magheinz

Wir sind 5 ITler. Natürlich hat jeder sein Gebiet, aber ausgewiesene Spezialisten sind wir nicht. Geht ja auch gar nicht, man bräuchte ja jeder Spezialisten mindestens 2-3 Mal wegen möglicher Krankheit, Urlaub etc... Im Fall der Fälle haben wir Verträge mit Systemhäusern um Spezialisten dazu zu holen. Das Problem ist: Viel Spezialwissen benötigt man ja auch nur einmalig oder selten. Bsp: Ich muss eine AD einmal designen, Lizenzen muss ich einmal planen etc. Exchange ist ja auch so ein Beispiel: die Planung macht man mit Unterstützung eines externen Spezialisten, den tägliche Betrieb alleine. Kommt es zu echten Problemen greift ein Servicevertrag mit einem Systemhaus von wo dann wieder ein Spezialist zur Unterstützung kommt. Wir sind aber nicht von dem Spezialisten in Person abhängig, nicht mal von dem Systemhaus. Das wichtigste ist eine vernünftige Doku!

War das aber nicht so das man nur eine Volumelizenz braucht um das reimage-Recht zu bekommen? Haut mich ruhig wenn ich da jetzt total daneben liege...

ich nummeriere Server. Da gibt eine Namenskonvention: srv-(DIENST/ZWECK/ETC)-Nummer. gleiche Namen mit unterschiedlichen Nummern sind demnach also austauschbar und normalerweise(bisher immer) Clusterknoten. Gruppen haben selbsterklärende Namen. Durchnummerieren ist da nicht notwendig. Bei Gruppennamen wie NASINTERN1, NASINTERN2, NASINTERN3 ist der sinn und Zweck der Gruppe nicht erkennbar. Bei uns gibts sowas wie DAT_L_nasintern1_ch. Wozu diese Gruppe da ist sollte ganz gut erkennbar sein Statt nasintern1 steht da halt der Freigabenamen.

rocky stimmt

soll ich auflösen oder ist noch jemand da und überlegt oder googelt?

Eis ist dämlich und leute die auf Eis rumlaufen sind noch dämlicher...

Wobei die FAS2552 schon eine andere Hausnummer als die FAS2240 ist. Da liegt eine Generation dazwischen. Die Anzahl der Platten, also der Spindeln, ist hier auch spannend. Hängen an der FAS2240 noch weitere shelfes? Eine 2240 ist hier unser Backupsystem und ich sehe die regelmässig bei 100% CPU-Leistung und auch die Platten laufen zeitweise am Anschlag(FAS2240+2shelfes). Als Produktivsysetm wollte ich die so nicht nutzen müssen. Ich bin sehr auf die FAS2554 gespannt. Wir lösen einmal die FAS2240 und einmal eine FAS3210 durch jeweils eine FAS2554 ab. Mal sehen ob die Prospekte und Vertriebler da übertrieben haben was die Leistung der Geräte im Vergleich zu unseren jetzigen angeht. Der Wechsel auf cDOT wird ja sowieso spannend. Ich schweife ab: Ums kurz zu machen, ich kann mir durchaus vorstellen das die FAS2240 der Flaschenhals ist. Typischerweise wird eine FAS ja auch gleichzeitig noch als NAS genutzt. Das zieht auch IOs.

Was sagen die performancecounter? Was sagt die FAS zum Thema Perfomance., IOs etc? Auf der FAS mal in der console "sysstat -x 1" eine Zeit lang laufen lassen und dann noch: fas2240-c1> priv set advanced fas2240-c1*> statit -b **20 Sekunden pause** fas2240-c1*> statit -e worauf ich hinaus will. Die FAS2240 ist je nicht die schnellste. Wieviele Platten hängen denn an der dran und was für welche? Die wurde gerne mit 24*2TB verkauft. Bei klassischer 50/50-Aufteilung der Platten auf die beiden Controller(ihr habt doch zwei?), bleiben nicht viele IOs übrig.

Jep, Vertipper: StarTrek. Ich meine Nummer 4...

Das ist doch Siri die da mit uns spricht, oder?

Ich will in den Urlaub fliegen. Der Motor ist übrigens von BMW. Kannst du mir sagen wie man das macht?

Du hast jetzt zwei DHCP-Server?

Jessica Alba, Elijah Wood, Bruce Willis, Alexis Bledel etc?

ups, das hatte ich überlesen. trotzdem könnte es einfacher sein diese beiden DBs wegzusichern, die Kiste neu aufzusetzen und dann die DBs wieder zu restoren. Damit sollte er in der Zeit die er hier schon diskutiert hat locker fertig sein.

Wenn das nur ein WSUS ist, dann setz den doch einfach von Null an neu auf: Windows neu installieren, WSUS-Rolle hinzufügen. Oder macht der Server auch noch etwas anderes?

ich würde den Updateprozess ändern: update beim Rechnerstart, VOR der Anmeldung eines users. Das kannsts du dann in ein startupscript packe und per GPO verteilen. Oder gleich, je nach Anzahl PCs/Softwarepakete eine vernünftige Softwareverteilung einführen. Da gibts echt gut kostenfreie/kostengünstige Opensourcetools

Das wird auch nichts mehr bringen. Die Daten wurden ja schon überschrieben. Wenn so etwas passiert: Von CD o.ä. booten und Image ziehen. Image kopieren und auf der Imagekopie rumbasteln. Wenn das dann nichts bringt kann man mit Image und/oder defekter Platte zu ontrack etc...

Ich hätte der FB4020 eine IP aus dem WLAN_Vlan gegeben. Ich denke die ist nicht in der Lage Management und Daten zu trennen... DHCP sollte auf der FB deaktiviert sein, ja. Für DHCP hast du einen zentralen DHCP-Server. Was ist eine Internet-IP? Das setzt, wie gesagt, voraus das die Fritzbox sowas wie einen Bridge-Modus kennt in dem Sie einfach nur die WLAN-Verbindungen auf den Ethernetport weiterreicht. Das was ein reiner Acesspoint halt macht: Bridge im OSI-Layer 2. Ob man das überhaupt mit einer Fritzbox machen kann und wenn ja wie kann ich nicht sagen. Ich habe keine Fritzbox im Zugriff um das nach zu schauen oder auszuprobieren.

Kann die FB4020 nicht einfach Accesspoint spielen? Also ohne DHCP und allem. Nur WLAN konfigurieren und die Fritzbox mit einem normalen LAN-Port auf den Switch hängen. Die WLAN-Endgeräte sollen doch IP aus dem 30er-Netz bekommen. Auf der Firewall definierst du dann wo die alles hin dürfen.

Du könntest einen openvpnserver nehmen. Der ist in der Lage den VPN-Traffic und den restllichen http-Traffix zu trennen...

Braucht das Teil wirklich adminrechte oder genügt es die Schreibrechte unter c:\programme...\bäckersoftware anzupassen?

Die Variante setzt voraus das man die FB als reinen accesspoint einsetzen kann. In welchem VLAN die dann ist ist nur eine Frage deines Sicherheitsbedürfnisses. Bei WLAN geht man halt davon aus das "unerwünschte Geräte" leichter reinkommen als ins LAN. Die kann physisch da bleiben wo sie ist, auf dem Switch. Der muss nur die richtigen VLANs auf diesem Interface durchlassen. Kann deine Firewall auch mehr Interface oder nur die drei weil, ist doch eh alles virtuell? Dann könnte man pro VLAN ein interface bauen und die VLAN-Interface am Switch weg lassen. Dann würde die Firewall das inter-VLAN-routing übernehmen was eine ganz schicke Sache wäre. Ich würde folgende VLANs einrichten: 1. WLAN 2. Server 3. Clients 4. DMZ 5. Gäste Für daheim könnte man natürlich Server+Clients+Gäste in "intern" zusammenschmeissen. 1. WLAN 2. intern 3. DMZ Ob man Gäste separieren möchte muss man sich halt überlegen.

ich würde ja eine Sache umbauen: Das Management des hosts mit auf die VM-Nic legen und die zweite NIC nur für WAN nehmen und da das Modem direkt dran hängen. Dann die FB als reinen Accesspoint nutzen und DHCP und alles ausschalten. Im switch baust du dann die entsprechenden VLANs als Interface à la interface VLAN 11 ip address 192.168.11.1 ip helper-address DHCP-SERVER-IP interface VLAN 12 ip address 192.168.12.1 ip helper-address DHCP-SERVER-IP Der DHCP muss dann die einzelnen Scopes haben und dort die jeweilige VLAN-inetrface-IP als router verteilen. Ob und wenn ja welche Filter jetzt noch zwischen die VLANs müssen musst du wissen. Der Uplink zum VM-host ist dann ein interface gigabitethernet10 switchport trunk allowed vlan add 11,12,VLAN-ID-DIE-NOCH-BENÖTIGT-WIRD ! Das mal so als ganz grobe skizze...

na fann fang mal mit den fakten an. Geräte, Verkabelung, gewünschte Separierung(VLANs) und was sonst so wichtig ist. Danach skizieren wir ein grobes Konzept und schauen ob du das umgesetzt bekommst. Gibts dann konkrete Probleme mpssen wir halt mal schauen was wir machen können.

Wir haben mehrere Loadbalancer. Für mysql, exchange und diverse webserverices. Die LBs sind jeweils ein ha-pärchen. Ich will das alles auf einem HA-Pärchen/-Drilling zusammenführen. Nutzen tun wir haproxy mit keepalived auf debian. Am haproxy terminiert auch SSL für die webserver. Bisher alles gut, in richtig grossen Umgebungen muss man noch über eine Entropiequelle nachdenken damit für SSL immer genügend Zufall zur Verfügung steht.