monstermania

Egal nicht, aber die Größe eines Unternehmens sagt nix über die IT-Sicherheit aus! Oder ist es etwa so das 'Großunternehmen' mit einer Zig-Millionen teuren 'SuPiDuPi-IT' gegen Sicherheitslücken gefeit sind!? Bei Konzernen wie Tchibo, Beiersdorf, Maersk, FedEx, usw. dürfte es demzufolge ja gar keine Sicherheitslücken geben... Ach ne da war ja was, die haben ja ungepatchte Windows-Systeme eingesetzt! Aber Nee schon klar, dass ein QNAP/Synology im Unternehmen die ultimative Sicherheitslücke ist.

Da hast Du schon recht, QNAP/Synology ist aber in vielen KMU gern genutzte HW für das Unternehmensbackup! Im Übrigen betreibt man ein Backup-NAS i.d.R. eh im internen Netz, ohne dass auf das NAS per Internet zugegriffen werden kann. Damit relativieren sich dann auch evtl. Sicherheitslücken.

Moin, wir setzten auch ausschließlich virtuelle DC im Unternehmen ein (seit vielen Jahren). Es ist aber dafür gesorgt, dass einer der DC unabhängig vom zentralen SAN läuft. Selbst wenn die gesamte virtuelle Infrastruktur down ist weil das zentrale SAN streikt, läuft zumindest noch die DC VM. Ach ja, eine Möglichkeit ist z.B. eine VM auf einem NAS zu betreiben, das ohnehin bereits für das Backup genutzt wird (z.B. QNAP/Synology). Dann braucht man noch nicht einmal einen extra Server. Gruß Dirk

@vanMiehsol Bei Deinen Anforderungen passen Wunsch und Wirklichkeit nicht zusammen. Du willst keinen Datenverlust. Das ist m.E. ein frommer Wunsch. Um allein diese Anforderung abdecken zu können benötigst Du min. 2 vollkommen unabhängige Speichersysteme die als Spiegel laufen müssen. Natürlich muss die gesamte restliche Infrastruktur auch entsprechend redundant ausgelegt und entsprechend räumlich getrennt sein (z.B. Stromversorgung, Netzwerk, Brandabschnitte, usw.) Und selbst dann wäre es immer noch möglich Daten zu verlieren z.B. durch simples löschen von Daten durch einen Mitarbeiter oder gar einen Trojaner. Weil ein redundantes Storage schützt davor eben nicht. Jetzt kommt Dein Backup ins Spiel. Ein Backup bedingt aber eben eigentlich immer einen Datenverlust! Selbst wenn Du z.B. jeder Stunde ein Backup machen würdest, hättest Du im schlimmsten Fall einen Datenverslust von max. 1 Std. Und wie lange werden die Backups dann aufgehoben!? Weil so mancher User merkt doch tatsächlich erst nach Monaten, das "wichtige" Daten verloren gegangen sind. Kurz zusammenfasst: Ein absolut sicheres System ohne möglichen Datenverlust kann man nur sehr schwer realisieren (Teuer)! Daher solltest Du Dir ein gutes Backup/Restore-Konzept erarbeiten. a. welcher Datenverlust ist max. akzeptabel. b. Wie lang darf die Ausfalllzeit sein. Gruß Dirk PS: Bitte auch Gedanken zu einem Offsite-Backup machen. Ob nun mit externen gelagerten Datenträgern oder per Cloud ist erstmal egal.

Moin @decehakan Ich würde die Hinweise von Nobbyaushb beherzigen. Ein DC ist ein DC und sollte keine Applikationen hosten!!! Zum Thema DMS. Ich gehe mal davon aus, dass Du die "Opensource"-Version von bitfarm (be)nutzen willst. Da ich mich mehrere Jahre beruflich mit DMS-Systemen befasst habe, würde ich mir den Einsatz von bitfarm ganz genau überlegen. bitfarm ist nicht unbedingt für "Updatefreudigkeit" der "Opensource"-Version bekannt. Außerdem hat bitfarm einige echte Nachteile. Für mich ein absolutes NoGo bei einem aktuellen DMS ist z.B. die strikte Vorschau nur als TIF-Image im Bitfarm-Viewer. Jedes native digitale Dokument (z.B. MS-Office, PDF) wird in bitfarm automatisch in ein TIF-Dokument konvertiert, dass dann im bitfarm-Viewer angezeigt wird. Ganz davon ab, dass es absolut sinnlos/schwachsinnig ist ein natives digitales Dokument in ein Bild zu wandeln um es anzuzeigen beruht auch der Volltext auf eben diesen konvertierten TIF-Dokumenten. Die Volltexterkennung von bitfarm ist grottig (AFAIK CuneiForm OCR). Ein natives Dokument, aus dem man den Volltext problemlos auch so extrahieren könnte, wird als TIF-Dokument konvertiert und dann durch die OCR geschickt! Das Ganze ist so etwas von schwachsinnig, dass mir dazu nichts weiter einfällt! D.h. Du hast für jedes archivierte Dokument ein 2. Dokument als Viewerdokument. Das ist eine unglaubliche Verschwendung von Speicherplatz und Ressourcen. Das einzige, wofür bitfarm (Opensource) m.E geeignet wäre, ist als reines Archiv für Scandokumente. Wenn man eh nur gescannte Dokumente archiviert (als TIF gescannt!) entfällt die zusätzliche Dokumentkonvertierung. Man sollt dann nur zusehen, dass man eine vernüftige OCR angeflanscht bekommt. Im Forum von bitfarm sind Beiträge, wie man eine ReadIris 16 PRO an bitfarm angebunden bekommt. Ich persönlich würde von bitfarm abraten! Gruß Dirk

Nur weil ein Test funktioniert, bedeutet es ja nicht zwangsläufig, dass es zukünftig keine Probleme geben könnte. Die Umstellung ist ja seitens MS nicht supported (Sprachumstellung/DHCP-Klassen löschen). Daher lieber einmal zuviel gefragt.

EiEiEi, wenn ich Dein Chef wäre, würde ich Dir dafür eine Abmahnung verpassen!!! Gruß Dirk

Puh, bin ganz froh dass ich mich mit dem Sch...ß nicht mehr auseinander setzten muss bzw. musste. Habe mal vor Uhrzeiten mal mit dem MCSE angefangen (Windows NT) und hatte auch die ersten Prüfungen gemacht. Dann kam eine andere Stadt, neuer Job und keine Zeit mehr... 20 Jahre später kann ich ganz klar sagen, dass mich in den letzten 10 Jahren niemand mehr nach dem Zeugs gefragt hat. Allerdings kann ich auch ansprechende Arbeitszeugnisse vorweisen. Seit Januar bin ich jetzt wieder in einer größeren IT-(Administrations)Abteilung mit einem Alterschnitt so um die 50 (ich zähle noch zu den etwas jüngeren Kollegen hier ). Die Kollegen merken eh schon nach wenigen Tagen, ob man weiß was man da macht, oder ob man nur einen Schein hat, der vorgaukelt dass man es eigentlich können müsste... OK, für einen (jungen) Berufseinsteiger mag so ein MCSE schon den Unterschied zwischen 'Einladung zum Vorstellungsgespräch' und 'Wird sofort abgesagt' ausmachen. Bei berufserfahrenen Leuten zählen m.E. die Arbeitszeugnisse bzw. die Laufbahn die man vorweisen kann. Insbesondere was die Gehaltswünsche angeht, spielt so etwas wie MCSE eh keine Rolle. Gruß Dirk

Danke zahni, die Sprache ist ja auch nicht (mehr) mein Problem (siehe Eingangspost). Mache das mit Import/Export zwar nicht per netsh sondern per PowerShell. Der grundsätzliche Ablauf ist aber ziemlich ähnlich. Aber im obigen Beispiel sind ja auch wieder nur die DHCP-Standardklassen aufgeführt. Ich habe hier aber noch Altlasten die u.a. den NAP-Bereich betreffen. Da NAP unter dem 2016'er DHCP ohnehin nicht mehr supportet wird, möchte ich bei der Migration gleich die ganzen Klasse/Optionen aus der Importdatei löschen um dann unter Windows 2016 (US) mit einem sauberen DHCP zu starten. Klappt auch, aber bleibt die Frage ob dabei Spätfolgen zu erwarten sind. Im Test hat das mit der Migration auch Alles funktioniert (siehe Eingangspost). Wäre mir natürlich lieber, wenn hier Jemand bestätigen kann, dass es keine Probleme gibt. Kann mir irgendwie nicht vorstellen, dass ich der Erste bin, der einen etwas größeren DHCP-Server migriert. Und nein, Neu machen ist absolut keine Option!!! Gruß Dirk PS: Wahrscheinlich mache ich mir ohnehin völlig unnötig Gedanken.

Ja danke, kenne ich schon. Daher weiß ich ja, dass u.A. eine DHCP-Migration mit unterschiedlichen Sprachversionen nicht supported wird... Daher ja meine Frage, ob Jemand schon so ein Szenario durchgeführt hat. Also Migration mit unterschiedlicher Sprache und/oder mit 'alten' DHCP-Klassen. Wir möchten halt mit einem sauberen Windows 2016 DHCP starten und nicht einfach die 'Altlasten' mitschleppen. Ich glaube nicht, dass so etwas mit Windows 2008R2 möglich ist (DHCP Failover gibt es erst seit SRV2012). Außerdem wüsste ich auch nicht, wie die Replica auf unterschiedliche Sprachversionen des OS reagiert...

Moin, plane z.Zt. den Umzug unseres DHCP-Servers und hab da mal eine Frage. Der DHCP-Server läuft unter Windows 2008R2 (deutsch) und soll auf Windows 2016 (englisch) umgezogen werden. Ein Umzug per simplen Backup/Restore kommt nicht in Frage da: 1. Der DHCP auf dem OS mit englischer Sprache dann komplett in deutsch ist 2. NAP auf Windows 2016 nicht mehr vorhanden ist (DHCP) Wir haben uns daher entschlossen den Umzug mit PowerShell per Export-DhcpServer/Import-DhcpServer durchzuführen. Zwischen Export und Import wird die Export-Datei editiert und die Sprache der Klassen- und Optionsdefinitionen angepasst (von deutsch -> englisch). Soweit kein Problem. Nur wie verhält es sich mit der Standardklasse welche ursprünglich wohl mal für NAP in den alten DHCP-Optionen vorhanden war (Deutsch: 'Standardmäßige Netzwerkzugriffschutz-Klasse'). Diese gibt es bei Windows 2016 nicht mehr. Da NAP im Unternehmen ohnehin nie genutzt wurde, habe ich die Klasse/Optionen einfach komplett aus der Export-Datei gelöscht. Die Test haben auch problemlos funktioniert. Der (Test)Import der editierten Datei auf einem Windows 2016 DHCP in einer VM funktioniert fehlerfrei und auch die Verwaltung des DHCP funktioniert einwandfrei. Trotzdem die Frage an die Experten. Wie seid Ihr beim Umzug Eures alten DHCP auf Windows 2016 vorgegangen? Was seid Ihr bezüglich der nicht mehr vorhanden Klasse vorgegangen? Gruß Dirk PS: Neu machen ist keine Option, da der DHCP schon recht umfangreich ist (Scopes, Reservierungen).

Moin, wir planen z.Zt. den Umzug unseres DHCP-Servers von Windows 2008R2 (deutsch) auf Windows 2016 (englisch). Die Tests sind jetzt durch und die Probleme, die sich durch die unterschiedlichen Sprachversionen ergeben, sind auch gelöst. Nach dem Umzug wollen wir u.U. auch DHCP-Failover einrichten. Nun ergibt sich jedoch folgende Herausforderung. Wir haben Deutschlandweit > 100 Standorte, deren Standortrouter (CISCO) alle die IP des jetzigen DHCP-Servers als IP Helper-Adresse hinterlegt haben. Um das DHCP Failover zu unterstützen müssten in jedem Router beide DHCP-Failover-Server als IP Helper hinterlegt werden. Das würde jedoch einen erheblichen Aufwand bedeuten, da jeder Standortrouter angefasst werden müsste. Daher die Frage, kennt Ihr eine Möglichkeit DHCP-Failover so zu konfigurieren, dass der DHCP-Cluster mit einer virtuellen IP bereit gestellt wird? Gruß Dirk

Jo, Email-Archivierung ist ein heißes Eisen. Weil eben nicht alle Emails einfach so archiviert werden dürfen (Stichwort: DSGVO). Bewerbungen wurden ja hier schon genannt. Auch private Email-Kommunikation der Mitarbeiter ist heikel. Soll ja immer noch Unternehmen geben, die Ihren Mitarbeitern private Email-Kommunikation erlauben. Die Archivierungspflicht gilt streng genommen ja 'nur' für Emails die einen irgendwie 'steuerrelevanten' Bezug haben. Ist eine Email mit einem Angebot, welches nicht zu einem Auftrag führt nun archivierungspflichtig... BTW: Schon mal mit einem Datenschutzbeauftragten das Thema 'Datensicherung' insbesondere Email-Sicherung erörtert!? Weil genau genommen, ist auch die Datensicherung eine Archivierung...

Moin, bei meinem alten AG haben wir das per VLAN realisiert. DHCP/DNS für das WLAN übernimmt dabei komplett die FW. VLAN weil diverse Firmenbereiche per FC verbunden sind. Da will man ja keine 2 FC-Leitungen verlegen, nur damit das WLAN separiert wird. Genutzt werden auch Ubiquiti AP (4 Stück). Der Controller lief dabei auf einem Server mit. Der Controller ist allein schon wegen der FW-Updates absolut empfehlenswert. Gruß Dirk

@orkon Sorry, hatte ich überlesen, dass der Exchange nur von intern erreichbar ist!

Wenn es Euch reicht, geht es auch per Let's Encrypt. https://www.frankysweb.de/neue-version-des-exchange-zertifikatsassistent-fuer-lets-encrypt/ Gruß Dirk

Zum Thema LTSB/LTSC Wir rollen gerade Windows 10 deutschlandweit aus und haben uns schlussendlich gegen Windows 10 LTSC entschieden. Gründe waren vielfältig, aber hier mal kurz die Hauptpunkte die gegen LTSC gesprochen haben: - kein offizieller Support seitens des Herstellers für Windows 10 LTSC auf der aktuellen HW Plattform - unser DL hat uns vom Einsatz der LTSC auf Office PC abgeraten, da bereits in anderen Umgebungen negative Erfahrungen gemacht wurden. Ist natürlich echt b***d. Rollout musste mit 1803 starten, da MS 1809 nicht rechtzeitig Einsatzbereit hinbekommen hat. Werden wohl ab März alle neuen PC mit 1809 ausrollen, wenn die Evaluierung sauber abgeschlossen ist. Die bis dahin installierten PC erhalten dann ein Inplace-Upgrade. Voraussichtlich ab Jan. 2020 dann Inplace aller Rechner auf 1909. Dann geht es im 2 Jahreszyklus so weiter. Wird man wenigstens nicht arbeitslos.

Die Diskussionen gibt es schon ewig! Allein schon aus rein praktischen Überlegungen würde ich das sein lassen. Überleg mal wie häufig ein RDP-Server mal eben neu gestartet wird, gerade wenn dort diverse Anwendungen drauf laufen die dann regelmäßig aktualisiert werden müssen. Wenn dann der DC weg ist, können die User nicht mehr viel im Netz machen. Ein DC ist ein DC und sonst nix (außer DNS und ggf. DHCP).

Hmm, schön, dass Du ProxMox favorisierst. Ich sach mal so, die Info bringt dem TO bei seinem Problem absolut keinen Schritt weiter. Oder kümmert sich ProxMox etwa um die Konfigration des RAID-Controllers? Und ob nun ein RAID10 oder ein RAID5 oder RAID6 für eine Produktivumgebung genutzt wird bzw. werden sollte, hängt in erster Linie mal von den individuellen Anforderungen ab. Ich kenne eine ganze Menge Produktivsysteme die ausschließlich auf RAID5 oder 6 setzten und trotzdem performant arbeiten. Jedenfalls so performant, dass nicht der RAID-Level im Storage den begrenzende Faktor darstellt! Gruß Dirk PS: Wie ich es machen würde: Einfach in KnowHow investieren. Dann klappt das auch mit der Performance!

Menno, Host runterfahren (natürlich nicht im laufenden Betrieb!!!). Bei Neu starten des Host meldet sich der RAID-Controller und zeigt an, wie das Controller-BIOS aufgerufen werden kann (z.B. CTRL + h). Im BIOS des RAID-Controllers kannst Du den Status des Cache (aktiv/inaktiv) sowie die Status der BBU-Einheit kontrollieren! Gruß Dirk PS: Ja ESXi 5.1 ist aus dem Support, aber bevor Du ein Update versuchst erstmal die VMWare HCL prüfen! PSS: Ich würde die Finger davon lassen, wenn es schon daran scheitert den Status der BBU zu ermitteln!

Moin, hört sich für mich so an, als wenn der RAID-Controller ohne BBU läuft. Das hat Zahni ja bereits vor 2 Wochen geschrieben. Ohne BBU bzw. bei entladener/defekter Batterie deaktiviert der RAID Controller den Schreibcache! D.h. jede Schreiboperation wird sofort auf die Platten geschrieben. Und dass wird dann schnarchlahm. Gruß Dirk

Ohne jetzt Alles genau gelesen zu haben. Wie wäre es mit 2 Faktor-Authentifizierung in Verbindung mit einem Token!? Dann nutzt ein einfaches Ausspähen des Kennworts z.B. per Keylogger nicht viel. Oder aber ein entsprechend abgesicherter PC-Arbeitsplatz: https://orwl.org/ Gruß Dirk

Moin, wir rollen gerade in mehren Standorten neue PC aus (SCCM). Jeder Standort hat dabei einen eignen Distribution Point Server (DP). Nun würden wir gern das aktuelle Update für SCCM (1810) installieren. Allerdings sind nicht alle DP-Standortserver am Netz (aus technischen Gründen sind einige teilweise mehrere Wochen offline). Kann das SCCM-Update trotzdem gemacht werden? Aktualisieren sich die z.Zt. offline DP-Server später automatisch auf die aktuelle SCCM-Version, wenn Sie wieder ans Netz kommen? Gruß Dirk

Ja und welche Frage hast Du jetzt!? Das von Dir beobachtete Verhalten ist doch vollkommen normal. Genau deswegen gibt es ja Komprimierungsprogramme.

Moin, weiß nicht, ob Du den gleichen Effekt meinst. Aber schau mal hier im Fred. Problem trat auch nur nach einer TV-Sitzung auf.