magheinz

Es gibt aber auch Gründe nicht diese Appliance zu verwenden. Gewisse Plugins laufen damit nicht.

Das sind aber immer weniger.

Ich bin grade am austesten da das update von 5.5 nach 6 eh aussteht.

Solange das aber ein 2012er ist brauchts wohl auch die entsprechenden CALs.

Der hosts nichts, da läuft das vcenter wenn ichs richtig verstanden habe.

Schmeiss den Vcenterserver weg und nimm die appliance: Lizenzproblem gelöst.

OSX setzt auf cups, von daher sollte man da alles einstellen können was du brauchst.

Öhm, das sind doch netzwerkdrucker? schliess die ans Netzwerk an statt USB und alles wird gut.

Wer nimmt denn E-Mails von dynamischen IPs an?

Der FQDN aus dem ehlo-String lässt sich doch auch gar nicht auflösen. Sowas lehnt man grundsätzlich ab.

Ist ourcompany.info eure Domain? Irgendwie glaube ich das nicht...

From, To, etc sind ahlt beliebig setzbar. Irgendwie finde ich immer "Fälschung" passt da nicht richtig.

endlich mal eine vernünftige IT-Abteilung.

HTML in E-Mails ist überflüssig wie ein Kropf...

oja, beim königlichem TS.

ob windows oder Linux, meine Anmerkung hätte sich hier in diesem Fall nicht unterschieden.

vielleicht kann ja gleich noch jemand schreiben wie man den Windowsserver korrekt lizensiert.

Bin ja mal gespannt wer so alles die Kiste in Zukunft für seine "Backups" nutzt...

20% abschreiben ist ok. Damit kann man immerhin Ministerin werden.

gibs nicht eh ein monitoring?

Ich bin ja icinga-fan und würde das darüber machen. Stichwort eventcommand

Da könnte man auch Dienstabhängigkeiten besser berücksichtigen.

Man kann auch WLAN-Kabel nehmen!

Manchmal nimmt man auch Glas zum Verbinden.

Ansonsten bietet wikipedia einen Einstieg wenn man nach "Rechnernetze" sucht.

Hast du die Möglichkeit irgendwo eine owncloud-installation laufen zu lassen?

was sagen denn die entsprechenden Switchports wenns geht und im Vergleich wenns nicht geht? Die Server haben feste IPs?

Sind nur die VMs betroffen? Hat der host im Fehlerfall noch Verbindung?

Fragen über Fragen...

was für router sind im einsatz? ich wprde schauen ob die das vpn machen können. ausserdem würde ich pro standort ein eigenes subnet nutzeb. das erspart dir nat

in beiden Netzen wird das gleiche IPv4-Netz verwendet?

Hast du da Einfluss drauf? Kannst du das noch ändern?

steht ein VPN-Tunnel und es gehen keine Daten darüber oder steht der Tunnel erst gar nicht? Was für Router sind im Einsatz

Ich denke das man Behörden nicht mit Unternehmen gleichsetzen kann.

Immerhin sind wir jetzt schon zwei Behörden die zu diesem Urteil gekommen sind. Aber wir sind ja auch nur die ITler und keime Verwaltungsrechtler...

Keine Ahnung ob es für eine Behörde überhaupt "steuerlich relevante Dokumente" gibt. Sind Behörde Vorteuerabzugsberechtigt? Zahlen Behörden Unternehmens oder Umsatzsteuer? Ich bin froh das mich das als ITler nixht juuckt und ich mich da einfach auf die Behördenleirung verlassen kann.

Keine Ahnung ob die gdpdu auf uns Anwendbar ist...

Da du für den Rechnungsversand sowieso eine rechtskonforme Archivierung verwendest, kannst du doch dort nachsehen.

 

Und ja, ihr seid Archivierungs-Pflichtig, spätestens seit der Änderung der Gesetzte zum 1.12.2015

 

;)

Aha, unsere Behördenleitung ist der Meinung wir sind nicht Archivierungspflichtig. Woher nimmst du bei Patrick diese absolute Gewissheit?

Oder weisst du mehr über Patrick?

Lenovo/IBM bieten inoffiziell 10 Jahre. Offiziell mind. 7Jahre.

so, bin wieder am Rechner.

$initialPassword wird mit der Funktion von oben (Get-TempPassword) befüllt.

-Force ist die Bestätigung das du verstanden hast das Passwort im Plaintext übergeben wird. Ansonsten nimmt das commandlet keine Plaintextpasswörter an.

Relativ weit oben im Script steht

try{
    $InitialPassword = GET-Temppassword –length 10
}catch{
    "konnte kein Passwort finden"
    exit 1
}

Nach dem Anlegend es User gibts dann folgene Zeilen:

$Info += "Das Username lautet '$UserName'"+ [System.Environment]::NewLine
$Info += "Das Passwort für den ersten Login lautet '$initialPassword'"+ [System.Environment]::NewLine
$Info += "Dieses Passwort muss bei der ersten Anmeldung geändert werden."+ [System.Environment]::NewLine
$info += [System.Environment]::NewLine
$Info += "Wichtige Informationen:"+ [System.Environment]::NewLine

Dazu kommen dann noch ein paar mehr mit der OWA-URL und diversen anderen wichtigen und unwichtigen Infos.

Das wandert dann mit

$Info | Out-Printer -Name \\$PRINTSERVER\$DRUCKERNAME

direkt auf den Drucker hier im Büro. Der Neue Mitarbeiter bekommt den Zettel in die Hand gedrückt und kann direkt loslegen.

Theoretisch könnte man das script aus der Personalverwaltungssoftware beim Anlegen des Mitarbeiters direkt auslösen. Den Ausdruck würde man dann dem Neuen mit dem Laufzettel in die Hand geben.

Das ganze New-User.script ist inklusive Fehlerbehandlung, Mailbox anlegen etc knappe 400 Zeilen lang. Ganz sicher gibts hier noch einiges an Optimierungsmöglichkeiten.

Die Passwortfunktion soll halt die Komplexitätsanforderungen erfüllen.

Ich bin aber sicher das man die eleganter machen kann. Das war damals ein Schnellschuss der zum ständigen Provisorium wurde.

Das Script ist ein immer mehr erweitertes recyceltes Abfallprodukt unserer eDirectory2AD-Migration.

Damals hatte ich mit vielen Zwischenschritten gearbeitet um erst die User aus Novell auszulesen, diese (Username, email-adresse etc) an die neuen Konventionen anzupassen, die neuen Gruppen zu erzeugen usw.

Dabei wurde gefühlte 20 ldif-Dateien erzeugt die ich dann in das AD importiert hatte.

Das war so notwendig da in jedem Zwischenschritt die Daten korrigiert werden mussten um den Novell-Wildwuchs zu vereinheitlichen. Es gab also jeweils noch ein csv wo die Änderungen händisch gepflegt werden konnten. Die Perlscripte müsste ich noch rumliegen haben...

aber ich schweife von Thema ab: Mag also sein das man das in einem Rutsch machen kann. Könnte sein der UPN das Thema ist da der auch explizit gesetzt wird.

Vorteil mit den zufälligen Passwörtern war übrigens das wir das für alle machen konnten und niemand das Passwort eines Kollegen errechnen konnte. Einige waren zum Zeitpunkt der Umstellung im Urlaub/Krank etc so das bei einzelnen Zeit genug für Schindluder gewesen wäre. Die Passwortfunktion nutzen wir dann heute halt einfach weiter...

Ich mache das in mehreren Schritten. Direkt in einem hat nie sauber funktioniert.

1. New-ADUser -Name $UserName -ChangePasswordAtLogon $true -GiveNname $Vname -Surname $NName und eventuell AccountExpirationDate

2. Set-ADAccountPassword -Identity $UserName -NewPassword (Convert-SecureString -AsPlainText $InitialPassword -force)

3. Enable-Account -Identity $UserName

$InitialPassword wird ausgewürfelt:

function GET-Temppassword()
{
    #Param([int]$length=10,[string[]]$sourcedata)
    Param([int]$length=10)
    $ascii_klein=$NULL;
    $ascii_gross=$NULL;
    $ascii_zahl=$NULL;
    $TempPasswordarray=$NULL;
    For ($a=48;$a –le 57;$a++) {$ascii_zahl+=,[char][byte]$a }  #Zahlen
    For ($a=65;$a –le 90;$a++) {$ascii_gross+=,[char][byte]$a }  #Buchstabem
    For ($a=97;$a –le 122;$a++) {$ascii_klein+=,[char][byte]$a }  #buchstabem


    [int]$i=2
    [int]$j=2
    [int]$k=2
    while ((($i+$j+$k) -ne $length))
    {
        [int]$i = get-random(2..($length-4))
        [int]$j = get-random(2..($length-($i+2)))
        [int]$k = ($length-($i+$j))
#        Write-Host("i=$i j=$j k=$k")
    }
    ####Write-Host("ENDE i=$i j=$j k=$k")
    $TempPassword = ""
    $TempPassword1 = ""

    For ($loop=1; $loop –le $i; $loop++)
    {
               $TempPassword+=($ascii_gross | GET-RANDOM)
    }
    For ($loop=1; $loop –le $j; $loop++)
    {
               $TempPassword+=($ascii_klein | GET-RANDOM)
    }
    For ($loop=1; $loop –le $k; $loop++)
    {
               $TempPassword+=($ascii_zahl | GET-RANDOM)
    }

    $TempPasswordarray = ($TempPassword[0..$TempPassword.Length]) | Sort-Object {Get-Random}


    For ($loop=1; $loop –le $length; $loop++)
    {
               $TempPassword1+= $TempPasswordarray[$loop]
    }

    return $TempPassword1
}

Nach dem Anlegen des Users fällt ein Zettel aus dem Drucker mit den wichtigsten Infos:

Username, initiales Passwort, E-Mailadresse etc welcher dem neuen Mitarbeiter in die Hand gedrückt wird.

Eine Abfrage nach Abteilung/Fachbereich ist auch dabei so das der User auch gleich in der richtigen OU landet. In de OUs sind die Vorgesetzten als Manager(oder wie der Reiter heisst) eingetragen womit direkt der Vorgesetzte beim user eigetragen wird. alle weiteren info wie z.B. Telefonnummer, Raumnummer etc liegen zu diesem Zeitpunkt leider noch nicht vor.

Wenn wir mal eine IT-Stelle ausschreiben kommen höchstens 1 Frau auf 5 Männer bei den Bewerbern.Die letzte hatte zim Thema IT-Kenntnisse geschrieben:°Kentnisse auf Anwendetniveau". Gesucht wurde ein Sysadmin(vmware, netapp, linux und ein bisschen netzwerk).Bei gleicher Eignung werden Frauen und Schwerbehinderte bevorzugt.Das nimmt dann so seltsme Züge an das Taubstumme ein Vorbereitungspraktikum für Bürokommunikations Kaufleute machen wollen...Da also schon bei den Bewerbern deutlich weniger Frauen als Männer sind ist dss jetzige Bild nicht verwunderlich.Ich bin ein Freund der anonymen Bewerbungen. Ohne Bild, Namen und Geschlecht. Daraus die besten 3 dann ins Bewerbungsgespräch.

Wenn wir mal eine IT-Stelle ausschreiben kommen höchstens 1 Frau auf 5 Männer bei den Bewerbern.Die letzte hatte zim Thema IT-Kenntnisse geschrieben:°Kentnisse auf Anwendetniveau". Gesucht wurde ein Sysadmin(vmware, netapp, linux und ein bisschen netzwerk).Bei gleicher Eignung werden Frauen und Schwerbehinderte bevorzugt.Das nimmt dann so seltsme Züge an das Taubstumme ein Vorbereitungspraktikum für Bürokommunikations Kaufleute machen wollen...Da also schon bei den Bewerbern deutlich weniger Frauen als Männer sind ist dss jetzige Bild nicht verwunderlich.Ich bin ein Freund der anonymen Bewerbungen. Ohne Bild, Namen und Geschlecht. Daraus die besten 3 dann ins Bewerbungsgespräch.

Welche Emulex ist das ganz genau? OEM-gelabelt?

Hast du als Fallback eine 1G-Verbindung definiert über die der Traffic jetzt eventuell geht?

Wir haben z.B. die emulexe von IBM gelabelt als VFA.

Vmware hat in der 6.0 die Treiber nicht ganz rausgenommen sondern nur dafür gesorgt das kein Traffic mehr darüber geht.

Ach ja: Die Lösung was das einspielen einer älteren Treiberversion.

http://vcdx133.com/2014/08/16/hs22v-esxi-5-5-upgrade-10gb-network-problem/

Komische kommerzielle appliance die nur Exchange kann. Welches Produkt ist das?

Das Teil wurde explizit als Exchangeloadbalancer verkauft. Ich glaube mich zu erinnern das man andere Sachen dazu kaufen konnte. Ich kann mich leider gar nicht erinnern was das für ein Produkt war da ich ehrlich gesagt zufrieden war als ich die haproxy-config hatte und das ganze unter einem standard Debian lief.

Nginx funktioniert als Reverse Proxy für OWA. Habe ich selbst laufen.

Das zweifel ich auch gar nicht an. Wir haben halt haproxy am laufen für den ich für Exchnage2010 eine Konfig liefern könnte. Für nginx hab ich halt keine die ich anbieten könnte.

Von daher: poste doch einfach deine config und eventuell findet der OP dann seinen Fehler.

muss es nginx sein?

Für haproxy gibts massenhaft Beispiele im Netz.

Ich hatte mir damals eine Testversion einer virtuellen LB-appliance für Exchange installiert, gemerkt das die auch nur haproxy nehmen und die Konfig dann übenrommen und angepasst. Allerdings Exchange2010, keine Ahnung ob das hier einen großen Unterschied macht.

Bei uns läuft seit dem ein haproxy-Pärchen als Exchnage-LB.

Da wird das gleiche Konstrukt für die Webserver haben werde ich das demnächst noch zu einem LB-Pärchen zusammenfassen. Das wäre dann auch der Mehrwert gegenüber der kommerziellen Appliance welche nur Exchange konnte.

Ich könnte bei Bedarf auch gerne morgen mal die Konfig rauskramen: haproxy auf Debian mit SSL-Terminierung für die Webserver.