comping
Goto Top

SBS oder normalen W2k3 verwenden?

Hallo liebe "Profi-Admins"!

Ich stehe vor einem kleinen Problem... face-smile Ich bin mir nicht sicher, ob der SBS 2003 die richtige Wahl für mein Problem ist und bin für jeden Hinweis dankbar! Vor allem was die Sicherheitsfragen angeht... Viele von euch werden jetzt sicher wieder stöhnen: "Nicht noch so ein Möchtegern-Hobby-Admin!", aber ich komme hier alleine nicht mehr weiter. face-sad

Ausgangssituation:
Ich soll für eine kleine Anwaltskanzlei (Eltern... face-smile) eine Lösung finden, möglichst kostengünstig. Da sind vier Workstations (zwei Desktops und zwei Laptops) und ein "Server" (Rechner mit Software-RAID und DDS-Laufwerk und großen Platten...) und ein Router. Bisher ist es ein reines Arbeitsgruppen-Netzwerk mit Printserver (so ne kleine Netgearkiste) und Fileserver und Public Outlook (Public Sharefolder). Alle Kisten hängen über den Router am Internet. Der eine Laptop läuft noch mit WinXP-Home und muss RA-Anwendungssoftware-bedingt auf XP-Pro umgestellt werden. Im Zuge dessen habe ich schon mal durchsetzen können, dass evtl. das XP-Pro vom Server für den Laptop verwendet wird und der Server dann endlich mal ein Server-Betriebssystem erhält.

Nun stellt sich mir die Frage: Was nehmen? Normaler W2k3 oder SBS? SBS würde sich hier ja imho anbieten, aber ich bin mir nicht sicher, wo die Nachteile sind.
Folgende Kriterien habe ich bis jetzt gefunden:
- Fernwartung remote über VPN (wohne nicht mehr zuhause und das ganze muss endlich übers Internet wartbar sein! Aber sicher!!!). Gibt es da Unterschiede?
- sicherer Zugriff auf die Daten von zuhause für die Anwälte, mindestens auf die Outlook-Daten über Outlook-Web-Access
- Verzeichnisdienste ADS und GPO-Steuerung sind das Ziel, ist imho bei beiden Servern gleich, oder?
- Automatische Updateverteilung über WSUS (lohnt sich das bei 4 Rechnern?) Gibt es Unterschiede? Wegen der fehlenden (?) IIS beim SBS?
- Datensicherung, Volume-Schattenkopie-Dienst, gibt es da Unterschiede?
- Was sind diese Terminalservices, die beim SBS nicht im Anwendungsserver-Modus ausgeführt werden können?
- Ist die eingebaute Firewall vom SBS besser als die vom reinen W2k3? Taugt die überhaupt was?
- Ist der ISA-Server vom SBS Premium den Mehrpreis wert? Bekomme ich damit eine vernünftige Sicherheit?
- Ist das enthaltene Exchange eine Komplettlösung oder irgendwie abgespeckt? Exchange hätte den großen Vorteil, dass die "Krückenlösung" mit Public Outlook wegfallen würde und vielleicht kriegt man die Lizenzen ja sogar noch weiterverkauft...
- Es soll erstmal nur bei einem Server bleiben. Die Beschränkung auf einen SBS pro Domäne stellt also kein Problem dar... Und 75 User werdens auch nie werden... =)

Das sind so die wichtigsten Punkte und Fragen, die sich mir stellen. Ein ganz großes Problem ist noch die Sicherheitsfrage. Wie bekomme ich einen wirklich sicheren Internetzugang hin? Momentan läuft da bloß ne Symantec-Client-Security und die Firewall-Funktionen vom Router SMC 2804-WBR (glaube ich...). Bringt der ISA-Server was? Noch ne alte Kiste mit Linux ausstatten und als Firewall/Router verwenden? Reicht VPN über DynDNS einfach mit Zertifikaten und so? Ist das dann schon wirklich sicher?

Ich weiß, dass es natürlich nicht gerne gesehen ist, dass ich als Laie mich daran setze statt euch als Profis den Vortritt zu lassen. Aber ich arbeite nebenbei an der Uni als Hiwi für ein Institut als Systemadministrator und habe da auch schon einen W2k3 aufgesetzt und mir das Wissen angelesen und erarbeitet. Irgendwie muss man doch auch ausprobieren und lernen können. Das ganze macht mir halt auch Spaß. Nur irgendwann komme ich natürlich an Grenzen. Ich würde mich freuen, wenn ihr mir hier weiterhelfen könnt. Ich sitz jetzt seit mehreren Tagen vorm Rechner und versuche Informationen über den SBS zu finden. Aber noch habe ich nirgends eine Übersicht gefunden, was wirklich eingeschränkt ist beim SBS... Ob es tatsächlich nur die Domänen-Beschränkungen sind...

Auch bin ich dankbar für jegliche Hinweise zum Thema Exchange. Ich kenne bereits das deutsche Exchange-Forum, aber ob ihr irgendwelche Tutorials oder Hinweise zum Exchange kennt. Oder auch Bücherempfehlungen. Allerdings nicht unbedingt die teuren MS-Schinken... face-smile

Solltet ihr noch irgendwelche Angaben benötigen, immer her damit! Ich bin für jederlei Anregung dankbar!

Viele Grüße, Stefan

Content-Key: 26923

Url: https://administrator.de/contentid/26923

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: meinereiner
meinereiner 26.02.2006 um 17:50:44 Uhr
Goto Top
Nun stellt sich mir die Frage: Was nehmen?
Normaler W2k3 oder SBS? SBS würde sich

Für so ein kleines Netz würde ich de SBS nehmen. Ich habe ihn gerade auch einem Bekannten vorgeschlagen, der seine Praxis umrüsten will.


- Fernwartung remote über VPN (wohne

Das würde ich gar nicht über den Server machen. Nimm dazu doch einen Router/Firewall, der auch VPN Server sein kann. Eine PIX von Cisco solltest du für unter 400? bekommen.

- Verzeichnisdienste ADS und GPO-Steuerung
sind das Ziel, ist imho bei beiden Servern
gleich, oder?

Ja.


- Automatische Updateverteilung über
WSUS (lohnt sich das bei 4 Rechnern?) Gibt
es Unterschiede? Wegen der fehlenden (?) IIS
beim SBS?

Der IIS ist auch beim SBS dabei. WSUS hat den Vorteil, dass du dich um wenig kümmern musst. Wenns mal läuft musst du nur noch die Updates freigeben.


Volume-Schattenkopie-Dienst, gibt es da
Unterschiede?

Nein.


- Was sind diese Terminalservices, die beim
SBS nicht im Anwendungsserver-Modus
ausgeführt werden können?

Bei den Terminaldienste arbeiten die User auf dem Server. Auf dem Client läuft nur noch eine Software, die dafür nötig ist die Tastatur und Mauseingaben an den Server zu schicken und die Bildschirminhalte zu empfangen.
Terminaldienste haben auf einem DC IMO nichts verloren.

- Ist die eingebaute Firewall vom SBS besser
..
Mehrpreis wert? Bekomme ich damit eine
vernünftige Sicherheit?

Wie gesagt, eine Pix oder ähnliches halte ich für sinniger und die belastet deinen Server auch nicht.


- Ist das enthaltene Exchange eine
Komplettlösung oder irgendwie
abgespeckt? Exchange hätte den

Er kann sogar mehr, da er einen POP3 Connector drin hat, mit dem du auch E-Mails bei Web.de oder so abholen.


Die Unterschiede zum normalen Server findest du hier:
http://www.microsoft.com/germany/sbserver/uebersicht/faq.mspx
Mitglied: comping
comping 26.02.2006 um 18:09:26 Uhr
Goto Top
Hallo meinereiner,

danke für die rasche und ausführliche Antwort! Und das auch noch am Sonntag... face-smile

Die Übersichtsseite mit den FAQ von MS kannte ich auch schon. Habe bloß auch da nirgendswo mal ein klares Statement gefunden, dass der SBS von den Funktionen nirgendswo eingeschränkt ist (bis auf die Nutzer und Domänenbegrenzungen...)

Terminaldienste sind demnach vollkommen uninteressant, also kein Problem.

Kannst Du mir die Geschichte mit der Pix / dem Router vielleicht noch ein bisschen näher erläutern, wie das dann funktioniert? Wo ist der Vorteil? Ich habe hier im Forum sonst schon mehrfach Hinweise und Beiträge gefunden, wie man VPN auf nem Server einrichtet mit DynDNS und so (siehe den Artikel von www.gruppenrichtlinien.de). Was spricht gegen diese Lösung? Auch wenns unter 400 Euro kostet, mit Geld ausgeben ist das immer so ne Sache. Ich müsste also schon aufführen können, warum das sicherer oder sonst was ist, um die Anschaffung gerechtfertigen zu können... face-smile

Danke und viele Grüße,

Stefan
Mitglied: meinereiner
meinereiner 26.02.2006 um 18:40:45 Uhr
Goto Top
Mit der Pix hast du einen Router, eine gute Firewall und VPN Server in einem. Wobei du einen DSL Router wohl eh brauchst. Du kannst da einen VPN Sérver einrichten auf den die User dann mit dem Cisco Client drauf zu greifen. Ich denke das ist eine bewährte und sicherer Lösung. Auch ist der Router ja der Einstiegspunkt in dein Netz. Warum da unnötig was durch lassen, was du ja musst, wenn dein VPN Server woanders liegt.

Was wären die alternativen:
Der Premium SBS mit ISA, der erstmal deutlich mehr kostet und dir auch noch deinen Server belastet. Sparen wirst du da nicht viel.

oder du nimmst eine zusätzliche Lösung, die dann auch Geld kostet und auch noch eine Komponente rein bringt, die ausfallen kann.

Ich sehe eigentlich nur einen Grund der gegen die Lösung mit der Pix spricht und der ist, wenn du das Internet userbezogen einschränken willst.

Wobei es sicher keine Pix sein muss. Ein Router der dir die Funktionalitäten alle bietet und der auch sicher ist, tut es genau so. Ich schlage bei sowas gerne die Pix (501) vor, weil sie ein gutes Produkt ist und für Netze bis 10 Clients auch relativ günstig.
Mitglied: comping
comping 26.02.2006 um 19:15:26 Uhr
Goto Top
Hallo meinereiner,

danke für deine Hilfe. Ein DSL-Router ist generell schon vorhanden. Das ist ein Gerät von SMC (ich meine der 2804 WBR oder so...), der hat auch schon ein paar einfache Funktionen wie NAT oder MAC-Filter oder so. Gut, wenn man also nur den VPN-Server von Windows hat und einen einfachen Router, dann muss da was durch, bis es vom VPN kontrolliert werden kann, ob es reindarf. Das sehe ich ein und verstehe ich.

1. Alternative Software, ISA: Kostet ca. 600 Euro Aufpreis für den Premium SBS. Die anderen Premium Funktionen sind nutzlos (Frontpage und SQL...). Dann hätte man aber doch auch ne sichere Variante, oder? Dann kommt doch der Server ausgestattet mit zwei Netzwerkkarten an den Router/DSL-Modem und die Rechner hängen alle über Switches am Server und müssen über den, wenn sie rauswollen.

2. Alternative Software, Linux: Gleiches Spiel wie eben, doch statt des teuren ISA einfach ne Linux Firewall aufbauen oder sowas wie IPCOP und VM-Ware? Wobei ich jetzt keine Ahnung habe, was sowas kostet... Aber Linux wäre halt vermutlich die günstigste Lösung.

3. Alternative Hardware: Cisco Firewall mit VPN, oder halt was einfacheres. Aber worauf muss man denn dann achten. Du sagst, dass es auch Alternativen mit gleichen Funktionalitäten gibt, aber was sind denn die wichtigen Funktionalitäten? face-smile NAT hat doch fast jeder Router z.B. Das kann's ja nicht sein...

Hier mal ein Auszug aus den Spezifikationen von dem vorhandenen Router:
Management
Browser-based management
Both DHCP Server and Client provided
Advanced Features
Dynamic IP Address Configuration ? DHCP, DNS
Wireless Security ? WPA, 802.1x, 40/64/128-bit WEP encrption,
SSID broadcast disabled, MAC address filtering
Firewall ? Access Control, hacker prevention, logging
Virtual Server via NAT & NAPT
Virtual Private Network ? PPTP, L2TP, IPSec pass-through
Intrusion Detection, E-mail Alerts, Parental Control


Was würde denn da noch fehlen?

Tausend Dank,

Stefan

P.S.: Und nen schönen restlichen Sonntag face-smile
Mitglied: meinereiner
meinereiner 26.02.2006 um 20:27:35 Uhr
Goto Top
1. Alternative Software, ISA: Kostet ca. 600
..
den, wenn sie rauswollen.

Also ich denke für die Lösung spricht im Moment nichts?!


2. Alternative Software, Linux: Gleiches
Spiel wie eben, doch statt des teuren ISA

Wird auch nur billiger wenn du einen alten Rechner dafür nimmst, was für die Ausfallsicherheit nicht so gut ist. Dazu kommen Stromkosten.


einfach ne Linux Firewall aufbauen oder
sowas wie IPCOP und VM-Ware? Wobei ich jetzt

Über den VMWare Player und vorkonfigurierte Maschine kannst du es dir einfach anschaun.
Schaus dir halt mal an.. da steht in nem anderen Forum was interessantes zu. http://www.terminalforum.de/viewtopic.php?t=45

Wobei sich da auch die Frage stellt. Wie gut kennst du Linux. Jedes System ist nur so gut/sicher wie es konfiguriert ist. Wobei dir auch da die "Pix Lösung" einiges abnimmt. Das OS drunter kannst du da schon mal abhaken. face-wink


3. Alternative Hardware: Cisco Firewall mit
VPN, oder halt was einfacheres. Aber worauf

Also mit Routern/Firewalls kenne ich mich nicht so aus. Da vertraue ich auf unsere Netzwerkfirma und die positiven Erfahrungen, die ich mit der Pix gemacht habe.
Wobei die Features die du da aufzählst mehr in den Bereich Wireless als Firewall fallen. WLAN aber mit einer Firewall zu kreuzen..ich weiss nicht.. aus dem Bauch heraus gefällt mir das nicht..
Mitglied: comping
comping 26.02.2006 um 20:57:04 Uhr
Goto Top
Hallo meinereiner,

nur mal eben schnell: Das WLAN ist nicht in Betrieb!!! Auch mit WPA war mir das zu riskant und ist auch einfach schwachsinnig... Auch Laptops brauchen ein Stromkabel auf Dauer und wenns schon ein Stromkabel gibt kanns auch Netzwerkkabel geben... face-smile
Nene, Wlan is nich! Der Router könnte zwar, aber Netzwerk ist komplett verkabelt.

Also zum Thema Linux: Da hast Du natürlich Recht! Meine Linuxkenntnisse sind relativ gering und ich könnte mich da immer nur auf irgendwelche Tips und Tutrials verlassen, wäre also wohl auch nicht wirklich sicher... Tja, dann muss wohl doch ne Hardwarelösung her. Ich werd mir das nochmal genauer ansehen mit der Pix und versuchen herauszubekommen, was die einzelnen Fähigkeiten so bedeuten. Aber irgendwie wirkt mir das ne Stufe zu groß bzw. überdimensioniert...

So long, Danke und viele Grüße,

Stefan
Mitglied: meinereiner
meinereiner 26.02.2006 um 21:07:18 Uhr
Goto Top
Also zum Thema Linux: Da hast Du
natürlich Recht! Meine Linuxkenntnisse
sind relativ gering und ich könnte mich
da immer nur auf irgendwelche Tips und
Tutrials verlassen, wäre also wohl auch

Den Aspekt Know How würde ich nie unterschätzen und da ist mancher Hobby Admin besser als mancher "Profi".


irgendwie wirkt mir das ne Stufe zu
groß bzw. überdimensioniert...

Hmm, wie weit kann man da von überdimensioniert sprechen?
Der Preis ist ok und zuviel Sicherheit kann man da wohl nicht haben. Gerade bei einer Anwaltskanzlei. Stell dir vor da hackt sich einer nur zum Spass ein und das wird öffentlich. Der Imageverlust wäre immens. Sowas würde ich ggf sogar von einer Firma aufsetzen lassen, wenn ich mir nicht sicher bin.


dir noch einen schönen Sonntagabend face-smile
Mitglied: admin911
admin911 26.02.2006 um 21:32:35 Uhr
Goto Top
'nabend comping!

nur keine Hemmungen, wg. dumme Fragen. Es gibt keine dummen Fragen, nur dumme Antworten, und erleuchtet ist auch noch keiner von uns aufgewacht.

Schließe mich generell meinereiner seiner Meinung an. (Ich liebe diesen Satz!)

Ich habe noch was zum POP3 COnnector. DerPOP3 COnnector von EXchange-SBS holt die E-Mails nur im 15 Minuten Takt ab. Wen's stört...
Wegen Einwahlsicherheit: Die Frage der Firewall ist reine Philosophie. Ein Daimler-Fahrer empfiehlt dir auch keinen BMW. Generell muß man aber zwischen der Heim-und Garten Klasse und den Profis unterscheiden. Die gibt's aber auch von SMC oder Netgear. Die Investitionskosten sind eben höher, aber dafür schläft man ruhiger. Undwenn der Mandant mitkriegt, das seine Daten geklaut sind, dann wird's richtig teuer. Also ich würde in einem sensiblen Bereich mit Verschwiegenheitspflicht lieber im Tausender- als im Hunderter Bereich suchen.
Allerdings ist jede HW/SW-Lösung wertlos, wenn die Bediener nicht geschult und sensibilisiert sind für die Gefahren des Internet und des E-Mail Verkehrs.
Das ist der Punkt der richtig Geld kostet und genau aus diesem Grund immer vernachlässigt wird. Ich wette du wirst niemals Probleme mit der Datensicherheit aufgrund von HW/SW bekommen, sonder immer nur wegen Bedienerfehlern.

Außer Cisco gibt es noch Sonicwall, die dur die anschauen solltest und Watchguard. Und wenn's das wirklich preiswert sein soll, tut's vielleicht auch 'ne Draytek Vigor. Alle gibt's mit VPN Server. Paß auf das nicht nur VPN passtrough draufsteht, das heißt, das die Maschine dahinter der VPN Server sein muß!
Wenn du dich mit Linux nicht auskennst, dann vergiß' es. Meinereiner hat recht, kostet nur Strom, und macht Lärm und kann kaputtgehen.

Noch'n Wort zur Hardware. Wen du ruhig schlafen willst mach mal 3000 EURO locker und kauf'n richtigen Server vom Markenhersteller. Qualitätsmanagement kostet Geld.
Hardware Raid-1 mit 72GB/oder 140GB SCSI Platten ist Pflicht wenn man keinen Trouble braucht und dazu ein preiswertes DLT (inzwischen unter 1000 EURO). Die Bänder haben 'ne Lagerzeit von 10 Jahren, da kommt DAT nicht mit. Apropos Tape: Niemals ein internes Tape nehmen, die sind nach 2-3 Jahren im Eimer, externe halten doppelt so lange.
Empfohlen Konfig. 1 XEON, 512MB, 2x36GB SCSI als Raid-1 für's System, 2x72GB SCSI Raid-1 für die Daten. DLT VS160 Tape SCSI LVD. Man kann mit der Backup Software leben die Windows mitbringt aber schöner lebt es sich wenn man noch ein paar Hunderter für ArcServe oder Veritas BackupExec überhat.

An der Datensicherheit hängt eben etwas mehr als nur eine gute Software. Es fängt übrigens bei einem sicheren und kühlen Plätzchen für den Server an und geht mit einer USV (Batteriestrom) weiter. Die USV hält den Server nicht nur ca. 10 Minuten am leben (750VA-Klasse) sondern nivelliert uach Spannungsspitzen und filtert hochfrequente Störungen. Und wenn die Batterien zur Neige gehen, fährt sie den Server auch noch runter, damit das OS nicht auf'n Ar... fällt.

OK, alle Klarheiten beseitigt, leg' dir den Kommentar mal unter's Kopfkissen.

Gute Nacht, Grüße aus Hamburg, Peter.

P.S. Wer Schreibfehler findet, kann sie behalten.
Mitglied: meinereiner
meinereiner 26.02.2006 um 22:04:41 Uhr
Goto Top
Tausender- als im Hunderter Bereich suchen.
Allerdings ist jede HW/SW-Lösung

Das finde ich halt das schöne an der Pix 501, die kostet Hunderte kann aber paraktsich so viel wie die großen, die Tausende kosten.

Empfohlen Konfig. 1 XEON, 512MB, 2x36GB SCSI
als Raid-1 für's System, 2x72GB SCSI

Also da würde ich eher 1-2 Gig Ram reinstecken, aber dafür nur ein Raidpaar. Soviel bekommt der Server bei 4 Clients wohl nicht zu tun.


Raid-1 für die Daten. DLT VS160 Tape
SCSI LVD. Man kann mit der Backup Software

Was die Datensicherung angeht würde ich mir die Software anschaun. Wie kann man sicher, wie groß sind die Datenmengen etc.

Wobei Ausfallsicherheit, etc sicher ein Thema ist, was man dann auch genauer betrachten sollte.

Gemerell kann ich mich Peter aber anschliessen. In einer professionellen Umgebung sollte auch professionelles "Werkzeug" zum Einsatz kommen.


@Stefan
BTW: Ich trage dir durchaus zu, dass Ganze sauber aufzusetzen. face-smile
Mitglied: comping
comping 27.02.2006 um 00:53:36 Uhr
Goto Top
Hallo Jungs, sorry aber nun hatte ich euch so nen schönen langen Dankes- und Antwortstext geschrieben, und dann hat das blöde System den einfach gefressen, von wegen: Sie müssen sich neu einloggen und schwupps weg wars. Grrrrrrrrr! face-sad

Also erstmal herzlichen Dank, ich werds nochmal zusammenschreiben, aber nicht mehr jetzt, schade.

Euch auf jeden Fall dickes Dankeschön und viele Grüße,

Stefan
Mitglied: comping
comping 27.02.2006 um 02:34:50 Uhr
Goto Top
Naja, was solls, nun geh ichs doch noch mal an.

Also erstmal vielen Dank. Es ist Sonntag und ich hatte eigentlich nicht damit gerechnet, innerhalb so kurzer Zeit so ausführliche Hilfe zu bekommen. Ich bin wirklich schwer beeindruckt. Hätte eher vermutet, dass sich hier sonntags hauptsächlich Hilfesuchende rumtreiben und ein paar von den ct-Punktegeiern mit ihren EinZeilenKommentaren... Also ehrlich Hut ab! Leider darf ich als noch Level1-Admin ja nur zweimal fünf Sterne verteilen, sonst hätte meinereiner wohl jedesmal welche gekriegt... face-wink

Also los, genug der Vorrede...

@peter:
Es gibt schon dumme Fragen aber ich bemüh mich halt auch, wenn ich denn Hilfe möchte, auch lieb und artig zu fragen face-smile Und nicht so was wie: ÄÄihhh, er tut nich mehr, brauchä Hilfääää!!!! Drringent....
Naja, kleiner Scherz am Rande. Also die Beschränkung von wegen nur alle 15 Minuten Pop abholen kann schon mal ignoriert werden. Das ist locker ausreichend...
Dann wirds interessant. Du hast natürlich vollkommen Recht. Eine Anwaltskanzlei hat sensible Daten und die dürfen auf gar keinen Fall in falsche Hände geraten. Bisher war das mit dem Internet immer noch nicht so dramatisch, weil der Router ja nach ein paar Minuten automatisch die Verbindung kappt und außer Email und ein klein wenig surfen da nicht viel läuft. Und der Router bekommt ja auch ständig ne andere IP nach außen hin. Wenn nun aber per DynDns immer schön gesagt wird, welche IP gerade aktuell ist und dann für Fernsteuerung auch schon mal länger die Verbindung bestehen bleibt und auf Outlook übers Inet zugegriffen werden soll, dann sieht das natürlich ganz anders aus.
Es gibt da aber generell so ein kleines Problem mit den Kosten. Diese Kanzlei existiert seit etwa eineinhalb Jahren. Selbständig. Da schreibt man am Anfang natürlich nicht jeden Monat schwarze Zahlen. Klar bietet vernünftige Hardware auf lange Zeit gesehen das deutlich bessere Preis-/Leistungsverhältnis von wegen weniger Wartung, weniger Ärger, weniger Administration, höhere Lebensdauer, etc. Aber dieses Argument greift hier nicht so richtig. Da gilt dann schon mal eher: Lieber erst mal klein anfangen und dann bei Bedarf ausbauen. Daher z.B. auch erstmal so ne Krücke mit Public Outlook, um überhaupt irgendwie nen gemeinsamen Kalender zu haben... Als meine Mutter mir damals den Kostenvoranschlag für die TK-Anlage präsentiert hat, bin ich fast umgekippt. Aber das war halt auch 1a-Qualität. Siemens-Hicom, 19"-Schrank für die TK-Anlage, die dicken breiten Aufputz-Kabelkanäle und gleich Cat.7-Leitungen, halogenfrei und soundso feuerfest, uswusf. Da kamen dann mehrere Tausender zusammen. Aber da platzt der Traum von der eigenen Kanzlei auch recht schnell wieder... Also habe ich mir das Inet geschnappt, einen Freund, der in der Branche arbeitet um Tipps gebeten und dann 1a-echt tolle-Elmeg-Geräte im Internet bestellt und alles selber gebastelt, Verkabelung und Installation. Hat dann nur noch um die tausend gekostet für alles zusammen. Diese Geschichte hat mich viele Stunden, diverse Nerven und auch Stress gekostet, aber es hat auch Spaß gemacht und ich weiß jetzt ne ganze Menge mehr. So kam dann halt auch die ganze restliche Administration dazu.
Zurck zum Thema: Qualität ist super und ich sehe auch ein, warum das Sinn macht und so, aber erklär doch mal nem Laien, warum SCSI so viel toller ist, obwohl die Platten kleiner sind und viel teurer sind, oder warum ein Sempron nicht das gleiche ist wie ein XEON, obwohl die Taktfrequenz gleich ist... Naja, Sicherheit allerdings muss wirklich vorgehen, sonst kann ich echt irgendwann nicht mehr ruhig schlafen... Aber wenn meinereiner seine Meinung richtig ist, (meiner Meinung nach schon face-smile), dann kostet so ne tolle Pix ja nur nen halben Tausender höchstens... Also noch ganz ok. Und die Alternativen, die du da aufzählst, werde ich mir auch noch mal ansehen, und auch mal versuchen zu verstehen, wo denn die einzelnen Unterschiede sind, und was die einzelnen Technologien eigentlich bedeuten...

Die Personalgeschichte: Da hast du leider auch nur allzu Recht. Hier passt dieser schöne alte Machospruch: "Frauen und Technik" leider wieder mal sehr gut. Da weiß kaum jemand, was er eigentlich macht und welche Risiken da gerade bestehen. Und wenn die Desktop-Firewall fragt, dann wird halt geklickt, mal so und mal so, naja, kann man auch als normaler Nutzer wohl nicht verstehen, was die von einem will face-smile Aber wehe, was läuft nicht, dann ist natürlich der böse Admin wieder schuld...

Zur Serverhardware: Wie schon gesagt, 3000 Euro sind leider nicht drin face-wink Ich würd ja auch gerne mal mit Qualität arbeiten, aber noch muss es erstmal Sempron und ein Raid1 mit SATA tun. Da habe ich mich damals leider auch geirrt: Ich dachte, eine PCI-Karte sei eine Hardware-Raid-Lösung, aber leider ist das wohl auch nur ne Softwarelösung.
Generell baue ich mir meine Kisten auch lieber selber zusammen, dann weiß ich wenigstens was drin steckt. Dell oder IBM Maschinen standen bisher leider auch noch nicht zur Debatte. Aber in der Uni sind die Dinger früher auch immer komplett gekauft worden vor meiner Zeit, kleinere Firmenteile. Da sind dann haufenweise die Mainboards und Grafikkarten mit den 4cm-Krachmachern verbaut worden und die schönen alten IBM-Platten. Klack, klack, kaputt...
Und die billigen Netzteile, die jetzt auch alle an festgefressenem Lüfter sterben...

Aber Thema Datensicherung: Da muss ich dir widersprechen! Teilweise zumindest...
Als ich in der Uni anfing, gabs da keinerlei externe Sicherung. Glücklicherweise ging nach kurzer Zeit die Platte des Chefs kaputt (IBM natürlich...) und da hatte ich dann sehr schlagkräftige Argumente für eine vernünftige Datensicherung. Ich also schön geguckt, was gibt es, was ist gut und so. Und dann auch bei DLT gelandet wegen der langen Laufzeit und Qualität. Pustekuchen! VS-80 Laufwerk gekauft, extern von Benchmark/Freecom mit HP-Technik drin. Das Ding ist nicht dazu zu bewegen, mal vernünftig zu streamen. Mit dem alten W2k-Server war es ne totale Katastrophe, mit dem neuen W2k3 läuft es jetzt halbwegs ok. Immer wieder anfahren, absetzen und zurückspulen. Das kostet erstens Zeit und zweitens vor allem ist das mit Sicherheit nicht gesund für die Lebensdauer. Ich habe dann im Nachhinein erfahren, dass die VS-Geschichten wohl totale Sparmaßnahmen seien und nicht mit der sonstigen Qualität von DLT-1 udn Co. vergleichbar seien...
Wenn ich nochmal ne neue Sicherung kaufe, dann würde ich mir die REV-Laufwerke von Iomega noch mal genauer ansehen. Medien etwas teurer, Laufwerk sehr billig, und sauschnell und keine anfällige Mechanik....

Über Rückmeldungen zum Thema DLT wäre ich dir sehr dankbar!
Gut, Software ist hier Tapeware im Einsatz. Aber ich hab auch nix gegen ntbackup, bin da eigentlich ganz zufrieden mit...
USV gibt es natürlich auch nicht. Immerhin ne etwas bessere Steckdosenleiste, die Störungen zumindest ein bisschen abdämpft... Wenigstens steht der Server relativ kühl und abgeschottet...

So denn Peter, vielen Dank für Deine Hinweise, aber ich fürchte, davon lässt sich nicht allzu viel umsetzen. Außerdem muss man ja auch noch träumen können. Und sich weiterentwickeln und steigern können. Also erstmal weiterhin Golfklasse und dann in einigen Jahren vielleicht mal Mercedes-Niveau.
Aber by the way: Privat fahre ich auch nen alten Audi 100 Avant. 16 Jahre alt, aber schon vollverzinkt und schnurrt wie ne Katze. Und da sieht so mancher verrostete Mercedes ganz schön alt gegen aus... face-smile


@meinereiner:
Nun werde ich aber langsam rot, ehrlich! Ich werd das schon irgendwie hinkriegen und hoffentlich auch halbwegs sauber und ordentlich, aber das aus deinem Mund, danke! *tiefrot werd*

Gut, du hast mich überzeugt mit der Pix. Ich werd mir das Ding nochmal sehr genau ansehen und vergleichen mit Peters Alternativvorschlägen. Und gucken, was denn der jetzige Router davon alles nicht kann. Dein Satz am Anfang: Auch ist der Router ja der Einstiegspunkt in dein Netz. Warum da unnötig was durch lassen, was du ja musst, wenn dein VPN Server woanders liegt. hat mir schon zu denken gegeben. Da hast du natürlich völlig Recht mit.

Mir stellt sich bloß noch eine Frage jetzt: Ich sehe eigentlich nur einen Grund der gegen die Lösung mit der Pix spricht und der ist, wenn du das Internet userbezogen einschränken willst.
Was genau meinst du damit? Gibts dann gar keinen Schutz nach außen hin gegen Trojaner und ähnlichen Mist? Oder meinst du bloß, dass ich dann nicht der Sekretärin das Surfen außerhalb der Pausenzeit verbieten kann und ich die Seite www.schießmichtot.de gleich komplett sperren kann?.... Das wäre glaube ich kein Problem!

Hmm, ich find den RAM auch wichtiger. 512 MB ist ja schon Minimum für ein vernünftiges XP, dann sollte man nem Server schon mind. 1GB gönnen! Thema Ausfallsicherheit ist vermutlich eher die Hardware das Problem. Die Daten sind nur 10-15 GB, die werden momentan schon jeden Tag gesichert. Aber die Hardware ist keinesfalls redundant ausgelegt, bis auf gespiegelte Festplatten...

Recht habt ihr natürlich beide: Professionelle Umgebung sollte auch prof. Ausstattung bedeuten, aber das muss wohl noch ein bisschen warten.

Wirklich wichtig ist nur, dass die Kiste dicht wird, dass da nicht irgendwelche Script-Kiddies sich dran austoben und mal eben reinhacken aus Neugier...

Auf jeden Fall vielen Dank euch beiden, ich muss jetzt endlich ins Bett und dieses Mal werde ich aber trotzdem noch mal eben den Text in nen Editor kopieren, bevor ich irgendeinen Knopf drücke...

Danke,

Stefan
Mitglied: meinereiner
meinereiner 27.02.2006, aktualisiert am 17.10.2012 um 16:42:12 Uhr
Goto Top
erstmal noch eine Seite zum Exchange die sehr gut ist: http://www.msexchangefaq.de/

Aber Thema Datensicherung: Da muss ich dir

Ich weiss nicht wie das Programm funktioniert. Manche brauchen nur ein paar Files in einem Share. Da halte ich ein xcopy auf einen anderen Rechner und dann auf eine DVD brennen auch für eine gute Lösung. Wenn das Programm es mitmacht hat man dann auch gleich ein Backupsystem. Da lohnt es sich immer sich genau anzuschaun wie das Programm läuft.

zum Thema Backup des Servers habe ich auch hier was geschrieben: Anmeldedienst konnte nicht gestartet werden


Mir stellt sich bloß noch eine Frage
..
keinen Schutz nach außen hin gegen
Trojaner und ähnlichen Mist? Oder

Die Pix hat keinen Zugriff auf Benutzerkonten zur Steuerung des Internetverkehrs, sie macht es über IPs. Du kannst also sagen, der Rechner mit der IP x.x.x.x darf nur HTTP machen, aber nicht, der User xy darf nur HTTP machen.


Nochmal zur Hardware/Ausfallsicherheit: Wieviel man da rein stecken sollte kann man eigentlich klären wenn man sich überlegt was es kostet, wenn das System weg ist. Kann die Kanzlei dann weiter arbeite? Wie viel Mehrarbeit steckt drin die Sachen später wieder ins System zu bringen. Wie schnell kan ich auch ein größeres Problem beheben? Wie schnell merke ich überhaupt ein Problem, etc.. Bei einem Server leutet eine ausgefallene Platte z.B. so hässlich rot..

So ein möglicher Worst Case wäre füür mich..erste Platte fällt aus, keiner merkt es und dann knallt die zweite Weg. Du studierst ein paar hundert Kilometer weg und bist erst 24 Stunden später da. Dann brauchst du einen Tag um das System wieder ans Laufen zu bringen. Sprich 2 Tage ohne EDV..wenn in den zwei Tagen kein Kunde betreut werden kann und u.U. noch welche sauer nie wieder kommen, kann das schnell sehr teuer werden.
Aber letzendlich würde ich das deine Eltern entscheiden lassen. Sie solten nur eine gute Entscheidungsgrundlage haben...
Mitglied: admin911
admin911 27.02.2006 um 13:04:52 Uhr
Goto Top
Moin, ihr beiden,

ich dacht emir schon, daß du auf Sparflamme kochen mußt. Ich habe meine Kommentar auch nicht ohne Grund so geschrieben.
Tu die wenigstens den Gefallen und erwerbe einen Markenserver mit Raid-1 SATA. Die gibt's unter 1000EURO, auch gerne mit AMD Proc.
wg. DLT: ich habe nur gute Erfahrungen damit. Streaming Probleme kenne ich nur von zu langsamen SCSI Kontrollern oder schlechten Treibern. Zwischen DLT und DLt-VS habe ich ich bisher auch keinen Qualitätsunterschied gemerkt, nur die Schnittstelle ist halb so schnell, das ist alles.
Natürlich hat meinereiner seiner Recht, man kann auch auf DVD sichern. Aber möglichst ohne viel dazutun des Users. (außer DVD wechseln natürlich). Ich denke Dantz Retrospect müßte das können, bin aber nicht sicher. Ich bin eingefleischter "Bandsicherer".
Meine Erfahrung lehrt mich übrigens, daß "schwanzverlängerte Porschefahrer" eine größere Gefahr für das Netz sind als Sekretärinnen. Dein Vater möge es mir verzeihen, sollte er eines dieser vorzüglichen Zuffenhauserner Produkte fahren.
MAn kann die User schrittweise sensibilisieren indem man ihnen ein bißchen Angst macht. Meine Freundin ist sysadm in einer Kanzlei und hat für die Belegschaft Newsletter von Golem und dem BSI abonniert. Dann sehen die wenigstens, daß das mit der Gefahr aus dem Internet kein Bluff ist. Alle erzieherischen Maßnahmen für das Personal sind aber nur hilfreich, wenn die "Chefs" sich auch daran halten. Ein Chef der von seiner Belegschaft verlangt, das sie mit den Firmenwagen Sprit sparen sollen, selbst aber seinen M3 mit 5000 U/min vom Hof jagt, wirkt immer unglaubwürdig. (Du siehst,ich habs mit den Auto-Analogien)
Also ich wollte die die PIX nicht ausreden, das ist sicherlich ein schönes Produkt, ioch kenne es nur nicht. Und wie sagen wir hier im Norden: Wat de Buer nich kennt, dat fritt hei nicht.
Die Sonicwlal ist sehr schön, weil man hier eine Option erwerben kann die dafür sorgt, daß der ANtiviren Schutz auf den Rechnern aktuell bleibt. Was auch immer man von MCAffee ahlten magen (traue keiner Statistik, die du nicht slbst geschrieben hast) Ein aktueller Virenschutz eines weniger erfolgreichen Produktes ist immer noch besser als ein abgelaufener Schutz des Klassenbesten.
Apropos Virenschutz. Dieser sollte sich in die VSAPI des Exchange Servers hängen können, um verseuchte E-Mails dort zu blocken, wo sie reinkommen. (respektive durchlaufen, denn an der VSAPI Schnittstelle werden auch die internen Mails gescannt.)

Du siehst die mehr oder minder guten Ratschläge nehmen kein Ende. Nicht aufgeben, und dabei sah alles so einfach aus bevor du dich entschlossen hast hier zu posten.....

Grüße, Peter
Mitglied: comping
comping 27.02.2006 um 14:06:57 Uhr
Goto Top
Hallo meinereiner, hallo Peter,

wieder mal: Vielen Dank für eure Anregungen, Hilfe und Hinweise!!! face-smile

@meinereiner seine Meinungen:
Super Seite, die du mir da genannt hast für Exchange, die kannte ich noch nicht. War bisher erst bei anderen deutschen Foren, die da nicht mithalten können. Vor allem erklärt Frank da die Grundlagen sehr gut und ausführlich... Bestens!

Datensicherung:
Also im Prinzip sind es nur ein paar Files, halt vor die ganzen Akten und Schriftsätze, die gesichert werden müssen. Aber die Bandsicherung gibt es ja auch schon und die läuft auch. Zusätzlich jage ich die Daten einmal pro Woche per ntbackup und Task auf einen anderen Rechner einer Angestellten. Das ist eigentlich schon recht gut und sicher. Problem ist eher die Hardwareausfallsicherheit und Redundanz...
Danke für den Link zum Thema Server und Datensicherung. Den Ansatz mit zweitem System auf extra Partition finde ich sehr gut und einleuchtend. Wie regelst du das mit dem Booten? Hat W2k3 nen Bootloader, der das bewältigt kriegt? Wie steuerst du das? Fährst du das normale System nachts automatisch runter, startest das Ersatzsystem und sicherst dann von dem aus? Oder wie?...

Die IP-Steuerung der Pix wäre vollkommen ausreichend. Da muss keine Benutzersteuerung sein... Wofür... Wenn, dann reicht es, dass ich das gruppenweise mache, und das geht ja auch bequem über die IPs.

Thema Hardware: Stimmt natürlich, bei dem blöden PCI-Raid-SATA-Controller leuchtet natürlich nix, sondern ich muss schon selber nachsehen und der GUI vertrauen, dass das RAID intakt ist... Ich werd das mal vorlegen und diskutieren.... Mal sehen, was dabei herauskommt. Vielleicht kann ich ja auf Dauer mal vernünftige Hardware durchsetzen!


@porsche-peter:
Ja natürlich auf Sparflamme, hab deinen Sarkasmus bzw. das zynische auch schon verstanden... face-smile

Zu den Streaming-Problemen: Ich habe damals extra nen vernünftigen Controller ausgesucht: Adaptec 29160-Ultra160... Oder reicht das etwa nicht? Der Flaschenhals muss entweder das restliche System oder aber der Treiber sein. Aber da gibts nichts besseres, auch beim Hersteller nicht... Keine Ahnung, was das Gerät hat. Evtl. krieg ich hier in der Uni demnächst nen alten "richtigen" Server zur Verfügung mit Dual-PIII-550 und SCSI-Raid und so (6*18GB)... Und drei Netzteilen und 50kg schwer und... *schwärm*...
Mal sehen, was die Bandsicherung darin hergibt...

Thema Datensicherung siehe oben bei meinereiner seine Ecke...

Porsche gibts nicht, keine Angst nur die Produkte aus Sindelfingen... Das mit den Newslettern ist ne gute Idee. Da werde ich mir mal Gedanken zu machen... Stimmt schon, immer ordentlich einschüchtern... Aber die Cheffes halten sich da schon auch dran, das ist hier glaube ich kein Problem. Wenn dann scheitert es an der Unwissenheit und mangelnder Kenntnis...

Soso, dat secht du alsu so bi euch inne Norden... Na, dann schau doch mal von Hamburg aus 50-60 km Richtung Nordwesten die Elbe entlang hoch, dann weißte auch ungefähr, wo ich her komme...

Ich habs noch nicht geschafft, mir die Geräte näher anzusehen, aber das kommt noch. Und dann werde ich schon was passendes finden. Ich trau euch beiden schon soweit zu, dass ihr das einschätzen könnt, ob das was taugt oder nicht... face-wink

Die Aktualität des Virenscanners ist nicht so das Problem, weil da momentan schon ne Corporate-Version von Symantec im Einsatz ist, die vom Server gesteuert wird. Du hast mir aber dabei ein ganz anderes Problem aufgezeigt: Ob die auch Exchange-tauglich ist. Das muss ich auch noch mal kontrollieren, sonst muss die auch schon wieder gewechselt werden, seufz... Das Mistding hat mich auch einige Stunden und mehrere Nächte gekostet, bis die vernünftig lief. Aber eigentlich ist die schon so komplex und gewaltig, dass sie das können müsste...

Stimmt, die guten Ratschläge nehmen kein Ende. Aber das ist super und ich bin euch super dankbar dafür! Denn ihr stoßt mich auf Probleme, auf die ich von selber noch nicht gekommen wäre. Dafür wären sie dann mit Sicherheit später irgendwann aufgetaucht und dann hätte ich den Ärger... Macht also nur weiter so und zerstört mir meine Freizeit und meine Hoffnung auf eine schnelle und einfache Lösung!

Das war ernst gemeint, ehrlich, bitte weiter so... face-wink

Viele Grüße, und DANKE,

Stefan
Mitglied: meinereiner
meinereiner 27.02.2006 um 20:37:34 Uhr
Goto Top
Super Seite, die du mir da genannt hast
für Exchange, die kannte ich noch

Bei MS selbst gibt es auch viele sehr hute Whitepapers. Da lohnt sich das stöbern auch.


einleuchtend. Wie regelst du das mit dem
Booten? Hat W2k3 nen Bootloader, der das

Das macht Windows von alleine. Sobald man es ein zweites mal installiert wird das Bootmenü angebpasst.


Ersatzsystem und sicherst dann von dem aus?
Oder wie?...

Standardmässig fährt immer das normale System hoch. Sichern tue ich es eher sporadisch. Wenn die Konfiguration vom Server steht ändert sich dann ja nicht mehr so viel. Da kopier ich dann ggf nur noch den Systemstatus und veränderliche Daten wir z.B. beim Exchange, aber das vom ersten OS aus mit ntbackup. Mir gehts dabei vor allem darum die wesentliche Konfiguration schnell wider da zu haben und eben im Notfall schnell ins System greifen zu können.


kann ich ja auf Dauer mal vernünftige
Hardware durchsetzen!

Wie geschrieben, ich helfe gerade einen befreundeten Arzt ein Netz aufzubauen. Da mach war das Lämpchen ein guter Grund für mich. Er wird aber auch eine 24/4 Support Vertrag bekommen für den HP Server. Da wieß ich dann, dass er schnelle und gute Hilfe bei Hardwareproblemen bekommt.

ne Corporate-Version von Symantec im Einsatz
ist, die vom Server gesteuert wird. Du hast
mir aber dabei ein ganz anderes Problem
aufgezeigt: Ob die auch Exchange-tauglich
ist. Das muss ich auch noch mal

Die hat für den Exchange ein eigenes Modul. Ich weiss jetzt nur nicht ob man das Extra kaufen muss. Es läuft aber recht unabhängig vom Rest. Fürs Netz wirst du ihn recht sicher behalten können.


Stimmt, die guten Ratschläge nehmen
kein Ende. Aber das ist super und ich bin
Naja, je weiter man denkt um so mehr Fragen tun sich auf. face-wink

Da fälltmir ein..auch die PCs der User die per VPN zugreifen sollten einen Virenschautz haben.
Mitglied: admin911
admin911 27.02.2006 um 22:01:03 Uhr
Goto Top
'n Abend U2!

ich trau mich ja kaum noch meinen Senf abzugeben.
Ich wollte aber och anmerken, daß es gut ist an der VSAPI zu scannen. Aber noch besser ist es, wenn man dafür einen anderen Scanner benutzt, als den üblichen. Preiswert ist der etrust inoculate von CA. Auch wenn einschlägioge Fachzeitschriften ihn immer wieder zerreißen. Der Fehler den diese Redakteure machen ist, den Scanner mit der "Heim-und Garten" VET-Engine zu testen, satt mit der seit 15 Jahren entwickelten inoculate-Engine. Der Vorteil bei CA ist außerdem, daß man nur die Major-Programm-Updates zahlen muß,nicht aber die Signaturen. Jedenfalls bisher.

Noch besser ist natürlich ein Gateway, daß nicht nur Viren, sondern auch Spam und Phishing fischt, und nicht nur mit einem, sondern mehreren scan-Engines ausgestattet ist.
Ja ich weiß das kostet wieder Geld. ..., wären 450 EUR zuviel? Ich fürchte ja, oder?

Mach mal ne schöne Einkaufsliste am besten 3 Spalten: (jetzt kommts: Peter und sein Auto-Analogonface-smile 3-er, 5-er und 7-er und dann guckst du was man preislich machen kann.

Grüße, Peter
Mitglied: admin911
admin911 27.02.2006 um 22:15:13 Uhr
Goto Top
Meine Lieben, ich nochmal...

mir ist noch eingefallen, daß du erwähntest die ständige Erreichbarkeit über einen dyndns Eintrag könnte ein Sicherheitsrisiko sein. Nun ja im Prinzip schon, aber du hast die Pix mit VPN Server. Aber es stimmt natürlich, daß das Netz damit prinzipiell immer erreichbar ist, wenn man denn den DNS-Namen kennt. Ohne diesen hat ein potentieller ANgreifer eigentlich keine Freude.
Man kann sich aber aber auch die aktuelle Adresse per E-Mail schicken lassen, allerdings bei ISDN nicht zu empfehlen. face-wink

Grüße, pq
Mitglied: comping
comping 28.02.2006 um 18:21:53 Uhr
Goto Top
Moin ihr beiden,

da bin ich endlich mal wieder, musste mir erstmal einige Informationen besorgen und mich ein bisschen schlauer machen...

Also los: meinereiner seine Idee mit dem zweiten W2k3 auf ner zweiten Partition find ich echt gut. Das werd ich bei mir auch so machen. Danke für den Tipp!

Für einen HP-Server mit Lämpchen wird es wohl nicht reichen, bin froh, wenn ich nen SCSI-Raid durchkriege, wobei ich ja auch immer noch leicht rätsele, ob es wirklich SCSI sein muss. So sehr werden die Platten da ja nicht gefordert. Vielleicht einfach doch nen Hardware-Raid-Controller für die vorhandenen SATA-Platten? Ist ja doch ganz schön teuer der Mist. Weiß einer von euch zufällig, ob es von Adaptec auch Raid-Ergänzungen für die SCSI-Pci-Karten gibt. Ich habe gestern herausgefunden, dass die so Zero-Channel-Teile für spezielle Mainboards vertreiben, mit denen man dann aus dem Onboard-SCSI nen SCSI-Raid machen kann für nicht allzu viel Geld...
Ansonsten findet man nur immer wieder die Empfehlung 3ware. Gibt's noch andere RAID-Hersteller, die auch nen guten Ruf haben? Mylex oder so? Oder halt Adaptec?

Virenscanner:
Hab dann erstmal rausfinden müssen, was genau es mit der VSAPI auf sich hat und dem SMTP-Scanner face-smile Ist mit Sicherheit sehr sinnvoll. Allerdings ist der Mailverkehr natürlich auch nicht riesig. Mehr als 100 Mails werden da wohl am Tage nicht unbedingt durchgehen... Meine Symantec-Lösung (Client Security) unterstützt das so noch nicht. Da müsste ich wohl am besten umsteigen auf Anti-Virus mit Multi-Tier-Protection. Da ist dann auch Exchange mit versorgt. Allerdings weiß ich noch nicht genau, wie das dann gescannt wird, von wegen VSAPI. Mal sehen, ob man die Client Security irgendwie ergänzen kann, ist aber leider meine ich auch nur die kleine Variante ohne Groupware Protection... Mist!

Tja und dann noch das Problem mit den VPN-Nutzern. Stimmt natürlich vollkommen. Ich selber nutze auf meinen Kisten ne Sophos-Version über die Uni. Die ist auch ziemlich gut und vor allem ständig aktualisiert. Aber die anderen Privatkisten laufen mit Antivir oder ähnlichem. Wenigstens ist die neue Version 7 da gerade einiges besser geworden und aktualisiert sich jetzt selbständig... Ansonsten sehe ich da das Problem, auch wenn ich den Symantec-Krams auch auf die Privatkisten packe, wie steuere ich das dann, dass das auch aktuell bleibt? Man kann dann wohl so ne Überprüfung einrichten, dass geguckt wird, ob die Kiste, die sich einloggen will, auch auf aktuellem Stand ist, aber dann? Was mach ich dann mit meiner Sophoslizenz von der Uni? Der Symantec wird wohl kaum erkennen, dass mein Sophos aktuell ist und mir dann Zugriff gewähren... Fragen über Fragen...

Und dann noch Porsche-Peters Lösung mit dem etrust: Meinst du, den dann einfach zusätzlich auf den Server zu installieren und damit das Exchange zu scannen? Geht sowas denn überhauöt? Symantec und etrust zusammen bzw. parallel laufend? Inoculate gibt's wohl nicht mehr, hab dann nur die Antivirus-Versionen 7.1 und 8.0 gefunden, die aber auch schon Exchange mit unterstützen. Ist wirklich hübsch günstig, das Teil. Vor allem wäre da ja wirklich gleich alles mit abgedeckt. Aber wie gesagt, ich frage mich, wie das dann funktioniert, dass ich das System-Control-Center von Symantec auf dem Server habe und damit die Cients steuere und gleichzeitig noch den etrust Antivirus mit auf dem Server...
Oder vielleicht komplett umsteigen auf etrust? Günstiger wäre das auf jeden Fall...

Zu der Gatewaylösung:
Ich steig da jetzt echt nicht mehr durch, sorry... face-smile

Also ich habe momentan nen Router, der über DSL-Modem am Netz hängt und daran hängt dann sofort das ganze Netz über die Routerports und einen Switch.

Zukünftig hätte ich dann erstmal ne Pix (oder ähnliches) als Router/Firewall und dahinter dann wieder das ganze Netz. Das Gateway käme dann jetzt zwischen Router und Netzwerk und würde da fischen oder wie muss ich mir das vorstellen?
Also Firewall/Router --> Gateway --> Netzwerk ???
Und dann werden Mails dann im Server noch mal im Exchange von der Virensoftware durchkämmt?

Ist das dann nicht irgendwann auch mal ein bisschen übertrieben?
Diese Gateways oder Gateway Appliances, sind das dann Hardwarelösungen oder so ne Art Softwarelösung?

Die 3-er, 5-er und 7-er Lösung werde ich dann bei Gelegenheit mal aufstellen, ja... Aber vielleicht wirds ja auch ne C, E und S; oder ne A4, A6 und A8 oder ne Golf, Passat und Phaeton... face-smile Mal sehen, bis dahin muss ich wohl noch einiges lernen und vor allem lesen und googeln...

Euch beiden auf jeden Fall noch mal vielen Dank!!!

Stefan
Mitglied: meinereiner
meinereiner 28.02.2006 um 19:32:49 Uhr
Goto Top
SCSI oder SATA:

SCSI Platten sind einfach mehr auf den Dauerbetrieb ausgelegt und mir ist in letzter Zeit mehrfach von SATA abgeraten worde. Da gings zwar um SANs, die mehr leisten müssen, aber so aussagen wie: einige Firmen überlegen schon Austauschplatten bei den Kunden zu halten..lassen aufhören..

Zu Virenlösung:
Symatec in der Cooperate Edition sollte ab der Version 9 (aktuelle ist 10) auch Anhänge in Outlook scannen können. trotzdem würde ich die Postfächer sebst auch scannen lassen. Mails sind mittlerweile einfach zu beliebt um Viren zu versenden.

VORSICHT, wenn du auf dem Exchange einen Virenscanner hast, der das Filesystem scannt. Nimm da bloss die Datenbankverzeichnisse des Exchanges aus. Es passiert sonst schnell, dass in einem Log ein vermeintlicher Virus erkannt wird. Wenn das dann gelöscht wird bleibt dir nur noch ein Restore der Exchange DB.

Gatewaylösungen sind schön, im Moment würde ich dir aber eher raten das Geld dafür in den Server zu stecken. Sowas kann man später ggf nachrüsten.

Mitarbeiter können ja einen normalen Virenscanner bekommen. Ich würde sie aber dazu verpflichten den aktuell zu halten, die sollten sich eigentlich alle selbstständig updaten. Du kannst ihnen ja kurz zeigen wie es geht.
Mitglied: comping
comping 28.02.2006 um 20:32:21 Uhr
Goto Top
Hallo meinereiner,

mir ist schon klar, dass SCSI für den Dauerbetrieb gedacht ist... In der Uni bearbeite ich die entsprechenden Leute, die über die Gelder entscheiden, auch schon länger, dass wir da unseren Server wenigstens mal mit SCSI-Platten ausstatten. Da halt auch die Frage, kann man nen Adaptec 29160 SCSI-Controller irgendwie aufrüsten/erweitern und da nen Hardwareraidcontroller draus machen, oder bleibt mir da nur in den sauren Apfel zu beißen und irgendeinen neuen SCSI-Hardware-Raid-Controller zu besorgen. Und dann wird das halt gleich wieder so schwierig: Diverse neue Platten und nen Controller, das wird verdammt teuer mit SCSI, da wird dann die Notwendigkeit überhaupt nicht mehr gesehen, dass sowas besser und wichtig ist... face-smile

Aber in der Kanzlei, da sind die Zugriffe auf den Server und die Platten einiges seltener und da frage ich mich dann wirklich, ob es SCSI sein muss, oder man da sonst vielleicht tatsächlich nen Hardware-Controller nimmt für SATA-RAID und eine Platte gleich noch als Spare mit einbindet für den Fall der Fälle...
Und mit der Belastung eines SAN kann man das hier nun wirklich nicht vergleichen... face-smile

Also die ClientSecurity umfasst halt nur die Desktops und den Server, aber keine Mail-Geschichten, also müsste ich da vielleicht noch MailSecurity für Exchange zusätzlich erwerben, dann sollte alles abgedeckt sein.

Das die Exchange-Datenbank und so ausgenommen werden muss, habe ich auch schon gelesen, auf Franks Msechangefaq... Sehr gute Seite, nochmal danke für den Link... face-smile

Also in der Kanzlei sind die Rechner durch die ClientSecurity (umfasst u.a. Antivirus) abgedeckt und auch zentral von mir gesteuert, aber zuhause sind bei den Anwälten halt nur so kostenlose Dinger drauf wie AntiVir. Ich denke aber eigentlich auch, dass das reichen muss. Den Rest muss dann halt die Firewall oder ein Gateway abfangen, oder bei Mails, die von zuhause kommen, dann halt die MailSecurity...

Genau, erstmal den Server ausfallsicherer machen. Heute hat gerade wieder der olle Router ausgesetzt und ließ keinen mehr ins Internet, erst nach nem Reset wieder...

Naja, irgendwann wirds dann hoffentlich mal ruhig laufen und ich kann mich per VPN einklinken und zufrieden im Schreibtischstuhl zurücklehnen und mir die Logdateien und Statusreports durchlesen face-smile

Aber bis dahin ist's noch ein langer und vielleicht auch ein bisschen steiniger Weg...

Nur mal aus Interesse: Was kostet so ne schicke HP-Kiste mit Lämpchen (!) ohne diesen Super-Support? So ne Hausnummer?

Viele Grüße, Stefan...
Mitglied: meinereiner
meinereiner 28.02.2006 um 21:07:47 Uhr
Goto Top
den Adaptec Controller kenne ich nicht. Wenn ich mal aber kurz bei Adaptecc auf der Seite schau, dann glaub ich nicht das man den noch umrüsten kann.

Die Client Security klinkt sich mit ins Outlook ein und scannt da die Mails, zumindest ab Version 9. Also so ganz ohne Schutz dürfest du nicht da stehen.

Den HP Server den sie mir angeboten haben kostet so 2000 plus MwSt. Da ist ein 3 Ghz Xeon drin, 3 + 73 GB Festplatten und 2 GB Speicher. Ist eine Promotion von HP.

Na, vielleicht redest du auch mal mit deinen Eltern über die Sache, damit sie einen Überblick bekommen was machbar ist und was es kostet. face-wink
Mitglied: comping
comping 28.02.2006 um 23:52:39 Uhr
Goto Top
Hallo meinereiner,

den Adaptec Controller kenne ich nicht. Wenn
ich mal aber kurz bei Adaptecc auf der Seite
schau, dann glaub ich nicht das man den noch
umrüsten kann.

Ich hatte mich bloß gefragt, ob sowas vielleicht möglich ist, da es ja mit den Onboard-Controllern auf Intel-Boards anscheinend auch geht...

Die Client Security klinkt sich mit ins
Outlook ein und scannt da die Mails,
zumindest ab Version 9. Also so ganz ohne
Schutz dürfest du nicht da stehen.

Naja, die Variante mit Groupware Protection unterstützt das bestimmt, aber ich weiß nicht, ob das ohne Groupware auch schon drin ist...

Den HP Server den sie mir angeboten haben
kostet so 2000 plus MwSt. Da ist ein 3 Ghz
Xeon drin, 3 + 73 GB Festplatten und 2 GB
Speicher. Ist eine Promotion von HP.

Puuh, 2000 ist schon nicht ohne. Das wird sehr schwierig... face-wink
Hast du zufällig nen Link zu nem Händler, der sowas vertreibt? Ich kenn mich in der Klasse nicht aus, habe bisher immer nur Einzelteile bestellt und selber zusammengeschraubt. Vielleicht gibts da ja auch etwas kleinere Varianten...

Na, vielleicht redest du auch mal mit deinen
Eltern über die Sache, damit sie einen
Überblick bekommen was machbar ist und
was es kostet. face-wink

Wie Peter schon vorschlug, ich werd wirklich ne Liste machen, mit der Minimalausstattung, dem Sollte-Drin-Sein-für-Ruhig-Schlafen und der Traum-Vorstellung...

Und dann muss man sich halt irgendwo in der Mitte treffen...

Pix ist wohl z.B. Minimalausstattung....
Mitglied: meinereiner
meinereiner 01.03.2006 um 00:08:37 Uhr
Goto Top
Ich hatte mich bloß gefragt, ob sowas
vielleicht möglich ist, da es ja mit
den Onboard-Controllern auf Intel-Boards
anscheinend auch geht...

ggf frag halt beim Hersteller nach. Die sollen was tun für ihr Geld. face-wink


Hast du zufällig nen Link zu nem
Händler, der sowas vertreibt? Ich kenn

Ich denke hier wirst du einen HP Partner finden:
http://hp2.via.infonow.net/locator/partner/ShowSearchPage.do;jsessionid ...

Aber ganz ehrlich, ich finde 2000? nicht so viel. Man muss das nur mal in Relation zu anderen Anschaffungen in der Kanzlei sehen. Vor allem, wenn der Betrieb wirklich von der EDV abhängt sind 2000? ganz schnell verloren.


mich in der Klasse nicht aus, habe bisher
immer nur Einzelteile bestellt und selber
zusammengeschraubt. Vielleicht gibts da ja
auch etwas kleinere Varianten...

Serversysteme sollttest du auch schon für unter 1000? bekommen. Schau vielleicht auch mal bei Dell und Thomas Krenn gibts auch och..um auch mal für den Sponsor des Forums Werbung zu machen. face-big-smile
Mitglied: comping
comping 01.03.2006 um 19:58:57 Uhr
Goto Top
Hallo mal wieder face-smile

Also die Erweiterung eines SCSI-Controllers zu einem RAID-Controller ist wohl nicht möglich. Das geht anscheinend nur bei onboard-Varianten auf Motherboards. Aber nicht nur von Adaptec, sondern auch von anderen Firmen.

Danke für den Link zu HP. Gibt ja doch ne ganze Menge HP-Partner. Sind ja wirklich schicke Kisten, aber 2000 ? sind leider viel. Hab mir selbstverständlich auch die Modelle von Thomas Krenn angeguckt und mal ein bisschen herumexperimentiert mit dem Konfigurator. Ich muss sagen, dass ist echt top gemacht, vollkommen flexibel konfigurierbar und man wird auf alles und mögliche Probleme hingewiesen und kann sich die Gehäuse im Detail und von jeder Seite anschauen, echt gut! Nur der Preis ist da natürlich auch nicht schöner.

Klar muss man das immer im Verhältnis zu einem Ausfall sehen, nur erklär halt mal nem normalen Menschen, dass da Unterschiede sind zwischen XEON und Sempron und vor allem zwischen SCSI und IDE oder SATA oder zwischen Hardware-RAID und Software-RAID.
Apropos, weiß einer von euch, wie Windows sich bemerkbar macht bei einem durch Windows erstellten Soft-RAID?
Eintrag in der Logdatei nehm ich mal an, aber auch sonst noch irgendwas? Irgendein Popup-Fenster wenigstens vielleicht?

Es gibt auf jeden Fall auch Serversysteme unter 1000 ?, Thomas Krenn hat da schicke Modelle. Wenn man die dann allerdings mit SCSI befüllt, kosten die auch nicht mehr unter 1000, aber das dürfte wohl auch generell sehr schwierig werden.... face-smile

Hab gestern beim Stöbern auch nen Second-Hand-Händler für IT-Zubehör gefunden. Da kriegt man dann ne SCSI-Festplatte für 40-50 Euro. Wenn man davon dann gleich sechs nimmt, vielleicht hält dann ja auch eine oder zwei für die nächsten Jahre... face-wink
Ist ja eigentlich nicht dumm die Idee, aber ich glaub, das ist mir dann trotzdem zu riskant... Aber wie gesagt, eigentlich gar nicht schlecht. Nen kompletten Server für 300 Euro oder so, nur halt schon drei Jahre alt... face-smile


Habe gestern mal die Firewalls unters Auge genommen. Die Cisco Pix 501 macht wirklich nen sehr sympathischen Eindruck und kostet 350 Tacken ungefähr (sogar noch inkl. Mwst...). Also gar nicht mal so teuer.
Von Sonicwall habe ich mir die TZ150 mal näher angesehen, vor allem mit dem Bundle TotalSecure wär das natürlich auch ne hübsche Alternative. Da hätte ich dann ne feine Sicherheit, fürs VPN, da alle eingehenden und ausgehenden Dateien gleich noch gescannt werden. Also einen Schutz gegen Angriffe von zuhause, falls die Anwälte sich per VPN einloggen und der private Virenschutz irgendwie versagt hat, von wegen Antivir und so...
Ist auch nicht gerade teuer, TotalSecure 445 Euro inkl. Gateway und Antivirus/Antispam/IntrusionDetection, und die Jahresabos kosten dann zukünftig knapp 80 Euro. Da kann man nicht meckern. Auch jeweils inkl. Mwst.
Mal sehen, was mir die Pix da noch bietet. Achja, eine kleine Frage noch an Dich meinereiner, als Pix-Experten face-smile
Bei der Sonicwall stand dabei, dass sie dyndns auch unterstützt, dass habe ich bei der Pix nirgends gefunden. Kann man da generell von ausgehen oder kann sie das evtl. nicht? Wäre ja schon nicht schlecht, wenn das ginge...

Ansonsten vielen Dank für die tolle Hilfe und Unterstützung, die ich von euch bekommen habe, jetzt bin ich auf jeden Fall schon ne ganze Ecke weiter, auch an ein paar Problemstellungen, an die ich von selbst wohl gar nicht gedacht hätte... Vorerst jedenfalls...

Viele Grüße, Stefan
Mitglied: meinereiner
meinereiner 01.03.2006 um 20:18:57 Uhr
Goto Top
Also dyndns kann die Pix nicht. Das müsste man dann über den Server machen. Habs zwar noch nie probiert aber müsste gehen.

Ih würde keinen gebrauchten Server nehmen. Alleine schon wegen der Ersatzteile und der fehlenden Garantie und wenn ich hier im Forum manchmal die Hilferufe sehe, bin ich immer froh, daß ich zumindest bei den kritischen System immer einen Support im Rücken habe.

Ein kaputtes Software Raid macht sich im Eventlog bemerkbar, aber auch in der Datenträgerverwaltung. Im Gegensatz zum Hardwareraid kann man da ja beide Platten sehen.