Eye-Q

Richtig, soweit ich das beurteilen kann funktioniert das Spiegeln, allerdings wissen weder der Kunden-Admin noch ich, wie es geregelt ist, falls das primäre System mal ausfallen sollte. Ob da etwas im vCenter installiert war, kann ich nicht sagen. Aktuell sind vCenter und ESXi 6.7 installiert, es gibt definitiv keine VM, die da in irgendeiner Form reinfunkt. Wie geschrieben sind den ESXi-Hosts nur die iSCSI IP-Adressen des primären Systems bekannt, die sind im iSCSI Software-Adapter als statische Ziele eingetragen.

Mahlzeit, wir haben einen Neukunden, dessen VMWare- und Storage-Umgebung nicht von uns eingerichtet und leider nur unzureichend (sprich gar nicht) dokumentiert wurde. Leider habe ich mit NetApp keine Erfahrung, sondern versuche mir das Wissen über die NetApp-Dokumentation anzulesen. Im Moment läuft auch alles, so dass diese Frage (zum Glück) ein "was-wäre-wenn" darstellt. Wie im Titel geschrieben hat der Kunde zwei NetApp E2824 (jeweils Dual-Controller), die in unterschiedlichen Brandabschnitten laufen und per iSCSI in die VMWare-Hosts eingebunden wurden. Die VMWare-Hosts haben als iSCSI-Ziele nur die beiden iSCSI IP-Adressen der primären E2824 (192.168.40.100 und 192.168.40.101) eingerichtet, die beiden iSCSI IP-Adressen der sekundären E2824 (192.168.40.200 und 192.168.40.201) sind jedoch nirgendwo in den VMWare-Hosts zu finden. Im SANtricity ist Asynchrones Mirroring eingerichtet, so dass die Volumes auf die zweite E2824 gespiegelt werden. Synchrones Mirroring ist soweit ich das gelesen habe nur mit FC möglich, deswegen wurde eben asynchrones Mirroring eingerichtet. Nun zu meiner eigentlichen Frage: wie können die VMWare-Hosts per iSCSI auf die sekundäre E2824 zugreifen, falls die primäre E2824 mal ausfallen sollte? In der Doku steht unter "Role change of a mirror consistency group" folgendes: So wie ich das verstanden habe ist das ein erzwungener Rollentausch im Prinzip gleichbedeutend mit dem Ausfall der primären E2824, da auf der selben Seite folgendes steht: Ich frage mich nun, wie die VMWare-Hosts, die als iSCSI-Ziel-IP-Adressen die iSCSI-IP-Adressen der primären E2824 eingetragen haben, auf die iSCSI-Ziele der sekundären E2824 zugreifen können, wenn die VMWare-Hosts nicht von den iSCSI-IP-Adressen der sekundären E2824 wissen?

Ich gehe davon aus, dass Du PowerChute Business Edition o.Ä. in einer der Windows-VMs installiert hast, richtig? Falls ja, ist das ja auch nicht das richtige für dich. Das richtige wäre PowerChute Network Shutdown, welches als virtuelle Appliance eingerichtet wird und dann sowohl Verbindung zur USV als auch zum vCenter Server/den ESXi-Hosts aufnimmt. Wenn dann der Strom ausfällt, kann eingestellt werden, dass die VMs herunterfahren sollen, anschließend die VMWare-Hosts und dass ggf. noch ein SSH-Script die Storage herunterfährt. Da Du aber schon solche elementaren Dinge nicht selbst herausfinden kannst, sollte das ggf. jemand machen, der sich damit auskennt und dir dann auch das Wissen vermittelt, wie das zukünftig administriert wird.

IMAP durch POP3 ersetzen, da kann auch eingestellt werden, dass die E-Mails für x Tage auf dem Server belassen werden sollen. Sofern alle Geräte innerhalb dieser x Tage einmal den Server kontaktiert haben, laden die sich die E-Mails herunter und haben die lokal (inkl. Anhänge) verfügbar. Nachteile: - IMAP synchronisiert ja auch die Ordnerstruktur auf dem Server, POP3 kennt nur den Posteingang, so dass die Mails pro Gerät ggf. in Unterordner schieben musst - Wenn Du eine Mail auf einem Gerät gelesen hast, bekommst Du die auf den anderen Geräten wieder als ungelesen zu sehen

Wurde evtl. in den Datenschutzeinstellungen von Windows den Zugriff auf Kameras unterbunden? Auch wenn Du das nicht bewusst gemacht hast, wird so etwas auch durch Programme á la O&O ShutUp10 gesetzt, falls Du mal so etwas hast laufen lassen.

Ja, "Cyber Security" ist meiner Meinung nach vor allen Dingen in unserem Beruf sehr wichtig, da wir diejenigen sind, die die Systeme aufsetzen und administrieren. Wenn wir dann nichts oder zu wenig über "Cyber Security" wissen, machen wir gefährliche Fehler beim Aufsetzen und Administrieren, die immer schlimmer werden, wenn sich Anwender an die Systeme setzen, die gar nichts über "Cyber Security" wissen.

Das einzige, was Du testen kannst, ohne andere PC-Komponenten zu haben, ist das Netzteil, indem Du am besten alle Stecker abziehst und dann Pin 14 (da wo die grüne Litze hin führt) und einen Massepin z.B. mit einer aufgebogenen Büroklammer überbrückst. Wenn der Lüfter des Netzteils dann auch nur kurz zuckt, ist das Netzteil defekt. Wenn der Lüfter aber länger dreht, ist wahrscheinlich eine der anderen Komponenten defekt. Währenddessen kannst Du natürlich auch mal mit einem Multimeter die Funktion der einzelnen Spannungsschienen (3,3V/orange, 5V/rot, 12V/gelb) gegen Masse (schwarz) prüfen.

Oh, das hört sich sehr gut an, vielen Dank. Wenn ich also auf einem Switch als Uplink zum Core-Switch den Port 52 habe und Ports 1-48 für die Gast-Wohnungen nutzen möchte, brauche ich nur die Ports mit Untagged VLAN 168 zu versehen und folgenden Befehl in der CLI abzusetzen, richtig? vlan 168 isolate-list 1-48 So können die Ports 1 bis 48 im VLAN 168 untereinander nicht kommunizieren, aber mit dem Uplink schon. Falls es noch andere VLANs gibt (z.B. für VoIP, wo die VoIP-Telefone entweder selbst taggen oder per Auto-VLAN in ein anderes VLAN gesteckt werden), können die Geräte in diesen VLANs untereinander kommunizieren. Das ist genau das, was ich gesucht habe.

Mahlzeit, ich habe gerade ein Projekt in den Fingern, wo mit einer komplett neuen Switch- und Firewall-Infrastruktur u.A. Gast-Wohnungen mit Internet versorgt werden sollen. Der Übersichtlichkeit halber wollen wir alle Netzwerkanschlüsse aller Gast-Wohnungen in ein VLAN werfen, allerdings sollen die Gast-Wohnungen untereinander natürlich nicht kommunizieren dürfen. Deswegen habe ich an eine ACL auf dem Switch gedacht, allerdings habe ich bisher noch nicht mit ACLs auf Switches gearbeitet, mir das aber mal theoretisch angeschaut und daraus meine Schlüsse gezogen. Es wäre schön, wenn jemand mit mehr Erfahrung über die ACL drüberschaut, die ich mir ausgedacht habe. Folgendes soll gegeben sein: Der Switch bekommt ein VLAN 168 konfiguriert Der Switch bekommt im VLAN 168 keine IP-Adresse konfiguriert Die Firewall wird im VLAN 168 mit der 192.168.168.254 (Subnetzmaske 255.255.255.0) versehen Die Switchports, mit denen die Wohnungen versorgt werden, werden mit Untagged VLAN 168 versehen Der Switchport, an dem die Firewall angeschlossen ist, wird mit Tagged VLAN 168 versehen Die Firewall bekommt Firewall-Regeln, die Websurfing, E-Mail-Verkehr und ein paar andere Dienste aus dem VLAN 168 in Richtung Internet zulassen Die ACL, wie ich sie mir vorstelle, sieht folgendermaßen aus: Permit tcp any host 192.168.168.254 Permit tcp host 192.168.168.254 any Deny tcp any any Wenn ich die ACL dann auf dem Switch dem VLAN 168 zuweise, dürften die Geräte, die an den Switchports angeschlossen sind, die mit Untagged VLAN 168 versehen sind, mit der Firewall und somit dem Internet kommunizieren, mit allen anderen IP-Adressen aus dem Subnetz 192.168.168.0/24 aber nicht, richtig? Vielen Dank im Voraus

Wie sieht es aus, wenn Du die Netzlaufwerke und die Anmeldedaten aus den Netzwerkkennwörtern entfernst und dann das Netzlaufwerksverbindungsscript erneut laufen lässt? Da Du Benutzername und Passwort ja schon im Script übergibst, kann es sein, dass Benutzername und Passwort aus den Netzwerkkennwörtern da irgendwie reingrätschen, auch wenn sie augenscheinlich richtig sind.

Ein Bekannter von mir hat FIAE gelernt und ist jetzt mit 36 Jahren CTO bei einem weltweit tätigen Pharmakonzern. Mein Werdegang: Ausbildung bei Siemens als FISI 2001-2004 Ein Jahr Übernahme, weil das so im Tarifvertrag stand, sonst hätten die mich bei der Entlassungswelle um die Zeit direkt 2004 entlassen 2 Monate arbeitssuchend ("damals" war das noch eine schwierige Zeit, wenn man im Prinzip direkt aus der Ausbildung kam...) 10 1/2 Jahre als "Techniker für alles" bei einem kleinen Unternehmen (leider nur drei Techniker plus Chef, der auch in der Technik mitgemischt hat, deswegen konnte ich mich nicht spezialisieren), welches KMUs rund um die IT betreut hat Seit jetzt gut 3 1/2 Jahren in einem etwas größeren Unternehmen (10 Techniker) auch wieder mit Betreuung von KMUs, wo ich vom "Techniker für alles" zum 2nd/3rd Level Support und Projektausführenden aufgestiegen bin; ich hätte auch Technik-Teamleiter werden können, mein Metier ist aber eindeutig die Technik selbst, und wenn der Chef sagt "wenn ich dir schwierige Aufgaben übertragen, an denen andere schon länger gescheitert sind, löst Du die immer in kürzester Zeit zur vollsten Zufriedenheit", ist das Balsam für die Seele und wird auch dementsprechend monetär gewürdigt

Ich fürchte, da hat das Elektronik-Kompendium extrem falsche Zahlen, woher auch immer die kommen. Im wikipedia-Eintrag zu iSCSI (https://de.wikipedia.org/wiki/ISCSI) ist die "Effizienz" (wie viel Prozent an Nutzdaten ein einzelnes Paket beinhaltet) bei iSCSI und FC gut aufgeschlüsselt: wenn keine Jumbo-Frames verwendet werden, liegt die Effizienz von iSCSI bei 94,9%, FC bei 97,2%. Wenn Jumbo-Frames verwendet werden, ist iSCSI sogar noch besser mit 99,1%. Die realen Durchsatzraten können jedoch deutlich unterschiedlich sein, beide Protokolle sind natürlich davon abhängig, wie viel Durchsatz das Netzwerk darunter bietet. 10 Gbit/s iSCSI ist natürlich (theoretisch, je nachdem ob das Storage-System die Bandbreite ausnutzen kann) schneller als 8 Gbit/s FC, allerdings gibt's auch 16 Gbit/s FC, was dementsprechend schneller als 10 Gbit/s iSCSI ist, wenn das Storage-System mehr als 10 Gbit/s liefern kann. Um zum eigentlichen Thema SAN vs. NAS zu kommen: ein SAN stellt LUNs bereit (sozusagen logische Festplatten), die in Server eingebunden werden können, so dass die Server die als Festplatten ansehen, Freigaben auf NAS-Systemen werden meistens als Netzlaufwerk eingebunden. Die Grenzen sind inzwischen teilweise fließend, die meisten NAS-Kisten können inzwischen auch LUNs per iSCSI präsentieren, so dass die auch in SANs verwendet werden können. Genauso gibt es "professionelle" SAN-Systeme, die Freigaben auf Dateilevel bereitstellen können.

Richtig, die Berufsbezeichnung "Fachinformatiker Fachrichtung Systemintegration" ist mit Sicherheit kein auf Tätigkeit X eingeengter Beruf, es muss nur irgendwie benannt werden, damit es eine offzielle Bezeichnung dafür gibt. Wie SaJu schon geschrieben hat ist Netzwerk- und Linuxadministration eine gute Grundlage, auf die sehr gut aufgebaut werden kann. Melde dich bei Xing und LinkedIn an, sofern Du da noch nicht bist, schreibe deine Interessen in dein Profil und es wird mit ziemlicher Sicherheit viele Anfragen von Headhuntern geben. Wenn Du offen damit umgehst, dass Du eine Junior-Stelle suchst, sollte das kein Problem sein, eine Stelle in den Bereichen zu finden, in die Du dich bewegen willst. Ob Du nun direkt nach der Ausbildung wechselst oder noch Berufserfahrung sammelst ist meistens auch egal, im ersteren Fall wird aber einem potenziellen Arbeitgeber vielleicht signalisiert, dass Du sehr wechselwillig bist und somit evtl. beim nächstbesseren Angebot schon in einem Jahr, wenn Du erst wirklich produktiv wirst, wieder weg bist.

Wenn ich mir mehrere Komponenten kaufen möchte, erstelle ich mir eine Liste bei einer Preisvergleichsseite (z.B. geizhals.de), dort kann dann auch gleich angezeigt werden, ob es die ausgewählten Komponenten alle in einem Shop gibt und wie viel teurer das ist als wenn man in mehreren Shops kauft. Anschließend schaue ich mir das Angebot der lokalen Händler an (notebooksbilliger und cyberport haben Ladengeschäfte in Hamburg) und entscheide dann, ob das ggf. mit einem reinen Onlinekauf gesparte Geld genug ist, um mich umzustimmen, nicht lokal zu kaufen. Ich persönlich meide Amazon komplett, aber das ist persönliche Präferenz.

Bevor wir dir hier die Antwort vorkauen eine Gegenfrage: hast Du überhaupt versucht, selbst eine Lösung zu finden (wenn ja, was denkst Du was die Lösung sein könnte?) oder glaubst Du, die Frage mit eigenem darüber Nachdenken sowieso nicht herauszufinden? Im zweiteren Fall werde zumindest ich dir nicht helfen, da das später im Berufsleben auch eher schlecht als recht funktioniert (ich gehe davon aus, dass Du noch Azubi bist, sonst bekommt man solche Fragen eigentlich nicht gestellt)...

Nein, das ist schon richtig so. Sophos RED sind Netzwerkgeräte, die mit ihrem WAN-Port an einen vorhandenen Router angeschlossen werden, von diesen eine IP-Adresse per DHCP beziehen und sich anschließend mit ihrer Seriennummer bei einem Sophos-Server im Internet melden. Dort ist verzeichnet, zu welchem Hostnamen sich die RED verbinden soll, das tut die dann und die Sophos-Firewall, bei der sich die meldet, verwaltet dann die RED inklusive DHCP-Server-Dienst an den LAN-Ports der RED. So können kleine Außenstellen schnell an die Zentrale angebunden werden, ohne dass jemand mit vielen IT-Kenntnissen in die Außenstellen tigern muss. Das machen Router, die sich ihre IP-Adresse z.B. von einem Kabelmodem per DHCP holen und intern einen DHCP-Server-Dienst bereitstellen, genauso. Zur (schon beantworteten) Frage an sich: ich hätte auch darauf getippt, dass jemand einen LAN-Anschluss der Fritzbox ebenfalls an den internen Switch, der eigentlich komplett hinter der RED hängen soll, angeschlossen hat. Eine statische IP-Adresse an der Fritzbox braucht die RED auf keinen Fall, da der RED-Tunnel zur Sophos-Firewall in der Zentrale von der RED initiiert wird und die Fritzbox ausgehend standardmäßig nichts blockt. Was Du machen könntest, um so etwas zukünftig zu verhindern, ohne dass der DHCP-Dienst der Fritzbox deaktiviert wird: die DHCP-Range der Fritzbox auf eine einzelne IP-Adresse beschränken, dann kann kein anderes Gerät, was an einem LAN-Port der Fritzbox angeschlossen wird, eine DHCP-Adresse erhalten.

Ist der 2019er-Server schon Mitglied der Domäne? Ich gehe davon aus, dass die DNS-Einstellungen stimmen, meistens wird ja (einer) der DC(s) auch als DNS-Server eingerichtet werden, der 2019er-Server muss natürlich auch einen DNS-Server befragen, der die Domäne chris.local kennt. Was kommt bei folgendem Befehl in der Kommandozeile heraus? netdom query fsmo Rückfrage: wieso willst Du das per Kommandozeile durchführen? Wenn Du im 2019er-Server die AD-Rolle hinzufügst und nach dem anschließenden Neustart den Assistenten zum Hochstufen des DCs durchlaufen lässt, wird das AD-Schema automatisch auf das benötigte Level aktualisiert, natürlich immer vorausgesetzt, dass der Benutzer, mit dem Du an dem Server angemeldet bist, auch entsprechende Rechte besitzt.

Nein, da alles, was eine Kommunikation möglich machen würde (Treiber, IP-Stack, ggf. Routing zwischen den Subnetzen) vom angeschlossenen PC übernommen wird. Bei ausgeschaltetem PC sind die USB-Netzwerkadapter "dumm".

Mahlzeit, wie haltet ihr es mit Kontaktanfragen auf "professionellen" Plattformen á la xing oder LinkedIn, wenn direkt geduzt wird? Die meisten Anfragen, die sich natürlich darauf beziehen, ob aktuell Interesse an einer beruflichen Veränderung besteht, sind in der Sie-Form, vereinzelt kommen aber auch Anfragen mit "Hallo <Vorname>". Ich finde es ehrlich gesagt unpassend, jemanden, der schon seit 15 oder mehr Jahren arbeitet, in einer Erstanfrage direkt mit dem Vornamen anzusprechen, oder bin ich da nur altmodisch? Irgendwie habe ich da immer das Bedürfnis, sofort den Löschen-Button zu betätigen, weil das meiner Meinung nach nicht von Respekt gegenüber einer voll im Berufsleben stehenden Person zeugt, ringe mich aber doch meistens dazu durch, eine Absage mit einem Zusatz á la "P.S.: kennen wir uns, dass wir uns duzen?" zu schreiben. Ob die Aussage beim Gegenüber dann auch ankommt, ist sowieso fraglich, aber eine Nachricht einfach kommentarlos zu löschen ist auch nicht die feine englische Art...

Leider sind die Beschreibungen, die Du hier gibst, recht dürftig, deswegen ist das von unserer Seite aus eher ein Raten in den blauen Dunst hinein... Was meinst Du in diesem Fall mit "Firewall"? Ein Gerät, welches u.A. als Standardgateway für Rechner und Server fungiert oder eine Software-Firewall auf Rechner und/oder Server? Des weiteren: gibt es im LAN mehrere Subnetze, z.B. ein Subnetz für Server und eins für Clients, und die Firewall hängt dazwischen, oder ist auf beiden Seiten der Regel "LAN > LAN = ANY" das selbe Subnetz? Bevor diese Fragen nicht geklärt sind, bringt es eher wenig, zu spekulieren, was Du denn mit den Begriffen wirklich meinst.

Die Konfiguration sieht richtig aus, sonst könnten Mitarbeiter B und C überhaupt nicht auf die Unterordner zugreifen. Was sein könnte: sofern nicht auf einem Terminalserver (RDS-Host) gearbeitet wird, legt Outlook auf den lokalen PCs eine Cache-Datei an, auch die Ordner der anderen Benutzer, auf die der Benutzer Zugriff hat, werden in diese Cache-Datei geschrieben. Es kann sein, dass die Synchronisation der Ordner noch nicht beendet ist - steht unten rechts im Outlook-Fenster "Alle Ordner sind auf dem aktuellsten Stand" oder "xyz wird synchronisiert"? Im zweiteren Fall kann es gut sein, dass Outlook erstmal nur die aktuellsten Mails jedes Ordners in die Cache-Datei schreibt und die weiteren Mails erst später heruntergeladen und angezeigt werden.

Öhm, ein WSUS ist nicht einfach "Fire and forget", sondern der muss auch gepflegt werden, damit die WSUS-Datenpartition nicht einfach komplett vollgeschrieben wird, es muss entschieden werden, welche Updates genehmigt werden sollen etc. Außerdem ist der WSUS ja eigentlich nur dazu da, um die Updates zentral bereitzustellen anstatt dass sich jeder Server und Client einzeln die Updates aus dem Internet herunterlädt. Die Entscheidung, wann die Updates installiert werden, ist vom WSUS unabhängig und kann einfach per Gruppenrichtlinien eingestellt werden. Die Einstellung per Gruppenrichtlinien hat natürlich den Nachteil, dass man nicht einfach zentral sagen kann "mach' mal jetzt Updates", sondern es eben einen festen Zeitraum gibt, in dem die Updates installiert werden, der nur durch Änderung der Gruppenrichtlinie geändert werden kann. A propos Gruppenrichtlinien: anhand dieses Stichworts gehe ich davon aus, dass es eine Windows-Domäne gibt, richtig? Ohne Windows-Domäne sind natürlich Gruppenrichtlinien auch hinfällig...

Wieso willst Du die Switches zwischen den VLANs routen lassen? So könnte das Gast-WLAN ja wieder auf das interne LAN zugreifen und Du hättest so gut wie nichts gewonnen... Stattdessen solltest Du auch auf dem Draytek-Router ein entsprechendes VLAN 2 mit IP-Adresse 192.168.2.10 anlegen, am besten sollte der auch den DHCP-Server für das VLAN beinhalten, der dann die 192.168.2.10 als Gateway ausgibt. Dann im Draytek-Router einstellen, dass das VLAN 2 nur auf das Internet zugreifen darf und fertig ist die Laube.

Mein PC mit Monitor und Boxensystem hängt schon seit Ewigkeiten an einer Steckdosenleiste mit Schalter und mir ist deswegen noch nie ein Gerät kaputt gegangen. Alle Komponenten sind jetzt über 5 Jahre alt...

Für einen seriösen Vergleich gibt es zu wenige Informationen, denn aus deinem Text wird die Infrastruktur nicht klar: es könnte sein, dass die "mehreren 100 Mbit/s-Switches", der Server und die Internetleitung untereinander über einen zentralen Switch verbunden sind, es könnte aber auch sein, dass mehrere Switches kaskadiert sind und der Server bzw. die Internetleitung an einem der am ungünstigsten angeschlossenen Switches verbunden sind. Allgemein ist zu sagen, dass sich bei so einer relativ geringen Internetbandbreite subjektiv wahrscheinlich in Richtung Internet nicht viel tun wird, nur in Richtung interner Server kann es gut sein, dass sich die erhöhte Bandbreite auch subjektiv auswirkt, je nach Bandbreitenanforderungen der Anwender. Ein klarer Vorteil einer strukturierten Verkabelung (d.h. einem Netzwerkschrank mit einem oder zwei Switches und Patchpanels) ist, dass bei einem Netzwerkproblem nicht an mehreren Stellen, sondern idealerweise nur an einer zentralen Stelle nach dem Fehler gesucht werden muss. Außerdem haben dann theoretisch alle PCs gleich viel Bandbreite zur Verfügung und es müssen sich nicht mehrere PCs einen 100 Mbit/s-Uplink zum nächsten Switch teilen, der dann vielleicht auch nur einen 100 Mbit/s-Uplink zum darauf folgenden Switch besitzt etc., was die effektive Bandbreite für die PCs, die am "entferntesten" Switch verbunden sind, verringert, solange mehrere PCs gleichzeitig hohe Bandbreitenanforderungen haben.