Admin666

Das klingt schon recht gut wenn du sorgen wegen Diebstahl hast kannst ja noch Smartcards verwenden. Ist auch angenehmer für den User.

Ansonten Mitarbeiter schulen wäre noch ein Ding das mir einfallen würde.

Veeam lässt hier auch keine andere Meinung zu die sind da sehr genau. (Siehe link von meinem Post)

Bei etwas anderem als Veaam (zumindest kenne ich das nur bei Veaam) hast du 100% Recht.

In diesem Fall hingegen muss das so gemacht werden sonst treten nur Probleme auf.

Kam auch erst 2016 raus der Artikel also noch recht "neu" .

Allen noch ein schönes Wochenende.

@Marco31 hoffe es klappt und dein AD läuft wieder so wie es soll.

Ne Nils,

sorry aber die autorisierende Wiederherstellung braucht man um einen kompletten Haupt DC als erstes wiederherzustellen, aus einem Veaam Backup. Wenn du einen DC wiederherstellst wird das standartmässig nicht autorisierend wiederhersgestellt sprich der DC versucht von anderen zu replizieren. Tja doof das dann keiner da ist dafür. Der erste DC MUSS!!!!! durch eine Autorisierende Wiederherrstellung aus dem Veaam Backup wiederhergestellt werden damit er weiss er hat jetzt das sage,n die nachfolgenden DCs können so wiederhergestellt werden. Glaub mir wir mussten das nach der Flut 2021 auf die harte Tour lernen. Ich glaube was du meinst sind reine AD Objekte in einer laufenden AD komplett was anderes.

Sollte es in der Regel.

Wie gesagt erst den Haupt DC wiederherstellen. Hatte der alle FSMO Rollen auf sich?

Dann den anderen DC (und weitere fals vorhanden), replizieren lassen und wenn alles ok ist die anderen Server und Clients ans Netzwerk.

Oh Gott da bekomme ich Flashbacks von der Flut damals hier.

Hoffe es ist nicht so schlimm.

Sind deine Clients schon am DC angebunden? Wenn ja bitte alle herunterfahren.

Ansonsten wäre meine Meinung dazu alle DCs raus (herunterfahren) und den aus dem Backup wiederherstellen.

So das nur der DC läuft dann entweder die wichtigsten Clients hochfahren und schauen ob es Probleme gibt oder wenn du die Zeit hast dann würde ich erst den DC2 hochstufen und schauen ob die Replikation richtig funktioniert und was die logs sagen.

Probleme können immer auftauchen bei so viel rumgebastel an der AD.

Ich würde dir empfehlen eine Autorisierende Wiederherrstellung von deinem Backup zu machen.

Wenn du dazu details möchtest hier ein Link der erklärt eig so alles.

KB2119: Wiederherstellen des Domänencontrollers aus einer anwendungsorientierten Sicherung (veeam.com)

Wenn du einen DC wiederherstellst gibt es ja verschiedene Arten, hast du hier die richtige ausgewählt?

Nicht autorisierende vs. autorisierende DC-Wiederherstellung

Moin Moin,

Bei uns läuft schon die Klimaanlage, es hat zwar geregnet aber es waren schon 20°C heute morgen.

Ah ok danke für die Info.

vor 58 Minuten schrieb Damian:

Wie wäre es angesichts der Temperaturen mit Eiskaffee?

Hmm Eiskaffee, na toll jetzt hab ich voll Bock darauf

 Hallo Nils,

es kann sein das man meinen Beitrag falsch verstehen könnte das stimmt. Ich bin nun mal sehr direkt und rede nicht um den heißen Brei und meine das absolut nie böse.

Aber ich stelle auch nur Fragen und mache Aussagen basierend auf den Beiträgen die vorher gepostet wurden.

vor 48 Minuten schrieb NilsK:

Hier bist du ziemlich auf dem Holzweg. "System Engineer" hat mit Studium nichts zu tun

Um System Engineer zu werden, solltest du einen Bachelorabschluss im Bereich Informatik oder Ingenieurwesen haben. Es gibt auch einige Masterstudiengänge System Engineering, die du absolvieren kannst. Danach kannst du mit einem Trainee in den Job einsteigen.

Quelle: ▷System Engineer: Alles, was du wissen musst! (unicum.de)

Das klingt für mich aber sehr stark danach das man studieren muss. Oder gibt es noch einen anderen System Engineer? (Ernsthafte Frage nicht das wir von 2 verschiedenen Berufen reden )

@andrew

Wie gesagt verständlich aber trotzdem keine Entschuldigung.

Der Zugriff der vorherigen Admins bzw. Mitarbeiter ist zu unterbinden sei es durch ändern der PWs oder anderen Maßnahmen.

vor 21 Stunden schrieb andrew:

Admin Accounts konzentriert, wo ich wusste, da kann nichts schief gehen, wenn ich diese ändern, z.B. den lokalen Admin user für den vCenter Zugriff.

War in deinem Beitrag nicht die Rede das genau dieser Account genutzt wurde für die Snapshots zurück zu spielen? Also irgendwas passt hier nicht zusammen.

Dann fällt mir auch das du immer auf dem Wort System Engineer rumreitest, Studierte sind ja schön und gut aber meine persöhnliche Meinung ist da, lieber ein Systemadmin mit Berufserfahrung als ein weiterer System Engineer. Level 2 und 3 Supporter reichen dicke aus um eine ESX Infrastruktur plus VMs zu managen, die haben sich auch nur auf Informatik spezialisiert und nicht noch Maschinenbau und Elektrotechnik im Kopf.

vor 22 Stunden schrieb andrew:

Aber wenn ich/ wir nur am Feuer löschen sind, da hast Du schlicht und ergreifend keine Zeit, nebenben noch Strategien und Visionen ausztuarbeiten, so wie es sich normalerweise für einen IT-Leiter gehört :-(

Wilkommen im Alltag ich muss beides machen und bin kein IT Leiter sondern "nur" Sysadmin.

Desweiteren wenn bei euch so viele "Feuer" zu löschen sind läuft da eh was falsch.

Zurück zum Thema,

sollte der Zugriff von aussen nicht schnell unterbunden werden wird dir das noch öfters passieren.

Eine weitere Frage ist dann noch warum kann man ohne VPN Verbindung auf euer Netzwerk?

Wenn ihr eine habt, warum wurden die Acc. der Vorbenutzer nicht gesperrt?

Sollte das wieder nur ein Acc sein, und zwar der Admin Acc, bitte sofort mit Prio 1 ändern.

Achja,

vor 22 Stunden schrieb andrew:

bei einem Dienst, bei einem Task oder was weiss ich wo hinterlegt wurde (was man normalerweise früh lernt, nie zu machen > Admin User für solche Zwecke hinterlegen)

wie du schon selber sagst keine gute Idee, wenn dein Team mal etwas gewachsen ist und ihr mehr Luft habt bitte umgehend ändern sollte dies der Fall sein.

Ich kann dich aber größtenteils verstehen musste auch die ein oder andere Infrastruktur neu aufbauen bzw optimieren weil die Vorgänger einfach gegangen sind.

Moin moin,

Bei uns auch schon extrem warm, aber sehr bewölkt und hoffentlich kommt bald etwas Regen.

Ansonsten Klimaanlage.

Am Wochende soll es bei uns nochmal bis zu 32 Grad werden.

Regen wäre mir lieber, meinem Computer auch und achja Natur brauch das auch .

Zur Sicherheit hab ich da mal ein paar Fragen.

Warum wurden die Admin Passwörter nicht geändert? Das sollte in deinem Scenario als erstes passieren.

Wenn du jetzt sagst du hattest viel zu tun und keine Zeit ist das zwar verständlich aber trotzdem keine Entschuldigung.

Können Die PWs von euch geändert werden oder muss das die Zentrale IT machen?

Ist euer VM-Center online? Bzw von aussen erreichbar?

Ist alles Up to Date? (Inklusive Sicherheitspatshes von VM-Ware)

Habt ihr ein Admin Konto für die Verwaltung vom AD oder mehrere Konten mit erweiterten Rechten?

Wie weit könnt ihr ohne die Zentrale IT in der AD administrieren?

In euer Größe habt ihr da mal über ein anderes System nachgedacht als euch nur auf Passwörter zu verlassen?

vor 21 Minuten schrieb Dukel:

Statt einem Managed Switch mit VLans kann man ja auch zig Unmanaged Switches nutzen ;)

 

Naja um fair zu bleiben das sind 48 Port switche die fast voll belegt sind also Hardware sparen kannste hier nicht mehr. Die Anzahl bleibt also gleich.

@Squire Der Kunde will bei den Switchen bleiben weil die aus Ehrfarung (deren Worte nicht meine) weniger Probleme damit haben und der Austausch einfacher ist. Klar unmanaged Switche ist einfacher raus rein fertig aber das sollen die wissen ist mir egal.

vor 8 Minuten schrieb Squire:

dann würde ich das ganze Routing über einen entsprechenden Router/Firewall mit entsprechend ausreichenden Netzwerkinterfaces machen und bei den DCs die zusätzlichen Netzwerkkarten rauswerfen/deaktivieren.

Haben wir im Endeffekt auch gemacht. Die Backuplösung haben wir geändert so das es kompatibel mit allem ist und die DCs sind nur noch über ein Netz erreichbar.

Hat die Probleme gelöst.

Wir werden noch das ganze Netzwerk überarbeiten, mal aus vielen Netzen weniger machen und das ganze mal dokumentieren. Damit meine ich die Kabel an sich das sieht nicht schön aus wenn man da einen Kabelkanal aufmacht.

Der Kunde war weniger begeistert darüber allerdings musste der in den sauren Apfel beißen, sonst hätte der sich jemand anderen suchen können.

Das mit den Multihomed DCs muss ich zu meiner Schande gestehen war mir neu. Hab das in meinen ganzen 2 Jahren die ich nun in der IT arbeite noch nicht gesehen .

@Nobbyaushb Ist mir bewusst.

Unsere RC 400 G5 hat 25 GigaBit/s Durchsatz btw. ist allerdings auch ne Business Lösung.

Die sind auch nicht zu tief und lassen sich super im Serverschrank unterbringen.

Bin recht zufrieden damit.

@Weingeist Keine Ahnung von welchemHersteller du diese Informationen herbekommst, aber wir benutzen SecurePoint RC400 Cluster und wäre mir neu wenn man da für Updates extra zahlen muss. Wenn wir ein Teil brauchen rufen wir bei denen an und bekommen es zugeschickt, der Einbau erfolgt bei uns bzw. Kunden vor Ort. Und so lange du die Lizenz hast ist Service mit drinne.

Kann aber auch sein das wir anderen Service haben, wir sind Certified Partner bei denen.

Zur Bandbreite, wir haben unsere mit 8 Licht- und 4 Kupferports ausgestattet, da es ein Cluster ist das ganze dann 2mal und das reicht von der Bandbreite dicke. Die FW kommt damit super klar.

@Weingeist Naja gut Wartung machen wir selber diese Kosten fallen schon mal weg bei uns.

Ich weiß jetzt nicht ob du externer oder interner bist.

Aber wenn ein Kunde bei uns schon bei der FW spart, ist das in der Regel eine "red flag" für uns. 

Am 27.5.2023 um 10:30 schrieb Weingeist:

An die Nutzung der Firewall welche jeweils den Internet-Teil erledigt, habe ich durchaus auch schon gedacht. Aber ich möchte ja eben nicht ein Gerät ohne doppelte Netzteile etc. als wichtiges Bindeglied haben. Gibt nur wieder Potential für super dringende Einsätze vor Ort und genau die möchte ich möglichst verhindern. Dann lieber eine Appliance. Oder eben Windows Aber Windows schlage ich mir wohl wieder aus dem Kopf auch wenn mir die Filtermöglichkeiten der Firewall ausreichen würden bzw. teilweise sogar einfacher ist (koppeln mit AD-Konten z.B.)

Ah ich verstehe, du denkst es gibt nur Firewalls mit einem Netzteil und das wars. Nein da kann ich dich beruhigen es gibt da weitaus mehr, eine Firewall würde ich sowieso nie empfehlen mindestens einen Cluster in einer Produktions-Umgebung. Spart Zeit und Nerven glaub mir. Und keine Virtuelle FW das ist nichts dolles lieber gute alte harte Ware hier.

Das Anmelden bei der RDP Sitzung funktioniert immer? Oder auch mal ne längere Wartezeit oder "komische Bugs"?

Hmm was für eine Firewall benutzt ihr denn?

Eine Firewall als Physisches Gerät hat ja eh mehrere NICs die können je nach Hersteller einfach mit einer Bridge oder mit bestimmten Routing Regeln versehen werden.

Normalerweise sollte die FW eine Bridge machen können so wie du dir das möchtest. Ansonsten sehe ich hier nur Routing mit strengen Regeln als Alternative wenn es einfach bleiben soll.

Wenn du nur bestimmte IPs miteinander reden lässt über bestimmte Protokolle sollte in der Theorie alles soweit gut sein (natürlich davon abhängig wie euer Netzwerk aussieht).

Wenn das Maschinen Netz nicht ans Internet angebunden ist, kommen die Bedrohungen ja von dem Clients oder den Servern die du als nicht bedenklich empfindest, (again laut Theorie) also solltest du schon mal dort anfangen die Sicherheit höher zu setzten.

An sich klingt das hier nach einer normalen Produktions Umgebung, wenn ihr Daten von aussen hereinbekommt sollten diese erst in euer Netz gelangen wenn diese "sicher" sind (hier sind halt ne gute FW und ein gutes AV zu empfehlen).

Zurück zu deinem Problem, diese unsicheren Clients (XP,7 etc) sind hoffentlich nicht in deiner Domäne. Zur Not kannste ne Taktik einsetzen die ich bei uns bebracht habe.

"Wenn Sie das Gerät nicht bald ersetzen dürfen Sie nur noch mit USB-Stick Daten hin und her tauschen". Hat sogar funktioniert.

OK genug mit "Jarvis" gespielt,

Ist das vl seit einem Update? Welche OS und Server OS sind hier im Einsatz?