Zum Inhalt springen

Terminal-Server auf DC. Warum eigendlich nicht?


Tronde

Empfohlene Beiträge

Hallo.

Beim lesen hier im Forum und auf anderen Seiten im Internet habe ich jetzt schon des öfteren gelesen, dass man einen Terminal-Server nicht auf einem Domänencontroller installieren sollte. Leider stand nie ausführlich dabei warum man das denn nicht macht.

Ich kann mir schon denken. dass der Server stark beansprucht wird und man ihn damit in die Knie zwingen kann. Aber ab wann kommt man in diesen Bereich?

Ein Beispiel:

Ich habe einen Small Business Server 2003 mit Exchange als DC. In der Domäne befinden sich ca. 20 Clients von denen 10 über eine Terminalsitzung arbeiten sollen. Warum sollte ich den Terminal-Server nicht direkt auf dem DC installieren, der bisher kaum beansprucht wird?

Die Clients arbeiten alle mit Office und mit einer Software in der Patientendaten verwaltet werden.

Wäre nett wenn ihr mir die Gründe nennen könnt warum man oben genanntes nicht macht.

MfG

Tronde

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi,

also ich denke, dass alleine der von dir genannte Grund ausreicht. Denn man kann unmöglich alle Zusammenhänge in der IT erklären, und daher sollte man einen wichtigen Server nur mit dem notwendigsten austatten. Das minimiert die möglichen Fehlerquellen, auch wenn sich manche Dienste auf den ersten Blick gar nicht in die Quere kommen sollten.

Wenn du die Rechte falsch gesetzt hast, können deine User u. U. bewusst oder unbewusst ne Menge Schaden anrichten. Wozu dieses Risiko eingehen?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn es darum geht, dass sich irgendwelche Dienste nicht in die Quere kommen müsste ich ja für die kleinsten Aufgaben jeweils einen neuen Server aufsetzen.

Mich verwirrt es gerade, da der SBS2k3 R2 ja bereits für die Terminallizensierung vorbeitet zu sein scheint.

Mir ist klar, dass mir nur dieser eine Server wegbrechen brauch und es geht gar nichts mehr. Nur in meinem Beispiel von oben ist es so, dass die Datenbank für das Patientenverwaltungsprogramm auch auf dem Server liegt. Wenn die offline ist kann niemand arbeiten. Dem Kunden würde also auch kein Nutzen entstehen, wenn der Terminalserver noch läuft während der DC offline ist. Andersrum wäre es genau so schlecht.

Die Userrechte habe ich ja selbst in der Hand. Und dies ist gar nicht so schwer abzusichern. Wir arbeiten in der Firma auch auf einem Terminalserver. Und unter den Accounts mit welchen wir arbeiten kriegen wir noch nichtmal was kaputt selbst wenn wir uns richtig Mühe geben.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das Rechtekonzept von Microsoft sieht vor, dass eine interaktive Anmeldung an Dcs nur Usern der administrativen Gruppen gestattet ist.

Wird ein DC auch TS, dann musst du entweder (gar grausame Holzhammermethode, aber ITW schon selber vorgefunden) alle User zu Domänen-Admins machen (soll ich auch noch über die Sicherheitsrisiken sprechen?) oder du musst in den Richtlinien des Servers herumpfuschen, damit auch nicht-Admin-User sich interaktiv anmelden können. Das Herumpfuschen in diesen Richtlinien ist nicht ohne, ich habe es mal auf einer Testmaschine geschafft, dass ich mich zwar noch als normaler User anmelden konnte, der Admin aber komplett ausgesperrt war.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi,

Wenn es darum geht, dass sich irgendwelche Dienste nicht in die Quere kommen müsste ich ja für die kleinsten Aufgaben jeweils einen neuen Server aufsetzen.

es kommt immer drauf, wie wichtig die einzelnen Dienste sind, aber in der Tat ist es oft empfehlenswert, das so zu machen. Wie wichtig nun die einzlnen Dienste sind, muss jeder (die Firma) selber entscheiden, da es natürlich auch eine Kostenfrage ist. Ich würde auf einen DC in der Regel nichts anderes installieren, aber es gibt in der Tat auch andere Philosophien.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Normal sollte man sowieso immer 2 DCs haben, kann ja mal einer ausfallen. Ob man nun generell alle Dienste trennt hängt auch stark vom Budget ab, der Hardware und gewisse Kombinationen sollte man besser nicht betreiben. z.B. rät MS dringend davon ab auf einem Exchange auch Outlook zu installieren. Haben wir hier im Büro zwar so am laufen, es kann aber wohl Probleme mit DLLs zwischen Outlook und Exchange geben.

Genauso ist es bei den Terminalservern. Wir haben bei mehreren (größeren)Kunden TS laufen, die auch gleichzeitig "2." DC sind. Bisher ohne Probleme. Und die vom Chief angesprochenen Probleme beim Anpassen der Gruppenrichtlinie sollten eigentlich nicht passieren. Auch da rät MS auf jedem Seminar, NICHT die Standard also Default Domain Policy zu ändern. Bei Updates kann es sonst zu Problemen kommen, da diese wohl gelegentlich überschrieben/erweitert werden. Wir fügen in eine neu erstellte eine entsprechende Gruppe hinzu (z.B. TS-User) und das hat bisher immer problemlos geklappt.

Die optimale Lösung ist sicherlich pro Anwendung ein Server, ein bzw. zwei DC, einen Exchange, einen SQL, einen TS nur das kostet halt alles und die Gefahr das sich etwas untereinander behindert wird größer und damit auch die Ausfallwahrscheinlichkeit und dann geht gar nichts mehr.

Probieren geht über studieren und es gibt ja noch ein Image und ein Backup:D

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dass man die Aufgaben auf einzelne Server verteilt solange das Budget es zulässt ist mir bekannt. In der Regel wird es auch so gemacht. Nur hat nicht jeder Kunde ein so großzügiges Budget.

Das mit den Richtlinien stellt in meinen Augen auch kein großes Problem dar. Wie MBaeuml schon sagte wird eine neue OU erstellt und dort werden dann Richtlinien gesetzt. Die Default Domain Policy wird dabei nicht angefasst. Also bis auf die Tatsache, dass die Leistung des Servers für DC, EX und TS nicht ausreichen könnte kann ich noch keine wahren Nachteile erkennen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Die Terminaldienstelizenzierung ist der Dienst, der die TSCALs (Terminal Server Zugriffslizenzen) verwaltet.

Dieser Dienst kann problemlos auf einem Windows Server 2003 mit oder ohne R2 (sowohl Memberserver als auch auf einem DC) oder auf einem SBS2003 mit oder ohne R2 laufen.

Ein Windows 2003 Terminal Server muss zwingend ueber eine installierte und konfigurierte Terminaldienstelizenzierung lizenziert werden, sonst stellt dieser nach AFAIK 120 Tagen den Dienst ein.

Auf einem Small Business Server 2003 kann kein Terminal Server laufen, das ist eine technische Einschraenkung des SBS. Hier brauchst Du zwingend einen zusaetzlichen Server.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich persönlich würde sogar davon abraten einen DC auch als Exchange Server

zu verwenden. Wir haben dies selber so praktiziert und dann kam es zum Crash.

Exchange Datenbank bei Serverneustart 0kb groß (hmmm)...

Du kannst nichts machen wenn du keinen Ersatz DC hast.

Dedizierte Server und seien es nur Virtuelle sind auf jeden Fall zu empfehlen.

.da3mon.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...