Jump to content

monstermania

Members
  • Gesamte Inhalte

    1.393
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von monstermania

  1. @Dirk-HH-83 Hallo Namensvetter, ich hatte vor einigen Jahren mal hier ein entsprechendes Tool vorgestellt (Freeware): Wir nutzen das Tool immer noch. Funktioniert auch problemlos auf Windows 2019 Server. Gruß Dirk
  2. Tja, diese Frage kannst wohl nur Du beantworten, da keiner von uns Eure Anforderungen kennt. Das ist grundsätzlich immer eine Entscheidung zwischen 'Einfacher' und 'Sicherer'. Wenn Du das jeweilige WLAN direkt in das Netz schaltest ist es halt einfacher zu konfigurieren. Aber, wenn dann Jemand das WLAN hackt, hängt er dann auch komplett im jeweiligen Netz und alle alles Zugriffsmöglichkeiten. Wenn Du die WLAN über die FW in die jewiligen Netze hängst hast Du halt über die FW noch Möglichkeiten die Zugriffe auf bestimmte Ressourcen zu beschränken. Mehr Aufwand, aber eben auch mehr Sicherheit. Gruß Dirk
  3. Menno, was Citrix in letzter Zeit abliefert ist echt nur noch Grotte... Seit 1911LTSB haben wir massive Probleme mit USB-Sticks und Druckern. Die werden teilweise erst nach einem Neustart mit gestecktem USB-Device erkannt. 1912 läuft jetzt seit einigen Tagen bei uns im Test. Aber das USB-Problem scheint immer noch nicht vollständig gefixt zu sein.
  4. Wir haben > 100 Standorte. Jeder davon hat einen eigenen Server (Distribution Point). Der WSUS läuft auf dem CM-Server. Die jeweiligen Windows-Updates werden monatlich auf unserem CM-Server paketiert und als Paket an die verschieden Update-Gruppen in Wellen mit einigen Tagen Versatz ausgerollt (Admin-PC, Zentrale, Pilot-Standort, Alle). Auf den DP Standortservern ist kein WSUS installiert. Windows 10-Funktionsupdates werden bei uns nicht per Updatefunktion bereit gestellt, sondern per Upgrade-Taskseqeunz. (z.B. https://www.anoopcnair.com/windows-10-1909-upgrade-sccm-task-sequence/). Vorteil ist u.E., dass man viel mehr Möglichkeiten hat in den Upgrade-Prozess einzugreifen (z.B. Bereitstellung der aktuellen HW-Treiber, Applikationsmanagement, CI-Anpassungen, usw.). Dazu kommt dass wir eine angepasste image.wim verteilen (ohne diverse Apps.) und nicht das Windows-Standard-Image. Läuft dann so, dass wir die TS für das Wochenende zuweisen und die Rechner per WOL aufwecken und dann die Upgrade-TS durchläuft. Auch die Upgrade-TS rollen wir in Wellen aus, so dass wir im Problemfall noch Anpassungen an der TS vornehmen könn(t)en. Ist aber bisher nicht vorgekommen, da wir die Upgrade-TS vor dem ausrollen intensiv testen.
  5. Hmm, dafür braucht man gar keine Skriptsprache, wenn man eine Softwareverteilung im Unternehmen nutzt!
  6. Immer die leidige Diskussion... Kauft Ihr Eure Hardware auch bei Vitali von der Rampe!? Ist ja schließlich auch Neuware "mit lebenslange Garantie". Mal im Ernst, wenn Jemand Euch einen neuen PC für 30% vom Listenpreis anbietet würdet ihr natürlich sofort stutzen. Bei Software-Lizenzen mit (häufig schwammigen Lizenzbedingungen) bricht hingegen sofort das "Geizfieber" aus. Im Firmenumfeld, wäre mir die Unsicherheit schlicht zu groß. Und was Lizenzgo verspricht mag ja toll klingen, ist aber ungefähr genau soviel Wert, wie der Gutschein, den uns unser Reiseveranstalter jetzt für den geplatzten Urlaub anbietet. Im Zweifel meldet das Unternehmen mal eben Insolvenz an, und Du kannst sehen wo Du bleibst! Bei einer SB-Lzenz hast Du nicht nur einen dubiosen Lizenzcode, sondern etwas handfestes.
  7. Sorry, aber ich bin seit 2013 nicht mehr als DL unterwegs und supporte daher nur noch Intern für meinen Arbeitgeber! Grundsätzlich sollte es aber auch kein Problem sein, hier im Forum einen kompetenten Ansprechpartner bzw. DL zu finden. Und nein, nicht jedes Systemhaus ist schlecht! Ich habe z.B. immer sehr gute Erfahrungen mit Bechtle gemacht. Ich sehe das Problem eher darin, dass man als DL 'mal eben' was machen soll, ohne die Kundenumgebung überhaupt zu kennen. Und wenn es dann schief geht, ist natürlich der DL schuld! Das war einer der Gründe, warum ich seid 2013 wieder als fester Admin arbeite. Da weiß ich wenigstens, wer im Zweifel die Schuld hat, wenn es nicht funktioniert!
  8. Ja, wenn Alles sauber konfiguriert wurde (DNS, MX-Einträge, Autodiscover) und der Exchange auch sauber konfiguriert und gepatcht ist, ist das installieren des Zertifikats eine Kleinigkeit. Wer so etwas macht? Jedes Systemhaus, dass auch Exchange-Support anbietet, sollte das im Schlaf beherrschen. Was das kostet!? Gute Frage. Ich habe schon so dermaßen verbastelte Umgebungen vorgefunden, dass ich für nix, was ich nicht selbst gemacht habe die Hand ins Feuer lege! Wenn Alles sauber ist, läuft das Ganze in wenigen Minuten erledigt. So schwer ist das auch gar nicht.
  9. Hmm, viel Text, aber wenig Aussage. Entweder ein Zertifikat kaufen oder kostenloses Zertifikat von Let's Encrypt nutzen. Mit dem Certificate Assistant klappt das super mit Let's Encrypt: https://www.frankysweb.de/certificate-assistant-neue-version/ Gruß Dirk
  10. Es stand da was von "Privat Surfen wird bei uns geduldet solange man es nicht übertreibt". So wird es wohl bei vielen Unternehmen sein (auch bei uns). Rein rechtlich haben wir natürlich eine entsprechende Betriebsvereinbarung im Unternehmen, die eine private Nutzung des Internets/Telefons/Mailsystems verbietet! Nur, wen man das wirklich strickt überwachen bzw. handhaben würde, hätten wohl fast alle Kollegen schon eine Abmahnung erhalten müssen.
  11. Ja, aber warum muss man dafür einen Fred im Forum eröffnen, wenn ein simples suchen nach "gpo bildschirmsperre" bei google ungefähr 100 Treffer liefert! justmy2cents
  12. Ach so, zukünftig muss man alle Mitarbeiter vorab darüber informieren, dass die Sicherheit im Unternehmen erhöht wird!? Ich glaube, dass es für die Mitarbeiter nach wie vor sicherer ist, wenn Sie Ihre Bankgeschäfte in der Firma machen. Bei uns jedenfalls sind zumindest alle PC gepatcht und der Internetzugriff ist reglementiert. Und hier habe ich kein schlechtes Gefühl, obwohl auch der SSL-Traffic überwacht wird! Wenn ich mal bei Bekannten privat zu Besuch bin, wird mir größtenteils schlecht, wie mit Sicherheit umgegangen wird! Da bekommt jeder Besucher mal fix den WLAN-Schlüssel (GastWLAN was ist das denn!?). Von den Kiddies mal ganz zu schweigen...
  13. Moin, ich würde es mal mit rsync bzw. cwRsync (Windows) versuchen. https://www.itefix.net/cwrsync Gruß Dirk
  14. Wie so häufig bei Lizenzen handelt es sich um eine reine "Papiersache". Technisch aktiviert wird da nix. Du bzw. das Unternehmen muss halt bei einem Lizenzaudit nachweisen, dass Du ordnungsgemäß lizenziert bist bzw. Ihr die Software gemäß der Lizenzierung genutzt habt (z.B. durch Log-Dateien). Und dabei immer auch an die User/Device-CAL denken!
  15. Eine einfache/günstige Lösung wäre z.B. die Anschaffung eines Mikrotik Routerboards (z.b. https://www.omg.de/mikrotik/routerboard/router/mikrotik-routerboard-hex-rb750gr3/a-14232/). Den schaltest Du dann hinter Deinen Kabelrouter und trennst damit die Netzwerke. Allerdings ist die Lernkurve bei Mikrotik RouterOS nicht ohne. Es gibt aber recht gute Tutorials dafür. Vorteil wäre, dass Du vom Kabelrouter komplett die Finger lassen kannst. Handelt sich wahrscheinlich eh um ein Providergerät, über das Du nicht komplett die Kontrolle hast.
  16. Wäre auch meine Empfehlung! Bei USB-Laufwerken hätte ich immer Sorge, dass ein Trojaner dann auch die Backup-Platte verschlüsselt! Und bei einem NAS ist man auch deutlich flexibler was die Standortwahl angeht (2. Brandabschnitt).
  17. Prinzipiell eine gute Idee. Eine Aufteilung der Netze erhöht aber nicht per se die Sicherheit. Bei meinem alten AG waren die Netze ebenfalls aufgeteilt, allerdings fest per Routing-Switch geroutet. Vom reinen Sicherheitsaspekt her war das jetzt kein wirklicher Vorteil da jeglicher Traffic zwischen den Netzen erlaubt war. Die Segmentierung erhöht aber die Stabilität des Netzwerks, da bestimmte Netze prioisiert werden können (z.B. VoIP). Bei meinem jetzigen AG sind die Netze per Firewall geroutet. Da ist natürlich ganz genau einstellbar, welche Dienste/Ports zwischen den Netzen kommunizieren dürfen. Der Aufwand der FW-Regeln ist dabei nicht zu unterschätzen!!! Auch solche Dinge wie z.B. WOL müssen dabei bedacht werden. Funktioniert dann eben nicht mehr so einfach. Bei uns gibt es eine strickte Trennung für: Management (Switche, VM-Hosts, Backup, usw.) Server Client Printer Wifi VoIP
  18. Da wir nix von Deinen Voraussetzungen (vorhande HW, örtliche Gegebenheiten) kennen, kann man auch nicht viel dazu sagen! Grundsätzlich keine große Sache. Ein Router der z.B. mit openwrt läuft kann schon ausreichen um das gewünschte Ziel zu erreichen. Wenn Du natürlich Sachen wie QOS/FairUse-Policiy im Netz umsetzten willst, wird es entsprechend komplexer.
  19. Wieder ein Gerät mehr! Wenn man in der Fa. ohnehin schon zig Server-VM im Dauerbetrieb am Laufen hat, kann man auch sehr gut mit der Software leben.
  20. Moin, habt Ihr eine Softwareverteilung im Einsatz!? Dann würde ich die nutzen. Wenn nicht, wäre es evtl mal an der Zeit darüber nachzudenken eine Softwareverteilung einzusetzen. Evtl reicht Euch ja schon der Windows Package Publisher. Oder schau mal hier: https://www.winteach.de/windows-server/active-directory/treiber-per-gruppenrichtlinie-in-einer-domaene-verteilen-beispiel-minidriver-yubikey/2/ Gruß Dirk
  21. Achso, lass mich raten: Der Kunde hat noch nie vom Supportende für Server 2008R2 / Exchange 2010 gehört. Die Ankündigungen von MS zum Supportende der Produkte sind aber auch immer so etwas von kurzfristig. BTW: Ich habe schon von Firmen gehört, die aktuell noch einen SBS2003 nutzen. Ist ja nicht so das die Software mit dem Supportende Ihre Funktion einstellen würde.
  22. Moin, ich kann von den Unifi-AP nur positives berichten. Habe AP sowohl im privaten Umfeld als auch beruflich im Einsatz gehabt. In Verbindung mit der Controller-Software/Cloudkey absolut auch für größere Installationen geeignet. So funktionieren Band-Steering und Handover m.E. nach problemlos. Auch die Reichweite/Empfang der einzelnen AP ist sehr gut. Einschränkung: Unifi-AP können max. 4 WLAN-Netzwerke bereitstellen (SSID)! Das mag für manche Szenarien ein Showstopper sein. Auch hat Unifi eine ganze Zeit lang auf ein eigenes PoE-Format gesetzt (24V) und nicht auf PoE nach 802.3af/at. Inzwischen gibt es aber auch Unifi AP die den Standard unterstützen. Man muss also beim Kauf aufpassen, dass man auch die richtigen AP bestellt. Preis/Leistung ist aber einfach Top! Gruß Dirk
  23. Warum macht man sich überhaupt Gedanken um so etwas!? Die Ablösung sollte schon längst erledigt sein.
  24. Moin, schau Dir mal DeltaCopy an. Ist die Windows-Implementierung von rsync. DeltaCopy ist Open Source und kostenlos verfügbar. Nach der Erstsynchronisation werden nur noch Änderungen der Dateien übermittelt. Das schöne dabei ist, dass rsync auf Blockebene funktioniert. D.h. wenn Du z.B. in einer 10 GB großen Datei nur wenige Daten geändert wurden, werden auch nur die geänderten Blöcke übertragen und nicht die ganze Datei. DeltaCopy bietet keine Backup-Historie, sondern synct nur stur die vorhanden Daten von der Quelle auf das Ziel. Wir haben das seinerzeit genutzt um das Backup eines Außenstandorts in die Zentrale zu machen, wo die Daten dann täglich auf Band gesichert wurden. Da Du ja bereits lokal Veeam nutzt, wäre es evtl. mal einen Versuch wert das Veeam Repository maus einem Nebenstandort mit Deltacopy in die Zentrale zu syncen... Gruß Dirk PS: Veeam Replica und WAN Accelerator ist natürlich die professionellere Lösung. Kostet aber auch.
  25. Moin, wir nutzen Zabbix als Monitoring-Tool (https://www.zabbix.com/). Haben damit die kostenlose Version von PRTG abgelöst und sind sehr zufrieden damit. Gruß Dirk
×
×
  • Neu erstellen...