Hysterisch gewachsene IT auf Vordermann bringen
Hallo zusammen,
anbei eine Frage zur konzeptuellen Vorgehensweise.
Ist-Stand: Hysterisch gewachsene IT
Soll-Stand: vernünftig aufräumen, auf Wachstum einrichten
Aktuell befindet sich der ganze Kram in einem einzelnen Lan
Hier stellt sich die Frage, wie die Weichen gestellt werden sollen.
Sobald das Netzwerk steht, kann das Thema AD angegangen werden.
Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.
Gruß
Grinskeks
anbei eine Frage zur konzeptuellen Vorgehensweise.
Ist-Stand: Hysterisch gewachsene IT
- 15 User
- 25 Clients
- 10 Notebooks
- etliche byod, die nicht ins Firmennetz sollen
- Mehrere Dev-Server (intern Win 2000 - 2016)
- Mehrere Web-Server (App-Licensing, IIS ab 2008R2 - 2016)
- Mehrere Produktivsysteme (ERP, DMS, Backoffice 2012 R2)
- Backupserver
- Alle Server laufen aktuell verteilt auf zwei vSphere 6.5 Essential Hosts
- Wifi Company
- Periphere im LAN (Drucker, Scanner, Fax)
- physisches Cat.6 Netzwerk
- Level 3 Switches (VLan-fähig)
- Fritz.Box mit DHCP....
- Alles peer to peer...
Soll-Stand: vernünftig aufräumen, auf Wachstum einrichten
- LAN sinnvoll segementieren und abschotten
- Wifi Company
- Wifi Guest
- DMZ
- Road Warrior
- Rds für Kunden zu Testzwecken (Demoserver)
- AD
Aktuell befindet sich der ganze Kram in einem einzelnen Lan
Hier stellt sich die Frage, wie die Weichen gestellt werden sollen.
- Die Idee ist, zunächst mal das LAN in den Griff zu bekommen -> OPNSense oder Pfsense und segmentieren.
- DHCP sollte die OPNSense übernehmen.
Sobald das Netzwerk steht, kann das Thema AD angegangen werden.
Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.
Gruß
Grinskeks
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374198
Url: https://administrator.de/forum/hysterisch-gewachsene-it-auf-vordermann-bringen-374198.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
18 Kommentare
Neuester Kommentar
Moin,
Dir ist schon klar, das die Fragestellung etwas weit gefasst ist, ja?
Was für eine Rolle spielst du bei dem Projekt?
Admin (intern)? => Systemhaus hinzunehmen, das mit der das Konzept ausarbeitet und umsetzt
lg,
Slainte
Hysterisch gewachsene IT
Vertipper? Oder Auto-Korrektur.LAN sinnvoll segementieren
VLANsund abschotten
NACDMZ
Hardware Fiurewall(s)Road Warrior
Rds für Kunden zu Testzwecken (Demoserver)
VPNRds für Kunden zu Testzwecken (Demoserver)
AD
Server 2016DHCP sollte die OPNSense übernehmen.
Nein. Wenn AD, dann muss das der DC machen.Ich bitte um Vorschläge und Erfahrungswerte, wie das Netzwerk konkret logisch aufgebaut werden sollte und welche Erfahrungswerte ihr da so habt.
Dir ist schon klar, das die Fragestellung etwas weit gefasst ist, ja?
Was für eine Rolle spielst du bei dem Projekt?
Admin (intern)? => Systemhaus hinzunehmen, das mit der das Konzept ausarbeitet und umsetzt
lg,
Slainte
Ja, ist grenzwertig ....
wieso? Ist heutzutage ein Standardeingriff und wird sehr oft durchgeführt. Rentiert sich offensichtlich für den Chirurg.Als Mann ist man da meistens außen vor.
Und zu der Frage des TO:
Am besten zieht man so etwas mit einen Systemhaus seines Vertrauens durch. Ohne die Abhängigkeiten zwischen Deinen Systemen zu kennen ist das etwas schwierig, Dir außer ein paar Standardplatztüren etwas zu raten.
lks
Hm... so historische aus der Hysterie gewachsene Netzwerke sind schon ein Problem.
Prinzipiell ist deine Fragestellung etwas umfangreich.
Ich persönlich würde den Weg gehen das AD schon im ersten Schritt umzusetzen und auf dieser Basis das Netzwerk umzustellen.
Sprich setz eine Domäne auf, prüfe welche der alten Server noch gebraucht werden, vor allem werde die Server los die älter sind als 2008R2.
Das Netzwerk zu segmentieren.... warum? Für die Devices die privater Natur sind würde ich einfach das WLAN "splitten" und vom Firmennetzwerk abschotten. Bei 35 Clients (Notebooks und Clients laut Text) und ein paar Druckern und Scannern würde ich nicht anfangen hier wild V-Lans zu implementieren. Das fände ich schon arg "hysterisch".
Ansonsten. Lass dir vielleicht bei der Planung auch von einem Systemhaus helfen und vor allem auch die IST-Analyse noch einmal von einem prüfen. Denn durch die Fragestellung kann man durchaus auf die Idee kommen, dass vielleicht die Analyse schon etwas Support brauchen könnte.
Prinzipiell ist deine Fragestellung etwas umfangreich.
Ich persönlich würde den Weg gehen das AD schon im ersten Schritt umzusetzen und auf dieser Basis das Netzwerk umzustellen.
Sprich setz eine Domäne auf, prüfe welche der alten Server noch gebraucht werden, vor allem werde die Server los die älter sind als 2008R2.
Das Netzwerk zu segmentieren.... warum? Für die Devices die privater Natur sind würde ich einfach das WLAN "splitten" und vom Firmennetzwerk abschotten. Bei 35 Clients (Notebooks und Clients laut Text) und ein paar Druckern und Scannern würde ich nicht anfangen hier wild V-Lans zu implementieren. Das fände ich schon arg "hysterisch".
Ansonsten. Lass dir vielleicht bei der Planung auch von einem Systemhaus helfen und vor allem auch die IST-Analyse noch einmal von einem prüfen. Denn durch die Fragestellung kann man durchaus auf die Idee kommen, dass vielleicht die Analyse schon etwas Support brauchen könnte.
...oder liest sich das hiesige VLAN Tutorial durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da steht alles drin was man zum Thema das LAN in den Griff bekommen mit VLANs wissen muss.
Ggf. auch noch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da steht alles drin was man zum Thema das LAN in den Griff bekommen mit VLANs wissen muss.
Ggf. auch noch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Für das "grundsolide" Netzwerk müssen aber die Abhängigkeiten der aktuellen Umgebung ziemlich genau analysiert werden.
Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?
Wenn die Systeme bekannt sind die unbedingt auch in der neuen Umgebung vorhanden sein müssen, dann kannst du dich daran machen die neue Umgebung zu planen.
In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.
Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
Du schreibst zum Beispiel, dass Server2000 noch mit im Einsatz sind. Warum sind die noch da? Ist es möglich die Anwendungen etvl. Datenbanken dieser Server auf aktuellere Server zu migrieren? Oder müssen diese Server laufen weil Anwendungen von Anno Dazumal drauf sind und ein Update "zu teuer" wäre?
Wenn die Systeme bekannt sind die unbedingt auch in der neuen Umgebung vorhanden sein müssen, dann kannst du dich daran machen die neue Umgebung zu planen.
In deinem Fall würde ich versuchen mir eine Domäne aufzubauen und sukzessive die Anwendungen und Server in diese Domain zu integrieren. Das Netzwerk erst einmal auf links zu ziehen und dann in eine Domain zu migrieren verursacht dir doppelten Aufwand.
Und falls du Empfehlungen brauchst, wir arbeiten mit einigen Systemhäusern Deutschlandweit zusammen. Ich kann dir gerne einige empfehlen.
In diesem konkreten Fall würde ich meine Meinung über VLAN auch revidieren.
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
Zu den User-Gruppen und Rechten, JA das ist ein gewisser Aufwand. Es lohnt sich aber definitiv vor allem in Verbindung mit Gruppenrichtlinien und Freigaben.
Von daher würde ich mir bevor ich das Netzwerk per se anpacke auch Gedanken über die künftige Strukturierung meiner User und deren Rechte machen.
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
Zu den User-Gruppen und Rechten, JA das ist ein gewisser Aufwand. Es lohnt sich aber definitiv vor allem in Verbindung mit Gruppenrichtlinien und Freigaben.
Von daher würde ich mir bevor ich das Netzwerk per se anpacke auch Gedanken über die künftige Strukturierung meiner User und deren Rechte machen.
Zitat von @StephanB84:
Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
so habe ich vor 2,5 Jahren auch gedacht und es gelassen. Ich könnte mir für diese Fehleinschätzung heute noch in den Arsch treten!Nicht falsch verstehen, ich habe nichts gegen VLANS aber in einer 0815-AD Umgebung mit 15 Usern, wäre es mit Kanonen auf Spatzen geschossen.
Moin..
Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
gut...
Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
im Gegenteil...
Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
neeee, so nicht- ihr habt eine Zielvorstellung, und wir Systemhäuser und Admins setzten deine wünsche um!
Viele Grüße
Grinskeks
Frank
Zitat von @Grinskeks:
Vielen Dank erstmal,
Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.
Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
nun, nicht das es zu einem trampelpfad wird... geh am besten gleich zu einem Systemhaus!Vielen Dank erstmal,
Hysterisch = Historisch gewachsen mit Zeitdruck und mehr pragmatismus als administrativem Weitblick.
Ich bin in der Rolle eines im Unternehmen angestellten IT-Consultants, der den Bedarf erkannt hat und das Unternehmen auf den Pfad der Tugend zurückführen möchte.
Primärziel: Umsetzung LAN mit externer Hilfe, sobald wir den Umsetzungspfad konkretisiert haben und das Thema budgetieren können.
Sekundärziel: Systemadministrator anstellen, einarbeiten lassen
Eine direkte Umstellung auf AD würde meines Erachtens kurzfristig mehr Probleme verursachen als es löst.
Daher die Überlegung erstmal das Netzwerk logisch aufzubauen, die Firtzbox zum Modem zu degradieren oder rauszuwerfen und eine OpnSense reinzubringen.
Phase 2 wäre dann AD.
das ist genau falsch rum.... erst mit AD und VLan bekommst du dein Netz in den GriffPhase 2 wäre dann AD.
Wir werden uns noch beraten lassen, möchten aber mal vorfühlen um eine genauere Zielvorstellung zu erhalten.
Viele Grüße
Grinskeks