coshi

Hi,

OM3 Kabel = 50mq (das Beschreibt den Querschnitt einer Glasfaser) und das ist ein Multimode Kabel

die 850 oder 1310 beschreibt die Lichtwellenlänge. Durch ein 50mq Kabel kannst du beide Lichtwellen senden. Sollten nur auf beiden Seiten die gleichen Module sein.

Wenn es ein Singlemode Kabel wäre, dann wäre das mit OS betittelt

Grüße Coshi

Hallo RalphT,

ich schließe mich PadawanDeluXe an. Mach dir die Arbeit nicht schwer und nutze ein MDM System (mobile Iron, Cisco Meraki, Sophos, MS Intune). Gängig wäre auch mit RADIUS CoA zu arbeiten. Du lässt die Nutzer erstmal ins Netz, authentifizierst sie dann und gibst ihnen Zugriff auf die Ressourcen die Sie brauchen, sonst nur zum Internet. Bzgl. der Zertifikate könntest du dir auch mal die Enterprise Enrollmentfunktionalitäten der Gerätehersteller anschauen. Apple und Samsung können soweit ich weiß direkt sog. "Betriebsprofile" mitgeben. Ansonsten sprich das doch mal mit einem MDM Experten durch.

Jetzt noch ein Schräger weg zum Zertifikate verteilen: Auf einem Webserver ablegen, den Nutzer Zugangsdaten dazu schicken = Nutzer kann sich das ding per klick am Handy installieren = du hast in der Hand wann du das Teil vom Webserver löscht.

Root Zertifikate sollten eigentlich nicht auf den Geräten sein?!

Grüße Coshi

Hallo pnbl,

dein Setup hört sich mir sehr suspekt an. Vor allem der Windows 10 Home Laptop und der Windows Essential Server.

Aber mal von allen Lizenzthemen abgesehen müsstest du entweder:

Dir die Zeit nehmen und deine Umgebung etwas genauer beschreiben.

oder

Dir überlegen, ob du den VPN nicht vielleicht auf einem Client-VPN fähigen Gerät terminierst (z.B. Sophos Firewall oder Fritzbox etc.)

Das schafft dir zumindest eine überblickbarere Umgebung als die mächtigen Windows Serverdienste.

Grüße

Coshi

Printe uns doch mal die ipconfig wenn du im WLAN bist hier rein. Super duper wäre noch ein Whireshark Trace.

Ich persönlich habe zuhause Cisco Accesspoints inkl. Controller hängen, weil mir der AVM Kram einfach zu anfällig ist. Geht nichts über ein ordentliches Controllergestützes Mesh Netzwerk

Grüße Coshi

Hallo Herr-IT,

wenn du Layer 3 Switche hast, die ACL (Access Controll Lists) unterstützen, könntest du das "intervlan" Routing über die Switche laufen lassen und die unterschiedlichen Subnetze untereinander mit ACLs sichern. Das hat den Vorteil, dass du nicht die Ressourcen der Firewalls für internen Traffic ausschöpfst. Für Drucker könntest du das z.B. portbasiert (z.B. 9100) machen und für Telefonie (SIP / sRTP) protokollbasiert. 

Ist nicht die höchste Sicherheitsstufe, aber auch nicht die niedrigste.

Grüße

coshi

Am 16.2.2018 um 22:53 schrieb magheinz:

...Immerhin reden wir von einem Netz mit deutlich mehr als 200 Netzwerkgeräten....

Soviele habe ich alleine im Wohnzimmer

AlwaysOn Cluster mit DAG davor

Ich würde da die Funktion des SQL Servers selber nutzen.

Wenn dir das nichts sagt, kann ich nur Nils Empfehlung der Beratung teilen.

Wars***einlich auch noch Fritzbox VPN oder?

Am 28.1.2018 um 21:05 schrieb magheinz:

Ja man routet dann.

Telefone gehören für mich zu den nicht vertrauenswürdigen Geräten. Das sind kleine netzwerkfähige Computer bei denen ich keine andere Chance habe als sie im Netz zu separieren. Ich kann nicht drauf schauen, kann sie nicht härten o.ä.

Dazu  kommen noch so Themen wie Notrufrouting, Adressübermittlung bei Notrufen abhängig vom VLAN. Ist schon doof wenn bei einem Röchelanruf die Feuerwehr nach Berlin Mitte statt nach Spandau fährt.

Routing bei unerfahrenen Netzwerkern = Flaschenhälse en más

Telefone sind heute wohl sicherer als so manches Betriebssystem (Solange man keine Auerswald Telefone mit Android benutzt).

Stati usw. lassen sich mit klassischen Monitoringtools über SNMP abfragen

Härten? Ich bin ein absoluter Freund von IT Security, aber etwas in ein VLAN zu setzen und es danach zu routen ist wie wenn man es ins gleiche Netz stellt. Außer man hat eine gewisse Intelligenz dazwischen Stichwort Layer7 Firewall?! Womit wir unweigerlich bei unerfahrenen Netzwerkern wieder zu Flaschenhälsen kommen.

Bei der Umgebung des Themeneröffners sollte man die Kirche auch im Dorf lassen.

Die Telefonnummernübermittlung ist wohl auch eher Einstellungssache und hat mit der IP Netzzugehörigkeit des Telefons erstmal nichts zu tun.

Am besten nur Steckdosenleisten ohne schalter benutzen

Ich dachte immer Remote FX mit GPU sollte man nur in VDI umgebungen nutzen?

https://www.windowspro.de/wolfgang-sommergut/remotefx-dda-vgpu-grafikoptionen-rds-server-2016

Wir hatten da neulich einen ähnlichen Fall. DDA ist doch nur für einzelne VMs nicht für RDSHs?

Oder liege ich da jetzt falsch?

Akzeptierte Domänen und die Adressrichtlinie sind aber schon eingerichtet oder?

Hast du von einem alten Exchangeserver migriert oder hast du den Scratch in Betrieb genommen?

Wie viele Arbeitspläzte hast du an den Außenstandorten jeweils?

Was für Hardware im Netzwerkbereich?

Steht an jedem Standort ein Server?

Wo ist der Internetbreakout der Außenstandorte?  Jeweils im Standort oder über die Zentrale?

P.S. falls es Telekom MPLS ist, da gibts jetzt neue Anschlüsse mit mehr Speed fürs gleiche Geld.

Konntest du dein Problem Lösen?

Wenn ja, was hat zur Lösung geführt?

Konntest du dein Problem lösen?

Es wäre schön wenn du die Lösung für die Nachwelt kurz formulieren könntest.

Also bei Bremen wäre ich auch dabei. Ist nur eine Stunde Flug.

Lokalität könnte ich auch eine Klar machen.

http://www.bremer-waffelhaus.de/impressum.html

Das gehört einem früheren Geschäftspartner von mir, der keine Lust mehr auf Onlinebusiness hatte und sich der Gastronomie gewidmet hat.

Da passen so ca. 20 - 30 Mann rein

Vorteil: Wir können selber bestimmen wann der Abend zuende ist.

Was haltet Ihr davon? Soll ich Ihn mal anrufen?

vor 9 Stunden schrieb Sunny61:

BTW: Es ist ein Ha*k*en, Danke. ;)

 

Da hast du wohl recht :-D man sollte einfach nicht Samstagnacht supporten

Hä? Das ist doch ganz einfach... Die Funkstrecke ist nur ein anderes Übertragungsmedium, du brauchst überhaupt keine zwei Netze. Mach alles in eins und fertig. Das ist wie als würden alle in einem Büro sitzen. Das DSL Backup machst du einfach als zweites Gateway (nicht default).

Übrigens kann man sich statt Funkstrecken auch mit Glas von der Telekom anbuddeln lassen und eine direkte Verbindung schalten lassen. Stichwort MPLS bzw. Connect IP.

Bitte empfehlt doch nicht immer VLANs für Telefone das ist ein QoS Thema. Was wird passieren wenn man irgendwann mal Clientbased CTI nutzen möchte? Alles wieder zurückbauen? Routings und damit jede Menge Flaschenhälse?

@luckystrike du hast knapp 254 Netzwerkteilnehmer, mach einfach ne /20 draus und gut.

Über Broadcasting usw brauchst du dir da noch keine gedanken zu machen. Schau lieber, dass du keine Flaschenhälse hast. Thema Stacking / Backbones usw.

ELOxc kann ich dir empfehlen

Wäre schön wenn es eine Stadt mit Flughafen wäre dann würde ich auch kommen.

Setz es doch einfach zurück das Passwort...

UUUaaah DNS Round Robin ... das hat mich mal einige Nächte gekostet

Da hat mal wieder einer was gehört

Also NPS wird nicht aussterben. RADIUS usw. wird weiter verfügbar sein.

Allerdings Network Access Protection (NAP), Health Registration Authority (HRA), und Host Credential Authorization Protocol (HCAP) gibts in Server 2016 nicht mehr.

Schalte die TCP Chimneys aus und dein Problem wird gelöst sein.