magheinz

Wir haben sogar zwei Brandabschnitte und trotzdem ist das DR-Konzepz aus Kostengründen nicht durchgeführt worden. Der Speicher ist aber so ausgelegt das wir das jederzeit umsetzen könnten, es fehlen nur die redundanten Server. Wir haben primär eine Netapp(HA-Cluster) und als Backup auch eine. Im Dümmsten Fall könnten wir die Backupnetapp produktiv schalten und müssten eine Reihe Server für VMWare besorgen. Wenn mal wieder Geld übrig ist kommt ein zweites Bladecenter an die Backupnetapp und DR ist "fertig". Die Lizenzfragen wären dann noch mal spannend zu klären...

Wieso muss der PC hinter dem Telefon hängen? Das macht doch nur Sinn wenn man keinen VLAN/QOS-fähigen Switch hat. Wenn ihr das VLAN der Telefone priorisiert, dann hängt doch den PC auf einen anderen Port. Ich schätze du meinst die Cisco SG200/SG300-Baureihe? Wir haben auch die SG300 in den Büros stehen und wir haben Ports feste konfiguriert für Drucker, PC, Accesspoints etc.

unsere Datenspeicher sind Hochverfügbar. wir nutzen dazu Netapp-HA-Pärchen. Da wir die beiden Controller nicht nur für HA sondern auch zur Lastverteilung nutzen gibt es zwei IP-Ziele für ISCSI. Bei einem Failover bleiben beide IPs aktiv. Es geht genau ein PING verloren. ISCSI hat damit kein Problem, SMB2.0 schon. Die VMs merken nichts von der Umschaltung unter VMware. Ich denke das ist bei HyperV nicht anders. 2Minuten Umschaltzeit sind aber ein KO-Kriterium dann brauche ich gar keinen Automatismus da die VMs eh alle abgeschmiert sind. Der Wiederanlauf des ganzen RZ dauert dann knappe 1-2 Stunden. Das soltle ungeplant möglichst gar nicht vorkommen. Ich habe aber auch schon solche Lösungen selber gebaut mit Linux, DRBD und einer IP-Umschaltung. Auch mit FreeNAS sollte das gehen.

oder schau dir gleich sowas wie opsi.org an. deployment+softwarevergeilung.

ich glaube mit "vm verwalten" ist der hypervisor gemeint, nicht die Managementsoftware.

Ich geh davon aus das vscenter ist keine physische Maschine sondern eine virtuelle. 4. Für den Zugriff in einer Physischen OSE, die ausschließlich zum Hosten und Verwalten von Virtuellen OSEs verwendet wird, sind keine CALs erforderlich.

Dann ist die Glasfaser gar kein richtiger WAN-Anschluss. Bei uns zählen solche Leitungen zum LAN, und wir haben längere. :-) Bei 2KM würde sogar ISCSI funktionieren, mir würde aber der zweite Pfad fehlen. Ist das eure eigene Faser? könntest du dann auch 10GB darüber fahren? Bei 2Km ist das ja eh singlemode und 10G fürs Backup und vor allem fürs Restore währen schon genial. Bei DarkFiber sollte da ja kein Problem sein.

Ich denke du solltest noch mal genau beschrieben was du da versuchst. 1. Wieso läuft der ftp auf Linux und der webserver auf Windows? Kann Windows nicht selber FTP machen? 2. Wieso installiert man apache auf Windows? Das ist ein Konstrukt was ich generell in Frage stellen würde. 3. "Linux 11 Enterprise" ist was genau? Das aktuelle Linux ist Version 4.5. Enterprise gibts da nicht. 4. "ins Netz gestellt" meint das internet oder ein LAN? Ich hoffe ein LAN. Mir ist immer noch nicht klar warum du einen extra FTP-Server gebaut hast wenn die Daten die du da bearbeiten willst auf einem anderen Server liegen. Wieso bearbeitest du die nicht direkt auf diesem Server?

abgesehen davon halte ich diese pauschale juristische Aussage für falsch. Aber er ist ja "Sicherheitsberater"...

häng halt an das SAN einen Minirechner der die LUN per sambs zur Verfügung stellt. Allerdings kannst du dann auch gleich ein NAS nehmen...Wievile Geld steht eigentlich zur Verfügung?aist das EZ die Quelle oder das Ziel? Ich habs jetzt als Ziel verstanden. Hast du da auch eventuelle regelmässige Kosten (Strom/Kühlung/Traffic etc) gedacht? Was hast du da für eine Leitung? eine dedizierte Glasfaser?

bei dd muss aber eventuell einiges später angepasst werden. Netzwerk, /etc/fstab, module etc. Da muss man dann wirklich wissen was man tut. Im Zweifelsfall geht schon lilo/grub nicht auf Anhieb und die VM bootet nicht. Lieber das OS in gleicher Version installieren und dann wieder mit den Binaries der Hardware überschreiben. Die Diensteconfig(/etc/xyz) noch nachschieben und fertig. Dabei aber die Systemconfig(fstab, netwzerk, modules...) nicht üebrschreiben, wirklich nur das was benötigt wird(apache,bind what ever) Mehrfach so gemacht bei Servern wo weder Installationsmedien der Anwendung noch damalige Entwickler von Spezialsoftware greifbar sind. Unter Umständen hat man dann aber eine OS-Version laufen die vom Hypervisorhersteller nicht supportet wird womit dann z.B. die VM-tools nicht laufen.

Die Umstellung von http auf https kann bei wirklich hochfrequentierten Webseiten zu einem problem werden. Ich habs schon erlebt das z.B. keine Entropie mehr vorhanden war so das der Webserver zwar noch Ressourcen hatte, aber trotzdem keine verschlüsselte Verbindung mehr aufbauen konnte. Haha, du kannst also im wlan sehen was dein Chef mit der Sekretärin macht?

Wie wärs mit owncloud und dem zugehörigen client. Der synct dann immer wenn er kann und ihr müsst nur den zentralen Server sichern.

5 Mails bei wie vielen Postfächern? Und wie viel Spam? Lohnt es sich bei dem bisschen wirklich zusätzlichen Aufwand zu betreiben?

Wir halten einfach keine Daten auf den clients vor. Das wir mit opsi ein Deployment inklusive Paketverwaltung haben ist im Zweifelsfall ein Rechner schnell neu aufgesetzt. Um wie viele Clients geht es denn und um wie viele Daten pi*Daumen? Ich meine, ganze Clients zu sichern ist nicht sinnvoll. Die Daten, falls lokal welche vorliegen eventuell. Dann würde ich die aber auch so vom System trennen(eigene Platte/Partition) das ich sie extra sichern kann.

Nur mal so als Beispiel: hier trudeln am Tag ca 10.000 "Rechnungen" ein. Alles locky und co. Sowas will man nicht in Quarantäne und erst recht nicht händisch sortieren. Wie sieht es bei euch mit privaten E-Mails aus? Erlaubt, geduldet oder verboten?

Strom+Batterie raus und warten. Ich bilde mir ein das löscht auch die IMM-config

VPN für SMTP? Postfiy+amavis+clamav+spamassassin+diverse andere scanengines. ABER: in dem Moment in dem der MX die E-Mails angenommen hat hilft das nachträgliche Filtern eh nix mehr: Du musst die E-Mails eh zustellen da der Absender schon das "ok, E-Mail ist angenommen"" bekommen hat. Willst du das nicht bleibt nur noch bouncen was dich schneller als du schauen kannst auf diverse Blacklisten bringt.

Remote management The server contains IBM Integrated Management Module (IMM), which provides advanced service-processor control, monitoring, and an alerting function. If an environmental condition exceeds a threshold or if a system component fails, the IMM lights LEDs to help you diagnose the problem, records the error in the event log, and alerts you to the problem. Optionally, the IMM also provides a virtual presence capability for remote server management capabilities. The IMM provides remote server management through industry-standard interfaces: Intelligent Platform Management Interface (IPMI) Version 2.0 Simple Network Management Protocol (SNMP) Version 3 Common Information Model (CIM) Web browser The optional virtual media key, listed in the following table, is required to enable the remote presence and blue-screen capture features. The remote presence feature provides the following functions: Remotely viewing video with graphics resolutions up to 1280x1024 at 75 Hz Remotely accessing the server, using the keyboard and mouse from a remote client Mapping the CD or DVD drive, diskette drive, and USB flash drive on a remote client, and mapping ISO and diskette image files as virtual drives that are available for use by the server Uploading a diskette image to the IMM memory and mapping it to the server as a virtual drive The blue-screen capture feature captures the video display contents before the IMM restarts the server when the IMM detects an operating-system hang condition. A system administrator can use the blue-screen capture to assist in determining the cause of the hang condition. Table 16. Remote management option Part number Feature code Description Maximum supported 46C7526 5080 IBM Virtual Media Key 1 https://lenovopress.com/tips0804?cm_mc_uid=23442286042514503439587&cm_mc_sid_50200000=1458571293#remote-management Beim M2 scheints genauso zu sein. https://www-304.ibm.com/businesscenter/cpe/download0/178982/x3550_M2_March_30.pdf

Ich dachte er ist vielleicht "Leiter IT" oder so...

Für die nicht ganz so technisch versierten die aber trotzdem den Eindruck des technischen Verständnisses verbreiten wollen. Vorwiegend sind solche Leute in der untersten/mittleren Managementebene anzutreffen. Das ist das comic-Management. Ohne bunte Bilder geht da gar nix. Ich sehe das aber auch so:keine Meldung ist eine gute Meldung. Ein Report das alle schick ist braucht man nicht, einen Report was alles Probleme macht kann manchmal hilfreich sein um eine erste Übersicht zu bekommen und die Auswirkungen abzuschätzen.

Dann müssten die nicht mehr durchgeschleift werden sondern könnten von überall direkt angesprochen werden.

Laut http://cdn.kyostatics.net/dlc/de/documentation/datasheet/datenblatt_fs-c8520mfp.-downloadcenteritem-Single-File.downloadcenteritem.tmp/FS-C8520MFP_FS-C8525MFP.pdf kann man einen Netzwerkport nachrüsten. Das würde ich machen.

ich würde halt schauen ob sich dieses script nicht ins monitoring einbinden lässt.

Ich werf mal icinga ins Spiel.