magheinz

vielleicht musst du uns wirklich mal einbremsen. Mir fällt es immer etwas schwer die Anforderungen so runterzurechnen.

Wir haben die VMs sogar auf SATA-Platten, aber mit SSDs als cache. Alles im SAN. Wieviel Speicherplatz benötigst du denn jetzt genau?

Das ändert alles nix an ein dc ist ein dc ist ein dc und man will mind. zwei dc so teuer sind die Windowslizenzen jetzt auch wieder nicht. Habt ihr eigentlich an die CALs gedacht?

ob eine CPU mit vielen Kernen oder zwei CPUs mit wenig Kernen kann man bei den Anforderungen rein kaufmännisch entscheiden, denke ich.

guter Hinweis: done

Dicke Finger am Handy? Ich kanns mir echt nicht erklären... ?

Das würde ich stark von den Anforderungen machen. Die Lage derzeit zeigt, daß eigene IT durchaus ein Vorteil sein kann. Ob die VMs schnell genug sind, hängt auch damit zusammen, wie schnell sie überhaupt sein müssen. Der DC ist bei der Größe(Handvoll Rechner, Handvoll Mitarbeiter etc) wohl kaum das Problem. Der Datenbank sind die Platten recht egal, die passt komplett in dem RAM. Das Monitoring hat welche Anforderungen?

24Stunden ist nicht viel wenn man keinen zweiten Server hat. Im Falle das Ausfälle gehen normalerweisr mehr als 24 Stunden ins Land bis die Kiste wieder läuft. Das setzt schon mal mindestens 24*7*4 als Vertrag voraus. Das bringt aber auch nur was, wenn nachts umd 2:00 auch jemand bei euch als Ansprechpartner zur Verfügung steht. Aber selbst dann ist das eigentlich kaum zu schaffen. Du brauchst mind. Zwei Server. Was sagt denn der Wartungsvertrag zum QNAP?

Schafft das QNAP solch einen Durchsatz? Mit solchen Geräten habe ich keine Erfahrung, bin da aber immer etwas skeptisch. Vielleicht zu unrecht. Wieso kommen die Firmendaten nicht mit aufs NAS? Man will doch immer alles so einfach wie möglich haben. "So gering wie möglich" kannst du nicht bezahlen. Das wird dann nämlich auch so teuer wie möglich. Kläre die Verfügbarkeitsanforderungen als aller erstes. Ein Spiegel ist kein Backup, das ist nur eine Verfügbarkeit. Welchen Nutzen hat das gespiegelete NAS?

Zum Thema Platten: Wir setzen ESX ein. Der liegt entweder IM SAN oder auf SD-Karten. Eine Frage:Was machen die Workstations, dass die 10Gb-Netzerrk brauchen? Und ist es sinnvoll, daß die dann zusammen einen oder zwei 10Gb-Ports am Server nutzen? Die wichtigste Frage aber ist immernoch die nach der Verfügbarkeit. Wieviel Ausfall könnt ihr euch leisten? Wie lange, wie oft und mit welchem Datenverlust? Wieviel Plattenplatz benötigen deine VMs denn eigentlich?

Welche Verfügbarkeit ist denn gefordert? Ansonsten: nimm eine fertigen Server von der Stange und kauf 3-5 Jahr Hardwaresupport vor Ort je nach Anforderung(5*7, 24*7 etc) dazu. Ich würde auch nicht so viele Plattentypen mischen. Ein performantes RAID für alles, und gut ist. Bei 5GB Datenbankgrösse würde ich diese einfach komplett in den RAM packen. Für das 10G-Netzwerk: hast du da auch eine Gegenstelle? Ich würde alle VMs über die 10GB fahren. Wieso soll kerio ein extra Interface bekommen? Stromversorgung, USV etc sind geklärt?

Als rein Spamerkennung hatten wir immer gut trainierte spamassassins. Der damalige IT-Leiter wollte das dann unbedingt extern machen lassen. Seit dem ist die Erkennung schlechter... ?

Ich würde mich darauf verlassen, daß sich der Absender an die entsprechenden RFCs hält. Z.B. RFC5321. Hier ist auch die empfohlene Sendestrategie mit den entsprechenden Intervallen für wiederholte Zustellversuche beschrieben im Abschnitt 4.5.4.

Derzeit ist doch eh nix lieferbar...

schaut hier ähnlich aus. b***d ist, wenn im eigenen Team einer Quertreibt weil, "wir machen das schon immer so"... Wo ich kann setze ich das alles wie geplant um. Wer daran vorbei arbeitet, der muss das im Fall der Fälle auch verantworten. Wer das als Vorgesetzter durchgehen lässt, für den gilt das gleiche.

Der Vorteil des zentralen Server ist, man muss alles nur einmal installieren. Man muss dann auch nur alles einmal update etc. Vertretungen sind einfacher weil die Tools alles admins zur Verfügung stehen. Auf physikalscien PCs haben wir nur die allernotwendigsten Dinge drauf um im Fall der Fälle den Admin-Server wieder hochzubekommen. Bei Physikalischen Maschinen gehen wir immer davon aus, die sind im Fall der Fälle defekt. VDI haben wir nicht, deswegen auch keine Lizenzen für virtuelle ClientOS. Dank Windows Server Datacenter und Vmware mit genügen Ressourcen fahren wir halt alles auf ServerOS. Da bietet sich die RDS-Rolle in solchen Fällen gerade zu an. Dein VMware View sollte dich auch mit einem Terminalserver statt einem Win10 verbinden können. RDP auf Server ist außer bei der Installation nicht nötig. Dazu sind dann auch nur ganz bestimmte User authorisiert und diese Zugriffe werden gemonitored. Das Ziel ist es tatsächlich so viel wie nur irgendwie möglich per Webformular und Script abzufangen. So braucht im täglichen Leben der admin keinen Zugriff auf die AD und er muss auch keine Ahnung haben.

Wir nutzen genau für diesen Zweck einen Terminalserver. Allerdings: "If you have to repeate ist, script it" oder so. Für powershellautomatisierung gibt's einen extra scriptinghost. Die meistens scripts rufen ihre inputdaten per REST-Api ab, welche durch das Ticketsystem erzeugt werden. Um neue User anzulegen füllt man z. B. Ein Webformular aus(Vorname, Nachname, Abteilung etc) und ein PS-Script macht dann die Magie. Alle 5Minuten läuft das. Ist es fertig landet ein Infozettel im Drucker, welchen man dem neuen Mitarbeiter In die Hand drückt(den Zettel, nicht den Drucker) . Derzeit überlegen wir, diesen Zettel per PDF ans jeweilige Sekretariat per Mail zu verschicken und das Formular automatisch aus der Personalverwaltung befüllen zu lassen.

Sie Erfahrung zeigt, die Leute klicken etwas zusammen was sie nicht verstehen. Ist ja schliesslich alles ganz einfach im Webbrowser. Wenn man aber weiss was man tut, dann ist es egal ob Web oder Console.

Dann halt per LDAPFilter Get-ADObject -Properties GivenName,Name,telephoneNumber -LDAPFilter "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2)(!userAccountControl:1.2.840.113556.1.4.803:=65536))" Fehlt nur noch die Definition der Funktionsaccounts

Doch doch, die Backups haben funktioniert. Von Restores stand nichts in den Anforderungen.

Uni Gießen, Uni Maastricht, Klinikum Führt etc. Löst euch von dem "ob" und baut Prozesse für das "wann". Ihr werdet die Ransomware nicht verhindern.

Wir sind in einer Situation, in der die Frage nicht mehr ist, ob man verschlüsselt wird, sondern wann man verschlüsselt wird. Es geht schon länger nicht mehr primär ums Verhindern, sondern ums Verzögern und anschliessend den Schaden zu minimieren. Gerade wieder einen Laden erlebt(zum Glück nur am Rande) : aktuelle Antivirus, geschulte Mitarbeiter und trotzdem wollte jemand bitcoins. Benötigt wird ein vernünftiges Rechtemanagement zur Schadensminimierung und dann ein Desasterrecoverykonzept welches auch saubere Restorequellen sicherstellt. Die besagte Bude hat ein IT-Forensikteam dazugeholt. Ich behaupte mal, gerade ein minimaler Bruchteil der Admins ist in der Lage hinterher den Infektionsweg wirklich nachzuvollziehen. Da bleibt am Ende nur das Neuaufsetzen. Siehe Kammergericht Berlin als Beispiel.

Da läuft soetwas automatisch ab. Da werden Server aus images deployt und dann Rollen zugewiesen: Deploye einen exchangeserver, Deploye einen mssqlserver etc.

Wie sind die fuktionsuser definiert? Ansonsten sollte das mit einem einfachen Get-ADUser -Filter {} schon gehen.

Dann pass doch die GPO Restricted Groups entsprechend an! Bei uns gibt es auch User die lokaler admin auf speziellen Rechnern sind, niemals die einer ganzen OU. Es gibt pro Rechner dann eine Gruppe app_l_pcxyz_lokal_admin und wenn nicht andere Rollen greifen app_g_pcxyz_lokal_admin. Der User ist dann Mitglied der lokalen Gruppe welche Mitglied der domainlocale Gruppe ist. Dann ist die GPO entweder per Zielgruppenaddressierung konfiguriert oder es gibt für jede Maschine eine eigene GPO. Da bin ich gerade nicht sicher.