WS 2012 tylko była to instalacja wszystkiego na jednej fizycznej maszynie, oczywiście AD, GP, ustawienia uprawnień itd… nie jest mi obce, ale faktem jest że to moje pierwsze kroki w temacie wirtualizacji :frowning: i bardzo wam dziękuje za tą pomoc bo tak jak wspomniałeś błądzę jak dziecko we mgle ale gdzieś się trzeba nauczyć… a w przekazujecie taką wiedzę którą w żadnych książkach o WS nie wyczytam, i bardzo dziękuje za takie podejście i życzliwość

Dzięki kolego wszystko jasno wytłumaczyłeś, jedynie punkt 5 i 6 nie bardzo rozumiem
jeśli mam w serwerze fizycznie zamontowane dyski HDD z danymi spięte w RAID 1 , to tworze na wirtualce (na SSD) dyski VHDX które przekierowuje na HDD i co te dane z przekopiowuje na ten wirtualny dysk?? co w przypadku awarii jak ma się wtedy do tego RAID , czy nie lepiej pod wirtualke podmontować dysk HDD z danymi?

Zapominając na chwilę o tym, że SSD też powinieneś mieć w RAID1: tworzysz maszynę wirtualną - pierwszy dysk będzie na OS i podobne, utworzysz go sobie np. na dysku C:\VMs\VM1\Vm1_HDD1.vhdx
Twój RAID1 (z dyskami talerzowymi) reprezentuje logicznie np. E:, tam są też teraz te ‘ważne dane’ (na które masz backup?)
Wchodzisz w edycję maszyny wirtualnej i dodajesz nowy dysk wirtualny, który tworzysz np. na:
E:\VMs\VM1\Vm1_HDD2.vhdx
Dane z partycji E:\ (poza oczywiście samymi plikami VHDX…) kopiujesz do Vm1_HDD2.vhdx
Czemu?

  • bez tego byś musiał użyć dysków w RAID1 na wyłączność jednego z serwerów,
  • ułatwi Ci to backup,
  • ułatwi Ci to zarządzanie tymi plikami.

Jeśli chodzi o backup, to do tej pory (gdy w grę nie wchodziła wirtualizacja) korzystałem z budowanego backup oraz Veam Backup Free Edition i tym robiłem backup całego dysku systemowego. Dodatkowo do backupu bazy danych SQL używałem gotowego skryptu który automatycznie backup importował do dysku D z danymi.
Posłuchałem waszych rad i teraz mam taka konfiguracje
SSD - RAID1 (SYSTEM)
HDD - RAID1 (DANE)

na SSD postawiony system i 2 maszyny wirtualne WS 2012 oraz jedna maszyna Linux Ubunt
na wirtualne 1 - AD, DHCP, DNS, Baza SQL, na wirtulce 2 - ma być zdalny pulpit dla ludzików, subiekt, dane. na wirtualce 3 - CRM - a dokładniej baza MySQL tego programu.

I teraz tak… Backup systemowy ustawiłem na systemie gospodarza i Veam Backup Free Edition również bo skoro Wirutalki sa na dysku C to w razie W kopiuje mi całość i oczywiście wrzuac na dysk D (HDD) dobrze to interpretuje? Teraz pytanie co z bazami SQL na wirtualne 1 i MySQL na wirtualne 3 czy jeśli na tych wirtualkach ustawie backup to wypadało by chyba aby on zapisywał się na dysku D (HDD) na gospodarzu? bo w razie problemów z dyskiem wirtualnym on zawsze będzie fizycznie wtedy na HDD u gospodarza…

jeszcze temat wirtualki 2 na której będzie subiekt, zdalny pulpit oraz Dane te dane w tym momencie fizycznie są na dysku D (HDD) kolega bachus napisał " Twój RAID1 (z dyskami talerzowymi) reprezentuje logicznie np. E(w moim przypadku D ale to bez znaczenia):, tam są też teraz te ‘ważne dane’ (na które masz backup?)
Wchodzisz w edycję maszyny wirtualnej i dodajesz nowy dysk wirtualny, który tworzysz np. na:
E:\VMs\VM1\Vm1_HDD2.vhdx" skoro ja te dane przekopiuje do tego dysku vhdx. to w przypadku awarii sytemu operacyjnego wirtualki będe miał do nich dostęp? boje się wrzucać dane w wirtualny dysk… czy nie lepiej do tej wirtualki podmontować dyski ? z fizycznego dysku D (HDD), mam nadzieje że w miarę rozumiecie o co mi chodzi. W sumie systemy juz stoją konfiguracja AD , GP, itd jest więc to takie ostatnie pytania… w temacie jak zabezpieczyć najlepiej dane… dzieki za odp… !

Backup - czyli rozumiem, że nie masz backupu, tylko jakiś trochę danych ‘historycznych’ na tym samym serwerze fizycznym? Umiesz oczywiście skorzystać z tego dysku ‘D’ po awarii płyty głównej/kontrolera RAID, padnięcia zasilacza i uszkodzeniu wszystkiego w komputerze?
“Podmontować dyski” - jak to dokładnie zamierzasz zrobić, jak na ten dysk robisz też… backup maszyn wirtualnych z dysku C? Jaki masz dokładny plan na backup tych danych z dysku D? Jak dokładnie zamierzasz zarządzać uprawnieniami do plików?

Przepraszam zapomniałem dodać, backup dysku D robie Cobianem i wysyłam na NAS’a przez FTP’a.
No właśnie co do tych plików z dysku D gdzie najlepiej je ulokować bo rozumiem że sugerujesz że faktycznie na wirtualce 2 gdzie jest subiekt i zdalny pulpit dla ludzików, zrobić dodatkowy wirtualny dysk i do niego przekopiować te dane ale fizycznie ten dysk będzie znajdował się na dysku D i wtedy ten wirtualny dysk będę kompresował i wysyłał na NAS, i w razie awarii przywracam go z NAS a w nim są wszystkie dokumenty. Tylko żeby wtedy zobaczyć te dane i ściągnąć z tego dysku muszę postawić jakąś maszyne wirtualną żeby je zobaczyć? Uprawnieniami (czyli kto ma dostęp do poszczególnych folderów) chciałbym zarządzać za pomocą AD, która jest zainstalowana na Wirtualne 1.

Użyj programu do backupu VMek na ten NAS. Np. https://www.veeam.com/pl/virtual-machine-backup-solution-free.html
Będziesz się mógł dostać do danych bez problemu.

Wszystko działa, teraz na Wirtualce 2 jak udostępnie zdalny pulpit ludzikom, to chyba będę potrzebował załatwić sobie 2 publiczne adresy IP… bo aktualnie adres mam jeden i przekierowany na routerze na system “gospodarza” wbijam się i mogę zarządzać wszystkim… a ludzikom trzeba ustawić tak aby od razu wchodzili na adres tej wirtualki na której jest zdalny pulpit z programami ??? czy inaczej jakoś to można obejść???

Trochę odbiegając od tematu drugie pytanie… czy komputery które wcześniej pracowały w innej domenie teraz po prostu podpiąć pod nową którą zrobiłem? czy lepiej zrobić format ? (bo w dysku C… w folderach widnieją nazwy starych użytkowników z poprzedniej domeny) , no i jakieś tam dane na pulpicie pozostały ale to można usunąć. Jeszcze w temacie pulpitów stosujecie opcję aby wszystkie pliki z pulpitu automatycznie zapisywały się na serwerze? bo ja zostawiałem pulpit lokalnie (co sobie zapisują niech mają dla siebie) a globalne pliki w podmontowanych folderach z serwera…

liczę na doradztwo jak zawsze :wink: bardzo pomocne, dzięki !

Zrób przekierowanie na IP wirtualki. Drugi IP Cie niepotrzebny. Jeśli już, to możesz wziąć drugie łącze tylko pod RDP, jeśli zależy Ci na wydajności i jest z nią problem na obecnym łączu.

Zrób folder rediredtion. Komputer powinien być tylko terminalem. Zmieniasz komputer, podpinasz tylko do domeny. Nawet apki możesz instalować z GPO. Pracownik może pracować na dowolnym komputerze ze swoim pulpitem i plikami i nie jest uwiązany do konkretnego stanowiska. Po prostu dla wszystkich wygoda.

Jeśli dobrze to zrobiłem to przekierowania GPO konfiguracja użytkownika… przekierowania ??? :smiley:

Mój znajomy padł dzisiaj ofiarą najnowszej odmiany ransomware z października, zaszyfrowało mu wszystkie pliki… i jest w du***. :slight_smile: Tak się zastanawiam… co w przypadku gdyby zaatakowało tak Windows Server… i te dane wszystkie na nim… albo któryś z komputerów wpiętych do domeny… wtedy te foldery przekierowane też zainfekowane…
Wystraszyło mnie to bardzo, może by tak wypiąć komputery z domeny, aby służyły do przeglądania internetu, poczty, i dokupić CAL’e na Zdalne pulpity i każdy użytkownik pracujący w firmie na kompie przegląda sobie neta, poczte obsługuje a na zdalnym pulpicie pracuje na programach księgowych, plikach itd… no i wtedy oczywiście zablokowanie możliwości wchodzenia na strony przez zdalny pulpit :smiley: Co mysliscie?

1/ RDP
Pomijając już to, że robisz to bez VPN (straszne druciarstwo). Zmień sobie adres przekierowania na inny.
Np.
Twój host (gdzie się łączysz): 192.168.10.10:3389
VM1: 192.169.10.11:3389
NAT sobie ustaw, że Ty się łączysz przez inny port (np. 555 - ustaw to sobie na NAT na swoim firewall) i będziesz po adresie zewnętrznym (łącząc się z zewnątrz) wpisywać port (np. 83.11.33.44:555)

2/ przekierowanie pulpitów - podmapuj jakiś folder każdemu z serwera. Mogą być dwa, np. każdy będzie wiedział, że F:\ to wspólne pliki a G:\ to folder domowy użytkownika, gdzie trzyma swoje pliki i nikt ich nie widzi. Nie baw się w przekierowywanie pulpitów, po prostu wytłumacz, że to co na pulpicie może być utracone. Idea jest taka, że nic nie trzymasz na desktopie. Jak pisał @roobal, możesz też zastosować profile wędrujące, ale najpierw opanuj podstawy.

3/ szyfrowanie plików na serwerze - praktycznie każdy użytkownik może zaszyfrować dane do których ma dostęp na serwerze. Od tego jest więc backup. Backup ma być zorganizowany tak, aby w czasie szyfrowania backup też nie został zaszyfrowany.

VPN jest zrobiony stoi mikrotik do niego łączą sie klienci (vpn client - serwer) i dopiero po wewnętrznym adresie wchodzą na serwer. Podmapowanie folderów ok, ale co w przypadku ataku właśnie ransomaware… te podmapowane foldery też zostaną zarażone???
Czy w GPO jest opcja wyblokowania wchodzenia wszystkich stron http / https z wyjątkiem dla dwóch linków na przykład? czy ruch trzeba dropować na routrze.

VPN: no to nie rozumiem, czemu chcesz coś zmieniać z portami? Czemu nie możesz się łaczyć na swój hypervizor a oni na VMki? Gdzie jest problem? klient-serwer, czy klient-sieć?
RANSOMWARE - oczywiście, że tak. Wszystko, do czego ma dostęp zarażona maszyna z prawem do zapisu. Od tego jest backup.