Eye-Q

Wie ist die DNS-Auflösung eingerichtet? Stellt die UFW auch einen DNS-Server bereit und wenn ja ist WS-01 so eingerichtet, dass auch die 192.168.0.126 als DNS-Server verwendet wird? Oder stellt die UFW keinen DNS-Server bereit? In diesem Fall müsste dementsprechend nicht nur HTTP und HTTPS, sondern auch DNS in Richtung Internet erlaubt werden und WS-01 müsste dementsprechend einen oder mehrere DNS-Server im Internet nach der Namensauflösung befragen.

Wenn der VPN-Server die VLANs kennt, ist das natürlich möglich. Bei VoIP-Telefonanlagen und Home-Office-Arbeitsplätzen mit Softphones auf den PCs/Notebooks im Home-Office müssen sogar die Home-Office-Arbeitsplätze untereinander direkt kommunizieren können, sonst funktioniert eine Verständigung meistens nicht. Da Du es aber bisher nicht für nötig erachtet hast, irgendetwas zur verwendeten Hard- und Software sowie zum Netzwerkaufbau mitzuteilen, können wir unmöglich sagen, ob das mit dem, was vorhanden ist, realisierbar ist.

"-command" braucht nicht eingetragen zu werden, da reicht einfach das Programm powershell.exe mit Argument C:\Poolverwaltungsskript.ps1, also folgendermaßen: Ich würde das Script allerdings auch nicht in das root-Verzeichnis von C:\ packen, sondern eher in ein dediziertes Script-Verzeichnis (also C:\Scripte oder noch besser auf eine andere Partition). Funktionieren sollte das auch so, im root-Verzeichnis der Systempartition hat so etwas aber eigentlich nichts zu suchen.

Mit /MIR werden Dateien und Verzeichnisse, die mal in C:\Test lagen und dort gelöscht wurden, in E:\Test ebenfalls gelöscht. Beim ersten Ausführen des Befehls, wenn der Ordner E:\Test noch nicht existiert, kann der Schalter aber verwendet werden. Mit /r:0 und /w:0 werden Dateien, die zu dem Zeitpunkt nicht kopiert werden können (z.B. weil sie gerade offen sind), gar nicht kopiert, da würde ich eher /r:5 und /w:1 einstellen, damit zumindest fünf Mal innerhalb von fünf Sekunden versucht wird die Datei erneut zu kopieren. Um einfach nur den Ordner inklusive Unterordner von C nach E zu kopieren, ohne dass Dateien bei einem erneuten Ausführen des selben Befehls aus E gelöscht werden, reicht robocopy C:\Test E:\Test /E aus. Ich persönlich hänge gerne noch /NP und /V an und ggf. noch ein /Log+:<Dateiname>, damit die unnötigen Prozentangaben unterdrückt werden und im Nachhinein in einem Protokoll geprüft werden kann, ob irgendwelche Dateien übersprungen wurden.

Solange der Router, der die Internetverbindung aufbaut, nicht mit VLANs umgehen kann, sind alle Geräte, die hinter diesem Router stehen, prinzipiell in einem logischen Subnetz. Wie sollen denn die unterschiedlichen VLANs, die auf dem hypothetisch einzurichtenden managed Switch konfiguriert sind, mit dem Internet kommunizieren, außer über das eine Subnetz der Fritzbox? Dann muss der Switch ja zwischen dem neu einzurichtenden VLAN für die DMZ und dem Fritzbox-Netzwerk routen, und da halbwegs günstige Switches keine Firewall-Funktionen haben, sondern einfach alles zwischen den VLANs durchlassen, sobald sie zwischen VLANs routen, bringt das sicherheitstechnisch nichts. Du könntest mit zwei weiteren Routern, die jeweils mit dem WAN-Port an einem LAN-Port der Fritzbox angeschlossen sind, zwei separate Subnetze aufbauen. Diese wären über die Firewalls der beiden Router gegeneinander abgeschirmt, das ist dann aber wiederum ziemlich aufwändig einzurichten, wenn Du vom ersten in das zweite Netzwerk Verbindungen zulassen willst, vom zweiten in das erste Netzwerk aber nicht.

Gegenfrage: wenn es schon eine DMZ gibt, gibt es ja wohl auch eine halbwegs anständige Firewall, richtig? Falls ja, was für eine ist das? Viele Firewalls haben auch Reverse Proxy-Funktionen, die aber nicht immer so heißen, bei Sophos UTM heißt das z.B. Webserver Protection, das sind aber meistens separat zu lizenzierende Komponenten, falls nicht eine Lizenz mit allen Komponenten gekauft wurde.

Das sind viel zu wenige Infos, um eine gezielte Fehlersuche durchzuführen... Welche Exchange- und welche Outlook-Version ist im Einsatz? Ist das Outlook im Cached-Modus oder ohne Cached-Modus eingerichtet? Ist der Rechner der Kollegin direkt im selben Netzwerk wie der Exchange-Server oder z.B. per VPN (Einwahl oder Site-to-Site) verbunden? Handy heißt Android oder iPhone? Wurden die Profile (im Outlook und im Smartphone) schon mal neu eingerichtet? Die Daten sind ja im Exchange, somit gehen bei einer Neueinrichtung der Profile keine Daten verloren außer vielleicht Einstellungen, welche Signatur verwendet werden soll.

Dokumentation ist etwas, was zu so einer Arbeitsstelle dazugehört, auch ohne dass es explizit im Arbeitsvertrag steht, auch wenn Dokumentation natürlich langweilig ist. Was wäre gewesen, wenn Du einen Unfall gehabt hättest oder schwer krank geworden wärst anstatt gekündigt hättest? So wie Du es aktuell darstellst ist die Firma ohne dein Wissen aufgeschmissen. Auch wenn es für den Arbeitnehmer eine Sicherheit ist, praktisch nicht gefeuert werden zu können, gibt es doch eine Verantwortung dem Arbeitgeber gegenüber, nicht sein gesamtes Wissen für sich zu behalten, auch wenn die anderen Arbeitnehmer keinen Bock haben, dieses Wissen aufzunehmen. Dafür ist eine schriftliche Dokumentation da, damit die Leute, die sich mit den Systemen auseinandersetzen (müssen), nicht so davor stehen wie Du vor 1 1/2 Jahren. Nichtsdestotrotz hat natürlich auch der Arbeitgeber auch eine Verpflichtung dem Arbeitnehmer gegenüber, aber wenn ich die folgenden beiden Sätze lese, hört es sich danach an als dass dein (baldiger Ex-) Chef dieser Verpflichtung nicht nachgekommen ist: Ich fürchte, dass das böse enden wird. Auch wenn Du schon einen neuen Arbeitsvertrag hast und dir somit das Arbeitszeugnis für diese neue Stelle irrelevant ist, könnte das Arbeitszeugnis, was Du von deinem jetzigen Arbeitgeber erhältst, nicht allzu vorteilhaft aussehen. Da würde ich schon mal vorsorglich die Kunden, die dir mitgeteilt haben, dass dein Chef schlecht über dich redet (und auch dir wohlgesonnene Kollegen), "warm halten", um gegen ein schlechts Arbeitszeugnis anzugehen. Ich würde wie von den anderen geschrieben nur noch die Dokumentation der unternehmensspezifischen Informationen anfertigen, mir das bestätigen lassen und so einen sauberen Abgang machen. Mehr brauchst und kannst Du nicht mehr machen, dein Chef ist sowieso nicht gut auf dich zu sprechen, das wird in den nächsten zwei Wochen mit Sicherheit auch nicht besser, egal wie Du dich verbiegst.

Der Thread wird in gut einem halben Jahr volljährig...

Auch wenn die Frage eigentlich schon beantwortet wurde, würde ich das nicht so durchführen. Durch die mehrfache Rekonstruktion des RAID 5 werden die alten Festplatten stark belastet, dadurch ist die Ausfallwahrscheinlichkeit höher. Hast Du aktuell schon ein Backup von den Daten, die auf dem NAS gespeichert sind? Falls nicht, würde ich in diesem Zuge eine große USB-Festplatte anschaffen, die Daten komplett dort sichern, das alte RAID auflösen, alle neuen Platten auf einmal einbauen, ein neues RAID aufbauen und dann die Daten wieder zurückspielen. Im Anschluss daran kannst Du die USB-Festplatte ein Mal in der Woche (oder je nach Bedarf öfter oder seltener) anschließen und nach der Sicherung in einem anderen Brandabschnitt (Keller/Dachboden/Firma) lagern.

Die Desktop-Programme von VMWare (Player und Workstation) unterstützen keine dedizierte Durchreichung von Hardware wie es ESXi kann, es wird nur Hardware emuliert und die Befehle, die vom Gastbetriebssystem kommen so übersetzt, dass die Treiber des Hostbetriebssystems die verstehen. Die VMWare SVGA 3G-GPU ist auch so eine emulierte Hardware, es kann allerdings die 3D-Fähigkeit des Grafikchips für virtuelle Maschinen aktiviert werden: https://docs.vmware.com/en/VMware-Workstation-Player-for-Windows/15.0/com.vmware.player.win.using.doc/GUID-DB7C4F11-1588-4DD3-BB1F-FBABFA570E3A.html Es muss allerdings auch sichergestellt werden, dass der VMWare Player den NVidia-Chip nutzt, denn die Intel-Grafik ist für solche Dinge definitiv nicht ausgelegt. Da ich aber mit den Einstellungen des NVidia-Treibers und mobilen Workstations mit mehreren Grafikchips keine Erfahrung habe, kann ich dazu wenig sagen. Vielleicht mal schauen, ob die aktuellsten Treiber installiert sind, mehr kann ich aktuell nicht vorschlagen.

OK, dann kann ich meine limitierten Erfahrungen dagegen setzen, denn wir haben viele Kunden, die vernünftige virtuelle Umgebungen haben, entweder normale Cluster mit bis zu 1,5 TB RAM pro Host oder sogar Cisco HyperFlex/Dell VxRail. Vor allen Dingen helfen slche Verallgemeinerungen dem Fragesteller keinen Meter weiter...

🤣 Lustige Aussage, auf was basiert die denn? Wahrscheinlich nicht unbedingt auf eigenen Erfahrungen oder wenn dann nur auf limitierten Erfahrungen mit Kunden, die vielleicht vom Vorgänger-Dienstleister schlecht beraten wurden... Zum Thema: da Du deine Fähigkeiten im Vorfeld kommuniziert hast und Du mit Veeam wohl noch keine Erfahrungen gemacht hast, ist es wahrscheinlich am besten, ein Grobkonzept anhand deiner Erfahrungen mit anderer Datensicherungssoftware zu erstellen. Wenn das nicht genug sein sollte, könnte die Arbeitsstelle selbst im Endeffekt ähnlich sein und die ist evtl. nur etwas für Masochisten...

Ich verstehe leider die Ausgangslage nicht, denn "Masterdokument" und "Filialdokument" sind keine festgelegten Begriffe und können somit alles mögliche sein, je nachdem wie man es definiert... Was zeichnet dein "Filialdokument" aus? Ist es richtig, dass es in einem Word-Dokument mehrere gleichartige Abschnitte gibt (z.B. externe IP-Adressen, interne Subnetze, Firewall-Regeln etc.), die jedoch je nach Filiale mit unterschiedlichen Daten gefüllt sind? Wie soll das "Masterdokument" aussehen? Sollen da dann nicht die gleichartigen Abschnitte mehrfach vorkommen, sondern jeder Abschnitt nur ein Mal und innerhalb dieser Abschnitte dann die Daten aller Filialen zusammengefasst werden? Bitte detailliert ausführen, wie die Ist-Situation und was die Soll-Situation aussehen sollen.

Ich hatte gehofft, dass das irgendwie automatisch gehen könnte... OK, da hätte ich präziser fragen müssen, um nicht so eine Antwort zu erhalten... Ja, das vCenter ist eine VM, daran hatte ich gar nicht gedacht, dass das dann auch down ist... 😐 Zum Glück gibt's da nur Standard-vSwitches. Ja, prinzipiell schon, das läuft aber in diesem Falle als vCSA.

Das musst Du ja auch gar nicht, es reicht ja, wenn Du mir auf die Sprünge helfen kannst, wie die VMWare-Hosts im Fall eines Ausfalls der primären Storage auf die iSCSI-Targets der sekundären Storage zugreifen können. Ich arbeite auch nicht für Microsoft, VMWare, Veeam, HP, Dell etc. und habe trotzdem Ahnung von den Produkten und wie die eingerichtet und administriert werden.

Ja, die Hosts sind auf die Serverräume aufgeteilt. Du fragst Fragen - ich gehe davon aus, dass das in der Verwaltungsoberfläche irgendwo angezeigt werden kann, was lizenziert ist, oder? Wie geschrieben, mit NetApp kenne ich mich (noch) nicht aus. Ja, Veeam ist im Einsatz, wieso? Wie oben geschrieben - Du fragst Fragen... xD Es wurde halt so eingerichtet und nicht dokumentiert, deswegen kenne ich diese Hintergründe leider nicht.

Richtig, soweit ich das beurteilen kann funktioniert das Spiegeln, allerdings wissen weder der Kunden-Admin noch ich, wie es geregelt ist, falls das primäre System mal ausfallen sollte. Ob da etwas im vCenter installiert war, kann ich nicht sagen. Aktuell sind vCenter und ESXi 6.7 installiert, es gibt definitiv keine VM, die da in irgendeiner Form reinfunkt. Wie geschrieben sind den ESXi-Hosts nur die iSCSI IP-Adressen des primären Systems bekannt, die sind im iSCSI Software-Adapter als statische Ziele eingetragen.

Mahlzeit, wir haben einen Neukunden, dessen VMWare- und Storage-Umgebung nicht von uns eingerichtet und leider nur unzureichend (sprich gar nicht) dokumentiert wurde. Leider habe ich mit NetApp keine Erfahrung, sondern versuche mir das Wissen über die NetApp-Dokumentation anzulesen. Im Moment läuft auch alles, so dass diese Frage (zum Glück) ein "was-wäre-wenn" darstellt. Wie im Titel geschrieben hat der Kunde zwei NetApp E2824 (jeweils Dual-Controller), die in unterschiedlichen Brandabschnitten laufen und per iSCSI in die VMWare-Hosts eingebunden wurden. Die VMWare-Hosts haben als iSCSI-Ziele nur die beiden iSCSI IP-Adressen der primären E2824 (192.168.40.100 und 192.168.40.101) eingerichtet, die beiden iSCSI IP-Adressen der sekundären E2824 (192.168.40.200 und 192.168.40.201) sind jedoch nirgendwo in den VMWare-Hosts zu finden. Im SANtricity ist Asynchrones Mirroring eingerichtet, so dass die Volumes auf die zweite E2824 gespiegelt werden. Synchrones Mirroring ist soweit ich das gelesen habe nur mit FC möglich, deswegen wurde eben asynchrones Mirroring eingerichtet. Nun zu meiner eigentlichen Frage: wie können die VMWare-Hosts per iSCSI auf die sekundäre E2824 zugreifen, falls die primäre E2824 mal ausfallen sollte? In der Doku steht unter "Role change of a mirror consistency group" folgendes: So wie ich das verstanden habe ist das ein erzwungener Rollentausch im Prinzip gleichbedeutend mit dem Ausfall der primären E2824, da auf der selben Seite folgendes steht: Ich frage mich nun, wie die VMWare-Hosts, die als iSCSI-Ziel-IP-Adressen die iSCSI-IP-Adressen der primären E2824 eingetragen haben, auf die iSCSI-Ziele der sekundären E2824 zugreifen können, wenn die VMWare-Hosts nicht von den iSCSI-IP-Adressen der sekundären E2824 wissen?

Ich gehe davon aus, dass Du PowerChute Business Edition o.Ä. in einer der Windows-VMs installiert hast, richtig? Falls ja, ist das ja auch nicht das richtige für dich. Das richtige wäre PowerChute Network Shutdown, welches als virtuelle Appliance eingerichtet wird und dann sowohl Verbindung zur USV als auch zum vCenter Server/den ESXi-Hosts aufnimmt. Wenn dann der Strom ausfällt, kann eingestellt werden, dass die VMs herunterfahren sollen, anschließend die VMWare-Hosts und dass ggf. noch ein SSH-Script die Storage herunterfährt. Da Du aber schon solche elementaren Dinge nicht selbst herausfinden kannst, sollte das ggf. jemand machen, der sich damit auskennt und dir dann auch das Wissen vermittelt, wie das zukünftig administriert wird.

IMAP durch POP3 ersetzen, da kann auch eingestellt werden, dass die E-Mails für x Tage auf dem Server belassen werden sollen. Sofern alle Geräte innerhalb dieser x Tage einmal den Server kontaktiert haben, laden die sich die E-Mails herunter und haben die lokal (inkl. Anhänge) verfügbar. Nachteile: - IMAP synchronisiert ja auch die Ordnerstruktur auf dem Server, POP3 kennt nur den Posteingang, so dass die Mails pro Gerät ggf. in Unterordner schieben musst - Wenn Du eine Mail auf einem Gerät gelesen hast, bekommst Du die auf den anderen Geräten wieder als ungelesen zu sehen

Wurde evtl. in den Datenschutzeinstellungen von Windows den Zugriff auf Kameras unterbunden? Auch wenn Du das nicht bewusst gemacht hast, wird so etwas auch durch Programme á la O&O ShutUp10 gesetzt, falls Du mal so etwas hast laufen lassen.

Ja, "Cyber Security" ist meiner Meinung nach vor allen Dingen in unserem Beruf sehr wichtig, da wir diejenigen sind, die die Systeme aufsetzen und administrieren. Wenn wir dann nichts oder zu wenig über "Cyber Security" wissen, machen wir gefährliche Fehler beim Aufsetzen und Administrieren, die immer schlimmer werden, wenn sich Anwender an die Systeme setzen, die gar nichts über "Cyber Security" wissen.

Das einzige, was Du testen kannst, ohne andere PC-Komponenten zu haben, ist das Netzteil, indem Du am besten alle Stecker abziehst und dann Pin 14 (da wo die grüne Litze hin führt) und einen Massepin z.B. mit einer aufgebogenen Büroklammer überbrückst. Wenn der Lüfter des Netzteils dann auch nur kurz zuckt, ist das Netzteil defekt. Wenn der Lüfter aber länger dreht, ist wahrscheinlich eine der anderen Komponenten defekt. Währenddessen kannst Du natürlich auch mal mit einem Multimeter die Funktion der einzelnen Spannungsschienen (3,3V/orange, 5V/rot, 12V/gelb) gegen Masse (schwarz) prüfen.

Oh, das hört sich sehr gut an, vielen Dank. Wenn ich also auf einem Switch als Uplink zum Core-Switch den Port 52 habe und Ports 1-48 für die Gast-Wohnungen nutzen möchte, brauche ich nur die Ports mit Untagged VLAN 168 zu versehen und folgenden Befehl in der CLI abzusetzen, richtig? vlan 168 isolate-list 1-48 So können die Ports 1 bis 48 im VLAN 168 untereinander nicht kommunizieren, aber mit dem Uplink schon. Falls es noch andere VLANs gibt (z.B. für VoIP, wo die VoIP-Telefone entweder selbst taggen oder per Auto-VLAN in ein anderes VLAN gesteckt werden), können die Geräte in diesen VLANs untereinander kommunizieren. Das ist genau das, was ich gesucht habe.