kosta88
Members-
Gesamte Inhalte
478 -
Registriert seit
-
Letzter Besuch
Letzte Besucher des Profils
4.946 Profilaufrufe
Fortschritt von kosta88
-
DHCP relay with Sophos UTM
kosta88 antwortete auf ein Thema von kosta88 in: Windows Forum — LAN & WAN
Hmm, OK. Ehrlich gesagt, kann ich auch ohne PXE über versch. Netzwerksegmente leben, wenn das nur Probleme bereitet... hab heute einfach so gemacht, installiert im Haupt-LAN und dann gesiedelt nach der Installation. Alles gut. Hauptsache die Installation geht nahezu voll automatisiert. Bzgl. Sophos: ja, das Relaying scheint gut zu funktionieren. Und Relay auf der Sophos ist zwischen Netze. Damit sollte alles gedeckt sein. Ich lese man könnte mit Optionen 66/67 versuchen, aber das hat einige Grenzen, im Bezug dass es auch mehrere Boot Images gibt. Daher, danke für die Hinweise, aber das werde ich wohl lassen :) Aktuell ist es nur der eine Server, der im VLAN steht, da ich die restlichen im Haupt-LAN-befindlichen Server nicht in getrennte Netze gesiedelt habe. Der Server der heute entsteht ist ein AIO RDS, und ja, ich mache es über die Firewall-Regeln - und hatte ja auch bereits Überlegung ob das einfacher geht, denn wenn ich alles, und das inkludiert CA, DC, File-Server, SQL usw via Firewall machen muss... meine Güte. Aber im Endeffekt, einmal getan und das System steht, dann ist es eben nicht mehr komplex, nur die Sache der Zuweisungen. Da du den "Blick" machst... wie würdest du oder wie löst du das? -
Hallo Leute, hat jemand von euch hier Erfahrung mit Sophos UTM bzw. DHCP Relay? Ich weiß nicht ob das jetzt Sophos-spezifische Frage ist, aber versuchen wir es mal: Ich erstelle VLANs für gewisse Server (eigentlich das erste Mal), und denke die Sache sollte relativ einfach sein... oder nicht? Ich habe ein Haupt-LAN, wo sich der DC1 befindet und VLAN41 wo sich die VM für "Server1" befindet. Normalerweise deploye ich die Server via WDS/MDT/WSUS (im Haupt-LAN). Ich versuche allerdings die Deployment im VLAN41 zu machen. Das erste Problem scheint die IP-Zuweisung über PXE zu sein. Dafür habe ich an der Sophos ein DHCP-Relay gemacht, und dieser scheint erstmal zu funktionieren. Denn (tcpdump Analyse auf beiden Interfaces auf der Firewall, eth0 was das Hauptnetz ist und eth6 - Interface für VLAN wo Server1 sich befindet): tcpdump eth6: Server1 (der Server im VLAN41) schickt ein Broadcast (Discover) raus, und DC1 (tcpdump eth0) im Hauptnetz empfängt es. DC1 erstellt ein Offer, tcpdump wieder auf eth6 zeigt dass ein Offer eintrifft, und drinnen ist auch eine IP für den Server1 enthalten. Die IPs im tcpdump sind insofern auch korrekt glaube ich, denn hier wird als Your-IP die vorgeschlagene IP angezeigt, Gateway-IP die IP des VLAN41 Gateways, auch Server-ID Option 54 wird DC1 angezeigt, und Domain-Name-Server Option 6 auch die beiden DCs im Hauptnetz. Auch Domain-Name-Server Option 15 (Domäne) ist drin. Jedoch, es gibt keinen weiteren Schritte, es wird vom Server1 kein Request generiert. Der Server1 wiederholt das Discover. Aufgrund der Tatsache dass der DC1 ein Discover bekommt, ein Offer macht, und Server1 empfängt es, gehe ich davon aus, dass DHCP Relay an der Sophos korrekt funktioniert. Auch die Firewall ist zur Zeit komplett offen zwischen den Netzen. Mittlerweile habe ich den Server1 im Haupt-Netz deployed, und verschoben ins VLAN41. Und Windows scheint die IP vom DHCP zu beziehen... Also grenze ich das Problem auf DHCP Relay, Windows DHCP und PXE Boot. Idee woran das liegen kann?
-
Ja natürlich, das ist vorteilhaft. Noch was ist mir aufgefallen: manchmal erstellen Programme oder Installationen eigene Firewall-Rules. Die lauern dann aber doch am Server selber und nicht in der GPO.
-
Hallo, ich bin dabei die Windows Firewall grundlegend zu aktivieren und konfigurieren - bisher war sie immer aus. Rein aus eurer Erfahrung, wie soll ich das angehen? Würdet ihr alles mit GPO machen, und alle Rules im GPO machen, inkl. die Eingrenzung für Quelle/Ziel oder in der GPO eher nur die globalen Freigaben und auf jeweiligen Server die spezifischen Rules treffen? Die zweite Option sieht für mich als eher attraktiv aus, aber will nur wissen ob was dagegen spricht. Danke
-
Ja, das ist klar. Aktuell ist es auch so, dort wo möglich (separates Netzwerk) - die Firewall erlaubt nur gewisse Zugriffe auf die Server. Bspw. die VPN-Clients. Du hast jedoch Recht, es Bedarf einiges an Planung und Zeit... WOL - danke, das ist eben ein Thema! Einzig wo wir WOL einsetzen sind Windows Updates, die Clients werden in der Nacht geweckt um Updates zu machen. Danke für den Hinweis. Wir sind insofern begrenzt, dass wir sowohl eine interne Server-Umgebung, wie auch eine "externe" ASP-Umgebung haben. Und die ASP-Umgebung hat ein IP-Kreis den ich nicht ändern kann - d.h. die Clients müssen sich in dem Netzwerk befinden, um auf die ASP-Farm draufzukommen. Wenn ein Drucker in einem anderen Netz wäre, müsste man den in das ASP-Netzwerk NATen. Das bedeutet dass ich eigentlich relativ begrenzt bin, was ich verschieben kann, aber auf jeden Fall das ganze Netzwerk-Management wie du oben erwähnt hast. Ich befürchte es müsste einer der APP-Server im Client-Netzwerk bleiben. Alternativ müsste ich sehr aufwändige NAT-Rules bauen, um nur genau die Ports zu NATen die auch zum ASP-Netzwerk gehen müssen. Ein Routing alleine mit Firewall-Rules tut's hier nicht.
-
Hallo, unsere Server sind aktuell im selben Netzwerk-Segment wie auch die Clients und alles andere praktisch. Getrennt sind LAB-Netzwerk und Gast-WLAN. Um die Sicherheit zu erhöhen, möchte ich die Server in ein oder mehrere separate Netze aufteilen. Oder sogar nur das Netzwerk segmentieren. Aktuell sind VLANs wohl im Einsatz, werden im LAB-Netzwerk verwendet. Sauberere Lösung finde ich auf jeden Fall die separaten Netze - im Troubleshooting Fall auf jeden Fall leichter die Fehler zu finden. Ich so einem Fall kann ich auch zusätzlich mit VLANs trennen, sodass die Trennung am Switch ebenso passiert. Das wird wohl ein Projekt, daher schaue ich nach Tipps wie ich das am besten angehen sollte. Wir haben mehrer VMs die lediglich eine oder ein paar Rollen spielen, als einen Server der vieles oder alles macht. Hier mal so ein Überblick: 9 RDS Hosts (9 Sammlungen) RDC-Broker 2x Applikation-Server (einer ist Remote-App) Backup-Server (Nakivo) CA 2x DC Exchange (installiert, aber noch nicht produktiv, aktuell wird Office365 eingesetzt) File-Server 2x Management (Dienste wie WSUS, WDS, Printserver, NPS, KMS) SQL Was wären eure Ansätze dazu? Danke
-
SW ist nur ein Beispiel. Ich meine einfach allgemein die RMM Lösungen. NinjaRMM, ConnectWise, Kaseya... alle im selben Boot eigentlich.
-
Tja, noch immer fast doppel so viel wie zB. Solarwinds RMM. €2280 vs €4000 jährlich.
-
So, ich habe mich bisschen mit dem Thema Intune und Azure AD beschäftigt. Ich sehe folgende Probleme: Intune steuert zwar die Windows Updates, aber diese werden dann weiterhin vom Windows Update Agent installiert. Welcher schon bewiesenerweise nicht immer gut funktioniert. Ob es die anderen (Agents der Drittanbieter der RMM Tools) besser schaffen sei dahingestellt. Es scheint mir so als ob Intune Windows Update das gleiche oder ähnliche macht wie WU-Einstellungen via GPO. Ich habe es aber nicht tief erkundet... Weiterhin wenn man aber mehrere Kunden hat, hat man keine Übersicht mehr. Man muss sich immer wieder mit dem anderen Tenant anmelden, um den bestimmten Kunden zu administrieren. D.h. pro Kunde offenes Fenster... naja. Und, das geilste von allem: by default (in der freien Versio von AAD) sind alle AAD-joined Geräte/Benutzer lokale Admins. Um das zu ändern, muss man Premium kaufen, und das kostet ja gleich €5/Monat/Benutzer. Nicht so toll. Intune kostet auch €6/User/Monat. Das ist schon ein ordentliches Sümmchen für ein paar Grundfeatures. Darunter ist es bei RMM Tools so dass man all diese Aspekte eigentlich gut in Griff bekommen, eine Oberfläche für alle hat, und man kann das wichtigste ja mit Registry machen. Dass man nicht alles wie per GPO hat (im Intune heißt ja anders...), ist klar. Ich sehe Intune (oder gar MS 365 E3/E5) als toller Ersatz für on-premise Umgebung, aber definitiv nicht passend für die Zwecke die wir hier erfüllen wollen. Dafür ist es ein absolutes Overkill.
-
Bei Intune ist es so dass ich es irgendwie sehr schwer testen kann. Ich muss auf jeden Fall ein paar VMs aufziehen und dann eine Test-Installation damit machen. Aufwand nicht ohne. Ob das überhaupt geht weiß ich auch nicht. Aber mal Frage zu Intune: es ist sicher gut in Windows integriert. Aber wie sieht es aus mit dem Management Drittanbieter Apps aus? Zb. Solarwinds hat eine lange Liste der supporteten A/V Lösungen, unter anderem auch McAfee, der bei zumindest mehreren Kunden bei uns eingesetzt wird. Ob allerdings wie beworben funktioniert, auch k.A. Allerdings ist Solarwinds in einigen Aspekten seltsam... hat Network Discovery, aber funktioniert nur halbherzig. Erkennt die Clients, aber nicht korrekt (unknown OS). Das bringt bei einer Masse an Clients wenig und nur viel Aufwand. Aber ich denke, wie du es schildert, wäre es Aufwand wert eine komplette Test-Umgebung dafür aufzuziehen und ordentlich testen. Was ich mit anderen Kunden meine ist die Möglichkeit alle Kunden in einer Überwachungsplatform zu haben, denn wie wir darüber intern gesprochen haben, hätten wir paar Kunden wo man eine solche Lösung (Management der lokalen Rechner, Kunden die keine Server haben, und solche unmanagte Umgebungen haben) einsetzen könnte.
-
Ja, sicher wäre das. Ich kenne es nicht, aber die Lösung von MS wäre sicher am besten integriert. Es gibt aber einen Nachteil denke ich: wenn wir das Management eventuell an andere Kunden expandieren wollen, könnte vielleicht nicht die beste Lösung sein, oder?
-
Ich weiß, glaube mir, ich weiß. Aber glaube mir wenn ich dir sage dass es einfach nicht möglich ist. Wir sind für die Server im RZ nicht zuständig. Wir sein Tochter eines Konzerns in DE, und dort sind die Server. Wir haben lediglich "den Kunden". RZ schreibt vor "Windows", und das war's eigentlich. Wir können dem Kunden natürlich sagen es wäre möglich, aber dann gehen wir Risiko ein, dass jemand sagt "unsupportet", und dann sind alle böse, einfach erklärt. Mit Windows ist alles wie es sein soll, und der Kunde muss den Mega-Aufwand betreiben um die Systeme aktuell zu halten (vollkommen bescheuert, ich weiß), aber es ist so. Wir machen halt das beste heraus: wir übernehmen es für den Kunden, wenn das Konzept (und Preis) stimmt. Servus :) Natürlich kannst. Wir: Vertriebsleiter, sein Kollege und meine Wenigkeit (IT-Admin/Hotline/Service/...). Der oberste Chef bekommt zwar das wichtigste mit, aber mischt sich nicht allzuviel ein. Er ist eher der Geldgeber und entscheidet ob wir es machen wenn alles am Tisch liegt (zahlentechnisch). Verantwortlich? Alle :).
-
Also, wir haben mal eine Zusammenfassung, was wir beim Kunden machen sollten (nichts außerordentliches eigentlich, im AD-Netzwerk fast üblich): Zentrales Management der Workstations: - Updates Installation nach Zeitplan, möglichst nachts - Neustart nach Zeitplan, möglichst nachts - Automatisches Einschalten der Rechner per WOL für die Updates (?) - Zentralisierte Benutzer-Verwaltung - Ggf. zentralisiertes Rechner-Management (Browser-Einstellungen?) - Bereinigung der Temp-Folder Sicherheit im Netzwerk: - Weitgehendste Standardisierung der Rechner - Administrator(en)-Konto(en) gesichert - Sichere Kennwörter (Policy, AAD?) - Browser-Einstellungen (Daten leeren, keine Kennwörter speichern zulassen…) - Widows Firewall Einstellungen - Aktuelle Versionen der lokal installierten Programme - A/V Signaturen up-to-date Überwachung: - Installierte Programme und Updates - Windows Updates: Kategorisierung der Updates, automatische Freigabe gewisser Updates-Kategorien, manuelle Freigabe der Feature Updates - Aktualität der Rechner, und rechtzeitige Planung der Anschaffung neuer Rechner - Eventlog Meldungen zu kritischen Events - Speicherplatz-Check - Wichtigste Windows-Dienste - Remote-Zugriff-Möglichkeit (Teamviewer?) Mögliche Lösungen: - WS-Management: Cloudbasierte RMM-Lösung (Solarwinds RMM, NinjaRMM,...?) - Benutzer-Verwaltung: Azure AD (oder...?) Dabei ist wichtig zu wissen, dass der Kunde lokal eigentlich nicht arbeitet (ja, es gibt Benutzer die eigene Notebooks haben, und drauf auch Programme haben), aber generell gilt "sauber halten". Sie arbeiten via Citrix im Rechenzentrum, und am lokalen Rechner macht man eigentlich nur ein Browser-Fenster, tippt man die Zugangsdaten ein, und das war's. Falls ihr Vorschläge für weitere lokale Maßnahmen habt, bitte her damit, wir haben morgen weitere Besprechung zum Thema wie wir das umsetzen wollen, Kosten usw. Ahja, und Thema Kosten wird gar nicht so einfach sein...
-
Ja, aber hier geht es eigentlich um einen Kunden der keine Server/WSUS oder AD hat. Und ich teste parallel die Lösungen, auch in unserer Umgebung. Ich habe auch hier den WSUS, den ich aktuell "abgedreht" habe, und bin dabei Solarwinds RMM zu testen. Und es funktioniert auch nicht wirklich wie erwartet.
-
Manche. Das habe ich nie wirklich irgendwie konfiguriert. Was meinst du mit SMB? SMB geht natürlich allgemein...