Jump to content

kosta88

Members
  • Content Count

    476
  • Joined

  • Last visited

Community Reputation

2 Neutral

About kosta88

  • Rank
    Senior Member

Recent Profile Visitors

923 profile views
  1. Ja natürlich, das ist vorteilhaft. Noch was ist mir aufgefallen: manchmal erstellen Programme oder Installationen eigene Firewall-Rules. Die lauern dann aber doch am Server selber und nicht in der GPO.
  2. Hallo, ich bin dabei die Windows Firewall grundlegend zu aktivieren und konfigurieren - bisher war sie immer aus. Rein aus eurer Erfahrung, wie soll ich das angehen? Würdet ihr alles mit GPO machen, und alle Rules im GPO machen, inkl. die Eingrenzung für Quelle/Ziel oder in der GPO eher nur die globalen Freigaben und auf jeweiligen Server die spezifischen Rules treffen? Die zweite Option sieht für mich als eher attraktiv aus, aber will nur wissen ob was dagegen spricht. Danke
  3. Ja, das ist klar. Aktuell ist es auch so, dort wo möglich (separates Netzwerk) - die Firewall erlaubt nur gewisse Zugriffe auf die Server. Bspw. die VPN-Clients. Du hast jedoch Recht, es Bedarf einiges an Planung und Zeit... WOL - danke, das ist eben ein Thema! Einzig wo wir WOL einsetzen sind Windows Updates, die Clients werden in der Nacht geweckt um Updates zu machen. Danke für den Hinweis. Wir sind insofern begrenzt, dass wir sowohl eine interne Server-Umgebung, wie auch eine "externe" ASP-Umgebung haben. Und die ASP-Umgebung hat ein IP-Kreis den ich nicht ändern kann - d.h. die Clients müssen sich in dem Netzwerk befinden, um auf die ASP-Farm draufzukommen. Wenn ein Drucker in einem anderen Netz wäre, müsste man den in das ASP-Netzwerk NATen. Das bedeutet dass ich eigentlich relativ begrenzt bin, was ich verschieben kann, aber auf jeden Fall das ganze Netzwerk-Management wie du oben erwähnt hast. Ich befürchte es müsste einer der APP-Server im Client-Netzwerk bleiben. Alternativ müsste ich sehr aufwändige NAT-Rules bauen, um nur genau die Ports zu NATen die auch zum ASP-Netzwerk gehen müssen. Ein Routing alleine mit Firewall-Rules tut's hier nicht.
  4. Hallo, unsere Server sind aktuell im selben Netzwerk-Segment wie auch die Clients und alles andere praktisch. Getrennt sind LAB-Netzwerk und Gast-WLAN. Um die Sicherheit zu erhöhen, möchte ich die Server in ein oder mehrere separate Netze aufteilen. Oder sogar nur das Netzwerk segmentieren. Aktuell sind VLANs wohl im Einsatz, werden im LAB-Netzwerk verwendet. Sauberere Lösung finde ich auf jeden Fall die separaten Netze - im Troubleshooting Fall auf jeden Fall leichter die Fehler zu finden. Ich so einem Fall kann ich auch zusätzlich mit VLANs trennen, sodass die Trennung am Switch ebenso passiert. Das wird wohl ein Projekt, daher schaue ich nach Tipps wie ich das am besten angehen sollte. Wir haben mehrer VMs die lediglich eine oder ein paar Rollen spielen, als einen Server der vieles oder alles macht. Hier mal so ein Überblick: 9 RDS Hosts (9 Sammlungen) RDC-Broker 2x Applikation-Server (einer ist Remote-App) Backup-Server (Nakivo) CA 2x DC Exchange (installiert, aber noch nicht produktiv, aktuell wird Office365 eingesetzt) File-Server 2x Management (Dienste wie WSUS, WDS, Printserver, NPS, KMS) SQL Was wären eure Ansätze dazu? Danke
  5. SW ist nur ein Beispiel. Ich meine einfach allgemein die RMM Lösungen. NinjaRMM, ConnectWise, Kaseya... alle im selben Boot eigentlich.
  6. Tja, noch immer fast doppel so viel wie zB. Solarwinds RMM. €2280 vs €4000 jährlich.
  7. So, ich habe mich bisschen mit dem Thema Intune und Azure AD beschäftigt. Ich sehe folgende Probleme: Intune steuert zwar die Windows Updates, aber diese werden dann weiterhin vom Windows Update Agent installiert. Welcher schon bewiesenerweise nicht immer gut funktioniert. Ob es die anderen (Agents der Drittanbieter der RMM Tools) besser schaffen sei dahingestellt. Es scheint mir so als ob Intune Windows Update das gleiche oder ähnliche macht wie WU-Einstellungen via GPO. Ich habe es aber nicht tief erkundet... Weiterhin wenn man aber mehrere Kunden hat, hat man keine Übersicht mehr. Man muss sich immer wieder mit dem anderen Tenant anmelden, um den bestimmten Kunden zu administrieren. D.h. pro Kunde offenes Fenster... naja. Und, das geilste von allem: by default (in der freien Versio von AAD) sind alle AAD-joined Geräte/Benutzer lokale Admins. Um das zu ändern, muss man Premium kaufen, und das kostet ja gleich €5/Monat/Benutzer. Nicht so toll. Intune kostet auch €6/User/Monat. Das ist schon ein ordentliches Sümmchen für ein paar Grundfeatures. Darunter ist es bei RMM Tools so dass man all diese Aspekte eigentlich gut in Griff bekommen, eine Oberfläche für alle hat, und man kann das wichtigste ja mit Registry machen. Dass man nicht alles wie per GPO hat (im Intune heißt ja anders...), ist klar. Ich sehe Intune (oder gar MS 365 E3/E5) als toller Ersatz für on-premise Umgebung, aber definitiv nicht passend für die Zwecke die wir hier erfüllen wollen. Dafür ist es ein absolutes Overkill.
  8. Bei Intune ist es so dass ich es irgendwie sehr schwer testen kann. Ich muss auf jeden Fall ein paar VMs aufziehen und dann eine Test-Installation damit machen. Aufwand nicht ohne. Ob das überhaupt geht weiß ich auch nicht. Aber mal Frage zu Intune: es ist sicher gut in Windows integriert. Aber wie sieht es aus mit dem Management Drittanbieter Apps aus? Zb. Solarwinds hat eine lange Liste der supporteten A/V Lösungen, unter anderem auch McAfee, der bei zumindest mehreren Kunden bei uns eingesetzt wird. Ob allerdings wie beworben funktioniert, auch k.A. Allerdings ist Solarwinds in einigen Aspekten seltsam... hat Network Discovery, aber funktioniert nur halbherzig. Erkennt die Clients, aber nicht korrekt (unknown OS). Das bringt bei einer Masse an Clients wenig und nur viel Aufwand. Aber ich denke, wie du es schildert, wäre es Aufwand wert eine komplette Test-Umgebung dafür aufzuziehen und ordentlich testen. Was ich mit anderen Kunden meine ist die Möglichkeit alle Kunden in einer Überwachungsplatform zu haben, denn wie wir darüber intern gesprochen haben, hätten wir paar Kunden wo man eine solche Lösung (Management der lokalen Rechner, Kunden die keine Server haben, und solche unmanagte Umgebungen haben) einsetzen könnte.
  9. Ja, sicher wäre das. Ich kenne es nicht, aber die Lösung von MS wäre sicher am besten integriert. Es gibt aber einen Nachteil denke ich: wenn wir das Management eventuell an andere Kunden expandieren wollen, könnte vielleicht nicht die beste Lösung sein, oder?
  10. Ich weiß, glaube mir, ich weiß. Aber glaube mir wenn ich dir sage dass es einfach nicht möglich ist. Wir sind für die Server im RZ nicht zuständig. Wir sein Tochter eines Konzerns in DE, und dort sind die Server. Wir haben lediglich "den Kunden". RZ schreibt vor "Windows", und das war's eigentlich. Wir können dem Kunden natürlich sagen es wäre möglich, aber dann gehen wir Risiko ein, dass jemand sagt "unsupportet", und dann sind alle böse, einfach erklärt. Mit Windows ist alles wie es sein soll, und der Kunde muss den Mega-Aufwand betreiben um die Systeme aktuell zu halten (vollkommen bescheuert, ich weiß), aber es ist so. Wir machen halt das beste heraus: wir übernehmen es für den Kunden, wenn das Konzept (und Preis) stimmt. Servus :) Natürlich kannst. Wir: Vertriebsleiter, sein Kollege und meine Wenigkeit (IT-Admin/Hotline/Service/...). Der oberste Chef bekommt zwar das wichtigste mit, aber mischt sich nicht allzuviel ein. Er ist eher der Geldgeber und entscheidet ob wir es machen wenn alles am Tisch liegt (zahlentechnisch). Verantwortlich? Alle :).
  11. Also, wir haben mal eine Zusammenfassung, was wir beim Kunden machen sollten (nichts außerordentliches eigentlich, im AD-Netzwerk fast üblich): Zentrales Management der Workstations: - Updates Installation nach Zeitplan, möglichst nachts - Neustart nach Zeitplan, möglichst nachts - Automatisches Einschalten der Rechner per WOL für die Updates (?) - Zentralisierte Benutzer-Verwaltung - Ggf. zentralisiertes Rechner-Management (Browser-Einstellungen?) - Bereinigung der Temp-Folder Sicherheit im Netzwerk: - Weitgehendste Standardisierung der Rechner - Administrator(en)-Konto(en) gesichert - Sichere Kennwörter (Policy, AAD?) - Browser-Einstellungen (Daten leeren, keine Kennwörter speichern zulassen…) - Widows Firewall Einstellungen - Aktuelle Versionen der lokal installierten Programme - A/V Signaturen up-to-date Überwachung: - Installierte Programme und Updates - Windows Updates: Kategorisierung der Updates, automatische Freigabe gewisser Updates-Kategorien, manuelle Freigabe der Feature Updates - Aktualität der Rechner, und rechtzeitige Planung der Anschaffung neuer Rechner - Eventlog Meldungen zu kritischen Events - Speicherplatz-Check - Wichtigste Windows-Dienste - Remote-Zugriff-Möglichkeit (Teamviewer?) Mögliche Lösungen: - WS-Management: Cloudbasierte RMM-Lösung (Solarwinds RMM, NinjaRMM,...?) - Benutzer-Verwaltung: Azure AD (oder...?) Dabei ist wichtig zu wissen, dass der Kunde lokal eigentlich nicht arbeitet (ja, es gibt Benutzer die eigene Notebooks haben, und drauf auch Programme haben), aber generell gilt "sauber halten". Sie arbeiten via Citrix im Rechenzentrum, und am lokalen Rechner macht man eigentlich nur ein Browser-Fenster, tippt man die Zugangsdaten ein, und das war's. Falls ihr Vorschläge für weitere lokale Maßnahmen habt, bitte her damit, wir haben morgen weitere Besprechung zum Thema wie wir das umsetzen wollen, Kosten usw. Ahja, und Thema Kosten wird gar nicht so einfach sein...
  12. Ja, aber hier geht es eigentlich um einen Kunden der keine Server/WSUS oder AD hat. Und ich teste parallel die Lösungen, auch in unserer Umgebung. Ich habe auch hier den WSUS, den ich aktuell "abgedreht" habe, und bin dabei Solarwinds RMM zu testen. Und es funktioniert auch nicht wirklich wie erwartet.
  13. Manche. Das habe ich nie wirklich irgendwie konfiguriert. Was meinst du mit SMB? SMB geht natürlich allgemein...
  14. Es sollte lt. Screenshots der ganze Baum inkl. Rechner angezeigt, sodass man auch einzelne Rechner auswählen kann. Bei mir sind es nur zwei Einträge, beide sind domain.xx gekennzeichnet, einmal ein Baum und einmal darunter das Haus. Ich kann zwar anhaken, aber will das eben nicht. Zuerst würde ich schon gerne mit 1-2 Rechnern in der Domäne testen.
  15. Getan. Mein lokaler Benutzer hat nur die lokalen Admin-Rechte. Und mein Admin-Rechner ist mit einem Benutzer angemeldet, der die Domain-Rechte hat. Weder da noch dort. Eigentlich setze ich bei uns Lansweeper ein. War mir aber nicht bewusst dass man Lansweeper auf diese Weise "missbrauchen" kann. LSAgent liefert normalerweise nur die Infos, kann aber kein WU steuern... oder...?
×
×
  • Create New...