Jump to content

Ja_Nosch

Members
  • Content Count

    65
  • Joined

  • Last visited

Community Reputation

2 Neutral

About Ja_Nosch

  • Rank
    Junior Member

Recent Profile Visitors

291 profile views
  1. Ich hatte versehentlich nach Updates gesucht, weiß aber nicht mehr, ob ich auf installieren bin - jedenfalls startete das Ding dann irgendwann einfach neu. War ein Testserver mit ner 2019er-Demo, also alles kein Problem - ich erinnere mich aber noch an unschöne Erlebnisse von früher, weswegen ich auch den o.g. Artikel verlinkt hatte (den Autor hat ja offenbar auch was dazu bewogen, da ne Lösung zu finden :-). Ja, Updates haben zeitnah installiert zu werden, ja danach ist neu zu starten, alles richtig, aber für mich hat ein Server unter keinen Umständen selbst ne Entscheidung zu treffen. Wie stupide dieses System von Windows 10 übernommen wurde, sieht man, wenn man sich das "Konzept" der Nutzungszeiten ansieht, die es so bei einem Server einfach nicht gibt.
  2. Es wundert mich, dass wir hier in einem IT-Forum von "paranoid" schreiben, auf der anderen Seite im Forum aber (zu Recht) IT-Sicherheit hochgehalten wird. (Nicht nur) als Berufsgeheimnisträger sollte jede/r dieses Thema hochhalten, was aber leider in der Praxis nicht passiert - das genau ist doch auch, was in diesem Forum oft kritisiert wird. Klassisches Beispiel ist doch, dass den Leuten von Mailverschlüsselung erzählt wird, da aber nur die die Transportverschlüsselung gemeint ist. Schaut man dazu noch bei großen Hostern in die Einstellungen derer Webmailer, sieht man, dass selbst die mit den dahinterstehenden IMAP-Servern ohne SSL/TLS kommunizieren ... Wir kommen aber vom Thema ab. Ich war einfach erschrocken, als ich gesehen habe, wie leicht man bei HE im Virtuozzo PowerPanel (VZPP) auf das Dateisystem "seines" Windows-VPS zugreifen kann - und das auch bei (bis auf den RDP-Port) geschlossener Firewall und keinerlei anderer User in der Windows-Benutzerverwaltung. Hat jemand von Euch Erfahrung mit IPMI-KVM von Supermicro? Dieses System war bei besagtem Hoster schonmal in der Fachpresse, wegen Sicherheitslücken und es gibt da noch immer Fehler / veraltete Softwarestände. Ohne KVM ist aber keine Lösung für mich bei nem dedicated Server. Ihr habt doch sicher auch hin und wieder die Anforderung, dass vom Host auf eine VM nicht zugegriffen werden können soll - wie regelt ihr das? Nicht umsonst gibt es seit Windows Server 2016 ja die Shielded Virtual Machines, wenn auch kein Anwendungsfall für mich. Danke Euch für Ideen P.S.: @Nobbyaushb habe in einem anderen Thema Deine private Ausrüstung gesehen, da kann man ja neidisch werden - top. "Garage" wäre bei mir auch eine Alternative, allerdings klappt es dann wegen der dynamischen IP-Adressen nicht mit dem eigenen Mailserver (klappt schon, aber Du bist halt bei sorbs direkt wegen Deiner IP auf der Liste). Gerne per PN Infos zu der KVM-Problematik, die ich meine.
  3. Lieber Nobbyaushb, danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun? Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen.
  4. Vielen Dank für die Mühe, @Sunny61! MS hat wohl die Methode mit Reboot --> Reboot.bak + Reboot-Ordner erstellen gestopft. Traurig, dass man seinen Server austricksen muss, damit er durchläuft. @Testperson, ich wüsste nicht, was diese Fragen hier zur Sache tun?! Meine Frage- bzw. Problemstellung war doch klar: ich will nicht, dass der Server ohne mein Zutun / ohne meine Aufsicht neu startet. Welche Rolle spielt es da, ob der Server in nem Krankenhaus die Gebäudeleittechnik steuert oder zu Hause fürs Videostreaming zuständig ist? "Einfach" einen weiteren dazutun - was sollte das bringen? Der hat dann ja wieder diese Eigenheit und wer sagt mir, dass nicht beide zur selben Zeit Updates installieren wollen?! Auch die Frage, weshalb Bitlocker benötigt wird, erschließt sich mir nicht.
  5. Ein plötzlich neu startender Server, der dann an der Bitlocker-Kennworteingabe hängt, ist auch kontraproduktiv ... Gibt es eine GPO-Einstellung, die dafür sorgt, dass der Server unter keinen Umständen neu startet? Oder bleibt nur der o.g. Workaround? Danke! Edit: Unter Server 2019 klappt dieser Trick nicht mehr (siehe https://serverfault.com/questions/952657/server-2019-updateorchestrator-reboot-missing). Welche Möglichkeit habe ich, einen automatischen Neustart unter allen Umständen zu unterbinden? Danke!
  6. Niemand eine Idee für dieses Szenario, das doch sicher für jede/n relevant ist, der IT (teilweise) in externe Rechenzentren auslagert?
  7. Hallo Community, gibt es zwischenzeitlich eine zuverlässige Lösung, bei Windows Server 2016 oder 2019 den automatischen Neustart nach Updates zwingend zu verhindern, außer über diesen Workaround: https://www.mioso.com/automatischer-neustart-nach-updates-deaktivieren-windows-server-2016/? Danke.
  8. Guten Morgen! Ich möchte von einem gemieteten VPS (also eine virtuelle Maschine) bei meinem Hoster wechseln zu einem dedicated Server, also eigener Hardware. Darauf soll u.a. ein eigener Mailserver betrieben werden. Nun geht es mir um das Thema Sicherheit und wie ich Zugriffe Dritter - z.B. Personal des Hosters - auch technisch ausschließen kann, insbesondere da der dedicated Server ja nicht in meinen Räumlichkeiten steht (und man normalerweise sagt, dass der, der den Zugriff auf die Hardware hat, auch Zugriff auf die Daten hat). Auf dem Server soll Windows Server 2016 oder 2019 laufen (Lizenzen werden über Hoster mitgemietet). Prinzipiell könnte ich ja einfach Bitlocker aktivieren, ggf. nur mit Key beim Booten (müsste dann über KVM eingegeben werden), dann wäre ich zumindest sicher, wenn jemand den Stecker zieht und die Hardware entwendet. Ich sehe aber Probleme beim laufenden Betrieb. Auf den Servern ist eine IMPI von Supermicro installiert (Screenshots siehe hier: https://serverfault.com/questions/452063/entering-bios-setup-from-supermicro-ipmi-kvm). Als "Operator" kann ich diesen Zugang nutzen, z.B. um mich über KVM schon während des Bootvorgangs aufzuschalten. Weiß jemand, ob der Hoster über diesen Zugang auf Festplatten zugreifen kann? So wie ich es bisher sehe, ist das nicht möglich, er kann lediglich Sensoren u.ä. auswerten (CPU Temperatur etc.). (Anders kenne ich das vom VPS z.B. einem großen Provider, dort kommt man über das Virtuozzo-Panel über den Kundenbereich auf die Daten des eigenen VPS, auch wenn man dort alle User gesperrt / PW geändert hat! Ist aber ja auch Virtualisierung). Um das ganze aber sicherer zu machen, habe ich mir überlegt, den Host nicht zu verschlüsseln, sondern lediglich die einzelnen Hyper-V-Maschinen (2 darf ich ja betreiben). Ich hätte dadurch auch den Vorteil, die Bitlocker-Keys nicht via (unverschlüsseltem!) KVM, sondern über die RDP-Sitzung des Hyper-V-Hostes eingeben zu können. Welche Möglichkeiten hätte ein Angreifer hier noch, an Daten aus den Hyper-V-Gästen zu gelangen? Zieht er den Stecker, ist sowieso aus, weil die Verschlüsselung beim Neustart abgefragt wird. Schafft er es, z.B. über IPMI, auf den Hyper-V-Host (was in meinen Augen bereits unwahrscheinlich ist), sehe ich keine Möglichkeit, auf die eingebundenen Hyper-V-Gäste zugreifen zu können, auch wenn diese laufen. Mache ich einen Denkfehler? Vielen Dank für Euren Input.
  9. Was VPN anbelangt: da is es doch, wenn ich mich nicht irre, nur für ggf. späteres Site-to-Site problematisch, weil er dann die Adressen des fremden Netzes im eigenen sucht, oder? Als Client in ein fremdes Netz per VPN zu verbinden dürfte doch unproblematisch sein, da er ja dann alles dortin routet, per default? Das mit den Multicasts interessiert mich aber jetzt schon noch
  10. Das war nur ein (doofes) Beispiel. In der Tat würde ich immer solche Netze wählen, die durch Änderung der Subnetmaske leicht erweiterbar wären. Trotzdem soll es etwas exotisch sein, wegen anderer VPNs.
  11. Du rätst also von meiner geplanten Adressaufteilung ab? Ich habe eben keine Lust auf 192.168.20.1 bis 192.168.20.254, das ich dann z.B. so unterteile: 192.168.20.1 bis 192.168.20.10 Router/Switch, 192.168.20.11 bis 192.168.20.50 Clients etc. Wo kann ich denn mit Multicasts Probleme bekommen? Vodafone TV bzw. T-Entertain? Danke.
  12. Hallo, ich richte derzeit mein privates Netzwerk neu ein und denke über ein neues IP-Adressdesign nach. Im Moment gibt es drei Standorte der Familie, die über VPN miteinander verbunden sind: Standort A: 192.168.10.0 / 255.255.255.0 (CIDR: 24) Standort B: 192.168.20.0 / 255.255.255.0 (CIDR: 24) Standort C: 192.168.30.0 /255.255.255.0 (CIDR: 24) Die so an einem Standort zur Verfügung stehenden IP-Adressen von .1 bis .254 werden langsam knapp, vor allem, wenn man untergliedert (z.B. .40-.50 nur Server etc.). Daher dachte ich daran, auf das 10er-Netz umzustellen, z.B. für den Stanort A: 10.200.8.1 - 10.200.15.254 / 255.255.248.0 (CIDR: 21), dies könnte weiter untergliedert werden, z.B. wie folgt: 10.200.8.0 - Router, Switche, Repeater etc. 10.200.9.0 - Server mit fester IP Adresse 10.200.10.0 - Hausautomation 10.200.11.0 - DHCP 10.200.12.0 - VPN 10.200.13.0 - Reserve 10.200.14.0 - Reserve 10.200.15.0 - Versuch / Test Der nächste Standort würde dann ab 10.200.16.0 beginnen. Was haltet ihr von der Idee? Genügen für eine spätere Hausautomation 254 IP-Adressen (KNX?)? Ggf. läuft das dann sowieso über IPv6. Welche Unterteilung würdet ihr vornehmen? Danke für Eure Vorschläge!
  13. Die Anforderungen sind, dass es ein Server mit mehreren VMs für den Privatgebrauch und mein Kleingewerbe sein soll. Ich habe mich nun gegen das Raid entschieden, weil es, wie oben auch angedeutet wurde, letztlich nur Schlangenöl wäre, weil alle anderen Komponenten ja auch nicht redundant sind (Netzteil, Internetanbindung etc.). Ich investiere lieber mehr in Backups, die Ausfallzeiten sind in jedem Falle zu verkraften. Erst dachte ich noch, dass ich 2 x die kleinere SDD nehme, aber die hat wohl schlechtere Werte. Kann noch wer sagen, ob ich von den Intel-DC-Produkten mit der S4600 gut beraten bin, gerade als Gast für VM? danke Euch!
  14. Wenn ich nochmal drauf zurück kommen kann ... im konkreten Fall dann besser nur die Intel-SSD ohne Raid, statt 2 x Intel-SSD mit Software-Raid, korrekt?
  15. Doch, alles da, aber ich hatte auch immer im Kopf, dass die Aktivierung nach so und so vielen Neuinstallationen streikt. Da bin ich beruhigt, wenn das offensichtlich nicht so ist.
×
×
  • Create New...