Sanic

Moin Johannes,

leider habe ich den Thread erst jetzt entdeckt.

Die Platten sind "nur" per SAS angebunden.

PROVIGO 550 Business SAS - Die transtec AG - Customized Hardware & Komplexe IT Lösungen

Letztendlich haben wir ein schönes Komplettangebot eingeholt für die ganzen FC Komponenten und einen Server.

Grüße

1.

Wer sagt dass ich POP Connectoren benutze?

2.

Wenn es die Diskussionen schon so oft gab: Hast du eventuell ein paar Links dazu?

3.

Bezüglich der Blacklists: Dass es jeden treffen kann ist ja wohl klar. Trotz alledem arbeiten bei den Providern immerhin ein paar mehr Leute die sich Gedanken um Antispam/Antivir machen als der kleine Admin mit seinem SBS oder ähnlichem.

Ich verstehe den ganzen Aufbau so:

Es gibt einen Mailprovider (z.B. 1&1) der viel Arbeit in seine AntiSpam und Antivir Routinen steckt.

Hier haben wir nun die Postfächer der User, die extern erreichbar sind. z.b. User@test.de .

Der Exchangeserver, in diesem Fall wahrscheinlich innerhalb eines NATs, holt sich dann quasi nur die Mails vom Provider per POP und legt sie in die Postfächer vom Exchange. Dadurch, dass dieser nicht von außen erreichbar ist senkt man ja gewissermaßen schon die Angriffsfläche von Attacken außerhalb.

Wir nutzen also quasi das Security Knowhow der großen Provider und kümmern uns letztendlich nur um die Zustellung.

Wo ist da das Problem?(Mal abgesehen von der Zuverlässigkeit von popcon)

@gogo_sven

 

Würdest du mir das genau erklären was du damit meinst ?

Ich denke es geht ihm hierbei um Spam/Virenerkennung, direkte SMTP Angriffe etc.

Wie sichert ihr eigentlich generell eure VMs?

Macht ihr regelmäßig Snapshots und macht ein extra Backup der Nutzdaten?

Oder macht ihr sogar ein Backup für die komplette VM mit einer Backupsoftware?

Vielen Dank für die Infos Johannes :)

Hi,

 

bei nur zwei Servern könnte man auch auf eine iSCSI Storage ausweichen

Habe ich auch gedacht, aber der Preis für das SAN war schon verlockend ( ca. 4,5k Euro+ mwst. bei red. Netzteilen und Controllern). Inklusive Fibrechannel Switch etc. und HBAs kommen wir dann auf die rund 10k Euro.

Außerdem kann man da die Kapazität des RAIDs noch über einen Multilane SAN Anschluss vergrößern, falls das wirklich mal nötig wird.

On top kann hier SAS und SATA gemischt werden.

Auf das SAS Raid kommen dann die Betriebssysteme und die weniger stark benutzten Nutzdaten liegen auf SATA.

Ein vergleichbares iSCSI Raid habe ich dazu nicht gefunden.

des weiteren habe ich unseren root-dc und den msx2003 auf einem zweiten rx300 laufen, beides ohne nennenswerte probleme (ACHTUNG: bei dc-virtualisierung UNBEDINGT auf die zeitsynchronisierung achten, sonst bekommst du ordentliche probleme!!!!!!!).

Kannst du da eventuell mal ein paar Takte zu sagen? Das würde mich interessieren was da getan werden muss.

Das Access Gateway hört sich schonmal sehr schön an.

Ganz wichtig finde ich dieses Feature:

Durch Endpoint-

Scanning wird sichergestellt, dass die Endgeräte die nötigen

Sicherheitsanforderungen für Verbindungen ins Unternehmens-

netzwerk erfüllen, also z.B. über aktuelle Anti-Virus-Software

verfügen und mit einer aktiven Firewall versehen sind.

Genau so etwas finde ich sehr interessant.

Hast du damit praktische Erfahrungen?

Jup. Ist ein Fibrechannel RAID. 10k Euro kommt auch schon so grob hin.

Haut halt jetzt erstmal rein weil wir die ganze FC Infrastruktur aufbauen müssen.

Bisher ist halt alles "Historisch" gewachsen und nun machen wir mal einen Cut und bauen eine professionelle Lösung.

Frag doch einfach beim Direktor nach ob es reicht wenn Daten die, z.B. von vor 2 Wochen restored werden sollen nur noch aus dem Fullbackup gezogen werden brauchen.

Oder ob du z.B. noch die inkrementellen aufbewahren sollst um 4 Wochen lang prinzipiell jeden einzelnen Tag restoren zu können.

Also mit nur einer Kiste alle Services zu virtulisieren ist ja auch glatter Selbstmord ;)

Bei uns wird es demnächst ein "Sandwich".

Server #1

RAID

Server #2

Beide können im laufenden Betrieb ihre VMs hin&herschieben (Xen Enterprise). So kann man auch mal bei einem Hardwareupgrade von Server #2 einfach alle Services auf Server #1 weiterlaufen lassen.

Hallo MCSE Community,

ich überarbeite derzeit unser Security Konzept und wollte mir von verschiedenen Seiten Anregungen holen.

Wie regelt ihr Zugriffe von Gästen die in euer Netz kommen?

Was gibt es für Software die z.B. den einklinkenden PC überprüfen und "validieren" kann ob er aktuelle Virendefinitionen hat, aktuell gepatcht ist etc. Gab es da nicht etwas in Vista?

Gerade für die Zugriffsregelung aufs Netzwerk habe ich mir einmal ARPGuard angeschaut. Es schaut ob sich ein Rechner mit einer bekannten MAC Adresse anmeldet und schiebt dann den entsprechenden Port des (großen) Cisco Switches in ein anderes VLAN.

Dies ist allerdings auch nicht die Traumlösung weil wir keine direkte Zuordnung Cisco Port -> 1 Benutzer haben.

Häufig hängt an einem Cisco Port ein Büroswitch mit mehreren Leuten.

Was wird sonst noch in der großen weiten Welt für Security getan? Habt ihr Lösungen implementiert die den Zugriff aufs Netzwerk regeln?

Nutzt ihr eventuell auch IEEE 802.1X?

Wie sieht die Unterstützung für Endgeräte dafür aus? Ich denke mal so einige Drucker o.ä. unterstützen das nicht? Wie ist eure Erfahrung?

Aber trotz alledem sind auch meine Erfahrungen im Onboard RAID Bereich bei verschiedenen Herstellern sehr negativ behaftet.

Seitdem kommen nur noch extra RAID Controller in die Kisten.

Meine kostengünstigen Favorites: Areca RAID Controller

rund 280 € für 4 SATA Anschlüsse.

Allerdings bieten die auch SAS und mehr Anschlüsse an.

Treiber sind schon sehr früh für Win2008 verfügbar gewesen und sind außerdem im Linux Kernel drinne(falls ihr heterogene Umgebungen habt).

Kosten?

Das Thema Uptime kommt irgendwie bei sowas immer. Wenn ich nicht patche, dann brauch ich auch sonst keinen Server booten. ;)

 

Bye

Norbert

 

PS: Ja der letzte Satz ist mit Absicht mit Smiley.

PPS: Nur mal noch als Bemerkung. Es gibt sicher Features die der ISA auch nicht kennt/kann. ABER: Du sprichst oben von 1GBit Durchsatz. Meinst du ernsthaft, dass das für den TO von Bedeutung ist? ;)

Also ich muss des öfteren einen Windows Server mal durchbooten.

Gerade wenn mal wieder Patchday war und ein Reboot dringend erforderlich ist ;)

Bei Watchguard kommen die Patches vielleicht alle 2-3 Monate. Da gibt's nicht viel zu stopfen. Und meistens sind die Patches sogar reine Featurepakete.

@Durchsatz:

Die Watchguards gibt es natürlich auch in verschiedenen Dimensionen.

Ich wollte einfach nur mal das Thema Hardwarefirewalls in den Raum werfen. Es muss ja nicht immer ein ganzer ISA+Windows sein.

- Schmales Konfigurationsinterface

- Läuft stabil mit einer Uptime jenseits von gut&böse

- Liefert uns garantiert 1000 mbit (Forschungsnetz)

- Bietet sogar VPNs die sich gegen AD authentifizieren können

- Software wird passend zur Hardware verkauft (Appliance)

Letztendlich haben wir diese Firewall gekauft weil sie absolut stabil läuft. Da gab es in den letzten 3 Jahren nicht einen nötigen Reboot wenn man nicht gerade eine neue Firmware aufgespielt hat.

Die Größe der Firma beziehe ich einfach nur auf die Leistungsfähigkeit des Geräts.

Sicherlich hat der ISA Server auch seine Vorzüge (z.B. VPNs mit AD Authentifizierung etc.), aber ich denke dass für viele Fälle auch eine "normale" Hardware Firewall reicht, die immerhin wesentlich schlanker vom Softwareumfang ist.

Aha. Was genau benutzt du stattdessen?

 

Bye

Norbert

Eine Watchguard Firewall.

Wobei bei kleineren Gruppen auch sicherlich eine Business Lösung von Linksys ausreichend ist.

Also für eine Firewall brauch ich ja keinen kompletten PC inkl. Firewall Software... Darauf wollte ich hinaus.

Hallo liebe Community,

heute nach einem Neustart zeigte unser Windows 2008 Server (macht Hyper-V) ein komisches Verhalten.

Der Server ist für eine gewisse Zeit per Ping/RDP etc. nicht erreichbar. Nach ein paar Minuten nimmt er allerdings wieder Verbindungen an und antwortet auf Pings.

Allerdings wiederholt sich das Spielchen nach ein paar Minuten wieder.

Server nicht erreichbar -> X Minuten warten -> Server erreichbar -> X Minuten warten -> Server nicht erreichbar usw.

In der Ereignisanzeige kann ich keinen Fehler finden.

Wo könnte ich noch nachsehen?

Grüße

Und warum brauchst du auf jeden Fall einen ISA Server?

Genau, am Ende wird wieder von der normalen Registry gebootet.

Aber immerhin bootet man ja einmal von der Repair Registry. Das meinte ich, ob da nicht schon irgendwelche Prozesse angestoßen werden ...

Ist das so?

Danke für eure Hilfe :)

RAID 0 auf einem Server ist schonmal eine sehr heikle Geschichte.

Könnt ihr hier nicht lieber 2 160er Platten kaufen und ein RAID 1 bauen?

Wie stark wird euer FTP Server ausgelastet?

Ist der FTP Server nur für den internen Betrieb?

Vielen Dank für deine schnelle Antwort!

Allerdings mal eine Frage fürs Verständnis:

Kriegt der Windows Server nicht einen Rappel wenn er auf einmal mit einer anderen Registry bootet? Werden da nicht etliche Prozesse angestoßen die dann z.B. irgendwelche Pfade ans Restsystem anpassen?

Hallo MCSEBoard,

ich habe derzeit ein Problem auf einem Win2k Domänenserver.

Nach der Anmeldung bekomme ich eine Fehlermeldung, dass mein Virtueller Speicher begrenzt ist.

Nach dem Bestätigen mit "ok" komme ich zurück zur Anmeldung.

Nun habe ich folgenden KB Artikel gefunden:

"Limited Virtual Memory" error message when you start your computer after you install or remove a hard disk

der doch vielversprechend ist.

Allerdings ist meine Frage:

Wenn ich die system32\config\system Datei durch die system Datei aus %systemroot%\repair ersetze, wird dann meine AD Konfiguration angefasst/zerstört? Vielen Dank für eure Hilfe!

Grüße

Berechtige die Datei selbst. Sie kann bearbeitet, aber nicht umbenannt werden, da auf Ordnerebene die Berechtigungen fehlen. Was sind das für Dateien, Office-Dateien ? In diesem Fall ist es schwierig, keine Schreibberechtigung im Ordner zu geben, da temporäre Dateien erzeugt werden.

Ja, es ist eine Office Datei.

Wenn man die Datei nur bearbeiten könnte wäre das super, aber selbst das geht nicht.

Ich habe auch einfach mal bei "Datei 2" den Domänenbenutzern Vollzugriff gegeben, trotzdem funktioniert das verändern der Datei nicht. Klar. Der Ordner muss es ja auch zulassen.

Vielleicht hat ja noch jemand eine Idee :wink2: