Windows-VM

Das LRZ betreibt für seine Kunden virtuelle Maschinen auf Basis von VMware. Dabei ist das LRZ für die Pflege des Windows Betriebssystems zuständig. Die Administration der Dienste muss der Kunden übernehmen.

Unterstütze Versionen

  • Das LRZ unterstützt derzeit die folgenden Betriebssysteme im Bereich managed Server in seiner VMware Umgebung:

    VersionSupport EndeNeuinstallationen
    Windows Server 2012 R210.01.2023Nein
    Windows Server 201612.01.2027Nein
    Windows Server 201909.01.2029Ja
    Windows Server 202214.10.2031ja


    Windows 10 als Clientbetriebssystem steht nicht zur Verfügung.

Lizenzierung

  • Das LRZ stellt für die auf VMs im Bereich managed Server in seiner VMware Umgebung die notwendigen Lizenzen für die Windows Server Betriebssysteme und das Clientmanagement (SCCM) zur Verfügung. Für den Zugriff über RDP sind im Betriebssystem zwei administrative Verbindungen enthalten.
  • In der Verantwortung des Kunden liegt die Lizenzierung aller weiteren lizenzpflichtiger Produkte. Hierunter fallen auch eventuell notwendige weitere Zugriffs CALs für den Zugriff auf Dienste auf den managed Servern.
  • Aufgrund der Virtualisierung können von den Softwareherstellern eventuell andere Lizenzbedingungen gegenüber einem physischen Betriebs der Software gelten. Diese gesonderten Bedingungen gelten im speziellen für Datenbanksoftware (MSSQL-Server, Oracle).

Betrieb

Netz

  • Alle VMs werden mit einer IPv4 und einer IPv6-Adresse erstellt. Nur nach Absprache mit dem LRZ ist eine Deaktivierung von IPv6 mit entsprechender Begründung zulässig.

Ressourcen

  • Virtuelle Windows Maschinen werden zunächst nur mit maximal vier vCPUs ausgeliefert.
  • Das LRZ hat die Basiskonfiguration für die vDisk der Systempartition mit 100 GB recht großzügig dimensioniert, so dass die Windows VMs im Laufe Ihres Lebens ausreichenden Plattenplatz haben sollten um alle Updates und Upgrades zu installieren. Die Kunden sind deshalb gehalten, immer mindestens 10 GB freien Platz auf der Systempartition frei zu halten. Sollte nicht ausreichend Platz vorhanden sein, so muss der Kunden Platz schaffen oder über einen Incident eine entsprechende Vergrößerung der Systemplatte auf eigene Kosten beantragen.
  • Für einen Upgrade des Betriebssystem ist der Kunde verpflichtet entsprechenden Platz auf der Systempartition bereit zu stellen. Auch der notwendige Platz für einen Systemupgrade ist bereits vom LRZ in der Basiskonfiguration von 100 GB berücksichtig worden. Sollte nicht ausreichend Platz vorhanden sein, so muss der Kunden Platz schaffen oder über einen Incident eine entsprechende Vergrößerung der Systemplatte auf eigene Kosten beantragen.

Domäne

  • Virtuelle Server mit Windows-Betriebssystem sind automatisch Teil der "MWN"-ADS-Domain. Andere ADS-Domains, das Hosting eigener Domaincontroller und auch der Betrieb eines eigenen Exchange-Servers ist nicht möglich.
  • Sie virtuellen Server sind in einer eignen Service DNS-Zone registriert. Der SPN der virtuellen Maschine wird entsprechend registriert und die Maschine ist über den entsprechenden FQDN erreichbar. Ein Alias kann vom Kunden gesetzt werden.
  • Das LRZ stellt für die virtuellen Server keine Zertifikate für dies Zonen aus. Bislang erstellte Zertifikate werden nicht mehr verlängert.
  • Die Computerobjekte mit MWN-ADS sind dem unmittelbaren Zugriff des Kunden entzogen und befinden sich außerhalb der regulären Struktur. Auf den VMs wird ein vordefinierter allgemeiner Satz von GPOs angewandt. In begründeten Fällen können auch zusätzlich eigene GPOs für eine VM bereitgestellt werden. Dies ist im Fall von RDP-Servern im Nutzerbetrieb denkbar.

Windows Updates

  • Sicherheitsupdates werden über einen automatisierten Weg auf den Servern eingespielt. Die Installation der monatlichen Windows-Updates mit möglichem Neustart findet am zweiten Samstag im Monat nach dem regulären Microsoft Patchday statt. Sollte es erforderlich sein, können aber auch an anderen Samstagen Neustarts erfolgen. 
  • Eine Aktualisierung des Betriebssystems auf eine neue Version erfolgt nur in Absprache mit dem Kunden. Der Kunde kann über eine Anfrage eine Aktualisierung des Betriebssystems anfragen.
  • VMs mit Betriebssystemversionen, die nicht mehr im Support des Herstellers sind, werden mit dem Supportende des Herstellers heruntergefahren.

Wartungsfenster

  • Jeden Samstag um 6:00 Uhr ist ein Wartungsfenster für eventuelle Neustarts aufgrund von Windowsupdates hinterlegt. Die Maschine entscheidet dabei selbst, ob ein Neustart notwendig ist oder nicht. In der Regel ist nur ein Neustart pro Monat notwendig.
  • Aufgrund von technischen Problemen mit einem virtuellen Server kann auch kurzfristig ein Neustart notwendig werden, dieser wird dann für den nächsten Tag um 4:00 Uhr eingestellt.

RDP-Zugriff

  • Auf den managed Servern werden bei der Erstellung der VM für die Kunden vordefinierte RDP-Firewallregeln "VM-Kunden-RDP Zugriff TCP" und "VM-Kunden-RDP Zugriff UDP" eingerichtet. Die beiden Regeln können vom Kunden selbst erweitert werden.
  • Ein pauschaler weltweiter Zugriff per RDP auf die Kunden VMs ist aus Sicherheitsgründen nicht mehr erlaubt. Sollte das LRZ offene RDP Ports entdecken, werden diese ohne Rücksprache deaktiviert.
  • Um die Ressourcen zu schonen und eventuelle Probleme bei der Installation von Updates, werden RDP-Session nach zwölf Stunden automatisch beendet.

IP-BAN

  • Auf den managed Servern wird bei der Erstellung der VM der Dienst IPban installiert. IPban blockiert IP-Adressen nach mehrmaligen fehlerhaften Anmeldungen für eine Stunde. Das Log über die aktuellen Sperrungen findet sich unter "c$\Program Files (x86)\IPban\banlog.txt". 

Datensicherung

  • Von den VMs werden in regelmäßigen Abständen Snapshot erzeugt, die maximal 14 Tage zurück reichen. Eine Wiederherstellung auf solch einen Snapshot kann über einen Incident beantragt werden. Bitte beachten Sie, es handelt sich bei einem Snapshot nicht um ein konsistentes Backup!
  • Für die konsistente Sicherung von Daten wie Datenbanken oder für den Restore einzelner Daten muss vom Kunden selbst ein entsprechendes Backup eingerichtet werden. Hierfür kann die Datensicherung mit ISP vom LRZ genutzt werden.

Anti-Virus

  • Auf den VMs wird vom LRZ die Anti-Virenlösung von Sophos vorinstalliert. Diese darf nicht entfernt oder deaktiviert werden.

Datenbanken

  • Aufgrund der Virtualisierung im VMWare Cluster des LRZ müssen Sie eventuell lizenzrechtliche Fragen der jeweiligen Hersteller im Vorfeld klären. Hier sind eventuell andere Voraussetzungen für eine korrekte Lizenzierung gegeben. Wir empfehlen grundsätzlich die Verwendung von Datenbanksoftware für die Sie keine Lizenzen erwerben müssen. Für MS SQL sollte deshalb wenn immer möglich eine unterstütze Microsoft SQL Server Express Version verwendet werden. Sie müssen den Einsatz eventuell mit dem Hersteller der Anwendung klären.
  • MS-SQL Server
    • MS SQL Core Lizenzierung: Für eine korrekte Lizenzierung von MS SQL Server Core benötigen Sie Minimum 2 x "SQL Server Standard Core - 2 Cores Lizenz mit Software Assurance".
    • MS SQL CAL Lizenzierung: Entspricht der normalen Lizenzierung von MS SQL CAL

Virtualisierung und Docker

  • Auf den managed Windows Servern sind keine Virtualierungslösungen (Hyper-V, Virutalbox, etc.) oder Docker Container erlaubt.