Sugestao de compra de SO? Standard ou Enterprise? 2k3 Server / ISA

foca disse:

Não vai virar.
A recomendação para um servidor Exchange é que ele seja a maquina mais potente da rede só superada por servidores de banco de dados/aplicações.
Dependendo da movimentação de e-mails na sua rede o servidor do Exchange vai rodar a 100% de processamento 100% do tempo.
Seria loucura colocar o Exchange na mesma maquina que o AD, WSUS e um servidor de impressão, isso falando de uma maquina fisica, colocar isso em uma maquina virtual é digamos irreal.
Mesmo o Virtual Server tem algumas limitações quanto a isso, lembre-se que as requisições vão continuar indo para apenas uma maquina, ou seja todo o trafego de rede vai dividir o mesmo barramento PCI, toda a memória RAM das VM´s vai dividir o mesmo barramento de memória e as VM´s vão dividir o processamento do sistema.
O ISA Server não precisa de tanto Hardware quanto o Exchange, o Active Directory não precisa de tanta maquina quando o Exchange e o WSUS ate podem estar na mesma maquina, mas isso abriria problemas indesejados de segurança.
Nesse caso em especial VM´s não são uma boa solução.
do que adiantar eu ter um ISA Server se um invasor conseguir invadir o servidor onde as VM´s estão instaladas?
Se for o Exchange 2007, acredite essa sua maquina toda só para ele dependendo do tanto de e-mails que você trafega pode ser pouco.
Sendo absolutamente sincero com você eu nunca vi um servidor de Exchange em Virtual Machine em ambiente de produção a não ser como Backup.
Uma recomendação.
Baixa isso aqui.
http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=692A6E3C-81C9-4D8A-93FA-266D651735DC&displaylang=en
E vê como o servidor se comporta, depois vai adicionando os outros componentes, se precisar eu tenho Maquinas Virtuais do Windows 2003 prontas aqui e posso te enviar para testes.
Só como exemplo essa VM, precisa de 10GB de HD e 1024MB de RAM.

Requerimentos do Exchange Server:
Processador.
x64 architecture-based computer with Intel processor that supports Intel 64 architecture (formerly known as Intel EM64T)
AMD processor that supports the AMD64 platform
Memória.
Minimum: 2 gigabytes (GB) of RAM
Recommended: 2 GB of RAM per server plus 5 megabytes (MB) of RAM per mailbox.
Ideal é RAID 5 para as mensagens.

O que acha então de ter o 2003 Enterprise 64 instalado, com o Exchange, WSUS, Servidor de Anti Virus, AD e Print Server na máquina física, com 5 cores e 3Gb de RAM, e numa VM com 3 Cores e 1Gb de RAM, o Win 2003 Enterprise 32 Bits com o ISA Server apenas?

foca disse:

Imagina o seguinte todo e-mail que chega o Exchange vai ter que abrir e verificar as regras de segurança que foram colocadas nele e ai consultar o AD (que esta na mesma maquina) e depois enviar para os usuários.
Recomendação de segurança, maquina que tem que ficar em DMZ, é uma maquina solteira em todos os sentidos.

Note que você esta mantendo tudo na mesma maquina, se der um problema você fica, sem AD, sem WSUS, sem servidor de AV, sem Print Server, sem ISA Server e sem Exchange.
Maquina que roda o AD, não deveria ter contato com rede externa. Seja fisicamente ou logicamente.

• Virtual Server supports virtual machine access to only one physical CPU. Although you can run Virtual Server on a multiprocessor computer, each virtual machine can use a maximum of one processor. Therefore, advantages of Active Directory multiprocessor capabilities are not available when running domain controllers in virtual machines.

foca disse:

Antes de qualquer coisa leia isso (O doc pelo menos).
http://support.microsoft.com/kb/888794/en-us
http://download.microsoft.com/download/1/8/4/18450ebb-bd47-47b4-9957-40f185fbbaa7/DC_VS2005.doc
http://articles.techrepublic.com.com/5100-10878_11-6084127.html
http://capitalhead.com/articles/benchmarking-vmware-esx-server-25-vs-microsoft-virtual-server-2005-enterprise-edition.aspx
Aqui é importante o cara trata da instalação de VM´s para teste em um hardware parecido com o seu (Um pouco superior de fato).
http://www.viewpoints.com/Microsoft-Virtual-Server-2005-Enterprise-Edition-R2-review-c19d
Virtualização é mais usado para servidor de aplicação onde se tem em uma maquina 10, 20 ou x servidores rodando aplicativos, mas no caso você esta colocando servidores vitais para a rede da empresa todos em um unico lugar.
Como eu disse, WSUS, Exchange e talvez ate o Print Server podem ficar em uma só maquina.
Mas AD e ISA não.

Senão me engano o Exchange sabe quando esta rodando em VM, pelo menos nos cursos que fiz e quando instalei aqui um dos Warnings que dava era que ele estava sendo virtualizado.

O que eu disse foi o contrario, você pode colocar quase tudo em uma maquina o Exchange e o WSUS na grandona.

E uma coisa que você parece não saber é sobre as limitações do Virtual Server, então senta antes de ler essa.

O mesmo se aplica ao Exchange e a tudo o mais.
Ou seja seus 2x 4 nucleos viraram 4 nucleos.
Ainda bastante poderoso, mas vamos dividir isso entre AD + WSUS + Exchange + ISA + Host.

E novamente tudo da sua rede fica centralizado em um unico lugar, o problema que eu digo é uma simples queima de fonte ou uma memória com problema que para tudo na sua rede.
O modelo cliente-servidor vem sendo substituido a algum tempo pelo modelo em camadas.

Sua solução não é ruim, mas considera o fato que sua maquina nunca irá parar e tirando o Juggernaut e a Intel (Vide uma mensagem minha no fórum de noticias) nada é imparável.

romulopfarias disse:

Então eu deveria ter 3 máquinas, em tese? Uma para o ISA, uma para o AD, e outra para os demais "serviços"?

Poderia pegar uma licensa 2003 Standard, e do ISA Standard, pegar uma máquina x2 4400+, 2x512 DDR2 667, HD 80Gb SATA2, e colocá-la somente como ISA Server, e colocar entre o Firewall de borda e o Backbone. Criaria uma máquina virtual com o Enterprise 64 bits, pra rodar o AD, com 1 core, 1Gb e uns 40Gb, e atribuiria uma placa de rede somente para essa VM, e ligaria ela ao Backbone. A máquina física eu colocaria o Exchange, WSUS, Anti Virus, Print Server, e outras coisas básicas, no "resto" (3Gb de RAM, 7 cores) para isso tudo, e colocaria a outra placa de rede somente para ele, ligando ao Backbone também. E dentro do Virtual Server eu desabilitaria qualquer tipo de "ligação" entre a VM e a máquina física. De forma que eu teria um IP e MAC próprio para a VM, e IP e MAC para a física. Com isso faria as VLANs, de forma que o AD ficaria numa DMZ...

Bem, eu sei que até pouco tempo atrás, o Virtual Server, não suportava rodar VMs com sistemas 64 bits (embora o sistema hospedeiro pudesse ser 64 bits, as VMs só poderiam ser 32 bits), com isso o Exchange 2007 não poderia ser instalado em produção, pois ele oficialmente não pode ser rodado em 32bits. Agora que a limitação foi superada, com o SP1, não há impedimento "lógico" para que se pudesse criar uma VM com o Exchange para se colocar em produção.

não entendi...

Isso de fato eu não sabia. Pois o VMWare permite você falar quantos cores quer utilizar para cada VM.. Mas criando 2 VMs com o Enterprise 64 bits, rodando o AD, e cada uma com 768 de ram, poderia fazer um cluster entre as 2, utilizando assim uma ligação interna entre as VMs, mas sem passar pela máquina física, de forma a formar um "cluster".

Por isso que eu pretendia rodar serviços na máquina física... Pra poder aproveitar o multi-core.. e tarefas que não necessitassem de multi-core, criaria VM para utilizar somente 1 core.. ou na outra idéia do AD, criar duas VMs para fazer um cluster...

Bem, isso de certa forma é inevitável... Se o servidor queimar, fazer o que né.. O servidor em tese foi feito para nunca parar... As memórias podem ser trocadas com ele ligado, HDs podem ser colocados também... A idéia seria colocar 2 no-breaks de 1,2kva, para ligar cada uma das duas fontes redundantes dele. Pelo white paper do servidor, li que o servidor tem duas fontes de 700w, de forma que em condições normais, fica dividido o consumo entre as duas (350w), dai se uma das duas parar por qualquer motivo, a outra pode assumir sem problemas e garantir o funcionamento normal do servidor.. Então com 2 no-breaks de 1,2kva, garantiria que o servidor permanecesse ligado por um bom tempo, e evitando que se queimasse a fonte, protegendo as duas de efeitos adversos.. E em tese.. cada um desses no-breaks de 1,2kva, caso a energia do prédio caisse, teria que fornecer energia somente a 1 fonte de 350w.. o que daria um bom tempo de autonomia hehe


É tenso essa parada de centralizar.. mas conhecendo a chefia, eles não iriam gostar de saber que um servidorzão de 17k está sendo sub-utilizado.. Embora pelo visto, 3 licensas do 2003 Standard, 1 do ISA Standard, e 1 do Exchange 2007 Standard.. + 3 CPUs Dual Core, 2 com 2gb de ram e outra com 4Gb de ram, e HDs SATA 160Gb, ficaria mais barato e mais "disponível" opara a empresa do que um servidor de 17k + Win 2003 enterprise + Isa standard + exchange...[/QUOTE]

Uma coisa é centralizar suas aplicações todas em um ponto é isso o que se faz por exemplo com os mainframes, um mainframe roda todas as aplicações da empresa ou grande parte delas e um outro de backup fica de prontidão para o caso do primeiro parar.
No seu caso você esta centralizando tudo em um lugar contando com a imparabilidade do servidor, é como se você centralizasse o mainframe dentro dele mesmo.
Um servidor de R$17.000 é caro a ponto de a compra dele ter que ser feita após todos os usos dele ser exaustivamente pensado.
Que ele dá conta de fazer o que você quer?
Provavelmente sim, não tão rapido quanto uma maquina menor e mais barata dedicada para cada tarefa, mas dá sim.
Lembre-se que apesar de centralizar, você ainda vai ter varioss servidores para administrar, mesmo eles estando em uma mesma maquina.

No seu caso eu faria um pouco diferente.
Compraria um servidor desses:
http://h20341.www2.hp.com/integrity/cache/342370-0-0-0-121.html
E faria um desses de Backup:
http://h20341.www2.hp.com/integrity/cache/342370-0-0-0-121.html

Zoera, falando serio.
Eu compraria dois servidores pequenos
Na linha da HP
HP ProLiant ML350 G5
HP ProLiant ML100

Na linha Dell
PowerEdgeTM SC440

Na linha da IBM
Servidor IBM System x3200 - R$1659

"IBM"

Especificações
Processador: Intel® Xeon® Dual-Core 1.86GHz/1066MHz (2x1MB L2 cache)
Memória (padrão/máximo): 1GB PC2-5300 CL5 ECC DDR2 SDRAM DIMM
Armazenamento: 160GB 7200rpm Simple Swap SATA II
Tela/Monitor: Não inclui
Interface: Gigabit Ethernet
Unidade óptica: CD-RW/DVD-ROM
Tipo de Design: Torre
Garantia: 3 anos onsite
Outros: 1 fonte de energia de 400W, ATI RN50 (16 MB), acompanha teclado e mouse.

Essa maquina seria meu AD/WSUS-VM e a outra ISA.
Total gasto ate agora R$3500 + licenças do Windows Server 2003 comprando com a Dell e a IBM eu sei que tem desconto, com a HP eu não sei.
Depois eu montaria uma outra maquina absurdamente simples para ser print server.
R$3500+R$800 + licenças do Windows (Na Dell um servidor já com a licença do Windows 2003 tem um acrescimo de R$1500 para ate 5 CALs) e softwares.

E por ultimo o servidor de Exchange Server.
PowerEdge 1900
[quote="Dell"]
2x Processador Intel® Xeon® Quad-Core E5310 (1.60 GHz, 2x4 MB L2 cache, 1066 MHz FSB) - BRH9394
Memória de 4GB 667MHz (4X1GB), Dual Ranked
4 Hd´s SATA de 250GB em RAID 5
Windows Server® 2003 R2, Standard x64 Edition with SP2,Inclui 5 CALs
PowerVault 100T, Backup de Fita DAT72, 36/72GB
Symantec Backup Exec v11d Server Suite
5 fitas.
4 anos de suporte Silver - atendimento no próximo dia útil - R$1.435
Preço R$R$12.041

foca disse:

Isso é uma boa ideia, mas vc tá pensando muito com a cabeça de infraestrutura e comprando maquinas enormes para trabalhos pequenos.
Essa maquina que você colocou o ISA Server pode tranquilamente rodar o WSUS ou o AD, pense assim se essa maquina já vai se conectar a internet porque não deixar tudo que irá se conectar a internet nela?

divida o processamento por 4 VM´s mais servidor fisico e cada VM vai ter 20% do computador a disposição, se você acha que isso é o suficiente para o seu Exchange então ok.

Uma que ficara entre o firewall e a sua rede com tudo que tem que ter acesso direto a internet menos o Exchange (Ou ate o Exchange como Front End Server) e atrás tudo que tem que ficar protegido (Print Server, Exchange, AD).

Você já implantou uma solução do tipo?
Se já sabe que é uma dor de cabeça de implantar e não é piece of cake para manter e não se preocupe com perfomance se sua configuração de rede Windodows 2003 estiver bem feita eu já vi AD servindo 650 estações em um Pentium 3 1GHz com 512MB de RAM.

Faça o seguinte já que você já comprou o servidor e não tem como devolver ele.
Monte um servidor menor para o ISA e o WSUS em uma VM, por menor eu quero dizer menor mesmo, esse 4400+x2 dá e sobra para esse fim.
No servidor grande monte um AD em uma VM, na maquina real instale o Exchange (ou o contrario vai do que você achar melhor), coloque a maquina com o ISA e o WSUS no dominio coloque as impressoras ligadas no servidor do Exchange e pronto.
Dessa forma o seu AD fica na maquina mais poderosa da rede, o seu ISA e o WSUS tem um acesso mais frouxo a internet, mas ainda estão protegidas.
Na maquina com o ISA/WSUS você pode manter um BDC secundário com uma placa de rede que se liga diretamente ao outro servidor e ao outro AD apenas para backup se der algum problema com o seu principal ele assume[./quote]

Idéia interessante... muito boa mesmo... Mas ai eu teria que adquirir duas licenças do 2003 Enterprise? Ou nesse server onde vai ficar o ISA (x2 4400, 1Gb de RAM, HD 80Gb), posso colocar o 2003 Standard?

E tem uma coisa... Essa licença do 2003 Enterprise, permite eu rodar até 4VMs com o mesmo sistema, mas significa que eu tenho que rodar no mesmo lugar aonde foi instalado o principal? Ex: No servidor grande, tem o 2003 Enterprise, que dá direito a criar 4VMs com a mesma licença. No server menor, tem o Standard, que não permite criar VMs com a mesma licença.. Posso transferir uma VM do Enterprise para o Standard? De modo a fazer um "cluster" entre a VM rodando no server grande, e a VM rodando no server pequeno, com a mesma licença do Enterprise? E o fato de um rodar em 64 bits (grande) e outro em 32 bits (pequeno), impede o cluster?


[quote]No seu caso faça o seguinte, instale tudo nesse servidor do jeito que você quer, ative alguns logs de desempenho no servidor fisico e comece a monitorar então comece a fazer testes de logon no AD(Senão me engano a MS disponibiliza batchs para isso), acessos ao Exchange, solicitações ao WSUS e acessos ao ISA Server e veja como ele se comporta nos testes, só ai você vai saber se ele aguenta ou não.

romulopfarias disse:

Não é considerada falha de segurança deixar o AD numa máquina que tem acesso a rede externa? Lembro que alguem me disse isso alguma vez, que seja como fosse, o AD deveria ficar numa zona sem acesso direto à internet. Além disso, de fato estou meio que subestimando o poder de processamento das máquinas... Achei que o ISA Server fosse um serviço que puxasse muito processamento em tempo real, e logo que ele não pudesse ser utilizado para outra coisa. Mas é uma boa idéia sim deixar a máquina que vai rodar o ISA Server, rodar o WSUS também.

desisti da idéia do Exchange... no caso a prestadora do link já fornece serviço de e-mail para todos. Só tinha achado intessante a idéia de ter tudo aqui, sob controle "local" (quer criar uma conta de e-mail nova? só criar e pronto, sem precisar fazer requisições e solicitações e tal). Não imaginava que o Exchange era tão pesado assim.. Vou passar a situação que se quiserem, terão que adquirir outra máquina só para ser o servidor Exchance (um x2 ou C2D (tem que ser dual core, pra poder pegar licença Win2003 Standard.. se tiver mais de 2 cores, só a Enterprise) com 4Gb de RAM e 3HDs SATA2 7200RPM de 160Gb em RAID-5 seria suficiente então para um bom servidor de e-mails? com umas 100 contas de e-mail?

Posso fazer o seguinte? O servidor tem 2 placas de rede. Criar uma VM com 1,5Gb de RAM, com o 2003 Ent. R2 32bits, e o ISA Server 2006 32 bits, e o WSUS, utilizando uma placa de rede física somente para o acesso a internet (a máquina física não teria acesso a essa placa de rede), e a outra placa de rede compartilhada entre a máquina física e a VM? Daí ela seria ligada ao backbone, e funcionaria da mesma forma que o VMWare roda na minha casa (1 máquina física e uma VM, ambas na mesma placa de rede, porém cada uma com o seu próprio endereço IP).

Estava lendo que há uma brecha de segurança, de modo que todo o tráfego que vai para uma VM, obrigatoriamente passa pela máquina física (não cheguei a mexer no Virtual Server ainda, então tudo o que sei é o que eu procuro no site da Microsoft, e em fóruns). Isso é possível? Eu criar um "túnel" na máquina física, de modo que ela não etnha como ter acesso aos pacotes recebidos por uma VM?

Desculpe, mas nunca implantei não. Esse é o meu primeiro "projeto" propriamenet dito, no qual a responsabilidade cabe toda a mim. Por isso esses posts tão grandes.. ao mesmo tempo que eu fico ancioso, fico preocupado.. a responsabilidade é muito grande.. para simplesmente dar algum "erro" besta e nada funcionar..

Sou do tipo que primeiro procura saber o que a ferramenta faz ou não... se ela faz, dai é no próximo passo... Igual quando eu entrei aqui, me pediram para bloquear o orkut.. eu nunca tinha mexido no squid, só sabia que existia um web proxy para linux, chamado squid, e com ele eu poderia fazer o bloqueio do tráfego para internet.. Assumi a responsabilidade, comecei a ler a respeito, sabendo como funciona, vendo scripts prontos, para ter uma noção... e comecei a testar aqui.. em 1 semana já estava na fase "beta", com umas 3 máquinas sendo testadas...

Então no meu caso agora, estou levantando o projeto, vendo o que é "fisicamenet" possível ou não. O servidor vai aguentar rodar o ISA em uma VM e o AD, Print Server, etc etc na máquina fisica, sem dar gargalo em nada?

Se existe a possiblidade (igual estava lendo que a versão SP1 do Virtual Server 2005 R2 permite criar VMs tambem em modo 64 bits, o que é bastante interessante).. Se é possível, ótimo, assumo a responsabilidade, coloco no projeto, e depois quando chegar as licenças, o server, etc etc.. boto pra funcionar.. Por isso às vezes posso dar alguma idéia que pareça "absurda", peço desculpas, mas fiz 21 anos segunda-feira hehe to quase me formando... aprendi muita "teoria", sobre virtualização, 2003 server, linux... mas nunca coloquei na prática mesmo.. Estou apenas tentando fazer uma rede funcionar de modo "exemplar"..

Idéia interessante... muito boa mesmo... Mas ai eu teria que adquirir duas licenças do 2003 Enterprise? Ou nesse server onde vai ficar o ISA (x2 4400, 1Gb de RAM, HD 80Gb), posso colocar o 2003 Standard?

E tem uma coisa... Essa licença do 2003 Enterprise, permite eu rodar até 4VMs com o mesmo sistema, mas significa que eu tenho que rodar no mesmo lugar aonde foi instalado o principal? Ex: No servidor grande, tem o 2003 Enterprise, que dá direito a criar 4VMs com a mesma licença. No server menor, tem o Standard, que não permite criar VMs com a mesma licença.. Posso transferir uma VM do Enterprise para o Standard? De modo a fazer um "cluster" entre a VM rodando no server grande, e a VM rodando no server pequeno, com a mesma licença do Enterprise? E o fato de um rodar em 64 bits (grande) e outro em 32 bits (pequeno), impede o cluster?

Acho que isso é o mais indicado mesmo, vou tentar fazer isso sim... Acho que vou pegar um x2 desse aqui, colocar o 2003 Enterprise 64, criar uma VM e começar a fazer testes, pra ver se funfa..

queria saber mesmo a questao das placas de rede... ou se no caso vou ter que adquirir uma terceira placa de rede para o servidor, de modo a ficarem 2 placas fisicas para o ISA (na VM), e 1 placa fisica para o AD (na fisica)

mais uma vez, muito obrigado!