magheinz

Für Exchange haben wir auch ein Loadbalancerpärchen. Unter anderem damit Exchange nicht in die DMZ muss.

Für TS eigentlich auch. Die sind in der DMZ und verbinden auf das TSGW im internen Netz für den Zugriff von aussen.

Die Umsetzung ist bei uns einfach da eh alles in VMware virtualisiert ist. Ich muss also nur eine Portgruppe anlegen und da die Terminalserver drauf hängen. Mal schaun wann ich zum Testen komme.

Das finde ich den besten Ansatz...

Da werde ich nach meinem Urlaub mal mit herumspielen.

Eine Änderung der IP eines Servers weil sich Mitarbeiter nicht an Anweisungen halten?

Das würde ich auch versuchen anders zu lösen. Im dümmsten Fall finden die nämlich drei Tage später die neue IP heraus.

 

Entweder lässt sich die direkte Anmeldung verhindern oder ich würde versuchen die Leute per powershellscript herauszufinden und denen gnadenlos die Session killen. Das würde ich vorher mit den Leuten persönlich versuchen zu klären und bei Wiederholung mit den entsprechenden Vorgesetzten besprechen immer mit dem Hinweis: "aus technischen Gründen darf der Zugriff auf die Server nur so-und-so erfolgen. Bei Verbindungen die das umgehen können wir nicht garantierend das diese stabil sind. Leider droht dann durch Verbindungsabbrüche der Verlust von Daten".

Danke für die Infos

 

@Magheinz

Weil bei einer Laufwerksfreigabe de Benutzer nur die Ordner sehen sollen, auf die Sie berechtigt sind. Wenn ich die Vererbung nicht aktiviere, sieht am Ende doch jeder alles ;)

 

Dafür gibts doch ABE...

Was hängt denn als Storage an der ESX-Farm? Eventuell gibts ja von dieser Seite eine ordentliche Backuplösung.

Jabber.

Entweder hat man eh cisco-UCS im Haus oder baut das selber.

Für jabber(XMPP) gibt tausende clients für alle Betriebssystem und so gut wie jedes Smartphone kann das.

Wieso Vererbung abschalten?

Da kommt kein "mailer daemon" sondern ein ndr. Oder kurz: Die grossen mails bouncen. Das ist vollkommen korrekt so.

 

BTW: ein daemon ist unter unix/linux das was du als service unter windows kennst. Mailerdaemom dürfte der absender sein.

wir hier verwenden z.b. was ganz anderes. alle server sind in vmware virtualisiert und liegen auf einet netapp. Folglich nutzen wir snapshots(beib Windows

snapdrive, snapmanager) und snapvault um alles wegzuschieben.

Das funktioniert eigentlich super, inklusive singleitemrestore in exchange.

Wir können problemlos stündliche Sicherungen von ca 120Servern ohne Backupfenster machen.

 

 

es kommt also drauf an was du wohin für wie lange sichern willst.

Bei uns werden Installationen über opsi oder als vmware-deployment gemacht. Da sind in den templates, Installationsroutinen die keys hinterlegt.

Händisch eine  Key eingeben darf eigentlich nicht mehr vorkommen. Zur Not wird das dann per VAMT von mir korrigiert. Das kommt  aber in 5 Jahren einmal vor.

Was ist das Ziel?

Müssen die Timestamps vor Gericht standhalten oder braucht ihr die nur intern?

Wo kommt denn die Zeit für den Timestamp her?

Du wirst das nicht im Exchange finden.

Wer ist denn der Empfänger dieser E-Mails? root@... ist ja der Absender, nicht der Empfänger. Den wirst du bei den Aliasen kaum finden.

Statt einem RAID10 aus 4 Platten könnte man dann auch ein RAID1 aus SSDs bauen. Je nach Plattengröße/Preis könnte das durchaus günstiger kommen. Jetzt noch eine dritte als Hotspare und man kann das relativ entspannt angehen.

Opsi sollte all das können ausser mdm.

Manchmal braucht man eher einen der alles ein bisschen kann und irgendwas etwas besser. Für die schwierigen Fälle gibts dann dieses Forum :D oder einen Dienstleister, und manchmal wird der absolute Überflieger im Variablendefinieren in Powershell 3.0.1.5 für Variablen $a-$h gesucht.

 

Will sagen: es kommt auf die Stelle an.

Das passiert doch alles automatisch, wenn der 2012/R2 die ADDC Rolle aktiviert.

jep, hab da grade nen Hänger gehabt und das mit der Funktionsebene gleichgesetzt...

Belegte Berufserfahrung schlägt Herstellerzertifikate. Beides vorweisen zu können ist das optimum.

 

ich hab in den letzten 10Jahren keine admin-stelle ausgeschrieben gesehen in der nicht mund diverse scriptsprachen als Voraussetzung genannt wurden. Das ist heutzutage dank powershell sogar für Windowsadmins Standard. Für Linuxleute ist das schon immer so.

Wie argumentierst du die Kosten wenn der Kunde sagt: "wichtig sind nur die Dateien, ansonsten hält die Software keine Daten. Wir können problemlos 4Werktage auf den Server verzichten?"

Schema auf 2012 hochstufen?

Ich dachte du hast einen 2008er DC? geht das?

Solange Woederherstellungszeiten keine grosse Rolle spielen finde ich das backupen per robocopy von 1GB-Dateien einen absolut gangbaren Weg.

Mit etwas Linuxerfahrung kann man auch z.B. bacula aufsetzen.

Das backups, abgesehen vom storage/Traffic, unbedingt Geld kosten müssen ist Unfug. Solche Aussagen kenne ich sonst nur von Verkäufern.

 

spannender ist die Frage nach dem Backup einer eventuell vorhandenen Datenbank dieses Programmes.

Wir haben das gleiche durch: Novell -> CIFS. Bei usn sinds allerdings direkt netapp-Cifs-shares geworden.

Novell hat eine blöde Eigenschaft worüber ich als ursprünglicher Linux/Unix-Mann derbe drüber gestolpert bin: Wenn man im baum weiter unten ein recht setzt, dann vererbt sich ein Travers-Recht nach oben durch. Also Vererbung-Falschherum.

Bsp:

root

|

+-folder1

       |

       +folder1a

       |

       +folder1b

 

 

Macht man ein denyall auf root und gibt dann user1 Leserechte auf folder1a kann er sich ab root durchhangeln. Jedes Linuxsystem und auch netapp sagen aber schon beim versuch nach root zu gehen "access denied".

 

Die Folge war bei uns das wir tatsächlich die Rechteverwaltung nur noch auf einer Eben haben und dann alles im DFS zusammenstückeln.

Das hat zur Folge das in folder1 keine Dateien mehr liegen sondern nur noch in den Ordner darunter welche jeweils einen CIFS-Share darstellen.

Für jeden ahre gibt es dann lokale und globale Gruppen um die Rechte zuzuweisen.

Im Ergebnis haben wir jetzt zwar eine Unmenge an CIFS-Shares und Gruppen, anders konnten wir aber die vorhandene Rechtestruktur aber nicht übertragen.

ja, wenn du die Weiterleitung auf deinen Router / die Firewall in den Eigenschaften des DNS drin stehen hast.

was sollte ein router oder eine firewall mit DNS-Anfragen anfangen können?

Welche Schreibweise wird jetzt genau genutzt. Zeig doch mal ein Beispiel bitte. Bei exakt gleicher Schreibweise vermute ich nämlich das du das Domänenkonto nutzt womit dein Problem einfach zu erklären wäre.

Also bitte Beispiele. Zur Not mit screenshot.

Der Techniker selbst schickt keine E-Mail an das Ticket-System - nur Kunden. Das Ticket-System schickt an den Techniker (wenn dieser einem Ticket zugeteilt ist) ihm aber eine Info-Mail, dass sich am Ticket etwas geändert hat. Dies tritt ein, wenn der Kunde zum Beispiel auf die E-Mail vom Ticket-System antwortet.

 

Immer wenn der Techniker eine E-Mail an "extern" schickt, dann soll grundsätzlich die helpdesk@... genommen werden. Er soll so gesehen nach außen keine Mails schicken - ausschließlich nach außen helpdesk@...

 

Ist so Vorgabe vom Chef :)

 

Dann kann das Ticketsystem doch E-Mails schicken. Dann sollte man das doch auch dazu bringen können genau diese E-Mail auch an den Kunden des Ticket betroffen ist zu schicken. Dann müsste der Techniker seine Ticketaktualisierungen nur noch per E-Mail schicken, und zwar ans Ticketsystem.

 

Wenn das Vorgabe vom Chef ist dann ist das halt so.

Habt ihr vor dem Exchange noch irgendwas anderes? Bei uns sind da noch postfix-mailserver. Auf denen wäre das Adresse umschreiben trivial.

Deswegen würde ich gerne mal sehen wie er das macht. Nicht das er die ganze zeit das Domain-Konto nutzt ohne es zu Wissen.

 

Abgesehen davon: Hier sieht man schön warum man ein Konto nicht einfach wegen zu vieler falscher Loginversuche sperren sollte. Das ist eine Einladung für einen DOS-Angriff.