nerd

in zwei drei Wochen zu jedem Hersteller ein paar Empfehlungen und auch Warnungen stehen haben...

So ich kürz das mal ab. Es gibt auch noch sehr gute Produkte von Juniper und Checkpoint wer gerne spielt kann natürlich auch mit iptables selber spielen. Damit dürften wir jetzt alle großen haben - definiere bitte mal deine Anforderungen ;)

Hi,

wie Damian schon sagte, mach zuerst eine Liste mit den gewünschten Features. Danach kannst du auch vernünftig nach einer Lösung suchen. So wie die Frage aktuell im Raum steht wirst du hier in zwei drei Wochen zu jedem Hersteller ein paar Empfehlungen und auch Warnungen stehen haben...

100% ACK.

 

Bye

Norbert

200% ACK.

Schau dir mal die verfügbaren Rollen für den Exchange Server (2007/2010) an und wie Nils schon erwähnt hat Forefront TMG.

Hi,

es ist schon sinnhaft die Firewall auch im internen Netz zu aktivieren. Damit schaft man eine second line of defense. Wichtig ist eben nur, dass man die Regeln sauber definiert. Wenn die ERP Software Probleme macht, würde ich zuerst den Hersteller befragen um herauszufinden welche Ports die Anwendung genau braucht. Sind diese Informationen nicht verfügbar, so würde ich den Verkehr über einen Zeitraum aufzeichnen und damit untersuchen welche Ports du brauchst.

Sooo, das Teil läuft nun!

 

Bei ebay ersteigerte RAID-Karte von LSI für schlappe 46 Euro funktioniert einwandfrei.

 

Ist ein SAS-HBA, die 8 Geräte unterstützt. Der ESXi hat das Teil gleich gefressen.

 

:-)

Wow ein SAS Raid Controller für 8 Geräte der von ESX erkannt wird zu dem Preis - cool. Was für einen hast du gekauft?

Hi,

auf den Technet Seiten findest du zu dem Thema auch recht viele gute Informationen für den Einstieg (inkl. diverse Videos). Ein Besuch der Seiten lohnt sich: Microsoft Forefront TechCenter

ACK zu dem oberen Teil des Posts.

Hiermiet hätte ich allerdings Bauchschmerzen ;)

Alternativ dazu würde ich auf der SonicWALL eine zweite DMZ erstellen, und dort quasi das zweite Bein des TMG platzieren. Oder als weitere Variante den TMG auf der einen Seite direkt mit dem LAN verbinden (davon würde ich abraten).

Ich würde dir hier empfehlen die SonicWall upzudaten (oder wenn sie wirklcih veraltet ist zu ersetzen). Die neue Firewall sollte dabei mindestens 6 Nics haben:

1. WAN

2. extDMZ 1 SSL

3. extDMZ 2 TMG

4. intDMZ 1 SSL

5. intDMZ 2 TMG

6. LAN

So wäre die Umgebung und der Traffic sauber getrennt.

Hi,

also über einen SystemState ist der Exchange nicht automatisch mit im Backup. Es gibt (ich glaube seit SP2) ein neues Plugin mit dem du beim WSP auch Exchange Datastores sichern kannst. Hast du das Backup auf diesem Weg eingerichtet?

Wichtig: Ein Backup sollte man IMMER vorab testen! Sobald du das Backup also eingerichtet hast, solltest du dir eine VM nehmen und versuchen das ganz im Lab zu restoren. Am besten dokumentierst du die notwendigen Schritte auch gleich. Das macht einen evtl. notwendigen Restore deutlich stressfreier und hilft auch Fehler frühzeitig zu erkennen und zu vermeiden.

Viele Grüße & frohe Ostern!

Hi,

herzlichen Glückwunsch und wie ich sehen planst du schon die nächsten Schritte- viel Erfolg!

Hi,

wenn sich die Anzahl Firmen überschauen lässt, dann könntet ihr auch eine eigene PKI Infrastruktur aufbauen und das root cert von den anderen Firmen in Ihre vertrauenswürdigen certs aufnehmen lassen.

LG

Das wäre jetzt auch meine nächste Frage gewesen. Hyper-V R2 ist wirklich eine Alternative zu ESXi.

Hi,

brauchst du für die Test-vm's das raid 1? Ich dachte, das ist nur für das backup...

Hi,

warum willst du das Storage über iSCSI ansprechen??? Zum testen von iSCSI und FreeNAS OK. Aber um wirklich VM's bzw. eine Testumgebung zu betreiben, macht das wenig Sinn.

Hi,

@BiosRaid: Das solltest du besser wieder deaktivieren (macht auch das booten schneller). Je nach System kann das sonst zu komischen Nebenwirkungen führen.

LG

Da spricht ja auch nichts gegen. Aber warum nicht per ISDN-Router?

jup am besten mit dial-back für ein paar vorgegebenen Nummern...

Hi Lampe2010,

wie EDVmokel schon angemerkt hat sollte ein TS (erst recht nicht als Domainmember) direkt im Internet oder an einer ISDN oder Modemleitung hängen. Damit setzt ihr das System möglichen Angriffen aus.

Auch Modems können an Router oder Firewalls angeschlossen werden und ermöglichen somit das Filtern von Traffic.

Grundsätzlich: Gibt es bei dem Kunden kein DSL oder warum wollt ihr ISDN etc nutzen?

Hi,

es gibt recht viele Anbieter, bei denen du eine kostenlose Kreditkarte bekommen kannst. Zwischenzeitlich ist es in Deutschland sogar möglich auch PrePaid-Karten zu bekommen.

Viele Grüße

Bin dabei.

Darauf möchte ich dich nochmal ansprechen.

 

Mal die Bilder raus gelassen, was ist mit wichtigen Dokumenten usw? Sicherst du wirklich ALLES auf Mozy.

 

Ich frage mich im Moment, sind die Daten denn wirklich verschlüsselt? Wie kann man das kontrollieren oder nachprüfen?

 

Sicherst du ausschließlich mit Mozy oder hast du immernoch eine externe Platte z.b. als Zwischenspeicher und doppelter Sicherheit?

Hi,

nein ich sichere nicht alles. Dinge wie private key's etc. gehen nicht in dieses Backup. Dafür habe ich weiterhin eine (kleine) externe HD, die ich alle paar Wochen synce und dann im Geschäft in meinen Rollcontainer werfe...

@Verschlüsselung: Ich habe den Datenverkehr mal mitgehört und da sah es gut aus. Da die Daten jedoch innerhalb des Tools verschlüsselt werden, kann man diesem Test nicht zu 100% vertrauen. Ausserhalb verschlüsseln (z. B. mit truecrypt) ist leider nicht wirklich machbar, da du dann jede Datei einzeln verschlüsseln müsstest um nicht immer alle Dateien auf ein mal sichern zu müssen...

Ich habe die Risiken für mich abgewogen und schiebe wie gesagt einen großen Teil meiner Daten auf die Server.

@Einziges Backup: Ne, einen großen Teil der Daten synce ich auch noch zwischen meiner Workstation und meinem Laptop. Ich habe somit noch eine weitere Sicherung...

Ich weiß nicht, hast du da keine Bauchschmerzen deine Daten alle auf "irgendeinen" Server im Internet zu laden? Welchen Anbieter hast du denn genommen?

Ich habe mich seinerzeit für Mozzy entschieden. Da ich meine Daten (über Mozzy) mit einem eigenen Schlüssel vor dem Senden verschlüsseln kann, habe ich damit keine Probleme. Zumal meine Bilder jetzt auch nicht soooo geheim sind. ;)

Ist denn inkremental Backup möglich oder wie läuft das Ganze ab?

Änderungen werden quasi in Echtzeit auf die Server von Mozzy geschoben

 

Bevor du OnlineBackup gemacht hast, welche Lösungen hattest du im Einsatz und warum bist du umgestiegen? Einzig und allein wegen den Kosten für Strom und Anschaffung?

Ich hatte ganz früher ein kleines NAS - das wurde aber recht schnell zu klein (EOS 50 D und ich mache nur raw Bilder...). Danach habe ich auf meinem ESX einen Windows Fileserver gehabt (Storage über iscsi zentral). Diese Lösung war mir aber etwas zu schade um sie nur als Storage zu verwenden.

Um mein Testlab wieder zum Testen zu haben, habe ich also mein Backup ausgelagert und fahre jetzt mein Testlab nur noch hoch, wenn ich es brauche (2 x ESXi und 1 x SAN :D)

Hi,

ich hatte auch schon diverse Lösung für diese Problemstellung im Einsatz. Seit einiger Zeit fahre ich nun (ganz zufrieden) die Lösung über ein Onlinebackup: Online Backup Tools die Dritte | SECURITY-BLOG.EU unterm Strich (Anschaffungskosten HD's, Strom etc) fahre ich damit deutlich günstiger als über ein NAS. Einzig das initiale Backup dauert etwas...

... technisch spricht aber nichts dagegen ein FreeNAS oder sonst eine NAS Lösung über den ESXi zur Verfügung zu stellen. Da du das ganze "nur" zum Speichern von Bildern verwenden möchtest sollte sich die I/O Last der Maschine in einem erträglichen Umfeld bewegen...

Hi,

braucht ihr die Drucker-Dienste wirklich hochverfügbar? Die meisten kleineren Firmen die ich kenne können hier mit einem Ausfall recht gut leben zumal einzelne Workstations oft auch noch lokale Drucker besitzen...

[edit]Da war Norbert schneller... :) [/edit]

Hi,

eine recht gute Anleitung / Funktionsbeschreibung findest du auf Technet: DFS Step-by-Step Guide for Windows Server 2008

Hi,

Imagen eines DC's führt selten zu dem gewünschten Ergebnis. Verwende für einen DC besser das normale system state backup.

Da du ohnehin zwei neue Server kaufen möchtest, kannst du das Thema auch gleich unter dem Gesichtspunkt "Redundanz" angehen. Sprich: Du installierst auf beiden win2k8 r2 und machst Sie zum DC. Die Fileserver geschichte würde ich über DFS ebenfalls auf beiden Maschinen ablegen. Damit müßtest du im Notfall nur noch diese CAD Software auf dem zweiten Server hoch ziehen.

-> Du reduzierst also mit minimalen Kosten die Verfügbarkeit und Ausfallsicherheit deiner Umgebung ungemein.

--

@Bandsicherung: Mir ist kein (fertiges) SoHo NAS bekannt welches ein Bandlaufwerk aufnehmen kann. Wie bereits vorgeschlagen wurde, würde ich dieses Backup über eine dafür abgestellte Workstation / Server durchführen lassen.

--

@Serverrollen: Grundsätzlich sollte man (zur Vereinfachung des Backups & Restores) möglichst immer nur einen Dienst auf einem Server betreiben (Sicherheit ist da auch ein Thema). Wenn du also noch etwas Budget über hast, könntest du dir überlegen die beiden neuen Server als Hyper-V Host zu verwenden und darin dedizierte Systeme für jeden Server betreiben (File, DC etc).

Viele Grüße

Hi,

wirkliche "out of the box" Lösungen gibt es in der IT sehr selten. Jeder hat eigene Anforderungen etc.

@https Direktverbindung: Jungs, glaubt mir - das ist keine gute Idee. Es gibt bei solchen Szenarien viel zu viele Möglichkeiten Angriffe zu starten. Ich gebe euch recht, dass das per heute (kann morgen schon anderst sein) einfache script kiddies nicht viel damit anfangen können.

Astaro kann in der 8er Version reverse proxy Funktionen bereitstellen. Auch die Pflege der Firewall ist recht einfach. Du kannst z. B. einstellen, dass er die Patterns selbst aktualisiert und dich z. B. informiert wenn ein update der software durchgeführt werden muss...