magheinz

Du musst ja nix sharen, du kannst aber. Du hättest halt dein homedir per owncloud immer zur Verfügung. Einfach den cifsshare auf dem owncloudserver mounten und das datadir der owncloud darauf zeigen lassen.

und zwei Millionen gleichzeitige Zugriffe oder wie? Wieviele Daten? NAS oder SAN würde ich heute mit 10GB anbinden, einfach weils kaum noch etwas kostet. Ohne Storage wirds schwierig, irgendwo muss ja gespeichert werden und RAM ist dafür zu teuer :-) Wieviel RAM ist schwer zu sagen. Meistens musst du ja pro CPU in Vielfache von 4 als Riegelanzahl verbauen. Bei 2 CPUS sind 2*4*8 schon 64GB.

nein, ich meine direkt den share zu nehmen. Z.B. den mit den homedirs. Dann den owncloud mit dem AD verknüpfen und die Leute können ihre homedirs sharen.

es wäre möglich den share direkt als datadir am owncloudserver einzubinden. Dann hast du keine doppelte Datenhaltung.

Sind diese Backupmedien permanent RW angeschlossen? Oder mit anderen Worten: Wird im Fall der Fälle das Backup gleich mit verschlüsselt?

Nette Beschreibung. Gibts auch eine Frage oder sollte das eine Information für uns sein?

Das mit der Schere ist auch bei uns "BestPractise".

Hast du denn den dhcp auch konfiguriert, also einen bereich angelegt etc?

Macht irgendwie Sinn?

Zukunftssicherheit, eventueller Wegfall von NAT, gross genuge subnetze...

Ist denn die Zertifizierungsstelle vertrauenswürdig? Oder sind das alles selbstsignierte? Ist denn die Zertifizierungsstelle vertrauenswürdig? Oder sind das alles selbstsignierte?

Z.b. Lässt sich 172.17.2.0/24 wunderbar einfach zu 172.17.2.0/23 erweitern und schon passen statt 254 ganze 510 hosts ins Netz. Mit /22 sinds schon über 1000 was ich versuchen würde zu vermeiden. Dabei kommen alle hosts in ein Netz. Das Konstrukt aus dem OP kann eigentlich nur das Ergebniss einer missglückten Migration von /24 nach /16 sein. Mal ne ganz andere Frage: Wenn man da wirklich noch mal ran will, wieso dann nicht gleich IPv6 machen?

Was willst du machen wenn sich die Anzahl der Geräte erhöht?

Der dritte erfüllt zwei Zwecke: 1. Wir mach dort die Backups inklusive Datenbankverifikation ohne die Produktivserver zu belasten. GErade die Verifikation nach einem Backup erzeugt doch ordentlich Last. 2. Er stellt sozusagen die DR-Instanz der Exchangeumgebung da. Dafür hat er einfach noch die CAS-Rolle übergeholfen bekommen und soll eigentlich in einer getrennten Umgebung laufen. Ansonsten ist das wie die Entscheidung RAID5 oder RAID6. Beim Wegfall eines Server ist auch die Redundanz weg. Also eine Frag der Verfügbarkeit. Der Wittinesserver sorgt zwar für eine Erhöhung der Srviceverfügbarkeit, aber nicht für eine Erhöhung der Datenredundanz. Und ausserdem haben wir EDU-Lizenzen. Da kommt es auf einen Exchangeserver mehr nicht drauf an.

Also bei Linux ist das in vielen Fällen tatsächlich nicht nötig: 1. gibt es nicht jeden Tag ein Kernelupdate 2. existieren so Dinge wie ksplice, livepatching etc. 3. ist es trotzdem oft der einfachste Weg wenn ein neuer Kernel kommt einmal durchzustarten, notwendig ist das aber nicht unbedingt. Wenn an dem Rechner eine technische Anlage hängt wie z.B. Röntengeräte, MRT, Begasungsanlagen, Steuerrechner für weitere Anlagen etc dann ist das gar nicht so selten das nur bestimmte Patchstände freigegeben sind.

Powershell?!

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht. M 4.97 Ein Dienst pro ServerVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT Verantwortlich für Umsetzung: Administrator Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

wo fängt die Übertreibung an? Ich hab einfach schon zu oft in Wartezimmern gesessen und mich über das offene WLAN gewundert...

Das mit dem subnetz verstehe ich hier nicht. Sind die beiden DCs in einer Windowsdomäne oder in zwei? ich verstehe den Sinn der ganzen Aktion nicht wirklich. Wieso wurde nicht einfach ein neuer DC aufgesetzt?

wir haben zwei Linuxserver mit haproxy als LB vor dem Exchange stehen. Die LB stehen in der DMZ, exchange im internen Netz. Die meisten kommerziellen Loadbalancer machen das gleiche. Ich würde halt über 3DAG-Server nachdenken. Das ist aber eine Frage der Anforderungen was Verfügbarkeit angeht und der Budgethöhe.

Sowas passiert manchmal. Als wir eine Netzbereich von /24 auf /23 umgestellt hatten dauert es auch etwas bia wir alle Geräte angepasst hatten. Das design sah das natürlich nicht vor!

Das ist eher 21. Jahrhunder. Sozusagen post-snowden. Ich wäre auch so ein Anwalt, wenn ich denn Anwalt wäre. Am besten noch Anwalt, Arztpraxen etc per googlemail und Facebook anbinden. Dann bekomme ich endlich mal Heuschnupfenspam...

Dann brauchst du eine VDA-Lizenz oder A. https://www.microsoft.com/de-de/licensing/produktlizenzierung/virtualisierung.aspx

Das wird schwierig da ja nirgend die Verknüpfung AD-Gruppe<->NTFS-Rechte hinterlegt ist. Du könntest das natürlich nachholen und den Pfad in irgendein Infofeld in der AD in der Gruppe speichern. Dann müsstest du nur noch nachschauen ob der Pfad noch existiert oder nicht. Wenn du dann aber nach einem halben Jahr ein Verzeichnis aus dem Backup restorest, dann fehlen die Berechtigungen!

Ums mal zusammenzufassen: Pro MAC-Adresse wird maximal ein Netzwerkport benutzt