18
Hysterisch gewachsene IT auf Vordermann bringen
Hallo zusammen,
anbei eine Frage zur konzeptuellen Vorgehensweise.
Ist-Stand: Hysterisch gewachsene IT
Soll-Stand: vernünftig aufräumen, auf Wachstum einrichten
Aktuell befindet sich der ganze Kram in einem einzelnen Lan
Hier stellt sich die Frage, wie die Weichen gestellt werden sollen.
Sobald das Netzwerk steht, kann das Thema AD angegangen werden.
Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.
Gruß
Grinskeks
anbei eine Frage zur konzeptuellen Vorgehensweise.
Ist-Stand: Hysterisch gewachsene IT
- 15 User
- 25 Clients
- 10 Notebooks
- etliche byod, die nicht ins Firmennetz sollen
- Mehrere Dev-Server (intern Win 2000 - 2016)
- Mehrere Web-Server (App-Licensing, IIS ab 2008R2 - 2016)
- Mehrere Produktivsysteme (ERP, DMS, Backoffice 2012 R2)
- Backupserver
- Alle Server laufen aktuell verteilt auf zwei vSphere 6.5 Essential Hosts
- Wifi Company
- Periphere im LAN (Drucker, Scanner, Fax)
- physisches Cat.6 Netzwerk
- Level 3 Switches (VLan-fähig)
- Fritz.Box mit DHCP....
- Alles peer to peer...
Soll-Stand: vernünftig aufräumen, auf Wachstum einrichten
- LAN sinnvoll segementieren und abschotten
- Wifi Company
- Wifi Guest
- DMZ
- Road Warrior
- Rds für Kunden zu Testzwecken (Demoserver)
- AD
Aktuell befindet sich der ganze Kram in einem einzelnen Lan
Hier stellt sich die Frage, wie die Weichen gestellt werden sollen.
- Die Idee ist, zunächst mal das LAN in den Griff zu bekommen -> OPNSense oder Pfsense und segmentieren.
- DHCP sollte die OPNSense übernehmen.
Sobald das Netzwerk steht, kann das Thema AD angegangen werden.
Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.
Gruß
Grinskeks
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 374198
Url: https://administrator.de/contentid/374198
Printed on: April 18, 2024 at 15:04 o'clock
18 Comments
Latest comment
Moin,
LG, Thomas
Ist-Stand: Hysterisch gewachsene IT
meine Empfehlung: lass beim Höhlenforscher Deines Vertrauens eine Hysterektomie durchführen!LG, Thomas
4
Hi,
Dann nochmal in Ruhe an die Sache herangehen ...
E.
Hysterisch gewachsene IT
Oh man! OMG, dagegen musst Du was tun! Als erstes die Hysterie beenden!Dann nochmal in Ruhe an die Sache herangehen ...
E.
Moin,
Dir ist schon klar, das die Fragestellung etwas weit gefasst ist, ja?
Was für eine Rolle spielst du bei dem Projekt?
Admin (intern)? => Systemhaus hinzunehmen, das mit der das Konzept ausarbeitet und umsetzt
lg,
Slainte
Hysterisch gewachsene IT
Vertipper? Oder Auto-Korrektur.LAN sinnvoll segementieren
VLANsund abschotten
NACDMZ
Hardware Fiurewall(s)Road Warrior
Rds für Kunden zu Testzwecken (Demoserver)
VPNRds für Kunden zu Testzwecken (Demoserver)
AD
Server 2016DHCP sollte die OPNSense übernehmen.
Nein. Wenn AD, dann muss das der DC machen.Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.
Dir ist schon klar, das die Fragestellung etwas weit gefasst ist, ja?
Was für eine Rolle spielst du bei dem Projekt?
Admin (intern)? => Systemhaus hinzunehmen, das mit der das Konzept ausarbeitet und umsetzt
lg,
Slainte
Hysterektomie
Das trau ich mich jetzt nicht Googeln O.o
Ja, ist grenzwertig ....
Grad beim Essen..:D
Vielen Dank erstmal,
Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.
Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
Daher die Überlegung erstmal das Netzwerk logisch aufzubauen, die Firtzbox zum Modem zu degradieren oder rauszuwerfen und eine OpnSense reinzubringen.
Phase 2 wäre dann AD.
Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
Viele Grüße
Grinskeks
Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.
Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
Daher die Überlegung erstmal das Netzwerk logisch aufzubauen, die Firtzbox zum Modem zu degradieren oder rauszuwerfen und eine OpnSense reinzubringen.
Phase 2 wäre dann AD.
Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
Viele Grüße
Grinskeks
wieso? Ist heutzutage ein Standardeingriff und wird sehr oft durchgeführt. Rentiert sich offensichtlich für den Chirurg.Als Mann ist man da meistens außen vor.
Und zu der Frage des TO:
Am besten zieht man so etwas mit einen Systemhaus seines Vertrauens durch. Ohne die Abhängigkeiten zwischen Deinen Systemen zu kennen ist das etwas schwierig, Dir außer ein paar Standardplatztüren etwas zu raten.
lks
Hm... so historische aus der Hysterie gewachsene Netzwerke sind schon ein Problem.
Prinzipiell ist deine Fragestellung etwas umfangreich.
Ich persönlich würde den Weg gehen das AD schon im ersten Schritt umzusetzen und auf dieser Basis das Netzwerk umzustellen.
Sprich setz eine Domäne auf, prüfe welche der alten Server noch gebraucht werden, vor allem werde die Server los die älter sind als 2008R2.
Das Netzwerk zu segmentieren.... warum? Für die Devices die privater Natur sind würde ich einfach das WLAN "splitten" und vom Firmennetzwerk abschotten. Bei 35 Clients (Notebooks und Clients laut Text) und ein paar Druckern und Scannern würde ich nicht anfangen hier wild V-Lans zu implementieren. Das fände ich schon arg "hysterisch".
Ansonsten. Lass dir vielleicht bei der Planung auch von einem Systemhaus helfen und vor allem auch die IST-Analyse noch einmal von einem prüfen. Denn durch die Fragestellung kann man durchaus auf die Idee kommen, dass vielleicht die Analyse schon etwas Support brauchen könnte.
Prinzipiell ist deine Fragestellung etwas umfangreich.
Ich persönlich würde den Weg gehen das AD schon im ersten Schritt umzusetzen und auf dieser Basis das Netzwerk umzustellen.
Sprich setz eine Domäne auf, prüfe welche der alten Server noch gebraucht werden, vor allem werde die Server los die älter sind als 2008R2.
Das Netzwerk zu segmentieren.... warum? Für die Devices die privater Natur sind würde ich einfach das WLAN "splitten" und vom Firmennetzwerk abschotten. Bei 35 Clients (Notebooks und Clients laut Text) und ein paar Druckern und Scannern würde ich nicht anfangen hier wild V-Lans zu implementieren. Das fände ich schon arg "hysterisch".
Ansonsten. Lass dir vielleicht bei der Planung auch von einem Systemhaus helfen und vor allem auch die IST-Analyse noch einmal von einem prüfen. Denn durch die Fragestellung kann man durchaus auf die Idee kommen, dass vielleicht die Analyse schon etwas Support brauchen könnte.
Wir wollen und werden das auch mit einem Systemhaus unseres Vertrauens durchziehen.
Beides existiert atm noch nicht - weder Systemhaus noch Vertrauen.
Hierzu schaffe ich gerade die Voraussetzungen und hoffe darauf, weiteres Feedback von erfahrenen Admins (check) zum Thema (da geht noch was) zu erhalten
Etwas im Sinne von best practices als Diskussionsgrundlage für den Infight mit dem Systemhaus und um einschätzen zu können, ob das Sinn macht, was die mir dann so anbieten.
Es geht also zunächst um die Basics für ein grundsolides Netzwerk auf dem man aufbauen kann.
Gruß
Grinskeks
Beides existiert atm noch nicht - weder Systemhaus noch Vertrauen.
Hierzu schaffe ich gerade die Voraussetzungen und hoffe darauf, weiteres Feedback von erfahrenen Admins (check) zum Thema (da geht noch was) zu erhalten
Etwas im Sinne von best practices als Diskussionsgrundlage für den Infight mit dem Systemhaus und um einschätzen zu können, ob das Sinn macht, was die mir dann so anbieten.
Es geht also zunächst um die Basics für ein grundsolides Netzwerk auf dem man aufbauen kann.
Gruß
Grinskeks
...oder liest sich das hiesige VLAN Tutorial durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da steht alles drin was man zum Thema das LAN in den Griff bekommen mit VLANs wissen muss.
Ggf. auch noch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da steht alles drin was man zum Thema das LAN in den Griff bekommen mit VLANs wissen muss.
Ggf. auch noch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Für das "grundsolide" Netzwerk müssen aber die Abhängigkeiten der aktuellen Umgebung ziemlich genau analysiert werden.
Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?
Wenn die Systeme bekannt sind die unbedingt auch in der neuen Umgebung vorhanden sein müssen, dann kannst du dich daran machen die neue Umgebung zu planen.
In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.
Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?
Wenn die Systeme bekannt sind die unbedingt auch in der neuen Umgebung vorhanden sein müssen, dann kannst du dich daran machen die neue Umgebung zu planen.
In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.
Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
Danke für das Feedback!
Wir sind Developer und Consultants. Wir haben stets eine Range aller OS als Server im Zugriff, die unsere Kunden im Einsatz haben (können).
So z.B. bis zurück zu SQL Server 2000 Enterprise bei einer Versicherung.
Aktiv supporten wir z.B. ab SQL Server 2008 R2 in Verbindung mit Windows Server ab 2008- wenn es Kunden gibt, die ältere Versionen im Einsatz haben, werfen wir die alten (virtuellen) Maschinen eben wieder an. Kunden haben teils noch SBS Premium 2003 und 2008 im Einsatz....
Hier geht es auch um organisatorische und lizenzrechtliche Aspekte. Einige Clients müssten auch auf domänentaugliche Windows-Versionen hochgestuft und der Lizenzbedarf geprüft werden. Die User sind zu gruppieren und ein Konzept für Security und Richtlinien ist aufzubauen. die bisherigen Peer-2-Peer Einstellungen und redundanten lokalen Konten sind zu migrieren. Das dauert
Parallel sind wir dabei, Microsoft Gold Partner zu werden. Damit haben lizenzrechtlich einiges, wenn nicht sogar alles, abgedeckt.
Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
Auf die Empfehlungen komme ich gerne zurück, sobald ich mich etwas mehr mit der Thematik beschäftigt habe.
Gruß Grinskeks
Zitat von @StephanB84:
Für das "grundsolide" Netzwerk müssen aber die Abhängigkeiten der aktuellen Umgebung ziemlich genau analysiert werden.
Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?
Für das "grundsolide" Netzwerk müssen aber die Abhängigkeiten der aktuellen Umgebung ziemlich genau analysiert werden.
Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?
Wir sind Developer und Consultants. Wir haben stets eine Range aller OS als Server im Zugriff, die unsere Kunden im Einsatz haben (können).
So z.B. bis zurück zu SQL Server 2000 Enterprise bei einer Versicherung.
Aktiv supporten wir z.B. ab SQL Server 2008 R2 in Verbindung mit Windows Server ab 2008- wenn es Kunden gibt, die ältere Versionen im Einsatz haben, werfen wir die alten (virtuellen) Maschinen eben wieder an. Kunden haben teils noch SBS Premium 2003 und 2008 im Einsatz....
In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.
Hier geht es auch um organisatorische und lizenzrechtliche Aspekte. Einige Clients müssten auch auf domänentaugliche Windows-Versionen hochgestuft und der Lizenzbedarf geprüft werden. Die User sind zu gruppieren und ein Konzept für Security und Richtlinien ist aufzubauen. die bisherigen Peer-2-Peer Einstellungen und redundanten lokalen Konten sind zu migrieren. Das dauert
Parallel sind wir dabei, Microsoft Gold Partner zu werden. Damit haben lizenzrechtlich einiges, wenn nicht sogar alles, abgedeckt.
Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
Auf die Empfehlungen komme ich gerne zurück, sobald ich mich etwas mehr mit der Thematik beschäftigt habe.
Gruß Grinskeks
Hier geht es auch um organisatorische und lizenzrechtliche Aspekte.
Die ja erstmal mit einem Netzwerk Redesign per se rein gar nix zu tun haben. Eine sinnvolle Trennung in VLAN Segmente aber klar befürworten.
In diesem konkreten Fall würde ich meine Meinung über VLAN auch revidieren.
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
Zu den User-Gruppen und Rechten, JA das ist ein gewisser Aufwand. Es lohnt sich aber definitiv vor allem in Verbindung mit Gruppenrichtlinien und Freigaben.
Von daher würde ich mir bevor ich das Netzwerk per se anpacke auch Gedanken über die künftige Strukturierung meiner User und deren Rechte machen.
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
Zu den User-Gruppen und Rechten, JA das ist ein gewisser Aufwand. Es lohnt sich aber definitiv vor allem in Verbindung mit Gruppenrichtlinien und Freigaben.
Von daher würde ich mir bevor ich das Netzwerk per se anpacke auch Gedanken über die künftige Strukturierung meiner User und deren Rechte machen.
Zitat von @StephanB84:
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
so habe ich vor 2,5 Jahren auch gedacht und es gelassen. Ich könnte mir für diese Fehleinschätzung heute noch in den Arsch treten!Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
VLAN sind für die Geräte! Nach Deinen Angaben also 35-50 Stk.?
Moin..
Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
gut...
Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
im Gegenteil...
Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
neeee, so nicht- ihr habt eine Zielvorstellung, und wir Systemhäuser und Admins setzten deine wünsche um!
Viele Grüße
Grinskeks
Frank
Zitat von @Grinskeks:
Vielen Dank erstmal,
Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.
Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
nun, nicht das es zu einem trampelpfad wird... geh am besten gleich zu einem Systemhaus!Vielen Dank erstmal,
Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.
Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
Daher die Überlegung erstmal das Netzwerk logisch aufzubauen, die Firtzbox zum Modem zu degradieren oder rauszuwerfen und eine OpnSense reinzubringen.
Phase 2 wäre dann AD.
das ist genau falsch rum.... erst mit AD und VLan bekommst du dein Netz in den GriffPhase 2 wäre dann AD.
Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
Viele Grüße
Grinskeks
