DocInfra

HP Data Protector. Abhängig davon, was auf dem 2003 Server läuft (DB, ERP o.ä.) brauchst du nur ein Data Protector Cell Manager Starterpack. Du kannst soviele Agents verteilen wie du willst. Lizenziert wird nur pro Server, wenn Datenbanken (Oracle, MS SQL, Exchange, SAP, DB2 etc.) zum Einsatz kommen. Wenn mehrere DBs auf einem Server laufen, wird trotzdem pro Server lizenziert. Viel einfacher zu lizenzieren als alles andere auf dem Markt. Je nach Größe der Installation auch viel billiger.

Mea culps, Typo meinerseits. Ich meinte natürlich 250 Mbps. Und die kleineren Juniper SSG schaffen das nicht.

Also wenn du einen Durchsatz von 250 MB durch die Firewall haben willst, dann musst du schon sowas hier nehmen.

"Teuer" ist relativ. Was kostet dich ein Ausfall? Was sind die maximalen Werte für RTO und RPO? NTBackup ist ein IMHO ein WINZIP was einen Scheduler hat und mit Bändern umgehen kann. Das Ding ist nicht wirklich benutzbar. Da gibt es bessere Freeware. btw: Wer stellt in Zeiten von VSS Dateien von Fileservern direkt von Tape her?

NTBackup taugt maximal zum Sichern des Systemstate. Für alles andere ist die Software eigentlich unbrauchbar. Vor allem wenn es um die Anforderungen einer modernen Infrastruktur geht.

Ich hab den hier. War eine erstklassige Wahl.

Windows startet bei einem BSoD automatisch neu. Den bekommst du also gar nicht erst zu Gesicht. Du musst den automatischen Neustart abschalten.

Das sollte ja wohl JEDE Backupsoftware können.

Schau dir HP Data Protector an. Kann alles was du brauchst und ist einfacher zu lizenzieren als CA ARCServe, Symantec BackupExec, EMC Networker etc.

Was genau willst du denn messen und warum? Je nach Fall schau dir mal SPEC oder TCP, besonders TPC-H oder TPC-C an.

Was sagt der CI Beauftrage bei euch in der Firma? Für sowas gibt es bestimmt eine Regelung bei euch.

Das Prüfen ob es einen gültigen PTR zu einem A Record gibt ist ein gerne genutztes, aber total dämliches und RFC nonkonformes Verfahren bei der Spamabwehr. Gerne wird auch geprüft ob A Record und PTR Record übereinstimmen, dder ob der sendende Host auch als MX Record eingetragen ist. Kann man machen, z.B. im Rahmenes eine Reputationfilters, aber dann nur gering gewichtet. Ansonsten ist das Verfahren ziemlicher Mist. Das grundsätzliche blocken von SMTP Verbindungsversuchen aus Dial-In IP-Bereichen ist aber legitim und sehr verbreitet. Ist halt eine eine Reaktion auf virenversuchte und spamversendende PCs. Wer Mails von seinem PC aus senden will, der kann dem Mailserver seines ISPs verwenden. Wenn du nun über deinen Exchange senden willst, dann versende die Mails über den Mailserver deines ISPs. Dann kommen die auch beim Empfänger an und werden nicht vorher schon als Spam gefiltert.

Bisher gab es bei uns nur im Vertrieb weibliche Azubis. Ich hätte aber auch gar nichts gegen eine Azubine im technischen Bereich. Davon würde ich mir vor allem ein wenig frischen Wind und neue Einsichten bei Kollegen, Kunden etc. versprechen. Zudem gehen Frauen oft anders an Probleme ran, was nicht immer schlecht ist. Leider bekommen wir nicht viele Bewerbungen von Frauen für eine technische Ausbildung. Und die Bewerbungen die wir bekommen, fallen leider aus anderen Gründen (Fehler, Qualifikation etc.) raus.

Also ein simples Routingproblem.

Ganz ehrlich? Sowas würde gar nicht in mein Netz kommen. Die Gefahr, dass die Kisten irgendwas komisches machen, wäre mir viel zu hoch. Es gäbe zwei Uplinks (wegen Redundanz) die an eine Firewall gehen zwecks Netzwerktrennung. Zudem Rest was du geschrieben hast: Das sind Organisationspsychologische und verwaltungstechnische Fragen die man lösen muss. Das sind weniger technische Fragen. Sowas löst man über Subdomains im Sinne von AD o.ä. Und noch ein Hinweis: Glaub nicht immer, dass nur die "IT" Fehler macht und das die Verfügbarkeit von Anlagensteuerungen maßgeblich von Außen beeinflusst wird. Oft legt ihr euch die Karten selber. Leider oft genug erlebt. Und dann fängt auch das Fingerpointing sehr gerne an. Ich habe in meinen Jahren viele, viele Maschinenbauer gesehen und es ist statistisch signifikant: Es sind immer erstmal die anderen.

Sorry, aber in meinen Augen hat Siemens gar nichts erkannt. Per Default unsichere SPS Installationen (habe ich selber bei Kunden gesehen...) und Rechner, die trotz Virenbefall nicht abgeschaltet werden dürfen, zeugen nicht gerade von einem verinnerlichten Sicherheitsverständnis. Korrekt. Daher stellt man Schnittstellen für die Maschinensteuerung bereit. Korrekt. Daher betreibt man auch nicht nur einen Domaincontroller, wenn man Microsoft Active Directory nutzt, sondern mehrere. Deswegen stellt man der Maschinensteuerung eine Subdomain bereit. Deswegen setzt man Firewalls zur Netztrennung ein. Die Liste lässt sich beliebig fortsetzen. Aber die Verwaltungshoheit über die Infrastruktur, die bleibt bei der zentralen IT. Erhöht den Verwaltungsaufwand. Erhöht die Fehleranfälligkeit. Verhindert einheitliche Standards. Schafft Sicherheitslücken. Kostet Geld. Warum formulierst du das als Frage? Weißt du das nicht? Natürlich gibt es unterschiedliche Anforderungen. Je besser die seitens des Fachbereiches formuliert werden, desto besser kann die zentrale IT darauf eingehen. Die meisten IT-Inseln entstehen aber weil Fachbereiche diese Definition umgehen wollen. Sie wollen maximale Flexibilität, keine Einschränkungen, egal was gut für das Unternehmen ist. Ich erlebe es leider viel zu oft das Maschinenbauer parallel ganze Infrastrukturen hochziehen und niemand etwas davon mitbekommt, da alles unter dem Deckmantel "Maschinensteuerung" läuft. Deine persönliche Meinung in allen Ehren, aber sie ist doch in meinen Augen stark durch deine berufliche Tätigkeit geprägt. Ich sehe zwei Seiten. Ich sehe deine Seite und ich sehe die Seite des Kunden. Ich stehe in der Mitte und freue mich. Ich verdiene an beiden Varianten: Bei der einen Variante, wo es eine zentrale IT gibt und an der andernen Variante, wo du deine eigene Umgebung hochziehst. Das ändert aber nichts an der Tatsache, dass aus Sicht des Unternehmens, aus Sicht der Prozesse, der Verwaltungsorganisation etc. eine zentrale IT-Infrastruktur die bessere Lösung ist.

Lies dir das bitte durch.

Nein. Meine Frage war: Nutzt ihr einen Blocklist Provider?

Nutzt ihr einen Blocklist Provider?

Warum benötigst du dann länger? Kennst du deine Anlage nicht? Wenn du ein Problem mit der Namensauflösung hast, brauchst du in deiner Anlage nicht viel zu testen um festzustellen, dass es ein Problem mit den DNS Servern gibt. Die kenne ich auch. Die rechnen dir dann aus, was ein virenverseuchter Rechner kostet, der ein ganzes Netzwerk infiziert aber nicht abgeschaltet werden darf, weil es ja ein Steuerungsrechner ist. Warum musst du dir einen Mirrorport einrichten? Warum nicht die Anforderung "Mirrorport" stellen und einen fest definierten Mirrorport von allen Ports der Anlage bekommen? SNMP Readaccess auf Komponenten kann man auch bekommen. Kann man als Service bereitstellen, sofern die Anforderung gestellt wird. Du bist Dienstleister. Du nutzt eine dir zur Verfügung gestellte Infrastruktur. Warum solltest du dann darauf Zugriff haben? Vor allem auf so sicherheitsrelevate Dinge wie Switches oder gar das Kennwort des Domänen-Administrators?? Was du innerhalb deiner Anlage machst ist dir überlassen. Aber spätestens an der Schnittstelle zum Unternehmensnetzwerk ist Schluss für dich.

Leider nein. Das habe ich leider oft genug live erlebt. Aber ich gebe gerne zu: Es gibt ein paar Ausnahmen. Ist das so?! Kannst du das belegen? Für mich klingt das eher nach einer Ausrede. Wenn du Maschinenbauer und ich IT-Abteilung bin, dann stelle ich dir "Schnittstellen" bereit. Du sagt mir "Ich brauch vier A-Records im DNS für die Systeme x, y und z", dann bekommst du die. Wenn du sagst "Ich brauche vier 100 Mbit TP-Anschlüsse im VLAN xyz und sechs IP-Adressen im Bereich x.y.z", dann bekommst du die natürlich auch. Wenn du dann zwei Systeme nicht erreichst, dann musst du einen Fehler in deiner Anlage ausschließen. Wenn du das kannst, dann muss es an "meiner" Infrastruktur liegen. Du nutzt Services, die dir die IT-Infrastruktur bereitstellt. Lustigerweise impliziert deine Aussage nur, dass du eben einen Fehler in deiner Anlage nicht ausschließen kannst, ohne Zugriff auf andere Systeme zu haben. Warum nicht? Nenn mir bitte Beispiele. Ich kann diesen Gedankengang nicht nachvollziehen. In meinen Augen brauchst du keinen Zugriff auf die Infrastruktur. Um hier noch mal den Bogen zu dem Dokument von Siemens zu bekommen: IMHO ist das einfach der Versuch eine IT-Insel zu schaffen. Das wird auch in der Praxis oft genug gemacht. Leider wird bei sowas viel zu selten die IT-Abteilung mit ins Boot geholt. Stattdessen werden unter dem Deckmantel der "Anlagentechnik" IT-Inseln geschaffen was administrativ und kostentechnisch absolut unnötigt ist. Man spart sich damit nur viele Diskussionen, Abstimmungen und Konzepte. Ein Satz, bei dem sich mir die Nackenhaare sträuben: Da stellen sich direkt ein paar Fragen: Warum ist die Kisten virenversucht? Wie kam der Virus in die Anlage? Warum verwendet man dort ein anfälliges System? Um es ein wenig ketzerisch zu sagen: In dem Fall muss man das Netzwerk zur Maschinensteuerung nicht vor der IT-Abteilung schützen, sondern die IT-Infrastruktur und den Rest des Netzwerkes vor den Maschinenbauern...

Verfügbarkeit lässt sich steigern, natürlich gegen Einwurf beliebig vieler kleiner und großer Münzen. Es ist ein wenig ironisch zu sehen das ausgerechnet Siemens sich zum Thema Sicherheit auslässt, und dann auch noch ausgerechnet bei SPS etc., wo Siemens doch selber Installationen vornimmt, wo Defaultkennwörter etc. enthalten sind, die dann auch nicht geändert werden dürfen. Ich habe einige Kunden aus dem produzierenden und technischen Gewerbe (z.B. Energieversorger, Pharma-/ Chemieunternehmen) die natürlich auch Maschinensteuerungen einsetzen. Du kannst Mängel in der "Verfügbarkeit" nicht durch die Trennung von Bereichen kaschieren. Komischerweise ticken Maschinenbauer und SPSler ganz komisch. Wollen alles selber machen, können aber nichts richtig machen. Wenn ich unmanaged Switches an Hutschienen sehe, dann brauche ich mich mit denen gar nicht weiter über Netzwerkmanagement und Verfügbarkeit unterhalten. Die sollten sowas einfach Leuten überlassen, die sich damit auskennen. Glücklicherweise gibt es immer wieder Ausnahmen die entweder Ahnung haben, oder aber zugeben keine Ahnung von IT zu haben (IT ist für Maschinenbauer auch nur ein Mittel zum Zweck), sich dann aber auch helfen lassen wollen. Siemens ist bei sowas leider nicht immer als gutes Beispiel. Und da habe ich mehr als ein Beispiel für.

Seit Exchange 2000 sind Exchange-Installation per Default relaysicher.

Das Lösen von organisationspsychologischen Fragestellungen ist nicht Aufgabe der IT. Nocheinmal: Du musst zwischen bei der Trennung von Bereichen zwischen einer Trennung aus Sicherheitsgründen und einer Trennung aus Verwaltungsgründen unterscheiden. Wenn es einem Geschäftsbereich darum geht die von ihm genutzt IT-Infrastruktur selber zu betreuen, dann muss man das entweder über die Delegation von Rechten lösen, oder aber die Infrastruktur wird zentral betreut. Aber es kann nicht zwei vollständig gleichwertig und selbstständig laufende IT-Infrastrukturen in einem Unternehnmen geben. Das gibt auf Dauer nur Probleme und ist ökonomisch extrem schlecht. Wenn es die Aufgabe eines Service- oder Costcenter ist die IT-Infrastruktur zu betreiben, dann hat es auch die Verantwortung dafür. Wenn du die Bereiche trennst und zwei total separate Infrastrukturen baust, dann fängt das Fingerpoint erst Recht an. Dazu kommen halt die üblichen technischen Probleme wie, wenn du schon bei Microsoft Active Directory bist, wie Hoheit über Vertrauensstellungen, Mailversand, zwei getrennte Exchange-Organisationen etc. Totaler Blödsinn also. Entweder delegiert man Rechte innerhalb der Infastruktur an den Geschäftsbereich, wenn der unbedingt etwas selber machen will, oder es gibt ein zentrales Service- oder Costcenter und das hat die Hoheit über die gesamte Infrastruktur und die Geschäftsbereiche haben nur über zentrale Gremien wie Ausschüsse oder Räte "Gewalt" über die zentrale IT.

Ja und?! Hast du dich mal mit Active Directory beschäftigt? Weißt du was es heißt, zwei Gesamtstrukturen zu haben? Kennst du die Auswirklungen z.B. für Exchange? Scheinbar nicht. Ich halte eine Trennung, je nach Ausgangslage und Anforderungen des Kunden, für sinnvoll. Aber: Man kann sich damit auch ganz schön die Karten legen. Wenn die Bereiche auch noch getrennt administriert werden schafft man sich zwei schöne IT-Inseln. Unter ökonomischen Gesichtspunkten ist sowas dann eine Katastrophe.