Jump to content

kosta88

Members
  • Content Count

    476
  • Joined

  • Last visited

Everything posted by kosta88

  1. Ja natürlich, das ist vorteilhaft. Noch was ist mir aufgefallen: manchmal erstellen Programme oder Installationen eigene Firewall-Rules. Die lauern dann aber doch am Server selber und nicht in der GPO.
  2. Hallo, ich bin dabei die Windows Firewall grundlegend zu aktivieren und konfigurieren - bisher war sie immer aus. Rein aus eurer Erfahrung, wie soll ich das angehen? Würdet ihr alles mit GPO machen, und alle Rules im GPO machen, inkl. die Eingrenzung für Quelle/Ziel oder in der GPO eher nur die globalen Freigaben und auf jeweiligen Server die spezifischen Rules treffen? Die zweite Option sieht für mich als eher attraktiv aus, aber will nur wissen ob was dagegen spricht. Danke
  3. Ja, das ist klar. Aktuell ist es auch so, dort wo möglich (separates Netzwerk) - die Firewall erlaubt nur gewisse Zugriffe auf die Server. Bspw. die VPN-Clients. Du hast jedoch Recht, es Bedarf einiges an Planung und Zeit... WOL - danke, das ist eben ein Thema! Einzig wo wir WOL einsetzen sind Windows Updates, die Clients werden in der Nacht geweckt um Updates zu machen. Danke für den Hinweis. Wir sind insofern begrenzt, dass wir sowohl eine interne Server-Umgebung, wie auch eine "externe" ASP-Umgebung haben. Und die ASP-Umgebung hat ein IP-Kreis den ich nicht ändern kann - d.h. die Clients müssen sich in dem Netzwerk befinden, um auf die ASP-Farm draufzukommen. Wenn ein Drucker in einem anderen Netz wäre, müsste man den in das ASP-Netzwerk NATen. Das bedeutet dass ich eigentlich relativ begrenzt bin, was ich verschieben kann, aber auf jeden Fall das ganze Netzwerk-Management wie du oben erwähnt hast. Ich befürchte es müsste einer der APP-Server im Client-Netzwerk bleiben. Alternativ müsste ich sehr aufwändige NAT-Rules bauen, um nur genau die Ports zu NATen die auch zum ASP-Netzwerk gehen müssen. Ein Routing alleine mit Firewall-Rules tut's hier nicht.
  4. Hallo, unsere Server sind aktuell im selben Netzwerk-Segment wie auch die Clients und alles andere praktisch. Getrennt sind LAB-Netzwerk und Gast-WLAN. Um die Sicherheit zu erhöhen, möchte ich die Server in ein oder mehrere separate Netze aufteilen. Oder sogar nur das Netzwerk segmentieren. Aktuell sind VLANs wohl im Einsatz, werden im LAB-Netzwerk verwendet. Sauberere Lösung finde ich auf jeden Fall die separaten Netze - im Troubleshooting Fall auf jeden Fall leichter die Fehler zu finden. Ich so einem Fall kann ich auch zusätzlich mit VLANs trennen, sodass die Trennung am Switch ebenso passiert. Das wird wohl ein Projekt, daher schaue ich nach Tipps wie ich das am besten angehen sollte. Wir haben mehrer VMs die lediglich eine oder ein paar Rollen spielen, als einen Server der vieles oder alles macht. Hier mal so ein Überblick: 9 RDS Hosts (9 Sammlungen) RDC-Broker 2x Applikation-Server (einer ist Remote-App) Backup-Server (Nakivo) CA 2x DC Exchange (installiert, aber noch nicht produktiv, aktuell wird Office365 eingesetzt) File-Server 2x Management (Dienste wie WSUS, WDS, Printserver, NPS, KMS) SQL Was wären eure Ansätze dazu? Danke
  5. SW ist nur ein Beispiel. Ich meine einfach allgemein die RMM Lösungen. NinjaRMM, ConnectWise, Kaseya... alle im selben Boot eigentlich.
  6. Tja, noch immer fast doppel so viel wie zB. Solarwinds RMM. €2280 vs €4000 jährlich.
  7. So, ich habe mich bisschen mit dem Thema Intune und Azure AD beschäftigt. Ich sehe folgende Probleme: Intune steuert zwar die Windows Updates, aber diese werden dann weiterhin vom Windows Update Agent installiert. Welcher schon bewiesenerweise nicht immer gut funktioniert. Ob es die anderen (Agents der Drittanbieter der RMM Tools) besser schaffen sei dahingestellt. Es scheint mir so als ob Intune Windows Update das gleiche oder ähnliche macht wie WU-Einstellungen via GPO. Ich habe es aber nicht tief erkundet... Weiterhin wenn man aber mehrere Kunden hat, hat man keine Übersicht mehr. Man muss sich immer wieder mit dem anderen Tenant anmelden, um den bestimmten Kunden zu administrieren. D.h. pro Kunde offenes Fenster... naja. Und, das geilste von allem: by default (in der freien Versio von AAD) sind alle AAD-joined Geräte/Benutzer lokale Admins. Um das zu ändern, muss man Premium kaufen, und das kostet ja gleich €5/Monat/Benutzer. Nicht so toll. Intune kostet auch €6/User/Monat. Das ist schon ein ordentliches Sümmchen für ein paar Grundfeatures. Darunter ist es bei RMM Tools so dass man all diese Aspekte eigentlich gut in Griff bekommen, eine Oberfläche für alle hat, und man kann das wichtigste ja mit Registry machen. Dass man nicht alles wie per GPO hat (im Intune heißt ja anders...), ist klar. Ich sehe Intune (oder gar MS 365 E3/E5) als toller Ersatz für on-premise Umgebung, aber definitiv nicht passend für die Zwecke die wir hier erfüllen wollen. Dafür ist es ein absolutes Overkill.
  8. Bei Intune ist es so dass ich es irgendwie sehr schwer testen kann. Ich muss auf jeden Fall ein paar VMs aufziehen und dann eine Test-Installation damit machen. Aufwand nicht ohne. Ob das überhaupt geht weiß ich auch nicht. Aber mal Frage zu Intune: es ist sicher gut in Windows integriert. Aber wie sieht es aus mit dem Management Drittanbieter Apps aus? Zb. Solarwinds hat eine lange Liste der supporteten A/V Lösungen, unter anderem auch McAfee, der bei zumindest mehreren Kunden bei uns eingesetzt wird. Ob allerdings wie beworben funktioniert, auch k.A. Allerdings ist Solarwinds in einigen Aspekten seltsam... hat Network Discovery, aber funktioniert nur halbherzig. Erkennt die Clients, aber nicht korrekt (unknown OS). Das bringt bei einer Masse an Clients wenig und nur viel Aufwand. Aber ich denke, wie du es schildert, wäre es Aufwand wert eine komplette Test-Umgebung dafür aufzuziehen und ordentlich testen. Was ich mit anderen Kunden meine ist die Möglichkeit alle Kunden in einer Überwachungsplatform zu haben, denn wie wir darüber intern gesprochen haben, hätten wir paar Kunden wo man eine solche Lösung (Management der lokalen Rechner, Kunden die keine Server haben, und solche unmanagte Umgebungen haben) einsetzen könnte.
  9. Ja, sicher wäre das. Ich kenne es nicht, aber die Lösung von MS wäre sicher am besten integriert. Es gibt aber einen Nachteil denke ich: wenn wir das Management eventuell an andere Kunden expandieren wollen, könnte vielleicht nicht die beste Lösung sein, oder?
  10. Ich weiß, glaube mir, ich weiß. Aber glaube mir wenn ich dir sage dass es einfach nicht möglich ist. Wir sind für die Server im RZ nicht zuständig. Wir sein Tochter eines Konzerns in DE, und dort sind die Server. Wir haben lediglich "den Kunden". RZ schreibt vor "Windows", und das war's eigentlich. Wir können dem Kunden natürlich sagen es wäre möglich, aber dann gehen wir Risiko ein, dass jemand sagt "unsupportet", und dann sind alle böse, einfach erklärt. Mit Windows ist alles wie es sein soll, und der Kunde muss den Mega-Aufwand betreiben um die Systeme aktuell zu halten (vollkommen bescheuert, ich weiß), aber es ist so. Wir machen halt das beste heraus: wir übernehmen es für den Kunden, wenn das Konzept (und Preis) stimmt. Servus :) Natürlich kannst. Wir: Vertriebsleiter, sein Kollege und meine Wenigkeit (IT-Admin/Hotline/Service/...). Der oberste Chef bekommt zwar das wichtigste mit, aber mischt sich nicht allzuviel ein. Er ist eher der Geldgeber und entscheidet ob wir es machen wenn alles am Tisch liegt (zahlentechnisch). Verantwortlich? Alle :).
  11. Also, wir haben mal eine Zusammenfassung, was wir beim Kunden machen sollten (nichts außerordentliches eigentlich, im AD-Netzwerk fast üblich): Zentrales Management der Workstations: - Updates Installation nach Zeitplan, möglichst nachts - Neustart nach Zeitplan, möglichst nachts - Automatisches Einschalten der Rechner per WOL für die Updates (?) - Zentralisierte Benutzer-Verwaltung - Ggf. zentralisiertes Rechner-Management (Browser-Einstellungen?) - Bereinigung der Temp-Folder Sicherheit im Netzwerk: - Weitgehendste Standardisierung der Rechner - Administrator(en)-Konto(en) gesichert - Sichere Kennwörter (Policy, AAD?) - Browser-Einstellungen (Daten leeren, keine Kennwörter speichern zulassen…) - Widows Firewall Einstellungen - Aktuelle Versionen der lokal installierten Programme - A/V Signaturen up-to-date Überwachung: - Installierte Programme und Updates - Windows Updates: Kategorisierung der Updates, automatische Freigabe gewisser Updates-Kategorien, manuelle Freigabe der Feature Updates - Aktualität der Rechner, und rechtzeitige Planung der Anschaffung neuer Rechner - Eventlog Meldungen zu kritischen Events - Speicherplatz-Check - Wichtigste Windows-Dienste - Remote-Zugriff-Möglichkeit (Teamviewer?) Mögliche Lösungen: - WS-Management: Cloudbasierte RMM-Lösung (Solarwinds RMM, NinjaRMM,...?) - Benutzer-Verwaltung: Azure AD (oder...?) Dabei ist wichtig zu wissen, dass der Kunde lokal eigentlich nicht arbeitet (ja, es gibt Benutzer die eigene Notebooks haben, und drauf auch Programme haben), aber generell gilt "sauber halten". Sie arbeiten via Citrix im Rechenzentrum, und am lokalen Rechner macht man eigentlich nur ein Browser-Fenster, tippt man die Zugangsdaten ein, und das war's. Falls ihr Vorschläge für weitere lokale Maßnahmen habt, bitte her damit, wir haben morgen weitere Besprechung zum Thema wie wir das umsetzen wollen, Kosten usw. Ahja, und Thema Kosten wird gar nicht so einfach sein...
  12. Ja, aber hier geht es eigentlich um einen Kunden der keine Server/WSUS oder AD hat. Und ich teste parallel die Lösungen, auch in unserer Umgebung. Ich habe auch hier den WSUS, den ich aktuell "abgedreht" habe, und bin dabei Solarwinds RMM zu testen. Und es funktioniert auch nicht wirklich wie erwartet.
  13. Manche. Das habe ich nie wirklich irgendwie konfiguriert. Was meinst du mit SMB? SMB geht natürlich allgemein...
  14. Es sollte lt. Screenshots der ganze Baum inkl. Rechner angezeigt, sodass man auch einzelne Rechner auswählen kann. Bei mir sind es nur zwei Einträge, beide sind domain.xx gekennzeichnet, einmal ein Baum und einmal darunter das Haus. Ich kann zwar anhaken, aber will das eben nicht. Zuerst würde ich schon gerne mit 1-2 Rechnern in der Domäne testen.
  15. Getan. Mein lokaler Benutzer hat nur die lokalen Admin-Rechte. Und mein Admin-Rechner ist mit einem Benutzer angemeldet, der die Domain-Rechte hat. Weder da noch dort. Eigentlich setze ich bei uns Lansweeper ein. War mir aber nicht bewusst dass man Lansweeper auf diese Weise "missbrauchen" kann. LSAgent liefert normalerweise nur die Infos, kann aber kein WU steuern... oder...?
  16. Mal eine Frage zum ABC-Update: Gibt es bekannte Gründe warum mir ABC-Update nur Domain-Root anzeigt, und nichts weiter? Natürlich wird das Programm auf einem Domain-Member(Server) ausgeführt, mit dem Benutzer der auch Domain-Admin Rechte hat.
  17. Siehe oben: Unser RZ sagt normaler Win10 Client, sonst nicht supportet. Funktioniert zwar, aber der Kunde kann sich selber troubleshooten... manche würden es eh machen, denke ich, aber dieser Kunde sicher nicht. Bevor ich mich in eine Lösung stürze, kann man irgendwie wissen was die Dinger kosten? Es steht nämlich nirgends... und Intune weiß ich auch nicht.
  18. Es geht darum was unser RZ als Gerät verschreibt, und nicht was wirklich funktioniert. Im Supportfall ganz wichtig.
  19. Ja, aber PXE Boot startet den Rechner nicht selber, oder? Notwendig ist es den Rechner entweder per UEFI Bios zu starten, oder eventuell WOL. PXE Boot lädt nur die Images vom Server zB. Daher verstehe ich noch immer nicht was du meinst... warum würde ich immer wieder neue Images laden? Das ist der ganze andere Aspekt den wir wohl betrachten, unabhängig davon was hier wegen Tools gefragt wird. Meine Fragen gingen ja in Richtung Management, aber intern besprechen wir alles was wir dort machen müssen und machen sowieso ein Konzept dazu. Derzeit ist dort alles möglichst einfach gehalten, und so gut wie keine Sicherheit (automatische Windows logons, gespeicherte Kennwörter in der Citrix-Anmeldemaske, keine Doku, kein Management, keine Zentralisierung, Admin-KW bekannt...). Technisch ist es keine Hexerei umzusetzen, aber den Kunden dorthin zu bringen, ist eine andere Sache. Und eben was mir fehlt ist die Sache wie man es technisch managt. Mit dem Thema MSP habe ich wirklich nicht viel zu tun. Und erst gestern über Sachen wie RMM gelesen.
  20. OK, aber soweit ich sehe kann man mit PDQ "nur" deployen, nicht WU ausführen (WU Updates suchen..), sodass die Clients den Rest machen - finde zumindest nichts dazu. Was geht ist die Patches per PDQ zu deployen, also quasi wie WSUS, nur werden sie zu den Clients gepusht, anstatt vom WSUS gezogen. Interessant wäre eher wie zB. im Windows Admin Center die Funktionalität Updates suchen und installieren. Und das zentralisiert sichbar (nicht wie im WAC, wo man in jede VM hingehen muss). Ich weiß nicht wieweit was möglich ist - die Clients suchen i.d.R. die Updates selber, aber manchmal halt nicht, aus welchen Grund auch immer. Wenn man dann auf Suchen geht, kommen ein von einmal die kumulativen Updates. Die Bedinung dass wir es machen eben ist dass die Clients aktuell gehalten werden, aber es reichen ja die automatischen Updates, die man dann eben überwachen soll. Teamviewer, ja kenne ich, bringt uns soweit nicht viel denke ich.
  21. Zum Thema PDQ: kann dieser auch nicht im Netzwerk laufen? Unsere Hosting-Lösung kann dafür nicht herangezogen werden. Sofern das eben für die einfachen Tasks reicht, wäre das erstmal genug. Ich habe es noch nicht herausen, ob man für PDQ ohne Domäne was extra konfigurieren muss... oder geht das eventuell über einem lokalen Admin Benutzer am Client. Ja, über Intune lese ich gerade. Die MDM Lösung wohl. Panda: das sind ca. €200 pro Monat. Grundsätzlich tragbar, wenn es wirklich automatisiert ist und man kann alles aus einer Konsole machen. Werde ich mal nachsehen, danke für den Tipp! Ja, über TC habe ich schon nachgedacht und nachgefragt bei uns im RZ: nicht supportet. Wäre schön gewesen.
  22. OK, nein, das passt schon. Ist schon hilfreich zu wissen dass man auf jeden Fall ein zentrales Management einbeziehen soll. Aktuell ist es dringend notwendig die aktuelle Umgebung zu aktualisieren. Es steht dem Kunden in ca. 4 Wochen eine Umstellung unserer Umgebung bevor, und dafür müssen alle Rechner up-to-date sein. Hier wird vermutlich darauf hinauslaufen, alles händisch zu machen.
  23. Tut mir leid, war nicht die Absicht. Grundsätzlich einfach: wie würdet ihr die Sache bei so einem Kunden angehen? Ist es zeitlich auf Workgroup-Basis machbar und überhaupt sinnvoll? Wenn zentrales Management empfohlen, welche Alternativen hat man zum Management-Server on-premise (Azure AD?)? Konzept steht mal so: Zwei Teile, erstmal die große Aktualisierung aller Rechner. Tlw. neue Rechner, tlw. nur Aktualisierungen (dem Kunden steht eine Umstellung der Citrix Umgebung an, und das muss vorher gemacht werden). Und dann etwas langfristig - und hier stehen wir an. Habe von Intune lediglich gehört, kenne ich aber nicht. Zu bedenken ist dass der Kunde lokal so gut wie nichts installiert hat. Die Clients müssen nur up-to-date bleiben, und unsere Zugangssoftware muss installiert (und up-to-date) sein. Das wäre schön wenn man deployen könnte und sicherstellen dass es überall aktuell ist (so mache ich es bei uns in der Domäne). Ich werde mich auf jeden Fall in das Thema einlesen -> Danke!
×
×
  • Create New...