magheinz

Sind diese Backupmedien permanent RW angeschlossen? Oder mit anderen Worten: Wird im Fall der Fälle das Backup gleich mit verschlüsselt?

Nette Beschreibung. Gibts auch eine Frage oder sollte das eine Information für uns sein?

Das mit der Schere ist auch bei uns "BestPractise".

Hast du denn den dhcp auch konfiguriert, also einen bereich angelegt etc?

Macht irgendwie Sinn?

Zukunftssicherheit, eventueller Wegfall von NAT, gross genuge subnetze...

Ist denn die Zertifizierungsstelle vertrauenswürdig? Oder sind das alles selbstsignierte? Ist denn die Zertifizierungsstelle vertrauenswürdig? Oder sind das alles selbstsignierte?

Z.b. Lässt sich 172.17.2.0/24 wunderbar einfach zu 172.17.2.0/23 erweitern und schon passen statt 254 ganze 510 hosts ins Netz. Mit /22 sinds schon über 1000 was ich versuchen würde zu vermeiden. Dabei kommen alle hosts in ein Netz. Das Konstrukt aus dem OP kann eigentlich nur das Ergebniss einer missglückten Migration von /24 nach /16 sein. Mal ne ganz andere Frage: Wenn man da wirklich noch mal ran will, wieso dann nicht gleich IPv6 machen?

Was willst du machen wenn sich die Anzahl der Geräte erhöht?

Der dritte erfüllt zwei Zwecke: 1. Wir mach dort die Backups inklusive Datenbankverifikation ohne die Produktivserver zu belasten. GErade die Verifikation nach einem Backup erzeugt doch ordentlich Last. 2. Er stellt sozusagen die DR-Instanz der Exchangeumgebung da. Dafür hat er einfach noch die CAS-Rolle übergeholfen bekommen und soll eigentlich in einer getrennten Umgebung laufen. Ansonsten ist das wie die Entscheidung RAID5 oder RAID6. Beim Wegfall eines Server ist auch die Redundanz weg. Also eine Frag der Verfügbarkeit. Der Wittinesserver sorgt zwar für eine Erhöhung der Srviceverfügbarkeit, aber nicht für eine Erhöhung der Datenredundanz. Und ausserdem haben wir EDU-Lizenzen. Da kommt es auf einen Exchangeserver mehr nicht drauf an.

Also bei Linux ist das in vielen Fällen tatsächlich nicht nötig: 1. gibt es nicht jeden Tag ein Kernelupdate 2. existieren so Dinge wie ksplice, livepatching etc. 3. ist es trotzdem oft der einfachste Weg wenn ein neuer Kernel kommt einmal durchzustarten, notwendig ist das aber nicht unbedingt. Wenn an dem Rechner eine technische Anlage hängt wie z.B. Röntengeräte, MRT, Begasungsanlagen, Steuerrechner für weitere Anlagen etc dann ist das gar nicht so selten das nur bestimmte Patchstände freigegeben sind.

Powershell?!

Pro VM möglichst nur ein Dienst. Das ist auch im IT Grundschutz so angedacht. M 4.97 Ein Dienst pro ServerVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT Verantwortlich für Umsetzung: Administrator Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04097.html

wo fängt die Übertreibung an? Ich hab einfach schon zu oft in Wartezimmern gesessen und mich über das offene WLAN gewundert...

Das mit dem subnetz verstehe ich hier nicht. Sind die beiden DCs in einer Windowsdomäne oder in zwei? ich verstehe den Sinn der ganzen Aktion nicht wirklich. Wieso wurde nicht einfach ein neuer DC aufgesetzt?

wir haben zwei Linuxserver mit haproxy als LB vor dem Exchange stehen. Die LB stehen in der DMZ, exchange im internen Netz. Die meisten kommerziellen Loadbalancer machen das gleiche. Ich würde halt über 3DAG-Server nachdenken. Das ist aber eine Frage der Anforderungen was Verfügbarkeit angeht und der Budgethöhe.

Sowas passiert manchmal. Als wir eine Netzbereich von /24 auf /23 umgestellt hatten dauert es auch etwas bia wir alle Geräte angepasst hatten. Das design sah das natürlich nicht vor!

Das ist eher 21. Jahrhunder. Sozusagen post-snowden. Ich wäre auch so ein Anwalt, wenn ich denn Anwalt wäre. Am besten noch Anwalt, Arztpraxen etc per googlemail und Facebook anbinden. Dann bekomme ich endlich mal Heuschnupfenspam...

Dann brauchst du eine VDA-Lizenz oder A. https://www.microsoft.com/de-de/licensing/produktlizenzierung/virtualisierung.aspx

Das wird schwierig da ja nirgend die Verknüpfung AD-Gruppe<->NTFS-Rechte hinterlegt ist. Du könntest das natürlich nachholen und den Pfad in irgendein Infofeld in der AD in der Gruppe speichern. Dann müsstest du nur noch nachschauen ob der Pfad noch existiert oder nicht. Wenn du dann aber nach einem halben Jahr ein Verzeichnis aus dem Backup restorest, dann fehlen die Berechtigungen!

Ums mal zusammenzufassen: Pro MAC-Adresse wird maximal ein Netzwerkport benutzt

Diese Info ist jedes mal wieder neu für ihn wenn ich seine Themen hier mal rekapituliere... Fassen wir doch mal zusammen: 1. Exchange geht nur mit AD 2. Jeder Exchangeuser muss ein ADuser sein. 3. Die rechner müssen nicht in der AD sein 4. Wer eine AD betreibt, dort User pflegt und dann alle Rechner im eine workgroup packt macht was falsch? Oder findet hier jemand einen guten Grund für so ein Konstrukt?

Kannst du da nicht ein eigenes Testnetz aufziehen? Was willst du denn nun testen?

Wurde der scanner von einer livecd gestartet oder aus dem laufenden Windows heraus?

Wie gehen wir vor: Bei uns darf niemand einen Server installieren der diese Fragen nicht selber beantworten kann. Alle anderen bekommen fertige VMs von uns. Wie sieht denn eure Umgebung aus. Ohne das zu wissen kann man nicht sagen was du machen kannst. Was willst du denn eigentlich testen?