magheinz

Also wir nutzen Router um Netze zu verbinden und firewall-appliances um sie wieder zu trennen Als Geräte kommen Cisco ASR und Cisco Firepower zum Einsatz. Für ein paar DSL-Anschlüsse haben wir cisco 800er. Du musst etwas näher spezifizieren was die Geräte können sollen. Routing, NAT, paketfilter, applikationsfilterung, malwareerkennung, 100Mbit, 1Gb, 10Gb usw.

wir haben zwei haproxys in der DMZ. Die Exchanges hängen im internen Netz. Ob in Zukunft die netscaler die Funktion der haproxys übernehmen ist noch nicht geklärt...

Man bekommt eine saubere Trennung zwischen Berechtigungen und Personen. Im Prinzip ist das Ergebnis eine Rollenbasierte Berechtigung. Die DL-Gruppen sind die Berechtigung und die globalen die Rollen. Es genügt dann ein Blick, wer welche Rolle hat und welche Berechtigung sich dahinter verbergen. Setzt du direkt die Berechtigungen für globalen Gruppen, dann musst du immer schauen was die dürfen. Beispiel: globale Gruppe "PersonalVerw" ist in den DL-Gruppen "Drucker 0815", "Laufwerk P" und "Scanner 4711". Du weißt sofort was die dürfen wenn du die globale Gruppe anschaust. Läßt du die DL weg musst du auf allen Druckern, Scannern etc nachsehen was die Leute dort dürfen.

Ja, wobei metrocluster noch mal ein Spezialfall ist. Ich wollte das Konstrukt nur als ein Beispiel für eine relativ kleine "HA"-Lösung aufzeigen. Mit einem EMC-Speichersystem kann man das ähnlich bauen. Das Konstrukt nennt sich dann VxBlock. Für Fujitsu gibt auch noch ein validated Design.

So ein netapp System ist eigentlich immer redundant in sich ausgelegt. Da sind zwei Controller drin. Die kann man auhc auf zwei Gehäuse aufteilen, wenn man will.

Schau dir mal einen flexpod express an. Das Konstrukt kannst du bei Bedarf in alle Richtungen skalieren.

Wer bei seiner Infrastruktur tricksen muss, der macht etwas falsch.

Spannend fände ich die cisco-HCI-Lösung. Die kann man durch hinzufügen von z. B. Blades konvergent erweitern, statt nur hyperkonvergent. Wer also seine GL mit Hyperkonvergent beeindrucken muss, der schafft sich so keinen Lockin.

Meiner Meinung nach gibt es nur sehr wenige Anwendungsfälle, bei denen man immer gleich mit allen Komponenten wachsen möchte. In unserem Umfeld z.B. geht es hauptsächlich um Speicherplatz. Nur weil wir mehr Speicherplatz brauchen wäre es vollkommen sinnlos immer gleich auch im Bereich Rechenkapazität zu wachsen. Wie haben uns dann für ein konvergentes System entschieden und einen flexpod gebaut. Bei 2 Knoten von HCI zu reden halte ich auch für sportlich. Das ist doch nix anderes als ein 2node-cluster.

ja, cisco macht das gleiche. Mal ist der server ein server, mal eine Telefonanlage, mal eine firewall und mal irgendwas anderes. Netapp verkauft ja mittlerweile die Software auch ohne Hardware. Wenn du deinem Kunden 500 Stück davon hinstellen kannst, dann kann der auch einen gewissen Prozentsatz an Ausfall kompensieren. Du scheinst eigentlich nur zu warten, bis sich einer findet der deine Idee gut findet. Ich vermute aber, im professionellen Umfeld wird das schwierig. Ok, wieso dann überhaupt ein Server. Lass die vmdk doch gleich auf einer Workstation laufen... Was verstehst du unter "in kürzester Zeit"? Machst du auch Wochenend- und Feiertagssupport? Lenovo schickt zur Not ein Taxi aus Holland mit einem neuen Netzteil. Das auch am 2. Weihnachtsfeiertag um 4 Uhr morgens. Das Taxi trifft sich dann mit dem Techniker vor Ort. Das Netzteil wird von ganz alleine geschickt oder spätestens nach einem Anruf/einer E-Mail. Je nach Vertrag ist das Teil in ein paar Stunden da und eingebaut. Wieso sollte man gebrauchte Teile kaufen? Wie lange soll so ein Server bei deinem Kunden laufen? Also die Verfügbarkeitsanforderungen haben wirklich nichts mit der Firmengröße zu tun. Das ist ein oft gehörter Irrtum. Welcher Schaden entsteht denn bei deinem Kunden in welcher Zeit? Weisst du das überhaupt? Weiss der Kunde das?

Das sollte aber eigentlich auch in der alten Umgebung funktionieren. Wir hatten früher auch Server von IBM, switche von cisco+ibm und Seicher von netapp. Einmal gab es Problme mit einer IBM-Bladefirmware Ich vermute aber die Probleme waren unabhängig vom Switchhersteller. Jetzt ist alles ausser Speicher von cisco. Ich warte ja drauf das die netapp kaufen oder so.

früher haben wir das mit dem MS-Tool: MDT usw gemacht. OPSI ist halt einfach mächtiger. Das vorgehen war aber immer das gleiche: Der tftp liefert ein bootmenu aus.

Das gilt, glaube ich, für Hardware ganz allgemein.

Das machen unsere clients auch. Da bietet der Bootvorgang dann eine Menuauswahl an die unter anderem den Punkt "von lokaler Platte booten" enthält. Wir nutzen aber OPSI statt SCCM. Setzen wir den Client auf "setup" bootet er in die Installation. Nach den "Tasks" wird er wieder auf "normal" gesetzt und bootet in das Menü wo "lokale Platte" vorausgewählt ist. Dazu spricht der OPSI entsprechend mit dem TFT-Server.

Läuft die Installation eventuell doch nicht wirklich sauber? Welches OS der DHCP hat ist eher zweitrangig. Mir sieht das wie eine entweder unsaubere Installation des clients, der PXE-Umgebung oder beidem aus.

Das hat nichts mit der Anzahl der Leute zu tun. Wenn es die richtigen 3 Leute sind, dann muss es eben sein. So etwas macht man ja auch nicht. Man kauft Server mit Supportvertrag. Da steht ein Techniker am nächsten Werktag mit dem Ersatzteil vor der Tür. Je nach Vertrag sogar noch schneller. Der tauscht dann das Ersatzteil und gut ist. Gerade mit der Einstellung würde ich so etwas selber betreiben und in keine cloud gehen. Was du klären musst: Ab wie viel Ausfallzeit und Datenverlust ist die Katastrophe da? Was darf eine Reduzierung kosten.

Nunja, hier kann so etwas durchaus vorkommen. Es gibt halt durchaus noch Fachbereiche die eigene IT-Anwendungen betreiben. Otto heisst unser Kutschenpferd. Diesel ist das zweite.

Manchmal frage ich mich ob wir eine komplett andere Geschäftsleitung haben als andere. Oft ist genau diese Diskussion einfach nicht erwünscht, schon ergebnislos gelaufen oder per Dekret verboten. Du kannst gerne mal mit unseren Leuten reden. Aber gerade der Punkt "habe wir schon immer so gemacht" dauert Jahre bis er wegdisskutiert ist. Bis dahin braucht man aber auch eine Lösung. Deine Augen interessieren aber nunmal unsere Leute nicht. Im Gegenteil: geht nicht gibt's nicht.

Also bei uns hängen auch die linux Server an der AD.

Traurig aber wahr...

Das steht dann aber auch im logfile!

Die Replikation läuft auch fehlerfrei? Kannst du mal auf den beiden DCs direkt schauen ob der User wirklich Mitglied der Gruppe ist? Hat der Rechner wo er sich anmeldet auch eine Verbindung zu dem DCs?

Ist das der einzige DC im Netz?

Oder noch einfacher: das Script einfach nach sysvol verschieben...

Kannst du die Installation mal auf einer nacktem Maschine laufen lassen. Zur Not auch in einer virtuellen? Wir hatten mal ähnliche Probleme mit defekten ISOs.