NeMiX

Hi Franz,

 

vielen Dank erst mal für die Info.

Vielleicht kannst du mir noch bei einem Gedankenknoten helfen.

 

Sagen wir mal drei Terminalserver (Citrix).

Auf einem ist Office installiert und nur Office.

Darauf sollen von 30 Terninalservernutzer 5 zugreifen. (Auf das Office)

Alle sollen aber auf die anderen zwei Terminalserver kommen.

 

Beim Zugang eines Gerätes (PC) wird das Logonscript auf dem DC liegend ausgeführt.

Wenn ich, wie in dem Script geschehen, den nicht autorisiterten PC herunterfahre (shutdown /l) kann der

ja nicht auf die anderen Citrix Server zugreifen. (was er aber soll)

Hab ich da was falsch verstanden?

Ist bestimmt der Knoten in meinem Kopf?

 

Shutdown /l auf einem Terminalserver ausgeführt macht einen Logout der TS Session und macht nichts am lokalen PC :)

Ich werde die Sache in Zukunft ausnahmslos dokumentieren, so viel steht für mich fest. Ob ich das Gerödel nur an die Entwicklerin oder auch gleich auch noch mit an ihren Chef schicke, darüber bin ich mir noch nicht ganz im Klaren. Eigentlich sollte der auch wissen, was da gerade bei denen los ist.

Fairerweise mit klarer, realistischer Timeline an den Entwickler. Kommt da nichts ggf. 1x nachfragen und danach an den Chef eskalieren lassen. Du willst/musst ja weiter mit dem Team zusammenarbeiten.

Was die MA angeht ist da evtl. schon viel Frust vorhanden. Da musst du dir dann Gedanken machen wie du das Vertrauen gewinnst und die Leute dir gegenüber offener sind. Kann schon manchmal hilfreich sein das Mittagessen in die Sozialräume zu verlagern (falls vorhanden).

P2V ist nicht böse, sondern gut - das zeigen viele Praxisbeispiele.

 

Jeder rät dir von P2V ab, du hast (so weit ich verstanden habe) keine Erfahrung mit Virtualisierung aber nennst P2V dann gut und haust so einen Satz raus. Das lässt mich dann schon zweifeln.

Ich finde deine Preise nicht gut verhandelt, die selbe Box haben wir vor 2 Wochen wesentlich günstiger erstanden mit fast gleicher Hardware (5x15kSAS 900GB+SD Karte für ESXi statt deiner Plattenkonfig) für einen Außenstandort.

Alleine das NT bekommt man als Endkunde (mit Mwst) für 30€ billiger, da solltest du noch mal nachhaken.

Was komplett fehlt ist das CarePack und die iLo Lizenz. Ohne wirst du nach Bios Post nichts mehr machen können was Remotekonsole betrifft.

Hast du es an einem PC mal mit UMTS/LTE Tethering ausprobiert (ggf. den ganzen Tag) um den Router auszuschließen?

Ja, darauf wollte ich raus. Konnte mir nicht vorstellen dass das VMWare nicht können sollte. VSphere Client heißt die Gui glaub.

 

Edit:

 

Sehe gerade dass es jetzt nur noch web-Client gibt.

Gibt immer noch den viClient. Hast du den ein vCenter oder einzelne ESXi Server? Dann hängt es von der Lizenz ab die du einsetzt im vCenter ob Storage vMotion funktioniert. Auch die Info das Storage vMotion erst ab Version 5 geht ist falsch, das ging schon mit Version 3.x.

@TO: Du kannst (falls vorhanden) im vCenter auch Alerts per Email verschicken lassen und eine vmfs sollte imho nicht mehr als 95% gefüllt werden. Es werden immer mal MetaDaten geschrieben oder jemand kommt auf die Idee ein Snapshot zu machen (evtl. sogar das Backup Programm was direkt die VM sichert)

Bin mal gespannt, wie sie reagiert, wenn sie unser Lastenheft vorgesetzt bekommt.  :D

Wie Doso gerade schrieb, lass dich nicht veräppeln.

Mache alles schriftlich, setze nach Absprache mit den Entwicklern klare Timelines und ordne das Lastenheft nach Prioritäten. Das mit der SQL Verbindung würde ich sehr hoch einordnen.

Beim Rest solltest du auch mal mit euren Mitarbeitern sprechen was dort so drückt. Als ITler hat man meistens andere, eher technische, Sorgen als der normale User der aber viel damit arbeitet.

Achja, die erste Installation habe ich während des Präsentation gestern mit dem IT-Mann zusammen gemacht.

Hat ca. 1 Stunde gedauert, dann war der Windows Cluster komplett auf 3 Nodes eingerichtet.

Erst heißt es 2 Wochen mit beschäftigt, jetzt hast du einmal zugeguckt wie man das auf der grünen Wiese mithilfe des Herstellers installiert.

Themen wie Migration, Sizing, Administration schmeißt du komplett weg.

Ja die Metro setzt Nutanix ein, aber keine 10.000 Boxen (das wurde ja bereits weggewischt).

Wenn ich dich morgen zu einer Omnicube Session oder Dell VRTX Vorführung mitnehme bist du dann ähnlich begeistert und sagst das ist das geilste Produkt der Welt?

5x 1TB HDD’s verbauen (auf RAID 5 konfigurieren) 

 

Bitte kein Raid5 bei solchen großen HDDs einsetzen. Generell würde ich eher richtige SAS anstatt langsame NL SAS HDDs nehmen.

Was die Replikation angeht solltest du das vorher mal durchtesten (also ein komplettes Backup&Recovery).

Der AD Name ist nicht das Problem, nur der NetBIOS-Name ist gleich dem Teil vor ".local".

 

Hast du mal eine genaue Fehlermeldung? Netbios Name gleich Domainname (ohne .irgendwas) habe ich schon öfter ohne Probleme gesehen und auch per ADMT migriert.

Dazu fällt mir spontan folgendes Video ein:

https://youtu.be/5O6DczyhCkE?t=44s

Nichts gegen Nutanix die machen das richtig gut und das funktioniert auch sehr gut, wir hatten die auch im PoC (zusammen mit Omnicube) aber die Aussage "Preis und von den Leistungen her unschlagbar" halte ich für sehr gewagt. Wie immer kommt es auf die Anforderungen an...

Norbert (übrigens MVP für Exchange, dass ist deine store.exe) hats dir doch in einem Satz beschrieben:

Ist jedenfalls nicht ungewöhnlich.

 WEnn es mal ernster wird dann gibt's https :)

 

Tu dir und deinen Kunden doch einen gefallen und mach direkt alles per https. Einfach http auf https per default weiterleiten und alle sind glücklich. Von einem vernünftigen Shop der neustartet und das direkt macht wäre ich direkt positiv begeistert.

Geht ein Ping auf den Hostname, falls nicht ein tracert/ping auf die IP?

telnet hostname 80 um zu testen ob es evtl. an Proxies oder ähnlichem liegt.

In einer Kundenumgebung vor ca. 7 Jahren wurde das per "getmac" gelöst. Ist so das einzige Stichwort was mir noch dazu einfällt.

Evtl. hilft dir dann in dem Zusammenhang das vbs Script weiter: http://superuser.com/questions/686421/is-there-a-log-file-for-rdp-connections-with-system-name

Du könntest dann ein getmac gegen den PC Namen machen und danach checken ob die mac erlaubt ist.

Ob das "Konstrukt" dann Lizenztechnisch sauber ist kann ich dir nicht garantieren!

Mit einem IP Scanner wirst du keine Loops finden!

Struckturierte Gebäudeverkabelung am besten NICHT vom Elektriker machen lassen (meist sehr gruselig ausgeführt)

 

100% agree. 

Sucht euch eine Firma (am besten Systemhaus mit Elektrikern) die das öfters machen und euch gut beraten. Merkst du eigentlich sehr schnell daran was dir angeboten wird.

Falls Ihr Ausschreiben müsst (seit Ihr eine Behörde) und du Einfluss auf die Ausschreibung hast, dann solltest du Messprotokolle und eine saubere Beschriftung und Doku als MUSS mit aufnehmen!

Hab schon öfters erlebt wie der lokale Eletriker genommen wurde, der dann einen Azubi und den jüngsten Gesellen geschickt hat die dann vor sich hingepfuscht haben.

Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung?

 

Das kenne ich von einigen kleineren Firmen auch. Als VM läuft PFSense, Verwaltung des Host/VMs geht nur per VPN an die PfSense.

Nach außen ist nur 80/443 geöffnet per Weiterleitung an den IIS. 

Damit minimiert man die Angriffspunkte.

Regelmässige Updates und checken der Logs sollte trotzdem dazugehören.

Und was häufig vergessen wird sind Exploits in den Webanwendungen. Ob dann ein Apache oder IIS läuft ist dann fast egal und das kannst du mit wenig Geldmitteln nicht abfangen.

3 Dosen pro Arbeitsplatz können teilweise zu wenig sein, je nach Anwendungszweck. Unter 2 Doppeldosen pro Platz würde ich nichts mehr machen. Bei Wlan würde ich ggf. jetzt schon Kabel (auch Doppelkabel) legen lassen und 5-10m übrig lassen damit man in der Doppeldecke nach der Ausleuchtung dynamisch ist wo die Antenne hin kommt.

Meetingräume sind noch mal eine andere Nummer, da kommt es auf eure MA an. Zuviel Technik kann manchmal viel zu kompliziert sein. Bei uns gibt es einen Raum mit Beamer, 2 TVs und einer Videokonferenzlösung. Alles per Tablet steuerbar (inkl. Verdunklung).

Der andere Raum hat ein Whiteboard, 60Zoll TV und Abdunklung per Schalter an der Wand. Dieser Raum wird von 90% der MA bevorzugt, da ist einfach VGA oder HDMI Kabel rein und TV anmachen. Daher nicht am MA vorbei etwas planen ;).

An einem Wlan kommt man heutzutage kaum noch vorbei wenn man viele Besucher empfängt, irgendeiner brauch immer Internet/VPN weil eine Datei fehlt oder man eben schnell was nachschauen muss.

Loop=Kabel geht von Port1 in Port2. Kann im selben Switch sein oder von einem Uplinkswitch kommen. Passiert gerne mal bei 8Port switchen unter Schreibtischen. "oh da guckt ein Kabel raus, schnell rein die Kiste unterm Schreibtisch".

Vermeiden lässt sich das mit switchen die Loop Protect als Feature anbieten oder idealerweise in dem direkt die passende Anzahl an Ports im Büro bereit steht. 

Einen Loop siehst du eigentlich direkt im Log des Switches, da geht die CPU Last hoch und auch die dropped Packets auf den Ports.

Scannen lässt sich mit jedem IP scanner, ich hab gute Erfahrung mit Angry IP Scanner gemacht.

Aber sowas sollte dringend dokumentiert werden, vor allem fest vergebene IPs. Für den Beginn reicht da auch eine Excel mit IP, Hostname und ggf. Funktion.

Danke für euer Feedback hierzu.

Investiere in die Seagull Treiber, das wird dir viele Kopfschmerzen und fluchen ersparen ;)

Ja scharf bin ich auf den Speedport auch nicht! Weisst du ob der Lancom das neue Hybrid Internet der Telekom unterstützt? An der Hotline haben die mir gestern erklärt das es bisher nur einen Router gibt der das kann, und das wäre eben der Speedport Hybrid. Ich muss morgen nochmal anrufen..

Nicht möglich, die SIM Karte wird an den Speedport und an die nächste Basis gebunden. Kannst höchstens einen vernünftiger Router dahinterschalten.

Das stimmt nur wenn man 10TB bereitstellen möchte ist das Risiko das eine weitere HDD ausfällt bei einem Rebuild sehr hoch imho.

Dann lieber Raid6

 

Mach den Fileserver aus 900GB 10k SAS Platten und einen weiteren Raidstapel aus 900Gb 10k SAS Platten für die VMs. Und jeweils eine Hotspare dazu.

Beide Stapel im Raid 5 mit Hotspare und gut is. Die haben genug Dampf um das Raid 50 auf jeden Fall ebenbürtig zu sein.

Ich weiß ist etwas teuerer, dafür dauert im E-Fall aber auch de Abgleich einer kaputten Platte auf die Hotspare nicht so lange.

Bitte kein Raid 5 einsetzen bei solchen Volumen:

http://www.zdnet.com/article/has-raid5-stopped-working/

Da du z.b. die SSIDs der User bei einer Neuinstallation neu generierst wird das nicht gehen.

Hättest du das ganze virtualisiert, würdest du jetzt "einfach" eine neue VM hochziehen und migrieren, so wirst du nicht um temporäre Hardware herumkommen (server alt->server temp->server alt)

In dem Schritt würde ich ggf. auch nicht mehr Bare Metal installieren sondern auf eine Virtualisierungslösungs zurückgreifen. Hat auch den Vorteil das du die Rollen in 2 VMs trennen kannst und der DC dann wirklich nur DC ist.

Das alles hängt aber von deinen Anforderungen und IT Wissen ab!

Was spricht gegen XBMC? (Kann mich mit "Kodi" nicht wirklich anfreunden :D )

Läuft das in einer RDP Session? Als ich noch einen HTPC (abgelöst durch einen FireTV) hatte ist XBMC gecrasht wenn ich per RDP drauf bin.