DocInfra

Das hat nichts mit feindseligkeit zu tun. Es ist mir nur ein totales Rätsel warum du auf der einen Seite die hohe Verfügbarkeit und Sicherheit (zur Siemens SPS Sicherheit sag ich mal nix...) hochhälst, aber oft mit so total abgefahrenen Basteleien um die Ecke kommst. So zieht das doch keiner in der Realität auf. Unser Aufbau ist vergleichbar. Du kannst eine DMZ natürlich auch mit zwei Firewalls/ Paketfiltern aufbauen, statt mit einer Firewall und einem DMZ Interface. Kommt auf die größe der DMZ an.

Eine DMZ erstmal nichts anders als ein Netz auf das der Zugriff mittels Sicherheitsfunktionen eingeschränkt ist. Sowas realisiert man, außer vielleicht in Testumgebungen, nicht mit PC mit mehreren NICs und nicht mit einem Betriebssystem bei dem der Mainstream Support 2010 abgelaufen ist. Wenn du das unbedingt mit PCs aufziehen willst, dann bitte ein auf den Anwendungsfall hin gehärtetes OS. Ansonsten imm bitte eine Firewall mit entsprechend ausreichend Interfaces, überlege dir wer wohin zugreifen muss, überlege wer auf die Firewall (administrativ) zugreifen muss und du solltest dir überlegen, ob es andere Möglichkeiten des Zugriffs auf di DB gibt (z.B. Export von Datensätzen auf Anforderung). Du legst doch immer soviel Wert auf die hohe Sicherheit und Zuverlässigkeit bei Automatisierungsnetzen - warum bastelst du dann bei Netzwerken so rum?

Nein, da möchte ich dir auf das heftigste widersprechen. Wo bitte ist der Vorteil an so einem Bastelkonzept?! Wenn du sowas aufbauen willst, dann nimm bitte eine Firewall mit einem entsprechenden Sicherheitskonzept dazu. Allein von der Verfügbarkeit her haben die drei Rechner eine geringere Verfügbarkeit als eine Firewall.

RRAS kann auch Pakete filtern. Aber: Ich würde dafür kein Windows 2003 mehr einsetzen, es gibt mittlerweile 2008 und sogar schon 2008 R2. Und ich würde dafür auch nicht RRAS verwenden, sondern eine Firewall mit einem entsprechenden Konzept dahinter.

Welcher Verkehr wohin darf realisierst du über entsprechende Regeln in einem Paketfilter oder ein anderen Regelwerk. Mehr steckt da nicht hinter. Routing muss natürlich passen. Also Verkehr aus dem Automatisierungsnetz und Benutzernetz müssen in die DMZ kommen.

Aber in jedes VLAN/ Subnetz zwei DHCPs zu stellen ist weder sinnvoll noch wirtschaftlich. Wenn ich mir so manchen netzwerkenden Automatisierungstechniker ansehe, dann sind autarke Automatisierungsnetze auch notwendig. Um den Rest der Welt vor ihnen zu schützen...

Warum misst du mit zweierlei Maß? Du willst auf der einen Seite hohe Verfügbarkeit, auf der anderen Seite soll es billig sein. Höchste Verfügbarkeit zu niedrigsten Kosten ist eine Optimierung in zwei Richtungen - und das geht nun mal nicht.

IMHO ein sehr sicheres Zeichen von Überforderung. Wenn einen der Job so beschäftigt, dann ist das kein gutes Signal. Burnout lässt grüßen.

Das du evtl. mit deinen Aufgaben überfordert und unsicher bist. In solchen Fällen beschäftigen einen die Aufgaben sehr lange und intensiv.

Man will nicht mehr als zwei DHCP Server verwalten. Was für ein irrsinniger Aufwand in jedes Subnetz zwei DHCP Server zu stellen. Ich verstehe ja noch den Sinn bei nationalen oder internationalen Unternehmensnetzen, aber mehr als zwei DHCP pro Standort sind IMHO unnötig. Außer es sprechen wichtige Gründe dafür.

Und was daran beschäftigt dich genau?

Was passiert denn wenn du eine Aufgabe bekommst? Möglicherweise auch noch zu einem Thema, mit dem du dich bisher noch nicht beschäftigt hast? Was beschäftigt dich denn die ganze Zeit nach der Arbeit noch?

10 Semester studiert und dann erst gemerkt, dass Informatik nichts ist oder exmatrikuliert worden?

Fühlst du dich bei deiner Arbeit manchmal überfordert?

Jaaa, jetzt fällt mir der feine Herr auch noch in den Rücken. *rolleyes* Bei Routing bin ich bei dir, bei DNS aber nicht. Ab er gut, lassen wir das Thema hier. ) Wegen DHCP. Man kann auch mehrere haben, man kann z.B. den Scope teilen. DHCP Server lassen sich aber auch relativ problemlos clustern oder anderweitig hochverfügbar machen.

Na ich denke über die Definition brauchen wir nicht streiten. Ein Server ist keine aktive Netzwerkkomponente. Standortverbindungen sind redundant oder es gibt Standortserver, die vor Ort Dienste wie lokales Spoolen, Domain-Controller, DNS und eben auch DHCP übernehmen. Durchaus ein Punkt, gebe ich dir Recht. Aber es ist nun mal eine Sache des Netzwerkdesigns diesen Verkehr zu vermeiden. Und wenn User VLANs mitnehmen, sehe ich keinen Grund Verkehr zu filtern. Verkehr fange ich erst dann zu filtern, wenn ich Netze, z.B. VLANs über einen Router verbinde, die eigentlich nichts miteinander zu tun haben sollten. Da muss ich mich fragen: Muss das sein? Netze die keinen Kontakt zueinander haben sollten, sollten über Firewalls getrennt sein. Aber ich gebe dir Recht, dass solche Lösungen nicht immer möglich sind.

Ihr habt doch sicherlich einen Supportvertrag zu dem Teil. Wenn ja, mach ein Ticket auf. Wenn nicht, schau in der Citrix KB.

Bist du dir sicher das du weißt, was du da tust? Ich fürchte nicht... Let me google this for you: *klick*

Linksys ist nicht Ciscos Consumer Line. Und das Ding richtet sich auch nicht an Consumer. Die wären? Klingt für mich eher nach einer hässlichen Bastelei. Routing ist ja okay, aber spätestens bei ACLs auf einem Layer-3 Switch sollte ich mir Gedanken über mein Netzdesign machen. Und aus Management- und Interoperabilitätsgründen würde ich einen DHCP NIE durch eine aktive Netzwerkkomponente (Switch, Router, Firewall etc.) machen lassen.

Ich denke du verwechselt da etwas. Loop Protection hilft dir, wenn du Endgeräte hast, die STP nicht beherrschen und BDPU Pakete auch noch filtern. Ansonsten kannst du gerne ein Patchkabel an zwei Ports eines Switches stecken. Wenn du zwei Edge Ports erwischt, hast du selber das Problem gebaut, das ist kein Fehlverhalten von STP oder dem Switch. Und für sowas gibt es z.B. auto-edge-port Feature.

Erhoffst du dir dadurch irgendwelche Vorteile? Ich würde die Energie eher in eine betriebswirtschaftliche Fortbildung (staatlich geprüfter Betriebswirt, Studium etc.) stecken. Zwei IHK Abschlüsse sehe ich nicht als Mehrwert. Zumal du nur den Abschluss hast. Es wäre nur dann ein (kleiner) Mehrwert, wenn du durch betriebliche Zeugnisse kaufmännische Tätigkeiten nachweisen könntest. Sonst bist du ein Papiertiger.

Interessant. Na ja, mit dem Kinderspielzeug von Netgear hab ich wenig zu tun. Zudem fällt mir kein Grund ein, warum ich einen Switch DHCP spielen lassen sollte.

Zeig mit bitte einen Switch (kein Kombi-DSL-Router-Switch-TK-Anlagen-Teil), der einen DHCP integriert hat. Ich kenne keinen. In der Regel können Switches mit Layer 3/4 Funktionalitäten als DHCP Relay agieren, aber nicht als DHCP. Ein Switch kann i.d.R. weder DHCP, noch NAT. Wenn du von einem Kombigerät, z.B. einer Fritz! Box, ausgehst, dann ist es der Router in dem Gerät, der als DHCP und Router fungiert. Und ein Router kann nun mal auch NAT.

Snapshots sind kein Backup.

Bald... noch nicht, aber bald. Aber alles was nun neu an Projekten reinkommt, sollte sich an vSphere 5 orientieren. Backup und Recovery sind nicht aufwendiger geworden - nur anders. Aber viele versuchen die bekannten Konzepte einfach auf eine virtualisierte Serverumgebung umzumünzen - oder lassen es gleich sein. Und Snapshots sind KEIN Backup! Niemals. Backups gehören auf Disks (Backup-2-Disk, VTL etc.) oder auf Tape.