grinskeks
Goto Top

Hysterisch gewachsene IT auf Vordermann bringen

Hallo zusammen,

anbei eine Frage zur konzeptuellen Vorgehensweise.


Ist-Stand: Hysterisch gewachsene IT

  • 15 User
  • 25 Clients
  • 10 Notebooks
  • etliche byod, die nicht ins Firmennetz sollen
  • Mehrere Dev-Server (intern Win 2000 - 2016)
  • Mehrere Web-Server (App-Licensing, IIS ab 2008R2 - 2016)
  • Mehrere Produktivsysteme (ERP, DMS, Backoffice 2012 R2)
  • Backupserver
  • Alle Server laufen aktuell verteilt auf zwei vSphere 6.5 Essential Hosts

  • Wifi Company
  • Periphere im LAN (Drucker, Scanner, Fax)
  • physisches Cat.6 Netzwerk
  • Level 3 Switches (VLan-fähig)
  • Fritz.Box mit DHCP....
  • Alles peer to peer...


Soll-Stand: vernünftig aufräumen, auf Wachstum einrichten

  • LAN sinnvoll segementieren und abschotten
  • Wifi Company
  • Wifi Guest
  • DMZ
  • Road Warrior
  • Rds für Kunden zu Testzwecken (Demoserver)
  • AD


Aktuell befindet sich der ganze Kram in einem einzelnen Lan
Hier stellt sich die Frage, wie die Weichen gestellt werden sollen.

  • Die Idee ist, zunächst mal das LAN in den Griff zu bekommen -> OPNSense oder Pfsense und segmentieren.
  • DHCP sollte die OPNSense übernehmen.
Jetzt stellt sich die Frage nach der Anzahl der Interfaces und deren Art LAN, VLAN

Sobald das Netzwerk steht, kann das Thema AD angegangen werden.

Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.

Gruß
Grinskeks

Content-Key: 374198

Url: https://administrator.de/contentid/374198

Printed on: December 5, 2022 at 15:12 o'clock

Member: keine-ahnung
keine-ahnung May 17, 2018 at 07:59:01 (UTC)
Goto Top
Moin,
Ist-Stand: Hysterisch gewachsene IT
meine Empfehlung: lass beim Höhlenforscher Deines Vertrauens eine Hysterektomie durchführen!

LG, Thomas
Member: emeriks
emeriks May 17, 2018 at 08:00:18 (UTC)
Goto Top
Hi,
Hysterisch gewachsene IT
Oh man! OMG, dagegen musst Du was tun! Als erstes die Hysterie beenden!
Dann nochmal in Ruhe an die Sache herangehen ...
face-wink

E.
Member: SlainteMhath
SlainteMhath May 17, 2018 at 08:00:46 (UTC)
Goto Top
Moin,

Hysterisch gewachsene IT
Vertipper? Oder Auto-Korrektur.

LAN sinnvoll segementieren
VLANs

und abschotten
NAC

DMZ
Hardware Fiurewall(s)

Road Warrior
Rds für Kunden zu Testzwecken (Demoserver)
VPN

AD
Server 2016

DHCP sollte die OPNSense übernehmen.
Nein. Wenn AD, dann muss das der DC machen.

Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.

Dir ist schon klar, das die Fragestellung etwas weit gefasst ist, ja?

Was für eine Rolle spielst du bei dem Projekt?
Admin (intern)? => Systemhaus hinzunehmen, das mit der das Konzept ausarbeitet und umsetzt


lg,
Slainte
Member: SlainteMhath
SlainteMhath May 17, 2018 at 08:01:40 (UTC)
Goto Top
Hysterektomie
Das trau ich mich jetzt nicht Googeln O.o
Member: emeriks
emeriks May 17, 2018 at 08:04:16 (UTC)
Goto Top
Zitat von @SlainteMhath:
Hysterektomie
Das trau ich mich jetzt nicht Googeln O.o
Ja, ist grenzwertig ....
Member: wuurian
wuurian May 17, 2018 at 08:11:20 (UTC)
Goto Top
Grad beim Essen..:D
Member: Grinskeks
Grinskeks May 17, 2018 at 08:11:57 (UTC)
Goto Top
Vielen Dank erstmal,

Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.

Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.

Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen

Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
Daher die Überlegung erstmal das Netzwerk logisch aufzubauen, die Firtzbox zum Modem zu degradieren oder rauszuwerfen und eine OpnSense reinzubringen.
Phase 2 wäre dann AD.

Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.

Viele Grüße
Grinskeks
Member: Lochkartenstanzer
Lochkartenstanzer May 17, 2018 updated at 08:54:44 (UTC)
Goto Top
Zitat von @emeriks:

Zitat von @SlainteMhath:
Hysterektomie
Das trau ich mich jetzt nicht Googeln O.o
Ja, ist grenzwertig ....

wieso? Ist heutzutage ein Standardeingriff und wird sehr oft durchgeführt. Rentiert sich offensichtlich für den Chirurg.Als Mann ist man da meistens außen vor.

Und zu der Frage des TO:

Am besten zieht man so etwas mit einen Systemhaus seines Vertrauens durch. Ohne die Abhängigkeiten zwischen Deinen Systemen zu kennen ist das etwas schwierig, Dir außer ein paar Standardplatztüren etwas zu raten.

lks
Member: StephanB84
StephanB84 May 17, 2018 at 09:18:07 (UTC)
Goto Top
Hm... so historische aus der Hysterie gewachsene Netzwerke sind schon ein Problem.

Prinzipiell ist deine Fragestellung etwas umfangreich.

Ich persönlich würde den Weg gehen das AD schon im ersten Schritt umzusetzen und auf dieser Basis das Netzwerk umzustellen.

Sprich setz eine Domäne auf, prüfe welche der alten Server noch gebraucht werden, vor allem werde die Server los die älter sind als 2008R2.

Das Netzwerk zu segmentieren.... warum? Für die Devices die privater Natur sind würde ich einfach das WLAN "splitten" und vom Firmennetzwerk abschotten. Bei 35 Clients (Notebooks und Clients laut Text) und ein paar Druckern und Scannern würde ich nicht anfangen hier wild V-Lans zu implementieren. Das fände ich schon arg "hysterisch".

Ansonsten. Lass dir vielleicht bei der Planung auch von einem Systemhaus helfen und vor allem auch die IST-Analyse noch einmal von einem prüfen. Denn durch die Fragestellung kann man durchaus auf die Idee kommen, dass vielleicht die Analyse schon etwas Support brauchen könnte.
Member: Grinskeks
Grinskeks May 17, 2018 at 09:22:30 (UTC)
Goto Top
Wir wollen und werden das auch mit einem Systemhaus unseres Vertrauens durchziehen.
Beides existiert atm noch nicht - weder Systemhaus noch Vertrauen.

Hierzu schaffe ich gerade die Voraussetzungen und hoffe darauf, weiteres Feedback von erfahrenen Admins (check) zum Thema (da geht noch was) zu erhalten face-wink

Etwas im Sinne von best practices als Diskussionsgrundlage für den Infight mit dem Systemhaus und um einschätzen zu können, ob das Sinn macht, was die mir dann so anbieten.

Es geht also zunächst um die Basics für ein grundsolides Netzwerk auf dem man aufbauen kann.


Gruß
Grinskeks
Member: aqui
aqui May 17, 2018 updated at 10:48:14 (UTC)
Goto Top
...oder liest sich das hiesige VLAN Tutorial durch:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Da steht alles drin was man zum Thema das LAN in den Griff bekommen mit VLANs wissen muss.
Ggf. auch noch hier:
https://www.administrator.de/wissen/mikrotik-vlan-konfiguration-router-o ...
Member: StephanB84
StephanB84 May 17, 2018 at 09:28:57 (UTC)
Goto Top
Für das "grundsolide" Netzwerk müssen aber die Abhängigkeiten der aktuellen Umgebung ziemlich genau analysiert werden.

Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?

Wenn die Systeme bekannt sind die unbedingt auch in der neuen Umgebung vorhanden sein müssen, dann kannst du dich daran machen die neue Umgebung zu planen.

In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.

Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
Member: Grinskeks
Grinskeks May 17, 2018 at 10:40:08 (UTC)
Goto Top
Danke für das Feedback!


Zitat von @StephanB84:

Für das "grundsolide" Netzwerk müssen aber die Abhängigkeiten der aktuellen Umgebung ziemlich genau analysiert werden.

Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?

Wir sind Developer und Consultants. Wir haben stets eine Range aller OS als Server im Zugriff, die unsere Kunden im Einsatz haben (können).
So z.B. bis zurück zu SQL Server 2000 Enterprise bei einer Versicherung.

Aktiv supporten wir z.B. ab SQL Server 2008 R2 in Verbindung mit Windows Server ab 2008- wenn es Kunden gibt, die ältere Versionen im Einsatz haben, werfen wir die alten (virtuellen) Maschinen eben wieder an. Kunden haben teils noch SBS Premium 2003 und 2008 im Einsatz....

In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.

Hier geht es auch um organisatorische und lizenzrechtliche Aspekte. Einige Clients müssten auch auf domänentaugliche Windows-Versionen hochgestuft und der Lizenzbedarf geprüft werden. Die User sind zu gruppieren und ein Konzept für Security und Richtlinien ist aufzubauen. die bisherigen Peer-2-Peer Einstellungen und redundanten lokalen Konten sind zu migrieren. Das dauert face-wink

Parallel sind wir dabei, Microsoft Gold Partner zu werden. Damit haben lizenzrechtlich einiges, wenn nicht sogar alles, abgedeckt.


Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.

Auf die Empfehlungen komme ich gerne zurück, sobald ich mich etwas mehr mit der Thematik beschäftigt habe.

Gruß Grinskeks
Member: aqui
aqui May 17, 2018 updated at 10:49:30 (UTC)
Goto Top
Hier geht es auch um organisatorische und lizenzrechtliche Aspekte.
Die ja erstmal mit einem Netzwerk Redesign per se rein gar nix zu tun haben. Eine sinnvolle Trennung in VLAN Segmente aber klar befürworten.
Member: StephanB84
StephanB84 May 17, 2018 at 10:58:13 (UTC)
Goto Top
In diesem konkreten Fall würde ich meine Meinung über VLAN auch revidieren.

Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.

Zu den User-Gruppen und Rechten, JA das ist ein gewisser Aufwand. Es lohnt sich aber definitiv vor allem in Verbindung mit Gruppenrichtlinien und Freigaben.

Von daher würde ich mir bevor ich das Netzwerk per se anpacke auch Gedanken über die künftige Strukturierung meiner User und deren Rechte machen.
Member: Kraemer
Kraemer May 17, 2018 at 13:53:01 (UTC)
Goto Top
Zitat von @StephanB84:
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
so habe ich vor 2,5 Jahren auch gedacht und es gelassen. Ich könnte mir für diese Fehleinschätzung heute noch in den Arsch treten!
Member: emeriks
emeriks May 17, 2018 at 15:14:43 (UTC)
Goto Top
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
VLAN sind für die Geräte! Nach Deinen Angaben also 35-50 Stk.?
Member: Vision2015
Vision2015 May 17, 2018 at 19:14:03 (UTC)
Goto Top
Moin..
Zitat von @Grinskeks:

Vielen Dank erstmal,

Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.

Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
nun, nicht das es zu einem trampelpfad wird... geh am besten gleich zu einem Systemhaus!

Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
gut...

Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
im Gegenteil...
Daher die Überlegung erstmal das Netzwerk logisch aufzubauen, die Firtzbox zum Modem zu degradieren oder rauszuwerfen und eine OpnSense reinzubringen.
Phase 2 wäre dann AD.
das ist genau falsch rum.... erst mit AD und VLan bekommst du dein Netz in den Griff

Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
neeee, so nicht- ihr habt eine Zielvorstellung, und wir Systemhäuser und Admins setzten deine wünsche um!

Viele Grüße
Grinskeks
Frank