crazymetzel

Ausreden finde ich immer neue :-)

Sunny deine Ausführungen gehen ein bisschen am Thema vorbei. Auch im anderen Thread. Ich habe do0ch wirklich klar definiert was ich brauche bzw suche?? Ich finde es auffallend in diesem Board das einem zwar im Vergleich zu anderen Boards besser, kompetenter und bereitwilliger geholfen wird, oft aber leider das Thema an der Fragestellung vorbei in eine Richtung gedrückt wird. Wenn du es als Ausrede ansehen magst, gerne. Ich habe in meiner Softwareverteilung allein 78 Softwarepakete welche ich whitelisten müsste und Berechtigungen anpassen müsste. Software welche die Aussendienstler brauchen steht vor der Reise noch gar nicht fest usw. Dass ein Virenscanner kein Allheilmittel ist habe ich nie bezweifelt, aber das war hier auch keine Kernaussage dass ich eine Absolution gegen Adminfehler und Faule Ausreden suche. Wie du sagst, es lässt sich auch mit deinen Methoden viel erschlagen, aber viel ist nunmal auch nicht alles. Also bitte back to Topic wenn möglich, ich wollte dich damit jetzt auch nicht ärgern oder angreifen, aber manchmal kratzt mich sowas schon. Ich suche eine gescheite AV Lösung welche meine obengenannten Kriterien nach Möglichkeit voll abdeckt. Abdeckung der Virtualisierten Server Abdeckung der Clients USB-Geräte White bzw. Blacklisting Gruppenbildung für Einstellungen bzgl. Ausnahmen, Scans, Verteilung Schön Wäre noch für die Zukunft die Abdeckung Mobiler Clients (Smartphones, Tablets)

Wieder die Tatsache dass er es eben nur um den Zeitpunkt herum und eben nicht genau zu diesem Zeitpunkt umsetzt. Auch fehlt mir die Möglichkeit Software zu Chainen, also Install Paket eins nach Ausführung Paket 2 usw. Wie gesagt meine Frage war nur eine Zwischenfrage, ich bin super zufrieden mit unserer Lösung, aber es ist ja auch mal Interessant andere Seiten zu sehen :-)

geht aber leider nicht immer, da verschiedene Software leider Adminrechte braucht:-/ Gerade die Außendienstler um die es geht sind Servicetechniker bei uns, die müssen beim Kunden vor Ort unter anderem mal schnell eine andere Siemens Entwicklungsumgebung installieren können oder auch andere Tools und Programme. Auch ist es gerade in der letzten Woche vorgekommen dass Mails aus einer an sich sicheren Quelle leider Virenverseucht waren bzw. in diesem Falle Adware. Ist leider sowohl durch unsere Firewall (Sophos UTM, Doppelter Virenscan eingestellt als auch den Clientschutz (EgoSecure mit Bitdefender als Scanengine), beide mit Signaturen welche gerade einmal ein paar Minuten bis 2 Stunden alt waren durchgeschlüpft.

Hi, danke für eure Tipps. Werde mir auf jeden Fall die genannten Lösungen mal ansehen, wobei ich kein Fan von Avira und auch nicht von Malwarebytes bin, letzteres gehört für mich in die Privatecke :-) Anwendersensibilisierung..... wäre mein größter Wunsch, aber meine Haupt Virenschleudern sind meine Außendienstler die teilweise nur gebrochen deutsch und kaum englisch sprechen. Die nicken bei allem nur brav und 3 Wochen später darf man wieder den Rechner entseuchen :-)

Hi, ich hatte mich damals damit beschäftigt. Ich will wirklich gezielt in der Mittagspause als Beispiel ein Update fahren, oder direkt nach dem nächsten Rechnerstart, oder eine Software bei 3 von 4 CLients erneut ausrollen obwohl schon drauf. Da bin ich damals am WSUS gescheitert. Ich nutze seitdem PRISM-Deploy, bin da auch super zufrieden, kostet aber! Und mein Kenntnisstand war eben auch dass der WSUS das alles in dem von mir in der GPO mitgegebenen Zeitfenster abarbeitet, ich glaube Genannter Zeitpunkt plus minus ne Stunde oder sowas. Das war mir dann aber nicht genug an Steuermöglichkeit. Daher ist mein WSUS "nurnoch" Windows-Updateschubbse, aber allein das spart ja schon genug arbeit um ihn zu rechtfertigen :-)

Ich habe auch mal eine Frage dazu: Ist es im WSUS denn wirklich so dass er die Software dann nach seinem normalen Update verteil Shema ausliefert? Oder habe ich da den Knopf: "jetzt schieb die Software drauf" übersehen? Weil das ist finde ich oft der einzige Knackpunkt bei einer Verteilung über WSUS, dass ich nicht wirklich die Möglichkeit habe das direkt durchzuführen.

Wie gesagt, bei uns liegt nicht der WSUS-Server am Nas sondern rein sein update Content !

Da hast du Recht. Gesamtvolumen zur Info sind bei uns bisher 8TB, was drüber geht wäre die nächste lizenzstufe die schon allein fast 5 Stellig mehr kostet ohne ein TB mehr lizensiert geschweige denn als HDD gekauft zu haben. Das "Problem" bei viel Platz ist nunmal dass man diesen dann auch nutzt. Ich habe auch mit 4belegten TB angefangen, aber es war ja Platz da und nun habe ich einen Server für jeden Dienst, weitestgehend zumindest :-) Und wie gesagt wenn Updates doch mal weg sind weil auf Nas ungesichert oder sonstwo liegen wird neu gesynct, das bricht mir auch nicht das Genick. Da gibt's leider kritischere Themen .... Und trotzdem sind so Diskussionen immer mal gut, weil jeder da auch komplett andere Einstellungen hat und die auch mit seinen Kunden oder am Arbeitsplatz umsetzt. Und ich finde es immer interessant andere Standpunkte kennenzulernen. Meinungen kann man ja auch ändern.... Der "Geld verbrennen" Satz im Post war im übrigen auch nicht als angriff oder so gedacht.. Falls das so rüberkam tut es mir leid.

Da können wir lange drumherumreden, in 400GB bringe ich meine n gesamten Exchange, unseren CAD-Server sowie unser gesamtes MES System unter und habe noch Platz :-)

Hallo Ich setze hier im Hause 2 Lösungen für den Schutz der Endgeräte und Server ein (Unabhängig von einer UTM, welche den Verkehr zwischen Internet und Netzwerk auch noch scannt). Bitdefender Gravity Zone für unsere Virtualisierte Umgebung (Nur Server, keine Workstationvirtualisierung) und EgoSecure für die Clients. Meine Umgebung: 5 Physische Server, 35 Virtuelle Server auf 3 Vsphere Hosts (Windows Server ab 2008R2 aufwärts, keine Linux-Maschinen, außer UTM und Vsphere Appliance) Ca 140 Clients, darunter 40 Notebooks. Mein Wunsch wäre jetzt alles mit einem Produkt abbilden zu können und nach Möglichkeit auch mit einer Konsole zu verwalten. Eine Steuerung bzw. Whitelist für bestimmte USB Massenspeicher (Bilde ich jetzt mit EgoSecure ab) wäre auch noch wünschenswert. Clientbelastung natürlich so wenig wie möglich, full-Scans würde ich gerne Wochenends machen ( Mit Kaspersky 6 und 8 habe ich damals per WOL die Rechner Samstag Mittags starten lassen, scannen und wieder herunterfahren lassen. dies allerdings nur für Workstations vor Ort, also eine Gruppierung sollte hier auch möglich sein bei den Scantasks, so etwas bietet mit EgoSecure leider nicht) Die Verteilung des Clients sollte natürlich halbwegs einfach von der Hand gehen, und es sollte möglich sein einzelne Streams bzW. Ports zu definierten Zielen vom Scan auszuschließen! Was setzt ihr denn so ein für eure Anwendungszwecke, vielleicht deckt sich ja bei dem einen oder anderen die Wunschliste mit meiner :-) Meine jetzigen Lösungen laufen zum November(Clients) bzw März 16 (Server) ab, daher wollte ich nach einem Nachfolgeprodukt schauen.

Würde ich auch so sagen. ich spar da wo Ausgaben unnötig sind. Nen Updatestore der ja auch wächst und der in 3 tagen neu gesynct ist im Ernstfall ist in meinen augen vollkommen unkritisch. Und nehmen wir mit Luft mal 400GB. Rechne dir das in 2 Raid 5 Spiegel mit allen HDDs und Lizenzen, das sind schon ein paar tausender. Für NICHTS! das ist der Punkt. Andererseits hab ich meinen gesamten Exchange und SQL Gesamtbestand der Firma insgesamt auf 220GB. So muss mans sehen. Schön wenn du Kunden hast die gern Geld verbrennen, ich mag das nicht, zumal es nicht meins ist :-9

Habe 2 Storages per Datacore im spiegel rein VM Seitig und ein Storage nur als Datenschaufel im Fileserverbetrieb. Dort liegt auch die WSUS VHD. Ich genehmige in der Regel nur die die auch gefordert werden.

Nein, ich genehmige händisch. Aber alleine 4 verschiedene SQL Versionen 3 Office Versionen 3 Windows Versionen, dazu 4 Serverversionen Exchange, Systemcenter etc, das summiert sich. Dazu noch deutsch englisch russisch...

Nöp, sind exakt genau die Produkte ausgewählt welche wir auch wirklich nutzen und Updaten, Treiber sind raus und bereinigt wird regelmäßig

und mal ehrlich... wenn der WSUS mal nen Tag hängt... Das ist nicht wirklich geschäftskritisch. gescheit snmp überwacht und gut ist .

Funzt bei mir besser als per iscsi, und ganz einfach deswegen, weil der WSUS-Server auf unserem Redundanten per DATACORE virtualisiertem und gespiegeltem VM-Store liegt und es mir einfach zu teuer ist dort noch 350 GB für die Updates des WSUS zu verschwenden. Wenn ich den GB Preis nehme sind das schon ein paar tausender an Unterschied ob ich das auf dem Einfachen Raid5 Store oder auf dem DATACORE Store ablege.... 500 GB kosten mich allein an Lizenz einmalig 1k Euro und noch einen Obolus pro Jahr, dann die Platten, dann der Platz im Shelf, alles in allem zu teuer für den Spaß. An der Stelle nehm ich das Gebastel sehr sehr gern in Kauf :-)

Hi, wir haben einfach eine VHD aufs NAS gelegt und diese beim WSUS eingebunden. Geht fadengerade bis auf eine Kleinigkeit: Er connected nicht immer nach NAS Neustart die Platte sauber mit dem Server. Deswegen haben wir uns angewöhnt nach NAS-Neustart auch einen WSUS-Neustart zu machen. Funktioniert bei uns seit mindestens 2 Jahren problemfrei, und da es eine Große Datei ist ist eine Migration auch sehr einfach, ebenso (Falls man es denn will) eine Sicherung. Evtl hilfts dir ja :-)

Wäre es, sofern Lizenzen vorhanden sind nicht auch möglich in die Umgebung einen Exchange 2013 zuzufügen, und genau diesen user auf diesen zu migrieren? So könnte man dann doch auch schon die restliche Umgebung migrationsfit machen...

Hi, ich setze hier schon seit geraumer zeit DFS auf meinem Fileserver ein. Es ist ein Server am Blech, also nicht virtualisiert und die Festplatten stehen ihm in einem per FC angebundenen Storage zur Verfügung. Nun bekomme ich demnächst ein neues Storage, auch wieder per FC und das alte ist eigentlich zu schade um es wegzuwerfen. Nun die Idee das alte Storage in einem anderen räumlich getrennten Gebäude als zusätzliche "Sicherung" per DFS-R am selben Server zu betreiben. Wenn die Hütte brennt geht es dann zwar nicht nahtlos weiter, es wären aber alle Daten bis auf ein kleines Delta vorhanden. Wobei im Brandfall andere Sorgen vorne anstehen als ein Verlust von ein paar Minuten. Es ist nicht!!! die einzige Sicherung, wir nutzen den DPM zum sichern auf ein iSCSI Storage mit SATA HDDs in einem anderen Brandabschnitt, sowie eine Bandbibliothek mit Wöchentlichem Besuch beim Schließfach. Würde etwas gegen diesen zusätzlichen doppelten Boden sprechen, sofern wie bei mir die Hardware vorhanden ist? Ich würde dann auch gerne sicherstellen dass das Altstoreage nur ein Spiegel ist, auf diesem aber keinesfalls live gearbeitet wird. Dies sollte ja durch deaktivieren des Ordnerzieles machbar sein, oder?

Ahh prima. Weil die benötigten URLS hab ich alle im aktuellen CERT für den 2010er schon drin sehe ich gerade, und das läuft noch bis Dezember 16. achso, im AD-DNS als Forward Lookupzone habe ich in meinem dns auch mail.URL.eu drin, nicht URL.eu. Dort ist ein Hosteintrag welcher mail.URL.eu direkt auf die interne ip des Mailservers leitet.

Interessant wäre dann noch meine Frage von eben: Ist es auch möglich ein Zertifikat zuzuweisen ohne über die Anforderung in der Exchange Konsole zu gehen um ein schon vorhandenes bezahltes Zertifikat einzubinden?

Ahhh ok. Weihnachtenfindeichdoof muss also auch mit rein , fast vergessen :-) In meinem Falle nehme ich dann mal beides, so hab ich nochmal Möglichkeiten für eine Testumgebung auf einem 2. Exchange evtl... Die Weiterleitung ist für mich eigentlich nur für owa da und leitet auf mail.URL.eu/owa um, da die Leute webmail.URL.eu besser im Kopf behalten als mail.URL.eu/owa. im Exchange selber ist mail.URL.eu/owa eingetragen.

Danke für die schnelle Antwort. Ok, also wenn ich autodiscover ohne SRV Eintrag will brauche ich dann wohl URL.eu, autodiscover.URL.eu und dann noch mail.URL.eu, da ich ja nicht die gesamte Url Umleiten mag/kann, da unsere Webseite unter dieser URL beim Dienstleister am Server liegt. Oder hab ich hier noch Verständnisprobleme? Achso, wenn ich ein noch gültiges Zertifikat habe, bekomme ich das auch in Exchange importiert oder jedes Mal nur über die Anforderung ? So müsste ich ja jedes mal ein neues Zertifikat kaufen obwohl das alte noch nicht abgelaufen ist

Hi, bin jetzt am Migrieren von 2010 zu 2013 und möchte nun auch auf ein öffentliches Zertifikat. Habe im Exchange alle Pfade auf mail.internetadresse.eu wobei internetadresse unsere Firmen-url ist. Im DNS dementsprechend eine Zone angelegt welche webmail.internetadresse.eu sowie mail.internetadresse.eu auf den Exchange intern direkt umleitet (Also AD-DNS). Von extern gibt es beim Provider des Webpakets eine DNS Weiterleitung für mail. webmail. und autodiscover. jeweils auf unsere feste ip. welche URLS brauche ich nun im Zertifikat, damit Autodiscover nicht meckert, auch wenn ich von außen Connecte, damit Outlook anywhere funktioniert und der Webmailer auch grün im Titel zeigt und keine Sicherheitswarnung macht. Als Produkt wird es denke ich mal das Godaddy San- Zertifikat werden. Ergänzung: webmail.internetadresse.eu ist eine http Weiterleitung auf mail.internetadresse.eu/owa. mail.internetadresse.eu ist ein dns Hosteintrag mit meiner festen IP des Internetanschlusses in der Firma. Hier ist eine direkte Weiterleitung des Traffics auf Port 443 an den Exchange Server. Ich hoffe ihr könnt mir helfen. Sollten noch Informationen fehlen, sagt bescheid :-) Da ich alles über Subdomains mache, würde es hier evtl Sinn machen ein Wildcard Cert zu benutzen? Somit könnte ich noch andere Server wie FTP. usw absichern?