it-heilt-nie
Goto Top

Baramundi, VPN vs. IEM?

Hallo erstmal an alle hier im Forum,

als blutiger Anfänger in Sachen baramundi ist die Lernkurve recht steil.

Ich habe mal eine Frage, welche mich bei der Planung eines baramundi PoC beschäftigt.
Folgende Konstellation:

  • Es sollen zukünftig via baramundi mehrere Kundenumgebungen mit Microsoft Updates versorgt werden.
  • Die Kunden haben keine eigenen baramundi-installationen, sondern sollen jeweils nur via DIP angebunden werden.
  • Im Rechenzentrum steht dafür dann baramundi Server, Management und SQL Datenbank bereit (man könnte jetzt auch sagen, baramundi in der Cloud. Am Ende aber nichts anderes wie in Firmenstrukturen mit mehreren Standorten)

Meine eigentliche Frage ist, wie sollte man nun die Anbindung der Kunden (DIP) vornehmen.
Ich hätte jetzt als erstes an ein VPN gedacht, habe dann aber über das baramundi IEM gelesen und frage mich nun worin die Unterschiede sowie vor/Nachteile bestehen.

Hat vielleicht jemand Erfahrungen mit baramundi?

Content-ID: 1414660744

Url: https://administrator.de/contentid/1414660744

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

BleppSatter
BleppSatter 21.10.2021 um 15:37:46 Uhr
Goto Top
Ich arbeite seit einigen Jahren in der Firma mit baramundi und betreue da auch mehrere Standorte mit. Allerdings nutzen wir baramundi etwas anders, als es empfohlen ist, von daher ist dieser Kommentar primär ein Erfahrungsbericht als ein zielgerichteter Beitrag zu deinem Problem.

Wir haben bei jedem Standort DIPs eingerichtet, nutzen allerdings nicht den baraDIPsync-Dienst. Die Kollegen in den anderen Niederlassungen nutzen zum Teil nur einige der Programme wie an unserem Hauptstandort und unsere Direktverbindungen zwischen den Standorten eignen sich nicht so sehr, um darüber mehrere GB an Daten abzugleichen. Daher kopieren wir die neuen Programme für die Standorte quasi händisch rüber. Falls in deinem Fall die Standorte gut untereinander verbunden sind, solltest du dir den Sync durchaus anschauen.
Bei IEM läuft alles über die reguläre Internetanbindung via https . Je nach Netzwerkkonfiguration ist der Internetgateway bei jedem Standort sowohl für die Clients als auch die Serveranbindungen derselbe oder unterschiedlich.
Falls du also eine Direktverbindung der Standorte einrichten kannst, die nicht über das Internet geroutet wird, dann nutze ruhig den DIP-Sync mit untereinander erreichbaren Standort-Netzwerken.
Wenn aber nur Internet zur Verfügung steht, wirst du nicht um IEM herumkommen.

Zu den Microsoft Updates empfehle ich dir persönlich, einen dedizierten WSUS bereitzustellen und die Clients auf diesen zu konfigurieren. Du kannst dann aber baramundi für das Reporting verwenden, da du über spezielle Jobs dann den Updatestand von Clients wahlweise mit Windows Update oder einem konfigurierten WSUS abgleichen kann. In jedem Fall nimmt baramundi bei Ausführung über den jeweiligen Client Kontakt zur Updatequelle auf, mit der sich der Client auch verbindet und führt dort den Abgleich durch.
Im Ergebnis siehst du dann in baramundi für jeden Client alle verfügbaren Updates und deren jeweiliger Status (installiert/fehlend/verzögert/...).
Baramundi bietet zwar selber auch eine Möglichkeit, als Updatequelle zu fungieren. Wir hatten das auch zuerst eingesetzt, allerdings haben die ein komplett eigenes Benennungsschema ausgedacht, wodurch du erst nach einigen Klicks herausfindest, welches KB das eigentlich ist. Außerdem bremst auch das den Server aus, wenn baramundi nicht nur Software und Konfigurationen verteilt, sondern auch noch die Updateverteilung komplett übernimmt. Das würde auch vor allem bei mehreren Standorten noch komplexer werden, da die Updates dann alle vom primären DIP verteilt werden, bzw. bei Einrichtung des DIP-Sync würde das zusätzlich die Verbindung belasten.
BleppSatter
BleppSatter 21.10.2021 um 15:53:22 Uhr
Goto Top
Jetzt im Nachhinein stellt sich mir auch die Frage, ob du baramundi nur zur Updateverteilung einsetzen willst oder auch für die Verteilung von Software und Konfigurationen. Denn vor allem das zweite ist die große Kernkompetenz von baramundi, Updates sind da eher nice-to-have. Wenn du da also baramundi nur wegen der Updates einführen willst, ist das IMHO mit Kanonen auf Spatzen zu schießen. Dann lieber jedem Standort einen WSUS spendieren.
IT-heilt-NIE
IT-heilt-NIE 21.10.2021 um 16:19:22 Uhr
Goto Top
Na das ist eine etwas langwierigere Geschichte aber ja, im Prinzip geht es um Patchmanagement für Server, später Clients und noch später Softwareverteilung etc.

Das Problem, was wir hier mit WSUS haben ist, dass es zwar ganz nett die Updates bereitstellt aber das ist halt nur die Hälfte der Miete. Das kontrolliere installiere nach Wartungsfenstern, Neustarten und Reporting fehlt hier komplett. Bei Kundenumgebungen mit über 100 Servern, und Wartungsfenstern welche Freitags ab 20 Uhr sind musste eine andere Lösung her!
Also haben wir nun viele.. viele... Tools in der Hand gehabt, jedoch konnte keines davon die Prozesse so gut abbilden wie baramundi. Beim Patchen müssen spezielle Abhängigkeiten beachtet werden, erst ServerB wenn A und C bereits durchgelaufen sind etc.
Hinzu kommt, dass wir bereits Kunden haben, welche Baramundi einsetzten.

Soviel zur Vorgeschichte :-P
BleppSatter
BleppSatter 21.10.2021 um 16:28:46 Uhr
Goto Top
Klar, bei solchen komplexen Abhängigkeiten hilft der WSUS einem nicht wirklich weiter. Und ich will baramundi das Patchmanagement auch nicht schlecht reden, denn es funktioniert durchaus recht gut.
Unsere Anforderungen waren da wesentlich flacher, da war uns das mit baramundi etwas zu unübersichtlich.
IT-heilt-NIE
IT-heilt-NIE 21.10.2021 um 16:43:17 Uhr
Goto Top
Wir müssen da auch noch unseren Weg rein finden, daher auch eine Teststellung.

Ich könnte mir in diesem Fall also vorstellen einfach Site-to-Site VPN zum Kunden aufzubauen. Dann spare ich mir IEM und auch das Gateway. Die Standorte beim Kunden sind wiederum alle in einer Domain und haben dicke Leitungen zueinander.
Dani
Dani 24.10.2021 um 16:05:18 Uhr
Goto Top
Moin,
Ich könnte mir in diesem Fall also vorstellen einfach Site-to-Site VPN zum Kunden aufzubauen.
frag doch einmal deine Kunden, ob das überhaupt möglich ist. Könnte mir gut vorstellen, dass der eine oder andere kein VPN Tunnel möchte oder umsetzen kann. Daher beziehe deine Kunden ein bevor du überhaupt über eine Umsetzung nachdenkst.


Gruß,
Dani
IT-heilt-NIE
IT-heilt-NIE 25.10.2021 um 10:02:24 Uhr
Goto Top
Zitat von @Dani:

Moin,
Ich könnte mir in diesem Fall also vorstellen einfach Site-to-Site VPN zum Kunden aufzubauen.
frag doch einmal deine Kunden, ob das überhaupt möglich ist. Könnte mir gut vorstellen, dass der eine oder andere kein VPN Tunnel möchte oder umsetzen kann. Daher beziehe deine Kunden ein bevor du überhaupt über eine Umsetzung nachdenkst.


Gruß,
Dani

Ja kein Thema, das wurde bereits als erstes geklärt. Sonst wäre der Weg, und die Nutzung von IEEM bereits klar.