Joina Hyper-V host till Domän, som den själv hostar, med bara en DC

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Mar 2007

Joina Hyper-V host till Domän, som den själv hostar, med bara en DC

Sitter och funderar fram och tillbaka hur jag skall göra.

Vi har två servrar:
1 Gammal klient PC som använts som DC och filserver. (Som är tänkt att nu ersättas med den nyinförskaffade)
1 Dell R710, med Server 2016 Standard och Hyper-V Rollen installerad, som hostar flera servrar, varav en är DC (Denna är tänkt att ersätta den gamla helt.)

Så tanken är att vi bara skall ha 1 fysisk server (dålig idé att bara ha en DC, men så kommer det i alla fall bli, eftersom vi är så få användare.)

Det jag funderar är, skall jag joina Hyper-v servern (Dell'en) till domänen?

Jag har sett en hel del olika svar, men har sett flera webbsidor som säger att "Chicken and egg" scenariot inte gäller. Hyper-v maskinen kan logga in på domänen eftersom gästen med DC startar direkt efter att Windows laddats på Hyper-v maskinen. Och skulle inte DC'n starta så kan man använda cache lagrade uppgifter eller lokala administratörskontot.

Däremot har jag även läst flera som nämnt att har man bara en DC och dessutom i Hyper-v, så är det bättre att lämna utanför.

Hur hade ni gjort?

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Mar 2012

Nu är jag oförskämd och ger inga svar utan ställer endast frågor, men jag kör på.

Varför vill ni domänansluta servern? Vad vill ni åstadkomma?

Om du inte ser något uppenbart värde i att göra det så kanske ni ska låta bli?

Trädvy Permalänk
Medlem
Plats
*****
Registrerad
Aug 2006

Joina inte Hosten till domänen om du inte har skapat dig ett fabric nät. Kan bli lite petigt.

Inte Core i7 4790K
Asus Z97-A
Asus Nvidia GTX 970 STRIX
Kingston DDR3 HYPERX 8GB 1600MHZ X 2

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jul 2001

Har denna uppsättning (med en joinad värd) på ett mindre företag och det "fungerar" men inte optimalt (hade tidigare en fysisk DC också men den skrotades). Ibland får värden för sig efter omstart att den är på ett "privat nätverk" (ej Domännätverk) en stund, vilket inte påverkar gästerna men gör att man inte alltid kan logga in med domänkonton eller bläddra i file shares där bara domänkonton har rättigheter.

Finns det inget behov att joina den (t.ex. många olika administratörer med rättigheter som sätts via AD, GPO:er o.s.v.) är det bara en onödig komplexitet. Gör du det så se till att skriva upp lösenordet för det lokala admin-kontot så du alltid kommer in på värden om du t.ex. behöver starta om gäster eller liknande.

Ryzen 7 1800X, Asus Prime X370 Pro, 16 GB DDR4 3200 C14, Asus GTX 1070, 2,3 TB SSD, Win10

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Mar 2007

Okej! Tack för svaren. Låter bli att göra det.

Frågan kom till mig när jag på något ställe även läste att det var "hysch hysch" att inte lägga Hyper-V i domän, för att workgroup inte är lika säkert. Men jag tror som ni nämner att den största risken är krångel om man gör det.

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004

En korrekt uppsatt standalone maskin kan vara lika säker som domainmember om inte säkrare. Tillåter man tex bara inloggning via rdp från kända adminmaskiner och sen har bra lösenord så blir det rätt "hårdhudat"

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av mats42:

En korrekt uppsatt standalone maskin kan vara lika säker som domainmember om inte säkrare. Tillåter man tex bara inloggning via rdp från kända adminmaskiner och sen har bra lösenord så blir det rätt "hårdhudat"

Är det inte lite 2008 att köra rdp i dagsläget. Nej Core eller Nano är väl rätt val för en ren hypervisor

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2008
Skrivet av aluser:

Är det inte lite 2008 att köra rdp i dagsläget. Nej Core eller Nano är väl rätt val för en ren hypervisor

Vad har du för alternativ till RDP?

Trädvy Permalänk
Hedersmedlem
Plats
Skåne
Registrerad
Sep 2006
Skrivet av kallabaz:

Vad har du för alternativ till RDP?

Powershell?

(alternativt RSAT eller nya Windows Admin Center)

5960X | X99-E WS | 32GB | EVGA 1080 Ti FTW3 | 2 x Intel 750 | Full Loop | Enthoo Primo
R7 1700 | X370 Gaming-ITX | 16GB | RX Vega 64 LE | Noctua U12S | Node 304
2 x HPE ProLiant Microserver Gen 8 | 1265L V2 | 16GB | 20TB

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2008
Skrivet av SeF.Typh00n:

Powershell?

(alternativt RSAT eller nya Windows Admin Center)

Aha. Jag ser fortfarande att RDP fyller flera syften, speciellt på applikationsservrar.

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004
Skrivet av aluser:

Är det inte lite 2008 att köra rdp i dagsläget. Nej Core eller Nano är väl rätt val för en ren hypervisor

Nja. Det beror på.
Powershell och RSAT kräver WMI/RPC vilket öppnar en större attackyta mot servern än bara en RDP port.
WMI security är dessutom rätt "meckigt" så det kan vara betydligt enklare att får RDP "rätt"

RDP funkar även på Core.
Jag har för mig att man har börjat ta bort stödet för Hyper-v i nano tyvärr. Som jag har förstått det håller man på att rikta om nano till att bli en containerversion av windows och inte längre avsedd för bashost

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av kallabaz:

Vad har du för alternativ till RDP?

I dagsläget på en hypervisor så skulle jag säga att man i första hand skall ha en windows arbetsstation med RSAT samt powershell. RDP har du som sista läges lösning innan du går till den fysiska konsolen.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jul 2002
Skrivet av SupaBeast:

Okej! Tack för svaren. Låter bli att göra det.

Frågan kom till mig när jag på något ställe även läste att det var "hysch hysch" att inte lägga Hyper-V i domän, för att workgroup inte är lika säkert. Men jag tror som ni nämner att den största risken är krångel om man gör det.

En workgroup i sig gör varken till eller från vad gäller säkerheten. Dock så kommer du inte få med de policys som kommer med domänanslutning/domänen. Men sätter du upp de själva på samma vis eller tightare så är det lugnt

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-