Überblick über IT-Struktur verschaffen als Admin - totales Chaos?

[TheManneken]

Hallo!

Es hat geklappt! Vorstellungsgespräch und Probetage verliefen super, danach kam der Arbeitsvertrag während 3 Tage Einarbeitung mit dem alten Admin und nun sitz ich alleine hier. Gut, solange alles läuft, kein Grund zur Panik! Aber der vorherige Admin - mein Vorgänger - wusste ebenfalls kaum etwas über die IT-Struktur, was er mir beibringen konnte. Es läuft halt ein Windows Server 2008 SB-Server mit 4 virtuellen Maschinen (VMWare) auf denen ebenfalls Windows Server 2008 und ein altes 2003 läuft. Backup erfolgt mittels Acronis, allerdings weiß ich weder von wo, wann, was und wohin... Wie die Firewall aussieht oder generell die IT-Sicherheit sind mir bisher auch schleierhaft.

Und nun soll ich das Warenwirtschaftssystem (HIW Rendite) updaten und was ist eigentlich, wenn mal was nicht läuft? Ich muss halt sagen, dass ich komplett alleine in der Firma für die IT verantwortlich bin. DATEV haben wir zwar auch, macht aber auch DATEV. Mein Vorgänger ist weg, den kann ich also nicht fragen - wobei er auch kaum mehr wusste als ich.

Also, wo soll ich anfangen? Ist leider das erste Mal und gerade noch als Einziger, dass ich für fast die komplette IT-Infrastrukur administrativ tätig bin. In meiner bisherigen Karriere war ich dafür einer von vielen und die richtig harten Sachen haben sowie die "Höheren" gemacht.

[Eye-Q]

3 Tage Einarbeitung? Das ist ja fast so schlimm wie in meiner Firma, wo unser zweiter Techniker (wir waren zwei) Anfang September verkündet hat, dass er zu Ende September weg ist (nicht fragen, ich habe mich auch sehr gewundert, wie das sein kann) und dabei noch 1 1/2 Wochen Urlaub hatte - jetzt darf ich neben den normalen Aufgaben, die ich hatte, noch seine Aufgaben machen und zwei neue Techniker einarbeiten, weil die erst Anfang Oktober gekommen sind...

Zum Thema: Wenn wirklich nur ein physikalischer Server vorhanden ist, ist das ja noch relativ einfach - einfach mal schauen, was auf den jeweiligen Servern installiert ist (wichtig: alles dokumentieren, sobald es entdeckt ist!), die Programme mal aufrufen und schauen, ob da Jobs eingerichtet sind, wo die Daten liegen, wie die Partitionen ausgelastet sind etc.

Dazu auch mal schauen, was denn so für Geräte im DHCP und DNS bzw. Active Directory registriert sind und schauen, ob das Server, Clients oder sonstige Geräte sind und diese auch dokumentieren, z.B. in einer Excel-Tabelle oder einer Access-Datenbank.

Zum Schluss lässt sich nur viel Glück wünschen, Du wirst es brauchen - wie Du schon sagtest, solange alles läuft kannst Du dokumentieren, aber wenn irgendetwas ausfällt, bist Du gekniffen...

[pr0gg3r]

Ich weiß ja nicht, wie groß die IT-Infrastruktur ist, aber man benötigt meistens mindestens ein Jahr, bis man den groben Überblick hat und grob festlegen kann, wo sich die Schwachstellen befinden und wo Probleme auftreten könnten und tatsächlich auftreten. Bis man das System dann in- und auswendig kennt, vergeht noch einige Zeit. Hast du keine Dokumentationen? Dann wäre das der erste Punkt, den du angehen solltest. Wenn etwas mal nicht läuft, lernst du das System am besten kennen

[TheManneken]

Danke schonmal!

Heute hab ich zumindest mal eine "Anleitung" zum kompletten Herunterfahren aller Server gefunden. Scheinbar gibt es doch mehr Server, als ich bisher dachte. Aber welche davon physisch und welche virtuell sind, muss ich noch herausfinden.

Die Infrastruktur ist eigentlich recht überschaubar, ca. 30 - 40 Clients hängen im Netz, alles Windows bis auf einen Mac - und letzterer gehört natürlich dem, der das meiste im Betrieb zu melden hat

Immerhin kein Linux, puhhh

Ich hab mich mal daran gemacht, die PCs der früheren Admins zu durchforsten... scheinbar haben die es entweder "einfach gekonnt" oder "einfach nur Glück gehabt" O.o Dokus finden sich kaum. Und ich hab nicht mal einen Überblick über die Lizenzen! Ein Anwender benötigt dringend Office. Na super... und wo ist die Lizenz?

[Chief Wiggum]

Moin,

hab das Thema mal nach "IT-Arbeitswelt" verschoben... passt es besser hin als zu Rootservern und Webhosting.

[Wuwu]

Es läuft halt ein Windows Server 2008 SB-Server mit 4 virtuellen Maschinen (VMWare) auf denen ebenfalls Windows Server 2008 und ein altes 2003 läuft.

RVTools ist Dein Freund und Helfer fuer die virtuelle Welt.

Von wo Dein Backup kommt solltest Du ab 5.1 auch in den Logs sehen, username@ip und die findest Du dann im hoffentlich gepflegten Reverse DNS.

Ueberlebensstrategie #1 - Besorg alle wichtigen Kennwoerter und Supportvertraege, es ist zwar nicht schoen gemeinsam mit Kunden durch die Gegend zu raten, aber noch viel schlimmer ist es, wenn sich der Kunde nicht ordentlich durch die Umgebung bewegen kann, weil er 10 Minuten nach Kennwoertern kramen muss

Ueberlebensstrategie #2 - Du hast offenbar ein run book vorliegen, finde heraus welche Server fuer euer Unternehmen "mission critical" sind und welche nur nettes Beiwerk, arbeite Dich in diese Konzepte zuerst ein (ja es ist aergerlich, wenn Lieschen Mueller keine Emails hat fuer 3 Tage, aber schlimmer ist es wohl, wenn der Onlineshop als einzige Umsatzquelle 3 Tage lang ausfaellt).

Ueberlebensstrategie #3 - Pruefe das run book, wann wurde der letzte Failovertest durchgefuehrt, wann wurde der letzte Testrestore vom Backup durchgefuehrt, nichts ist schlimmer als vom Support zu hoehren "hier ist nichts mehr zu retten, stellen Sie bitte vom Backup wieder her" und dann funktioniert der Restore nicht und man stellt fest, dass man nur wunderbar Platz verschwendet hat

Ein Anwender benötigt dringend Office. Na super... und wo ist die Lizenz?

Jucke, dann bekommt der zur Not eine vorlaeufige Testversion oder OpenOffice installiert, kann arbeiten und Du hast Luft Dir fuer die kritischen Aufgaben. (Kommt natuerlich auf den Einzelfall an, aber haeng Dich erstmal nicht an den Kleinigkeiten auf, sondern sorg fuer Dich fuer einen vernuenftigen Ueberblick).

[Eye-Q]

RVTools ist Dein Freund und Helfer fuer die virtuelle Welt.

Von wo Dein Backup kommt solltest Du ab 5.1 auch in den Logs sehen, username@ip und die findest Du dann im hoffentlich gepflegten Reverse DNS.

Wenn ich den Text richtig verstehe, ist das kein ESXi-Host, sondern ein Windows Server (evtl. so gar ein Small Business Server, was der Zusatz "SB" suggeriert), der eine VMWare Workstation oder einen VMWare Server installiert hat, wo dann vier virtuelle Maschinen drin laufen. Der Vorschlag ist zwar gut, ich nutze RVTools auch, aber für so einen Fall leider nicht anwendbar.

Ueberlebensstrategie #1 - Besorg alle wichtigen Kennwoerter und Supportvertraege, es ist zwar nicht schoen gemeinsam mit Kunden durch die Gegend zu raten, aber noch viel schlimmer ist es, wenn sich der Kunde nicht ordentlich durch die Umgebung bewegen kann, weil er 10 Minuten nach Kennwoertern kramen muss

So wie ich das sehe, ist das "zum Glück" die Inhouse-IT, kein externer Kunde. So eine Vorgehensweise ist aber natürlich ratsam. Wenn es einen Safe gibt, an den nur die Geschäftsleitung kommt, dort einen Zettel mit Kennwörtern hinterlegen - nichts ist schlimmer als wenn es eine (verschlüsselte) Kennwortdatei gibt, die auf einem System liegt, an das man nicht herankommt, wenn es abgestürzt ist.

[php:)]

Als ich in einer ähnlichen Situation war, habe ich u.A. auch mit einem Portscanner alle Server abgescannt. Mit 40 internen Clients, 5x ESXi Servern und entsprechend alten Servern die ich auf ESXi migriert habe, war ich ca. 4 Monate beschäftigt die komplette IT "rundumzuerneuern". Angefangen von ESXi Updates über saubere Verkabelung im Serverrack bis hin zu Einführung von entsprechenden Monitorings, WSUS, AD Migration (2k3 -> 2k8 später 2012 r2) ...

Btw; Keine Angst vor Linux ... Ich bin immernoch der Meinung eine gesunde Mischung aus Linux/Windows Servern ist sehr effizient.

[Sullidor]

Wenn du es wirklich richtig machen willst, gewöhn dich schonmal an den Gedanken, dass du min. 1 Jahr benötigst um auf dem aktuellem Stand zu sein, die IT-Infrastrucktur zu reorganisieren und du Monatelang nichts anderes machst als Dokumentationen und Notfallbücher zu schreiben. Und zwar neben dem normalem Wahnsinn deines Jobs.

Und wenn alles gut läuft, machst du dich daran dein kleines Reich auszubauen, bekommst vllt. einen Azubi und/oder eine Hilfskraft und ehe du dich versiehst, steht du deiner eigenen kleinen IT-Abteilung vor, die eine hocheffizente IT-Landschaft über mehrere Standorte hinweg unterhält.

So kann und sollte es laufen. Daher Kopf hoch und nicht über deinen Vorgänger fluchen, sondern auf die eigenen Kenntnisse und Fähigkeiten besinnen und deinem Vorgesetzten zeigen, wie goldrichtig ihre Wahl war.

Und was die Bewältigung deiner Situation anbelangt, so kann ich mich meinen Vorrednern nur anschließen und dir raten, schnapp dir ne Handvoll Tools und scanne das Netzwerk, Server und Clients regelmäßig und betreibe intensives Monitoring. Und alles was du erfährst dokumentierst du fein säuberlich.

Und auf die Gefahr mich zu wiederholen..... "Dokumentation, Dokumentation, Dokumentation"

[Kwaiken]

Folgende Tipps kann ich Dir grob ans Herz legen.

1. Such Dir ein Tool, wie z.B. "iDoIT" und trage erstmal alles zusammen, was geht. hinventory-Dumps bekommst Du von den Windows-Kisten, die Du importieren kannst. SLES hat Supporttool z. B. Also alle Versionen, Patch-Stände, Adressen ins iDoIT.

2. Such Dir alle Kennwörter zusammen und pack Sie in eine KeyPass.

3. Erstelle mit z. B. VISIO einen Netzwerkplan inkl. Switch/Router und Firewall-Konfiguration

Dann Prioritätenliste aufstellen: Was muss zuerst gepatcht werden, was ist kritisch. Backups/Snapshots und die ersten Updates nach Feierabend bis Du ein Gefühl dafür bekommst.

Erst dann kannst Du anfangen aufzuräumen, alles "glatt zu ziehen". Maschinen hochpatchen, ungenutzte Server abschalten, unbenötigte Konten und Dienste entfernen, Verzeichnisdienst aufräumen, Konfigurationen wie Group Policies prüfen und säubern, sich um Disaster Recovery Plan Gedanken machen, etc.

Und das wichtigste: dokumentieren und die Dokumentationen aktuell halten (evtl. ein kleines DMS für hochziehen)!

Noch etwas: Lass dich nicht auf 80h-Wochen ein. Das machen kleine Firmen sehr, sehr gerne. Ein Admin, der alles macht: Von Telefonanlage, Drucker, über Switches bis hin zu Servern und Verzeichnisdiensten. Wenn Du das mit Dir machen lässt, schiebst Du gegen Ende des Jahren eine vierstellige Zahl an Überstunden vor Dir her, die Du weder abfeiern kannst, noch ausbezahlt bekommst. Was Du nicht in 40h geschafft bekommst, bleibt liegen. Punkt. Da muss dir Firma personell aufstocken oder Tätigkeiten outsourcen.

Bearbeitet 12. November 2013 von Kwaiken

[pr0gg3r]

Ich hätte da auch noch einen Vorschlag. Wichtig wäre jetzt ja erst einmal, den Ist-Zustand festzustellen. Es gibt Punkte, die so gut wie jedes Netzwerk hat. Diese würde ich erst einmal festhalten. Das wäre dann zB DNS, DHCP, AD, Exchange, Backup, Firewall, Server, virtuelle Server, TK-Anlage, Lizenzen, Storage, Drucker, ISDN, DSL, Handyverträge, VPN, undundund, aber auch Softwareseitig (Datev, Warenwirtschaft, ...) oder Netzwerk-Infrastruktur (Router, Switche, ..). Und immer, wenn du über etwas neues Stolperst, trägst du das in die Liste nach. Nach und nach wird deine Liste (ich nenns absichtlich mal noch nicht Doku) immer umfangreicher und damit das Chaos etwas übersichtlicher.

Ganz wichtig ist auch, die Zuständigkeiten zu klären! Für was ist die IT (also du) alles zuständig? Macht einiges vielleicht auch jemand anderes? Zum Beispiel wird bei mir die Firewall über alle Standorte hinweg an einer anderen Stelle administriert, für die Webseite ist wieder jemand anderes zuständig, fürs ERP wiederum jemand anderes usw. Und auch ganz wichtig: lerne die Leute kennen! Es kann aber auch sein, dass der bisherige Admin Aufgaben gemacht hat, an die du noch nicht gedacht hast (zB bei Firmenevents Beamer aufgestellt. Auch kann es sein, dass zB Druckerpatronen von der IT verwaltet und bestellt werden, es gibt aber auch Firmen, da macht das die Verwaltung. Oder es gibt IT-Bereiche, die eigentlich von der IT gemacht werden, aber aus irgendeinem Grund ist jemand anderes dafür zuständig (zB bei mir ist für bestimmte Messtechnik und -software nicht direkte die IT, verantwortlich und verwaltet auch nicht derren Lizenzen oder unser Hausmeister ist für das Patchen über die Decke zuständig). Wenn deine Zuständigkeiten geklärt sind, bist du auf jeden Fall schon einen riesen Schritt weiter und weißt, auf was du dich konzentrieren musst.

Und ich hab nicht mal einen Überblick über die Lizenzen! Ein Anwender benötigt dringend Office. Na super... und wo ist die Lizenz?

Hat der Anwender schon eine Lizenz? Dann muss der Key ja irgendwo sein. Hat er keine, wäre die nächste Frage, ob ihr noch welche verfügbar habt. Wenn nicht, ist die Frage, wer Bestellungen aufgeben kann und freigibt, also wie so ein Bestellprozess bei euch aussieht. Bei Office kannst du ja noch, wie bereits genannt, eine Testversion installieren. Manchmal kann man aber nicht sofort die Wünsche der Kollegen beherzigen, dann müssen sie einfach warten. Das ist auch ganz wichtig, die "Erziehung" der Kollegen, wenn man sie zu sehr verwöhnt, machen sie nur mehr Stress wegen belanglosem. Und das kannst du zu deinem jetzigen Zeitpunkt mit Sicherheit nicht gebrauchen

Ich drück dir die Daumen, lass von dir hören, wie es sich entwickelt hat.