monstermania

Moin, nur mal so als möglicher Lösungsansatz... Wir haben einen kleinen Außenstandort. Alle Daten der Mitarbeiter im Außenstandort sind auf einem NAS gespeichert (QNAP). Hier im Unternehmen haben wir ebenfalls eine QNAP als 'Datengrab' für Software und temp. Images. Die QNAP unseres Außenstandortes synchronisiert täglich Ihre Daten auf die QNAP bei uns (RSYNC per SSH). Dabei werden nach einer Erstsynchronisation auch nur die täglich geänderten Daten übertragen. Die Daten unserer QNAP werden täglich auf einen Backupserver und anschließend auf Band gesichert. Selbst wenn Ihr jetzt kein NAS verwendet, dass eine Backupfunktion bietet. Schau mal hier nach (RSYNC für Windows). Damit lässt sich auch mit Windows Server per RSYNC Daten zwischen Windows-Systemen synchronisieren. Achtung RSYNC synchronisiert nur und ist daher kein Backup! Werden Daten auf der Quelle gelöscht sind beim nächsten sync auch die Daten im Ziel weg! Gruß Dirk

Moin, grundsätzlich sind ja alle Kunden die Forefront für Exchange einsetzten betroffen und müssen sich nach einer Alternative umsehen. Wir setzten seit einigen Jahren auf eine mehrstufige Viren- und Spam-Lösung für unser Unternehmen. Damit haben wir sehr gute Erfahrungen gemacht. Was in der 1. Stufe noch so durchrutscht wird dann i.d.R. von der 2. Stufe geblockt. Spam und Viren sind dadurch seit vielen Jahren kein Thema mehr für uns. Wir setzten als eine Stufe G Data Mail-Security ein. Mail-Security läuft in einer separaten VM und filtert den gesamten Mailtraffic (SMTP) auf Viren und Spam. Als 2. Stufe läuft z.Zt. noch FF auf unserem Exchange 2007. Allerdings steht die Umstellung auf EX2013 demnächst an. Wir werden dann das Mailgateway unserer Firewall als 1. Stufe nutzen (Spam und AV). Anschließend wird dann G Data Mail-Security als 2. Stufe arbeiten. Auf dem neuen EX2013 soll dann zukünftig keine weitere AV/Spam-Lösung mehr installiert werden. Gruß Dirk

Moin, mit Step 1 stimme ich Dir voll zu! Mach erst mal eine Analyse was da ist und was neu muss. Dann kannst Du anfangen zu planen. Beispiel: Was ist denn das für ein Navision (Version). Die aktuelleren Versionen von NAV benötigen einen SQL Server. Davon hast Du im Eingangspost nichts geschrieben!? Bei 30 Usern NAV braucht man evtl. dann schon einen performanten SQL Server. Bei NAV2013 sollte es auch noch ein Applikationsserver zusätzlich zum SQL-Server sein... (Wir sind hier gerade in der Umstellung NAV2009 auf NAV2013R2 bei ca. 40 NAV-Usern) Windows Home-Versionen kannst Du im Businessumfeld schon mal gleich vergessen. Da ist nix mit Domänenmitgliedschaft. Also erst mal genauen Istzustand ermitteln und dann anfangen zu planen! Dann kann Dir hier auch geholfen werden. Gruß Dirk

Moin, ist natürlich ein Blick in die Glaskugel. Grundsätzlich kann so etwas mit einem pysikalischen Server realisieren (mit VMWare ESXi). Dazu eine Windows 2012 DC-Lizenz. Damit darfst Du beliebig viele Server-Instanzen auf dem Host virtuell betrieben. Dann läuft Alles virtuell. Backup auf ein externes Speichersystem (NAS). Offline-Backup je nach Bedarf auf externe Festplatten oder Band. Klar, fällt jetzt Dein Server aus, steht das Ganze Unternehmen. Aber auch da kann man mit einem einen entsprechenden Servicevertrag entgegensteuern. Natürlich ist z.B. ein 2ter DC eine schöne Sache. Aber gerade bei kleinen Unternehmen nutzt der dann auch kaum was, wenn Dir Dein Hauptserver ausfällt. Dann können sich die User gerade noch anmelden und ins Internet... Du weißt ja offenbar noch nicht einmal was für ein neuer Server beschafft wurde (HW Auststattung). Von BS-Lizenzen für einen neuen Server habe ich jetzt auch nichts gesehen (Serverlizenzen, Lizenzen auf den Arbeitsplätzen). Auch die Anzahl der AP in der Firma sagt ja erst mal nichts aus, da Du ja nicht gesagt hast wie viele Mitarbeiter einen PC-Arbeitsplatz benötigen. Kann ja sein, dass in der Fa. gerade mal 10 Leute am PC arbeiten und der Rest in der Produktion... Budget??? Grundsätzlich stellt sich immer die Frage für wie viele aktive PC-Arbeitsplätze eine Infrastruktur geplant werden muss. Wie sind die AP ausgestattet? Müssen evtl. noch alle oder einzelne AP neu beschafft werden? Vorhandene Netzwerkinfrastruktur (Switche, Verkabelung)? Virenschutz/Firewall? Dann natürlich auch, wie die Verteilung in normale User und Power-User ist. Dann sollte man im Auge haben wie stark das geplante Wachstum des Unternehmens für einen überschaubaren Zeitrahmen (max. 5 Jahre). Verfügbarkeit der EDV? Sind Ausfallzeiten in der EDV akzeptabel (z.B. 1-2 Tage im Worst Case) oder muss die EDV immer verfügbar sein? Arbeitszeiten des Unternehmens? usw. Puhh, ich würde erst mal eine komplette Bestandsaufnahme des Istzustands machen bevor ich mir überhaupt Gedanken um die Serverinfrastruktur mache. Dann ein Gespräch, wo es hingehen soll (angebotene Dienste wie Exchange oder SQL, Ausfallsicherheit, Budget!!!). Nutzt ja nix, wenn Du Dir die tollsten Gedanken machst und hinterher der Chef tot Umfeld, weil er nicht damit rechnet, dass das Ganze auch Geld kostet. Gruß Dirk

Moin, m.E. ist es nicht unbedingt erforderlich einen DC als Blech zu betreiben. Es sollte eben nur sichergestellt sein, dass ein DC immer noch läuft, wenn die virtuelle Infrstruktur einen Schaden hat. Unsere DC's sind alle virtuell. Ein virtueller DC läuft allerdings auf dem lokalen Storage eines Host's und nicht auf dem SAN. Damit ist sichergestellt, dass im Falle eines Totalcrash des SAN zumindest die Anmeldedienste, DHCP und DNS weiterhin funktionieren. Grundsätzlich wäre es natürlich auch schön, wenn ein DC in einem 2. Brandabschnitt steht. Gruß Dirk

Moin, grundsätzlich schon richtig. Folgendes fehlt m.E. noch: - Backup vor Beginn der arbeiten - Migration DHCP - Migration der Daten/Benutzerdaten - Druckdienste auf neuen Server umziehen - ggf.noch Anpassung der Anmeldescripts Hast Du schon solche Migrationen gemacht? Gerade am Wochenende sieht es meist schlecht mit Hilfe aus, wenn man auf ein Problem läuft. Ich würde nach Möglichkeit immer eine Testmigration machen (in virtueller Umgebung). Zumindest bis zum Verschieben der Ex. Postfächer! Und dabei jeden Schritt dokumentieren. Dann läuft es später bei der Echtmigration i.D.R. wie am Schnürchen. Das einspielen aller Updates würde ich auch bereits einige Tage vor der Migration erledigen und nicht erst am Migrationstermin! Bin einmal bei einer Kundenmigration so richtig auf die Nase gefallen, da auf dem alten SBS das DNS total verhunzt war. Zum Glück hatte ich vor der Migration ein Backup gezogen und konnte den Server wieder zurücksetzten! Die Probleme konnte ich dann in Ruhe in der Testumgebung beheben, so dass es später bei der Echtmigration keine Probleme mehr gab. Gruß Dirk

Genau dass habe ich auch gedacht... ;)

Moin, mal davon abgesehen, dass die werten Forumskollegen recht haben, wird AFAIK Office 2000/2003 unter Windows 2012 gar nicht funktionieren. Siehe hier: http://support.microsoft.com/kb/2777626 Hier die Erfahrungen von Leuten, die Office 2003 unter 2012 trotzdem installiert haben: http://community.spiceworks.com/topic/365806-office-compatibility-pack-for-server-2012-windows-8 Gruß Dirk

Sorry, aber bevor ich mich hier auf die Suche nach einer Backuplösung mache, überlege ich erst mal wie das Konzept des Backups aussehen soll. Wie viele VM's (welche Virtualisierungslösung), wie viele Bleche müssen gesichert werden? Welche Daten müssen gesichert werden (z.B. Exchange, SQL, usw.)? Welche Datenmengen müssen gesichert werden (Wie groß ist Dein Backupfenster, usw.)? Wie lange müssen die Daten wieder herstellbar sein? Wie willst Du die Offsite-Sicherung realisieren (Cloud-backup, Medien z.b. USB-HDD, Tape). Wie ist die Restore-Strategie (maximale Ausfallzeit, usw.) Welches Budget ist für Backup/Restore vorgesehen? usw. Backup ist wesentlich mehr als eine Software! Die Software hilft Dir nachher nur noch Dein Konzept umzusetzen. z.B. ist Veeam absolut genial, sofern Du eine rein virtuelle Serverstruktur betreust. So Bald Du aber auch nur 1. Serverblech sichern musst nutzt Veeam herzlich wenig, da Veeam das nicht kann! Und immer dran denken: Ohne Restore ist das beste Backup wertlos! Gruß Dirk

Moin, ich würde so etwas mit einem Reverse Proxy realisieren (Goggle ist Dein Freund :) ). Entweder per eigener Softwarelösung auf einem dedizierten Host oder innerhalb einer Firewall. Eigentlich bieten alle besseren FW auch einen Reverse Proxy an. Gruß Dirk

Moin, zu der richtigen Lizenz können bestimmt Andere genaueres sagen... Ich würde für so eine Konstellation mindestens 2. Serverinstanzen vorsehen. 1 Instanz auf der die Daten, Datenbanken und das AD, DNS und DHCP läuft. Eine 2. Instanz auf der sich die User anmelden (RDP-Server). Das Ganze kann natürlich auf einer Hardware laufen (Hyper-V oder VMware). Weil Datenserver und Server auf dem User auch direkt arbeiten geht m.E. gar nicht! Warum wollt Ihr keinen DC einsetzten? Ich würde bei allem > 5 User immer eine Domäne nutzen. Ist doch viel einfacher zu administrieren? Bitte daran denken, dass für einen RDP-Server sowohl die RDP-Lizenzen als auch sofern MS-Office benötigt wird eine MS-Office Open-Lizenz benötigt wird. OEM-Versionen funktionieren auf einem RDP-Server nicht! Gruß Dirk

Moin, ein Tool was zumindest für 2 Datenbanken kostenlos ist: SQLBackupAndFTP Kann dann die gesicherten Datenbanken gleich noch komprimieren und ggf. auf einen externen FTP-Server sichern. Gruß Dirk

Moin, wie ist das Raid denn aufgebaut? 2 Platten im Raid 1 für das OS und 2 Platten im Raid 1 für die Daten? Dann würde ich einfach die Datenplatten mit einem Imageprogramm wie Drivesnapshot wegsichern (z.B. USB oder NAS). Dann die neuen Platten rein und das RAID wieder einrichten und anschließend das Image wieder auf die neuen Datenplatten zurücksichern. Gruß Dirk

Jo, nur kostet Acronis (Server) eben auch etwas Geld. Und der TE hatte ja eben geschrieben, dass er kein Geld für teure Tools ausgeben will. zumindest hab ich das so verstanden. Drivesnapshot kostet in der Serverversion 89€. Und für eine einmalige Sache kann man auch die Testversion nutzen. Natürlich ist Acronis vom Funktionsumfang meilenweit von Drivesnapshot entfernt. Wobei ich mit TrueImage Server auch schon so richtig Spaß hatte... :rolleyes:

Moin, tja, da wirst Du mit dem jeweiligen Betreiber des FTPS-Servers sprechen müssen, ob der die Range der Ports gibt die dynamisch genutzt werden. Diese Portrange must Du dann in der FW freigeben. So etwas ist immer unschön! Optimal wäre es natürlich, wenn Du Dich mit dem Betreiber auf einen festen Port einigen kannst, über den der Transfer stattfindet. Dann must Du nur einen Port freigeben. Evtl. sollte man auch intern beschränken welcher User die Ports nutzen darf. Gruß Dirk

Moin, mein Tool der Wahl für solche Aufgaben ist das gute alte Drivesnapshot. Kostet nicht viel und funktioniert einfach. Gibt auch eine 30 Tage-Testversion beim Hersteller! 1. Image des Rechners mit Drivesnapshot im laufenden Betrieb auf USB-Festplatte ziehen 2. Neue Platte in den Rechner einbauen und BS installieren und Platte wie gewünscht partitionieren. 3. Non Boot Partition(en) aus dem Image per USB auf die neue Platte zurückspielen 4. Die Boot-Partition aus dem Image per USB auf die neue Platte zurückspielen (passiert nach dem Reboot automatisch) Dauert je nach Datenmenge und USB Speed ab ca. 2 Stunden. Gibt natürlich auch noch Wege, dass aufspielen des Images ohne vorherige Installation des BS per Boot-CD hinzubekommen. Ist allerdings meist deutlich aufwändiger als mal eben das BS neu zu installieren. Klar, bei Klonen einen DC sollte man wissen was man da macht! Bei einem DC im AD ist das aber kein Problem. Gruß Dirk

Moin Dan, gut möglich, dass uns der DL im Bereich Sophos sehr schlecht beraten hat. Eigentlich hatten wir für die Budgetplanung 2014 bereits die Umstellung auf eine aktuelle Sophos-Version geplant. Allerdings mit eigener HW und entsprechendem Mission-Critical-Support der HW. Der DL war darüber auch informiert. Bei den finalen Angebotserstellung kam dann aber für uns sehr überraschend, dass wir nicht die Sophos 100 IP-Version benötigen, sondern die 250 IP-Version. Das war dann kostenmäßig bei der GF nicht durchzubekommen. Als Alternative sind wir dann auf SP gekommen. Der Rest findet sich im Fred... Mit dem Fallback der DSL-Leitung missverstehen wir uns irgendwie ;). Es geht ja nicht darum, dass der Cluster bei Ausfall der DSL-Leitung umschaltet, sondern dass die jeweils aktive UTM bei Ausfall der PPoE-Verbindung auf die Fallbackleitung umstellt. Damit wäre dann zumindest das Internet noch verfügbar. Wir hatten gerade vor einigen Wochen mal wieder einen 2 stündigen Ausfall bei unserem Anbieter. Leider gibt es hier im Gewerbegebiet nur einen örtlichen Telefonanbieter, so dass wir für die Fallbackleitung wohl auf UMTS/LTE ausweichen müssen. Das Clustering der SP funktioniert problemlos. Die User merken von der Umstellung nichts, sofern Sie nicht per VPN im Netz hängen :). Ist gerade bei Updates der UTM echt praktisch, da man diese jetzt relativ problemlos während der normalen Arbeitszeit machen kann.

Moin, klar gibt es immer was Besseres, Neueres. Aber so wie ich den Fredersteller verstanden hab ist die MD3220 bereits vorhanden. Das RAID6 noch etwas langsamer als RAID5 ist klar. Die Frage ist aber, ob man den Unterschied in der Praxis bemerken wird. Wir haben uns vor rund 1 Jahr ganz bewusst für eine MD3220 entschieden und haben damit unser vorhandenes IBM FC-SAN abgelöst. Kommt halt immer auf die planbaren Anforderungen an. Wir haben das so geplant, dass wir mit der Umstellung den Zeitraum für die nächsten 5 bzw. jetzt noch 4 Jahre abdecken. Gruß Dirk

Moin bouncer, Du hast die grundsätzliche Problematik nicht verstanden. Die Problematik mit vielen HDD's im RAID-Array hat mit den IOPS erstmal nichts zu tun. Natürlich kann man ein RAID5 auch mit 11 oder 50HDD's aufbauen. Nur fliegt Dir bei einem RAID5 aus x-Platten eine Platte weg, dann muss das Storage das RAID5 wieder mit dem HOT-Spare aufbauen. Das kann durchaus einige Zeit (Stunden) dauern. Geht während des Neuaufbaus eine weitere Platte aus deinem RAID5 verloren, so ist das gesamte Array verloren. D.h. alle Daten sind weg und müssten aus einem Backup wieder hergestellt werden. Bei 11 x 900 GB RAID5 sind das über 8GB! Da braucht auch das schnellste Backup einige Stunden zum wiederherstellen, wenn Du 8 GB wieder herstellen musst! Die Ausfallwahrscheinlichkeit steigt natürlich mit der Anzahl der HDD's im Verbund. Bei RAID6 können 2 Platten gleichzeitig ausfallen ohne dass Dir das Array um die Ohren fliegt. Von daher ist RAID6 da deutlich sicherer. Klar, dass ein RAID aus vielen HDD's auch mehr IOPS schafft. Das gilt aber unabhängig vom gewählten RAID-Level. Daher ist es eben die Aufgabe des Storage-Einrichters den richtigen Kompromiss aus Sicherheit/Performance und Kapazität zu wählen. Wie viel Speicher braucht Ihr eigentlich effektiv? Weil rund 30GB Storage (brutto) ist ja schon eine gewisse Hausnummer. Gruß Dirk

Moin, wir hatten eine ASG220 (Rev2) mit 1 GB RAM. Daher war bei V8 Schluss, da die REV2 nicht für die 9'er freigegeben war. Wir lassen bereits seit vielen Jahren SMTP durch ein internes Mailgateway nach SPAM/AV filtern. Als 2. Stufe kam dann seit dem Exchange 2007 noch Forefront für Exchange dazu. Entsprechend hatten wir auf der Astaro auch nie ein Lizenz für Mailverkehr (Spam/AV). Die Mailfilterung mit 2 unabhängigen Produkten hat sich aus unserer Sicht sehr bewährt. Funktioniert so wie sie ist seit vielen Jahren problemlos. Was das eine Produkt mal was durchlässt bleibt es i.d.R. dann im anderen Produkt hängen. Spam und Viren per Mail sind kein Thema für uns. Da Forefront für Exchange 2015 ausläuft und wir ohnehin in den nächsten Wochen auf Exchange 2013 migrieren wollen werden wir dann die SP als 1. Stufe für AV/Spam nutzen. Bin mal gespannt, wie sich die SP dabei bewährt. Wir werden dann ja schnell sehen, wie viel das interne SMTP-Mailgateway dann noch zu tun bekommt wenn die SP davor hängt.

Moin, klar sagt SP etwas dazu... Bei der fehlenden PPoE-Verbindung hätte es z.B. lt. Aussage von SP gereicht die PPoE-Konfiguration in der SP-Weboberfläche aufzurufen und einfach nochmal zu speichern. Dann wird der entsprechende Dienst neu gestartet. Jetzt wissen wir das auch...:rolleyes: Nur kann man im Problemfall eben nicht lange analysieren, wenn das Unternehmen ohne Internet dasteht. Also war der Neustart der UTM die schnelle Lösung. Eigentlich gehören solch elementare Dienste auf einer UTM sowieso per Watchdog überwacht. Sobald der Dienst nicht mehr reagiert oder hängt muss die UTM von sich aus den Dienst neu starten! Lt. Aussage von SP arbeiten Sie auch 'schon' daran. Und auch bei der VPN-Problematik war es ähnlich. User ruft am Freitag um 14 Uhr an, dass er sich zwar Einwählen kann, aber er auf keinen Server zugreifen kann. Zunächst sucht man das Problem dann natürlich beim User zumal gleichzeitig mehrere andere User problemlos per VPN arbeiten. Nach Reboots des User-Laptops, Prüfung der Logs und mehrerer TeamViewer Session's einfach mal die UTM rebootet. Durch den Hot-Spare merken die User im Unternehmen nichts davon. Einzig die angemeldeten VPN-User fliegen natürlich raus. Nach dem Reboot der UTM konnte dann auch der eine User wieder problemlos per VPN arbeiten. Klar, schön ist das nicht. Liest sich aber dramatischer als es im Endeffekt war. Mit der alten Astaro/Sophos hatten wir täglich Performanceprobleme die uns behindert haben. Ja, auch darüber haben wir lange intern diskutiert. Aber selbst mit Top-Premium Support (der übrigens auch bei allen Herstellern/Partnern entsprechend Geld kostet) wären uns mehrere Stunden pot. Ausfallzeit zu viel gewesen. Wir haben mit unsere alten Astaro im letzten Jahr täglich Performance-Lags gehabt und haben da erst wirklich gemerkt, wie wichtig mittlerweile das Internet für alle Bereiche unseres Unternehmens geworden ist. Gerade der Vertrieb/Versand ist auf eine nahezu 100ige Verfügbarkeit in der Kernzeit von 7-17 Uhr angewiesen (Speditions- und Zollabwicklung, usw.). Genau daher haben wir uns für eine Hot-Standby-Lösung mit 2 dedizierten Servern entschieden. Als nächstes wollen wir jetzt noch eine Fallbackleitung einrichten, damit im Falle eines Ausfalls unserer DSL-Leitung zumindest das Internet verfügbar bleibt. Leider wird es auf Grund der örtlichen Gegebenheiten wohl nur eine UMTS/LTE-Lösung werden. Das Ganze ist halt immer die Suche nach dem besten Kompromiss ;)

Moin, wir haben für Email-AV/Spam eh nie die Astaro/Sophos genutzt (Performance der UTM). Dafür setzten wir seit vielen Jahren ein extra Mailgateway mit Spam/AV ein. Auf dem Exchange läuft dann noch Forefront, so dass wir doppelten Spam/Virenschutz haben. Nach der vorgesehenen Umstellung auf Ex2013 wollen wir dann aber mit der SP und unserem Mailgateway für doppelten Spam/AV Schutz arbeiten. Schauen wir mal, wie das später funktioniert. Ich werde berichten! Gruß Dirk

Moin, ich hätte hier wohl mal täglich über die Performance-Lags unserer Astaro/Sophos UTM jammern sollen. Auch dass Neustarts bei der Astaro/Sophos im gleichen Zeitraum wesentlich häufiger nötig waren als bei der SP. Wieso, das ganze Leben ist doch ein Kompromiss, oder? Warum kauft sich jemand einen Skoda und keinen VW oder Audi? Nun evtl. einfach, weil Ihm die angebotene Leistung ausreicht bzw. die Preis/Leistung stimmt! Seit April setzten wir jetzt die SP ein und ich habe die Erfahrungen damit geschildert. Davor hatten wir einige Jahre die Astaro/Sophos im Einsatz. Wenn ich mir jetzt die Beschwerden der User in den letzten Wochen ansehe ist vieles mit der SP auf jedem Fall besser geworden (viel Besser als es im Jahr davor je mit unserer Astaro/Sophos war!). Klar, mit einer neuen Sophos UTM wäre es mit der Umstellung viel einfacher gewesen einfach weil man das Produkt schon viele Jahre kennt. Und klar, eine Astaro/Sophos bietet teilweise auch einen wesentlich größeren Funktionsumfang als die SP (den wir eh nie genutzt haben!). Auch dass lässt sich lt. der Aussage unseres Fachhändlers mit einer SP umsetzten. Aber eben nicht direkt über die UTM, sondern mit dem Einsatz eines zusätzlichen Logservers mit dem Securepoint Operation Center (SOC). Wir bekommen mittlerweile ein wöchentliches Reporting per Mail (wie seinerzeit auch unter Astaro/Sophos). Nur sind eben die Reportings nicht ganz so tiefgehend wie man es bei Astaro/Sopos gewohnt war. Fakt: Für das Geld was wir für die SP UTM Clusterlösung insgesamt investiert haben hätten wir bei Sophos gerade mal eine einzelne HW-UTM mit Basis-Lizenzen bekommen. Zumindest ansehen sollte man sich die SP UTM ruhig mal. Und dann kann man immer noch entscheiden, ob Sie funktional ausreicht oder ob man lieber in eine andere Lösung investiert. Gruß Dirk

Moin, wollte jetzt nach 6 Monaten mal so einen Zwischenbericht abgeben wie sich die Securepoint UTM (SP) im täglichen Betrieb so macht. Also zunächst mal das positive. Grundsätzlich läuft die SP! Der mitgelieferte SP VPN-Client läuft absolut problemlos und stabil unter Windows Vista/7/8.1. Leider waren/sind durch den 1. Dienstleister immer noch 'Altlasten' in der Konfiguration vorhanden, sie sich teilweise sehr negativ ausgewirkt haben. Insbesondere im Bereich VPN hatte der 1. DL einige Böcke in der Einrichtung geschossen, die leider immer mal wieder zu VPN-Verbindungsproblemen führten. Seit einigen Wochen haben wir jetzt einen neuen DL für die SP und mittlerweile läuft es soweit rund. Leider ist es aber auch bei diesem DL so, dass viele Optionen in der SP auch diesem DL nicht sofort klar sind. Ich finde es einfach befremdlich, wenn mir ein ausgewiesener 'Experte' auf konkrete Fragen einfach keine konkrete Antwort geben kann und immer erst mal der Spruch kommt: 'Muss ich mal austesten'. Das scheint aber eher ein generelles Problem im Bereich SP zu sein. Die überwiegende Zahl der Fachhändler macht halt die SP so 'nebenbei' mit. Dementsprechend ist leider auch das Fachwissen. Nun zum Negativen: Leider läuft die SP in einer VM (VMWare) offenbar nicht 100%ig stabil. Wir hatten jetzt bereits 2 mal den Fall, dass unsere Hot-Standby SP (passiv) abgeschmiert war. Mit diesem Problem stehen wir offenbar nicht allein da, da es entsprechende Foreneinträge im SP Supportforum gibt. Zum Glück ist das bisher nur bei der passiven UTM passiert und nicht bei der Aktiven! http://support.securepoint.de/viewtopic.php?f=33&t=2749 Bei Updates ist das Handling im Hot-Standby Cluster auch Alles andere als optimal. Da nur die jeweils aktiv laufende SP die Updates automatisch herunterlädt muss für ein Update zunächst die im Hot-Standby laufende SP manuell upgedatet werden. Anschließend dann die aktiv laufende. Eigentlich sollte es ja so sein, dass bei einem Update die aktive UTM die passive UTM automatisch mit aktualisiert (so stelle ich mir das zumindest vor und erwarte das auch von einer professionellen Lösung!). Wir hatten den Fall, dass nach einem Update die Filterregeln des Webfilters geändert wurden. So konnten auf einmal Webseiten aufgerufen werden, die vor dem Update nicht aufgerufen werden konnten. Davon stand natürlich in der Versionshistorie zur neuen Version nichts drin! Merkt man dann nach einigen Tagen eher per Zufall. Die beim Aufruf gesperrter Webseiten angezeigte 'Sperrseite' lässt sich nicht anpassen. Einmal hat die UTM die PPoE-Verbindung zu unserem Provider getrennt. Da half dann nur ein Reboot der SP. Das ärgerliche daran ist, dass sich in einem solchen Fall nicht automatisch die Hot-Standby UTM aktiviert. Zum Glück ist das während der normalen Bürozeiten passiert und nicht während des Wochenendes! Einmal konnte sich 1 VPN-User zwar einwählen, bekam aber kein Routing ins interne Netz. Auch hier half schlussendlich nur ein Neustart der SP. Problem dann eben, dass auch dann alle anderen VPN-User rausgeflogen sind. Das Reporting der SP ist m.E. auch sehr ungenügend. So gibt es z.Zt. keine Möglichkeit eine Übersicht über das Nutzungsverhalten (Nutzungsdauer/Transferraten) der VPN-User zu erhalten. Hmm, jetzt ist die Negativ-Liste doch ganz schön lang geworden :D. Das sollte jetzt aber niemanden abschrecken. Es handelt sich halt um einen Erfahrungsbericht der auf unseren persönlichen Erfahrungen mit einem SP Cluster unter VMWare beruht. Beim Einsatz einer SP mit SP eigener HW ohne Clusterlösung fallen ja schon einige der Negativpunkte weg. Nach derzeitigem Stand werden wir die SP UTM auch über den März 2015 hinaus einsetzten. Gruß Dirk

Moin, na ja, auch in einer neuen Umgebung kann man ein IOPS-Sizing vornehmen. Schließlich weißt Du ja wohl welche Anwendungen mit welchen Users drauf laufen sollen (z.B. MS Exchange, MS SQL, Oracle, usw.). Und da geben die jeweiligen Hersteller schon an, welche IOPS da mindestens erforderlich sind. Dann noch ein entsprechendes Sicherheitspolster für zukünftige Anforderungen und gut ist's. Ein nennenswerter Perfomanceunterschied zwischen RAID5/RAID6 wäre mir jetzt nicht bekannt. Wichtiger dürfte die Toleranz im Falle eines Fehlers sein. Bei RAID 5 darf halt nur 1 Platte kaputt gehen. Wenn während eines Rebuilds des RAID 5 eine 2. Platte kaputt geht -> Totalcrash des Arrays Bei RAID 6 können immerhin 2 Platten gleichzeitig kaputt gehen ohne dass dir das Array um die Ohren fliegt. Die Wiederherstellungszeit hängt nicht davon ab, ob Du RAID5/RAID6 verwendest, sondern eher von der Größe Deines RAID-Arrays. Wenn Du z.B. 4 RAID-Arrays á 2 TB auf deinem Storage eingerichtet hast und jetzt fliegt Dir eines der Arrays weg, dann musst Du halt nur 2 TB vom Backup wieder herstellen. Richtest Du nur ein einziges RAID-Array mit 8TB ein und das fliegt Dir um die Ohren musst Du gleich 8 TB vom Backup wieder herstellen. Natürlich hast Du bei 4 Arrays einen höheren Kapazitätsverlust, als wenn Du nur 1 Array einrichtest... Wie immer gilt es einen Kompromiss aus Performance/Sicherheit und Kapazitätsverlust zu finden. Nur kann Dir das ohne Kenntnis der genauen Anforderungen an die benötigten IOPS, das geplante Wachstum im Unternehmen, usw. einfach keiner sagen. Am besten holt Ihr Euch dafür einen Spezialisten ins Haus. Möglichst Jemanden, der die MD3220 und deren Möglichkeiten genau kennt. Bei Bedarf kann ich Dir per PN gerne ein Systemhaus nennen, die bereits viele Projekte mit der MD3220 realisiert haben. Die haben auch unsere ESXi-Umgebung mit der MD3220 konfiguriert. Gruß Dirk