NeMiX

Nö hast du nicht, da steht nur unverständliches Zeug drin, aber keine Erklärung/Anforderung für DNS.

Falls du Storage (alles über SMB für Clients) darüber machst, dann sollte man imho eine getrennte Infrastruktur (eigene NICS, eigene Switche) dafür nehmen. Was das ganze mit DNS zu tun hat, hast du immer noch nicht erklärt.

Nein, die MA haben an Ihrem Rechner normales Hausnetz mit Internet über Proxy und Firewalls. Da kann es dann schon mal Einschränkungen geben (z.b. Proxyauth per AD). Die VMs werden immer in ein spezielles VLAN gehangen, wo kein Internet verfügbar ist. Da an Unterschiedlichen Projekten entwickelt wird, gibt es dort derzeit ca 20 verschiedene Entwicklungsvlans, damit sich da nichts in den Weg kommt. Teilweise gibt es Vlans mit eigenem AD, aber das hängt immer von den Projektanforderungen an. Wenn eine VM der Entwickler "freies" Internet benötigt, kann er diese per VMWare Workstation in das Netz hängen wo er den Proxy umgeht und per FW Regel http/https/ftp frei verfügbar sind für die DHCP Range.

Stimme da Zahni zu, wobei ich schon "Bastellösungen" mit Squid gesehen habe wo die Uploadsize für http/https auf 100kb beschränkt war. Ob das ganze sinnvoll ist und wie man dann gewisse Sachen Troubleshootel soll, lasse ich mal lieber weg....

Wir arbeiten da mit VMs auf den Workstations der Entwickler und reichen die VLANs an die Switche der Abteilung durch. Dadurch können die Entwickler Ihre VMs selbst umhängen. Manchmal brauchen die leider "freies" Internet oder sollen in Ihrem eigenen VLAN wüten. Die Workstations hängen normal im Userlan, die Entwickler haben dort aber auch keine Adminrechte!

Router mal komplett zurückgesetzt (gibt meistens einen Reset Button, den 10 Sekunden drücken) und dann mal probiert? Evtl. habt Ihr auch zuviel Broadcast ö.ä. im Lan (für deinen Router das WAN), so dass er einfach komplett überlastet ist und die CPU bei über 90% nicht mehr fähig ist die Adminwebsite auszuliefern.

Wenn das in der WP Installation deiner Frau ist, sollte Sie schnellstens den Provider wechseln. Über Drive-by-Downloads (nur ein Beispiel von sehr vielen) lässt sich sehr schnell Schadsoftware verbreiten. Wer dann die Schuld trägt, falls euch jmd. anzeigt kannst du dir ja ausmalen. Ich finde das Server die Websiten ausliefern auf Linux aufgebaut werden sollten. Die Lizenzfrage ist dort fast immer wesentlich einfacher geklärt (hast du dich darum schon gekümmert?) und es gibt weniger Schadsoftware und Angriffsvektoren für die verschiedenen Distributionen. Ja auch die muss man aktuell halten, aber ein Wordpress ist bei einem Shared Webspace wo im Hintergrund (normalerweise) Profis arbeiten wesentlich besser aufgehoben als auf einem Server den jemand in seiner Freizeit betreibt. Wenn du wirklich von A-Z von Hand installieren willst, warum benutzt du dann WebPI? Von Hand einen MySQL installieren sollte unter Windows nicht wirklich das Problem sein und die passende PHP CGI bekommst du sicherlich auch eingebunden. Es gibt auch fertige LAMP Packages die alles mitliefern, dann aber auf Apache basieren.

Wenn du ein Wordpress ans Internet hängst, solltest du evtl. zu einer Wordpress Hosting lösen greifen. Es gibt da durch Plugins soviele Sicherheitslücken, da kann man quasi täglich nachschauen ob man irgendwas updaten muss. Sowas würde ich nicht in mein Unternehmensnetzwerk hängen. WebPI fragt das PW ab, weil es den MySQL Server mitinstalliert und dort dann dein Passwort für root übergibt. Sollte es da happern kann ein Blick in die Eventlogs oder die Logs des Installers nicht schaden!

Ist wie Sharepoint, nicht anpacken wenn man sich nicht auskennt ;).

Falls dir die Erfahrung fehlt, bei VMs immer klein anfangen. Ein DC der nur DC ist lebt sehr gut mit einer vCpu und 2GB vRam. Wenn du mit VMs arbeitest würde ich versuche die Dienste immer zu trennen (wenn das Geld für Lizenzen da ist) und vorher IOPS und RAM ausreichend planen. Aber da bist du imho noch ein paar größere Schritte von entfernt. Wie bereits oben erwähnt, was nützt dir ein Server wenn die Netzwerkinfrastruktur nicht steht.

Wobei RAM bzw. Hardware heute generell weniger kostet als vor 10 Jahren. Das ganze in ein 3 Jahre Leasing gepackt und dann tut es auch nicht direkt so weh und man hat steuerliche Vorteile. Was machst du den jetzt wenn dir das Mainboard stirbt? Für die alte Kiste wirst du vermutlich keine Ersatzteile mehr bekommen und auch die Anforderungen (an Ram,CPU, IOPS) sind gestiegen das es einfach mehr Features gibt. Wenn Ihr wirklich nur Email benötigt, solltet Ihr euch Hosted Exchange anschauen und einfach mal preislich vergleichen wo Ihr da in 3 oder 5 Jahren landet. Das kann sich, gerade bei kleinen Firmen, sehr schnell lohnen.

Besorg dir ein paar aktuelle Gehaltstabellen um einen Vergleich zu haben und bringe der GF verständlich bei was Ihr alles leistet und welchen Benefit Ihr für das Unternehmen habt. Als IT Leiter für 500MA kann man gerne auch mal das 3x verdienen (je nach Region und Branche). Wie sieht das den eure Konzernzentrale, die werden bei 15k MA doch bestimmt Gehaltsbänder ö.ä. haben. Generell würde ich persönlich einen Job wo man kostenlos 24x7 anbietet und Überstunden nicht bezahlt werden nicht mehr als Traumjob ansehen, aber in Jungen Jahren sieht man das sicherlich anders ;)

Ich hab in meinem Arbeitsleben relativ viele ADs gesehen und hatte genau 2x mit Subdomains zu tun. Da ging es nicht anders, weil man von 7 stellige UserAccounts weltweit und in verschiedenen Firmen hatten. Alles bis hohe 4 stellige Useranzahl kann man imho am besten in einer AD Struktur verwalten. Wie oben bereits erwähnt sollte man immer DCs nur mit einer NIC ausstatten. Ich verstehe auch nicht was dein Problem ist und was du da oben mit den VMs vor hast....

Sorry, hast natürlich recht. Darauf wäre man beim Kollegen des TO wahrscheinlich während der Migration drauf gestoßen ;)

Setzen wir auch ein, hat den charmanten Vorteil das man da Reports bekommt wer wann welches Passwort abgefragt hat und das man sehr granular die ACLs steuern kann. Der Spaß kostet etwas, aber ich bin mir relativ sicher das eine Excel Liste (sicherlich eine gangbare Praxis) bei den Audits die wir mitmachen (HIPAA, PCI usw) nicht bestehen würden.

Das dann aber direkt die harte Gangart. Ich habe so was letztens bei einem Oracle Audit miterleben dürfen als "Schaulustiger". Ohne Anwalt im Raum wurde da gar nix gemacht da es in der Vergangenheit 2 Audits gab die sehr teuer für die Firma waren. Vor allem beim 2. Mal hat man auf den 1. Audit aufgebaut und danach lizensiert. Angeblich war da vieles falsch und man hat sich dann vor Gericht geeinigt. Mit Trick meinte ich den Lockruf das man etwas von der Summe abbekommt als "Finderlohn" wenn man sich bei der BSA meldet.

Solange ein DHCP Server erreichbar ist und er freie Leases hat wird er antworten wenn die Anfragen bei ihm ankommt. Ob die Clients sich anmelden können hängt davon ab ob sie per DHCP den richtigen DNS Server mitgeteilt bekommen und diesen erreichen können. Du springst leider zwischen den verschiedenen Begriffen hin und her und solltest dich mal mit den Basics auseinandersetzen. Sowas kann man sehr gut mit 3-4 VMs nachbauen und ausprobieren. Was VLANs/Segmentierung auf Etagenebene gibt, habe ich das sogar schon mal runtergebrochen bis auf Büroebene gesehen. Jeder Raum hatte sein eigenes VLan, warum konnte keiner sagen ein Werksstudent hat sich daran ausgetobt. Am Ende gab es ca 300 Vlans ohne Namen und die Dokumentation war mehr als dürftig. Zum Glück kann man sowas mit etwas Vorplanung relativ schnell auflösen.

Wenn deine Domain bei 1&1 liegt musst du das im Kundencenter dort machen. Den PTR für deine externe IP musst du bei deinem Internet-Provider anpassen.

Ein Server (vor allem ein DC) sollte imho nur in Ausnahmefällen Dual Homed eingerichtet werden. Du solltest zwischen Router und deinem Lan eine Firewall hängen die NAT und Firewalling übernimmt. Die Firewall hat dann 2 NICs (WAN und LAN) und deine Clients/Server haben dann auch nur eine Verbindung. (Das Thema DMZ hab ich mal weggelassen).

Ist deinem Kollegen bewusst, was er sich damit alles an Arbeit aufhalst? Userprofile migrieren (ADMT hat selten eine Quote von 100%), Exchange neu machen, Sharepoint neu machen, Applikationen migrieren, Shares neu erstellen usw. usw. Das macht man selbst bei kleinen Firmen nicht mal eben so und hat wie Nils schon erwähnte selten irgendeinen Mehrwert.

@ Lizenzdoc: Ich schätze deine Meinung sehr, da du dich mit dem sehr trockenen und vor allem sehr verwirrenden Thema MS Lizenzen sehr gut auskennst. Aber meinst du nicht das du oben etwas übers Ziel hinaus schießt? Ich habe bisher 3 Audits miterlebt, auch den Fall der massiven Unterlizensierung (wir hatten den Kunden erst 3 Wochen und haben zum Glück in der ersten Woche schriftlich auf die Lizenzmisstände hingewiesen) und auch da hat man sich gütlich mit MS geeinigt, weil die Lizenzen direkt gekauft wurden und man vor allem mit offenen Karten gespielt hat. Ja das Drohgebärde ist da, aber man kann fast immer mit den Audit Leuten reden. Zitat eines Auditors: "Wir wollen auch keinen Kunden verbrennen, damit er hinterher zu einem anderen Hersteller läuft"... Zum Thema BSA ist das imho ein PR Trick, da man das Geld nur bei einem erfolgreichen Urteil oder einem Vergleich mit der BSA bekommt. Erfahrungen aus den USA zeigen, dass es zu 99% auf einem Vergleich zwischen Softwarevendor und "Angeklagten" kommt und die BSA keine Prämie auszahlt, da Sie nichts mit dem Vergleich zu tun haben. Das das Thema angegangen werden muss ist völlig unstrittig, ich sehe aber zumindest in Deutschland eine wesentlich bessere Mentalität als in einigen anderen EU Ländern...

Ohne Direktlink? Werbung klingt für mich etwas anders.

Bei euch würde sich evtl. der Einsatz von Laptops mit einem selbst gehosteten Owncloud anbieten (gerne auch im RZ als SaaS). Für Email bietet sich auch Hosted Exchange an, da muss man nicht gleich zu einem Anbieter aus den USA gehen wenn einem die Daten lieb sind. Das Angebot oben beschreibt leider 0 was euch als VMs angeboten wird und welche Technik zum Einsatz kommt. Ist es evtl. ein nachgebautes Amazon Workspaces also ein VDI aus der Cloud oder nur eine VM mit Datenablage. Kommt Ihr mit 1TB aus an Volumen? Heutzutage kostet Traffic fast nichts da würde ich ggf. nachverhandeln, falls Ihr das Angebot nehmt. Wie sieht es mit SLA Zeiten aus? Lasst euch die Vertraglich zusichern und verlasst euch nicht auf mündliche Aussagen!

Kann Nils da nur zustimmen, ich hatte bei meinem alten AG ein ähnliches Problem mit mehreren DOS Programmen. Das wurde dort mit einem eigenen Share (nicht im DFS Stamm) gelöst und lokalen Accounts für die alten Schätze. Denk auch an die Passwortpolicy, wenn dir auf einmal das PW abläuft und nicht mehr auf den Share zugegriffen werden kann fängt man erst mal an mit dem suchen ;)

Ja, weil auch Bacula dafür teilweise Lizenzen zahlen muss.