magheinz

Leider nein, das ist auch mein Problem. Einen Hinweis auf opentftp hatte ich noch gefunden. Ich werde mir das nach Ostern noch mal anschauen. Dummerweise stehen einfach zu viele konkrete Projekte an um mir den atftp mal wirklich intensiv anszuschauen. Da muss die Zeit "immer mal zwischendrinn" ausreichen.

auch, an sich habe ich die switchconfigs fertig. ich muss sie nur noch verteilen. Ich denke der atftp wird die Lösung. Schade das der MS-DHCP-Server da so statisch ist.

fipptehler vorhin. nicht der sftf-server kann das sondern der atftp-server, also eine konkrete implementierung eijnes TFTP-Servers! Windowsclients sind mir egal. Es geht aussschliesslich um die SG300 und ob ich einen Weg finde die ohne Cisco-Managementtools in Betrieb zu nehmen. Ich habe halt, bedingt duch die Verkabelung (Glasfasern von zentralen Räumen bis in die Büros) in jedem Büro einen SG300 stehen, also ca 200 Stück. Zumindest sieht so das Ziel aus. Die Frage ist also wie schaffe ich es das auch meine Kollegen die Geräte in Betrieb nehmen können ohne sich mit "Netzwerkzeugs" auszukennen. Die Konfigdateien vorbereiten ist kein Problem, das kann ich scripten. jetzt suche ich einen Weg die auf die Geräte zu bekommen mit soetwas ähnlichem wie einem PLugAndPlay-Verfahren. Router sind da nicht dazwischen. Alle Liegenschaften hängen über darkfiber direkt am backbone. Nur mit den VLANs muss ich noch mal überlegen wie ich das mache.

Ich würde einen router nehmen der die VPN-Funktionalität bereitstellt und das nicht einem Server hinter dem router überlassen. openvpn z.B. ist in der Lage https-Traffic der nicht zum VPN gehört an einen anderen Server weiter zu leiten. Falls das also der router nicht kann nimm ein kleiner Linuxserver der openvpn kann und leite dann den https-verkehr an den exchange weiter. Das sollte funktionieren. edit: je nach dem könnte da ein raspberry pi reichen! Magnus

Leider hab ich keine fortlaufenden MACs. Ich habe eventuelle einen anderen Ansatz gefunden: der stftp-Server scheint da etwas variabel zu sein und Dateinamen mit regulären Ausdrucken verarbeiten zu können. Lieber wäre mir allerdings das auf DHCP-server seite machen zu können. Wichtig ist halt das jedes Gerät SEINE konfig bekommt da sich diese mindestens bei IP und hostname unterscheiden. 200 Config-Dateien lassen sich wunderbar im GIT verwalten. Jetzt muss ich nur noch dafür sorgen das sich jedes Gerät seine spezielle Datei zieht. mal schaun was mir oder anderen noch so einfällt... Magnus

Hallo alle, hat jemand einen spontanen Einfall wie man bei ca 200 Cisco SG300 Switchen die firmware upgraden kann ohne jeden einzeln (remote) anzufassen? frohe Ostern, Magnus

Hallo alle, kann ich einem 2008R23-DHCP-Server bei der DHCP-Option 67 (Bootfile-Name) als Wert etwas mit einer Variablen mitgeben? z.B. die MAC-Adresse asl Variable? Falls es mögliche Variablen gibt, hat jemand eine Liste? ich finde rein gar nichts zum Thema... Vielleicht kurz zum Hintergrund: Ich würde gerne ca 200 Geräte mit einer einheitlichen Konfiguration, fester IP und festem Hostname versorgen ohne für jedes Gerät eine DHCP-Reservierung anzulegen. Die Geräte können sich per DHCP-Autoconfig eine Config-Datei holen. Happy Eier-Searching, Magnus

wenn ich das richtig sehe wird nur NAP abgeschafft. Die Konfiguration liesse sich aber in nullkommanix mit freeradius umsetzen. Das war auch mein erster Ansatz bis ich auf die ganzen Ausnahmen gestossen bin. z.B. haben wir teilweise nur ein Glasfaserpaar wo an einem Switch eigene Geräte, Fremdgeräte und Kassen hängen. Insgesamt haben wir knappe 200-250 Accessswitche. Die will ich möglichst einheitlich konfigurieren. Die will ich alle in einem eigenen VLAN haben. Bisher sind die Ports auf den Switchen halt statisch je nach Liegenschaft konfiguriert was in vielen Fällen zu unhandlich ist. Ich kann meine Kollegen mangels CIscokenntnisse nicht auf die switche loslassen.

so, mit Sicherheitsgruppen + NPS funktioniert das alles so wie gewollt. Die Rechner gehen je nach Gruppe in das entsprechende VLAN oder halt ins GästeVLAN. Falls MS die Rolle in Zukunft so nicht mehr anbietet ist ein Umstieg auf einen anderen Radiusserver ohne Probleme möglich. Jetzt muss ich also die Rechner alle in die entsprechenden Sicherheitsgruppen packen und 802.1x auf den Geräten einschalten. Dann bastel ich mal ein script welches Rechner anzeigt die in mehr als einer der entsprechenden Gruppen Mitglied sind. Mal sehen ob ich das auch im icinga monitore. Danke an alle die geholfen haben.

Ich hab nunmal nur als Merkmal die OU des Rechners. Ob ich mich mit NPS weiter beschäftigen muss ist ja gerade die Frage. Wenn das mit Windowsboardmitteln nunmal eh nicht geht brauche ich mich mit dem Dienst auch nciht weietr beschäftigen. Ich möchte keine SubCAs installieren, darum geht es ja gerade. Die Rechner sind alle gleich, das einzige Kriterium um sie zu unterscheiden ist die OU im AD. Ich teste das jetzt mal mit einer Vorlage bei der das Format des Antragstellernamens "vollständiger definierter Name" ist. Da müsste dann doch der DN drin stehen, also auch die OU. Nach der kann ich dann entscheiden welches VLAN. Dann müsste ich aber dafür sorgen das auch jedes mal wenn die OU gewechselt wird ein neues Zertifikat erzeugt wird. Auch nicht optimal. Die Rechner in Sicherheitsgruppen zu packen ist auch keine Lösung. Die Fehlerquelle ist zu groß. Ganz schnell sind dann z.B. Rechner in mehreren Gruppen gleichzeitig. Das endet im Chaos. Falls du eine bessere Idee hast das genannte Vorhaben umzusetzen als nach den OUs zu filtern, lass hören. zumindest ein Stichwort wäre da nett. Danach kannst du mich gerne als beratunsgresistent abstempeln. Ok, ich komme wohl nicht um Sicherheitsgruppen herum wenn ich das mit WindowsBoardmitteln abbilden möchte. Die Ausgangsbedingungen sind nunmal so wie sie sind z.B. mehrere potentielel VLANs pro Standort. Die kann ich nicht ändern. Mal sehen wie ich das zu erwartende Chaos der Guppenmitgliedschaften geregelt bekomme.

Was nutzen wir? direktes routing ins DFN :-) Was nutzen andere im Umfeld die nicht am DFN hängen? Allerdings kenne ich niemanden der einen Geschäftsanschluss bei einem Kabelanbieter hat. Da scheint in meinem Umfeld eindeutig die Telekom zu dominieren. Einer hat glaube ich Alice. Den Providerrouter nutzt niemand als Router, höchstens als Modem. Bei DSL-Anschlüssen nicht mal das da sowohl Telekom als auch Alice kein Problem damit haben einen anderen Router zuzulassen. Im Gegenteil, die Telekom verkauft einem sogar auf Wunsch Speedportalternativen. Als Router setze ich dann gerne die cisco 800er ein. Das ist aber eine persönliche Vorliebe, auch andere Hersteller sollten funktionieren.

Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet. die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä. Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber.

na dann werde ich wohl mal sehen ob das nicht mit freeradius einfacher umzusetzen ist. Die Zuordnung der VLANs anhand der OU hat dem Charm das jeder Depp das bedienen kann und es trotzdem höchst flexibel ist. Wird das verschieben in die korrekte OU vergessen hat der Rechner kein Netz und die It-Abteilung wird zeitnah per Telefon informiert :-) Zum Testen können wir jede Rechner überall einstöpseln und er funktioniert so wie er soll. mal sehen ob das mit freeradius geht...

Ohne zu wissen ob von den Kabelwegen her die Anzahl an Switchen bleiben muss und wieviele Ports pro Switch benötigt werden ist das schwierig. Ich hab hier, knapp doppelt so viele user zwei Cisco Catcalyst 4507 als VSS-Pärchen und dann im dritten Gebäude einen 3850 mit 24-Ports. Das ganze quasie als Dreieck mit 10GB als Backbone verbunden. Die beiden anderen Liegenschaften sind per darkfiber mit 1G oder 100Mbit verbunden und dort läuft jeweils auch ein oder zwei gestackte 3850. Gibts im Nachbargebäude auch einen Serverraum? Wie lang sind die Glasfasern? Multimode oder Singemode? OM1/2/3 oder OM4 oder halt OS1 oder OS2? Man könnte die beiden zentralen Gebäudeswitche schön mit 10G oder 20G verbinden und über die übrigen Fasern die Server redundant anbinden.

Wenn du das richtig gelesen hast ist meine Erfahrung: It depends on... Erzähl mal wie dir das wirklich weitergeholfen hat ohne Das du z.B. weisst wie lange wir backups aubewahren. Wie shcieben die Daten derzeit nicht noch woanders hin, Die beiden Systeme sind schon in zwei verschiedenen Gebäude. Mit mir wirds es auch kein bakup-to-cloud o.ä. geben, WIr haben am anderen ende der Stadt noch eine Liegenschaft. Da könnte man noch ein zweites Backup bauen. Diese snapshotbassierte Lösung mit Anwendungsagenten(Exchange, oracle etc) hat den charmanten Vorteil nicht mehr an Backupfenster gebunden zu sein. Das rüberschaufel über Nacht geht über eine dedizierte, redundante, 10GB-Strecke.

Weil ich des öfteren verschiedene VLANs auf einem Switch haben muss. z.B. ein Rechenr der ein Infoterminal ist und ein kassensystem

Das ist aber nunmal gewünscht. MIt einem VLAN ist das einfach, da weiss ich was ich machen muss. Das wusste ich nicht. Was wird denn dann die neue Vorgehensweise sein? Fällt die komplette Rolle NPAS weg? 802.1x ist auch klar. Ich hab in den Büros cisco sg300er im Einsatz. Die Frage die sich aufgetan hat ist wie man da die Liegenschaften unterscheidet. Ob man mehrere CAs oder unterCAs benötigt oder ob man da irgendwie anhand der OU in der sich der Rechner befindet unterscheiden kann.

Also wir haben im Primärspeicher NAS/SAN mit 72*1TB-Platten und im Backup eines mit 48*2TB. Bei beiden ist dedup+compression an. gebackupt wird per snapshots wovon einige am Primärspeicher vorgehalten werden und nachts der letzte auf das Backupsystem geschoben wird. Die dedupraten sind halt je nach Datentyp sehr unterschiedlich, deswegen wäre es wichtig zu wissen was für Daten du da sichern musst. "Server" sagt ja erst mal nicht viel. Ich würde auf ein NAS setzen welches ich bei Bedarf noch erweitern kann denn dedup hat eine blöde Eigenschaft: wenn es dir vollläuft hilft es nicht unbedingt was die Backups vom vorvorletzten Jahr zu löschen, das reduziert dann gerade mal die Deduprate, bringt dir aber noch lange keinen Speicherplatz zurück. Und 5Jahresplanung in der IT und das im Bereich Storage? Wir versuchen das ja auch, aber die Realität ist meistens schneller als wir-

Vohanden ist eine Windows AD mit einer funktionierenden PKI. Ich würde jetzt gerne dafür sorgen das Rechner mit Zertifikat in ein bestimmtes VLAN kommen und Rechner ohne in ein "Gast-Netz". Soweit so einfach. Wenn ich jetzt aber meine Rechner in verschiedene VLANs stecken möchte, z.B: pro Liegenschaft ein anderes, wie gehe ich da vor? Brauche ich dann unter-PKIs damit die unterschiedlich unterschriebene Zertifikate bekommen oder kann ich z.B. auch nach OU im AD unterscheiden? Ich bräuchte da mal einen Schubser in die richtige Richtung. Magnus

wie wäre es mit Cisco? 3* WS-C3850-24P-S mit jeweils dem 4*1GB-SFP-Modul. Das wären dann genügend Fiberports + genügend Kupferports. Hier wäre auch 10G möglich! oder, was etwas billiger kommen dürfte: 3*WS-C2960X-24PS-L jeweils mit Stackmodul. Alcatel kenne ich nicht und die HPs haben mich nie überzeugt. Ich würde da auch etwas nach den persönlichen Vorlieben der Admins gehen, Wenn die eher cisco kennen, dann cisco und wenn die eher HP kennen dann halt HP.

Ich finde es äusserst unschön nicht sagen zu können wer sich eingeloggt hat, wer auf irgendwelche Daten zugegriffen hat, wer eine email geschickt hat usw. Wenn sich da mal einer "unschön" von der Firma verabschiedet ist der Teufel los. Bis der weg ist hat der alle anderen im Griff. Und das nur weil es zu viel verlangt ist das sich jeder selber am Rechner anmeldet. So meldet sich Person1 morgens an und PersonX abends ab. Wer dann die Datei gelöscht oder die böse E-Mail geschickt hat wird man nie rausfinden.

Ich fasse mal zusammen: mist, aber es war nicht anders zu erwarten. schade das solche Entscheidungen von Leuten mit Halbwissen getroffen werden. Manchmal frage ich mich wozu man eigentlich Konzepte erstellt wenn sich dann eh niemand dran halten will.

Keine Ahnung, eventuell wegen irgendwelcher Probleme beim cachen im Outlook etc. Z.B. bearbeitet ein User eine E-Mail die ein anderer gerade gelöscht hat. Es wäre einfach schön wenn es nicht supportet wäre denn dann hätte ich ein Argument gegen einen AD-Account der von 10 Leuten gleichzeitig genutzt wird. Leider sind alle Argumente abgeprallt so das ich jetzt nach technischen oder rechtlichen(support,lizenzen etc) Gründen suche.

http://www.glpi-project.org/ opensource

Ist der zeitgleiche Zugriff auf ein Exchangepostfach von mehreren Outlookinstanzen aus supportet. Beispiel. User A meldet sich an Rechner 1 als "Hausmeister" an und öffnet die entsprechende mailbox per outlook User B meldet sich an Rechner 2 als "Hausmeister" an und öffnet die gleiche mailbox per outlook Sprich: Ist der Missbrauch von normalen mailboxen als shared-mailbox supportet?