magheinz

und mailex1... ist ein einzelner a-record und der ptr stimmt auch?

merke: erst die seite im handy neu laden...

Sehr schön zu sehen warum man auf Backup-MXe verzichten sollte.

was sagt denn ein "host -t mx example.com"? Keine Ahnung wie man das mit windows-nslookup macht.

Wenn denn logs da sind.

Dazu sollte die scratch-partition konfiguriert sei. Die kann auf einer ISCSI-LUN liegen, was aber doof ist wenn die LUN wegbricht.

Kommt halt drauf an was an Storage im host verbaut ist.

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1033696

ich hatte sowas auch mal. Damals wars ein Bug im emulex-Treiber.

Das Problem ist aber erst mal so generisch, das kann alles sein.

was eine ganz gute Hilfe dür so einen Aufbau ist: die validatet Designs von cisco und netapp. Die kann man auch mit anderen Herstellern nachbauen. Einfach bei cisco nach "flexpod" suchen.

iscsi per software oder mit HBAs(emulex, qlogic etc)?was für eine netapp und vor allem was für ein system: 7mode odet cdot?kannst du zwischen den geräten pingen? sind da switche dazwischen?

ganz vergessen: was wurde geändert und was ist gemacht worde vor "es wurde nichts verändert"?

wann fand die dns-änderung statt und was ist als ttl definiert? ich bin übrigens sicher das weder dir noch deinem kunden die domäne domain.de gehört.

Ich glaube man sollte den uUgangston nicht überinterpretieren.

IT-Technik an sich ist emotionslos, IT-Techniker oft leider nicht.

Jeder hat mal bessere und mal schlechtere Tage. Ich kann hier nirgends erkennen das hier jemand runtergemacht wird. Das ab und an mal ein nicht gannz ernst zu nehmendes Posting dabei ist sollte nicht stören.

Das Ideen klar als unfug bezeichnet werden ist in meinen Augen keine Wertung des Ideenegebers. Jeder hatte schon mal blöde Ideen.

Wir haben sowas mal mit sane unter linux umgesetzt.

http://www.sane-project.org/

Da musst du dann keine treiber evrteilen sondern nur die Software

Konfiguration von was? Hardware, Exchange, Windows?

Falls Exchange: wie groß sind die Mailboxen, wieviel Zuwachs ist  zu erwarten und wie sieht das Backupkonzept aus. Welche Verfügbarkeit wird verlangt und was darf es kosten?

Ist auch nicht mein Ansinnen. Ab und an ist aber der Tipp externe Hilfe in Anspruch zu nehmen durchaus angesagt.

Dann bleibt nur der übliche Tipp: Server neu aufsetzen und Anwendungen migrieren.

edit: irgendwie tippts sichs heute nich so gut...

Woher soll ich wissen was für eine USV vorhanden ist?

Ob 4-6 Minuten reichen kann sein, muss aber nicht. Spätestens wenn die Server wegen Abhängigkeiten hintereinander runterfahren msüsen aknn das kanpp werden.

Vor allem: will man bei ejdem Stromwischer gleich alles runterfahren oder sollte die USV nicht leibver mal 2 Minuten überbrücken bevor de rshutdown startet? Das muss man aber individuell entscheiden.

Es ist recht egal wie lage man jemanden kennt. Alles was du hier schreibst zeugt von wenig praktischer Erfahrung und Wissen.

Sorry, aber weder korreliert die Anzahl der Mitarbeiter mit den Anforderungen an die Verfügbarkeit, noch ist KVM freeware noch ist die Aussage mit dem Brandschutz so einfach undn pauschal richtig. "den jeder einpacken und mitnehmen kann" hat z.B. nichts mit Brandschutz zu tun. KVM ist open source und bei der Verfügbarkeit: Stell dir einfach eine Firma mit 10 Leuten vor die Kochzubehör verkaufen und einen one-man-online-trader oder auch ein Steuerberater. Wer hat wohl die höheren Anforderungen an die Verfügbarkeit? Wer hat mehr finanzielle Verluste bei einem IT-Ausfall?

KVM ist übrigens ein Typ2-Hypervisor, genau wie VMWare Workstation, virtualbox etc. Das ist deswegen noch lange kein "Mist" nur weil du das gelesen hast.

Welche tollen Features fehlen dir denn die in VMware Standard sind?

zu 1. unfug, sorry. da gibt es keinen Zusammenhang.

zu 2. unfug, KVM ist keine Freeware.

zu 3. viel Spass. zum Rack. was bitte ändert das am Brandschutz wenn du nicht gerade einen Schrank mit eingebauter Löschanlage kaufta o.ä.

zur USV. 4 VMs in 4Minuten runterfahren? Na viel Spass.

Ich bleib dabei: such dir einen vertrauenswürdigen Dienstleister. Dir fehlt Wissen und Erfahrung. In einem Team kann man das kompensieren, als Einzelkämpfer wird das an Ende deutlich teurer als nötig.

Auf ein HA Cluster möchte ich vorerst mal noch verzichten. Das wäre noch zu überdimensioniert für die paar User. Ein gutes DR Konzept ist meine Lösung.

 

@Sunny61: Ich kenn mich ja mit dem blöden KVM nicht aus. Da haut man sich jahrelang ESX und Hyper-V in die Birne und dann kommt so ein Freeware KVM mist wo man nicht weiß was im Notfall zu tun ist.

 

Den Dienstleister kann ich kontaktieren. Allerdings möchte ich das nicht zu früh tun. Es soll ja vorkommen das manche Firmen dann auf Ideen kommen und Fehler im Netz verursachen und es dann heisst der neue Admin macht alles falsch nur um den Kunden nicht zu verlieren.

1. Die Anforderungen an die Verfügbarkeit hängen nicht mit der Anzahl der User zusammen.

2. Dein "Freeware KVM mist" ist opensource. Das ist ein Unterschied. Mist ist das auch nicht, nur weil du nicht mit klar kommst.

3. Such die vertrauenswürdige Dienstleister...

BTW und eben erst wirklich bemerkt: Was bitte macht den Server besser wenn er im 19" Schrank hängt?

Statt 19"-Schrank würde ich eher eine USV kaufen.

Kannst du mal kurz erklären was du hier in diesem Zusammenhang mit "converged network" meinst?

Ich denke du hast da eine eher simple Struktur.

Wenn du keine zusätzlichen Switche hast:

1. Hänge die Server über Kreuz per 10G an deine Coreswitche

2. Hänge deine EMC an die coreswitche

3. Trenne den Traffic per VLAN auf den 10G-Verbindungen.

wenn du extra storageswitche hast

1. hänge die 10G-Adapter über Kreuz an die Storageswitche

2. hänge die EMC an die Storageswitche

3. Hänge die 1G-Adapter über Kreuz an die Coreswitche

4. Schau ob du über die Storageswitche auch vmotion(wie auch immer das bei hyperv heisst) per VLAN getrennt laufen lassen kannst.

je nach EMC-Modell:

1. hänge die EMC direkt auf die 10G-Adapter (wenn genug Ports auf der EMC sind.)

2. Nutze ISCSI-Multipath für die Redundanz

3. Hänge die 1G-Adapter über Kreuz an die Coreswitche

ich nehme an das script ist geheim?

​

​

Das mit IPSec zwischen Seafile und DC ist auch ne Idee. Der Seafile steht leider nicht hier, darum muss ich den DC zumindest irgendwie nach außen öffnen.

​

​Jedenfalls herzlichen Dank fürs Feedback, habt mich ein gutes Stück weiter gebracht :thumb1:​ :thumb1:

Also dein seafile soll eine Authentifizierung per LDAP machen. Der Seafile steht  aber icht bei euch und das LDAP muss übers internet laufen?

Da bleibt nur ein VPN dazwischen und eventuell ein filternder LDAP-Proxy mit RO-Rechten. Je nach dem welches Vertrauen der seafileserver geniesst.

Was die Verschlüsselung betrifft ist es egal ob du LDAPS machst oder ein VPN da drunter legst, aber die Angriffsfläche die ein DC im internet bietet würde meiner Meinung sogar eine parallele gepflegte Nutezrdatenbank auf dem seafile-server lokal rechtfertigen.

Wie gesagt: Bau ein VPN auf. Ob ipsec, SSL oder was auch immer ist egal. Sorg nur dafür das der DC nicht im internet ist. Der hat alle deine Userdaten, Passwörter etc.

Gibt es einen zweiten Cluster-heartbeat oder ist der nicht redundant? Falls nicht braucht meiner Meinung nach der Rest auch nicht redundant sein da im Fall eines Switchausfalles sowieso ein Problem besteht!

abgesehen davon.

example.com ist keine tld.

wenn du example.com registriert hast musst du mail.example.com nicht mehr registrieren. Oder genauer: du kannst es gar nicht mehr.

cdot ist keine Pflicht und 7mode wir noch von vielen Netappkunden genutzt. Das wird auch noch einige Zeit lang so gehen.

CIFs kann die Netapp von Hause aus. Unter cdot dann sogar sowas wie DFS. Wsind auch gerade bei der Umstellung von Netapp-7mode-CIFS+DFS auf Netapp-cdot ohne DFS.

Zum cluster:

Ich kenne kaum jemanden der eine Netapp nicht sowieso geclustert betreibt.

Bei der 2050 war damals glaube ich jedes Zugriffsprotokoll extra zu lizensieren.

Wenn ein 8er-Ontap auf der FAS2050 läuft müsste CIFS dadurch dabei sein. Beim 7er Ontap brauchte das eine extra Lizenz außer es ist ein premiumbundle auf die Maschine gebucht.

Nutzt du die Snapshots könne die user in CIFS-Freigaben direkt über die "Vorgängerversionen" von Windows auf diese zugreifen. Das geht dann ohne die IT-Kollegen zu brauchen.

Kosten sparen ist immer so eine Sache. Welche Kosten sind gemeint? Einkaufskosten? Unterhaltskosten? Personalkosten? Schulungskosten?

übrigens: zu FAS2050 Zeiten war die Multiprotokoll(SAN+NAS)-Fähigkeit DAS Argument für Netapp!

bei gleicher konfig und leistung kann er auch gleichberechtigt betrieben werden.

die idee war ja mal als backup was billigeres zu nehmen. und dann kam der spam...

Wenn der Backup nicht zum Spameinfallsstor werden soll muss er zwangsläufig die selbe Konfig und Leistung haben wie der primäre. Damit fällt aber im Normalfall der Sinn weg.

Jetzt könnte man also beide als 10er mx betreiben.

round-robin ist hierbei keine gute Idee:

1. Keine echte Lastverteilung. Will ein Server 100 Mails loswerden und einer nur 10 landen die 100 doch nur auf einer IP.

2. Wenn ein MX nicht reagiert hilft round-robin nicht. Ob und wann der Absender einen Neue DNS-Anfrage macht lässt sich vom MX-Betreiber nicht beeinflussen.

3. Bei zwei 10er MXen kann der Absender, wenn er denn mal ganz viele E-Mails einliefern möchte, selber eine Lastverteilung machen.

Mit Roundrobin nimmt man also demjenigen der als einziger eine Lastverteilung machen könnte, nämlich dem Absender, genau die Möglichkeit dies zu tun.

Der Backup-MX wird hauptsächlich von Spamern benutzt werden. Muss also mind. die gleiche Filterung machen können.

Alles in allem: Lieber 2 mal 10er MX als einmal 10er und einmal 20er.

Das ganze hier noch mal als Folien von einem der sich echt damit auskennt:

https://www.heinlein-support.de/sites/default/files/mailserver-best-practice.pdf

Man findet auch diverse Vorträge von ihm als Video im Netz.

ein backupmx hat so gut wie nie eine Existensberechtigung.

Die spammer schicken gezielt an den backupmx. da kannst schlicht nix machen ausser ihn ientisch zum ersten ausstatten. wozu dann aber noch backup?

vermutlich müssen die als trunk konfiguriert werdebn. ist ajer nur eine vermutng. ich habe dieses catalyst-module noch nie in freier Wildbahn gesehen.

lizenztechnisch wird das aber schwierig.

30clients gleichzeitig? auf ein windows7 zugreifen lassen? geht das überhaupt...

Ein schönes friedliches Weihnachtsfest auch von mir und liebe Grüße aus Leipzig. Feiere ein wenig mit meiner Mutter und ihrem Enkel, der grad hier ist.

Dein Neffe oder dein Sohn?