Zentrales Managementsystem - Auslegung
Hallo zusammen,
ich versuche uns gerade in die Neuzeit zu bringen, der Weg ist aber leider keine Abkürzung.
Kurz zur Umgebungsstruktur:
4x Microsoft Hyper-V Server bestehend aus:
Aktuell bin ich daran den Mangel an einem funktionsfähigen Management-VLAN zu beheben, der momentane Backupserver läuft bspw. als VM im Produktivnetz und sicher auf ein NAS (ebenfalls im Produktivnetz).
Der neue kommt als Hardware mit eigenem internen Speicher und erhält ein neues Backupkonzept, soll dann natürlich auch nicht mehr ins produktive Netz, womit die Physik der Hyper-V Server ebenfalls ins Management sollen.
Nun zum Kern meines Anliegens und zum Bereich "der Schuster hat immer die schlechtesten Schuhe".
Als Administrator bin ich von vielen Orten tätig, Home-Office über einen dortigen Mini-PC, mobil via Notebook und im Büro über eine Dockingstation des Notebooks.
Beide Systeme laufen über Intune, aber gerade das Notebook ist mittlerweile ziemlich in die Jahre gekommen.
Zudem mangelt es mir aktuell an einem Test-Lab und vernünftigen Verwaltungssystemen.
Meine Überlegung daher:
Eine entsprechende Workstation in der Firma mit ausreichend Power für Verwaltung und Test-Lab.
Zugehörige Server würde ich über ein passendes VLAN an den bestehenden Hyper-Vs abbilden, da wir dort lizenztechnisch kein Problem haben.
Grundlegend setzen wir noch auf Windows 10 Pro (nur die Intune-angebundenen Systeme sind bereits Windows 11).
Um meine "VMs" auf der Workstation zu lizenzieren überlege ich an einer M365 E3 Lizenz, da dort die Virtualisierungsrechte dabei sind, Szenario 2 also:
https://learn.microsoft.com/de-de/windows/deployment/vda-subscription-ac ...
Kommen wir also zum Kern der Angelegenheit.
Ich lege mir selbst ein gewisses Ei ins Nest, wenn dieses System "überall" hinkommt, aber ebenfalls eine Anbindung an das liebe Internet hat, um mit der M365 Lizenz zu interagieren?
Vielleicht bin ich auch ein wenig paranoid?
Aber wenn es einmal eingerichtet ist, auch wenn nur "provisorisch", dann bleibt es doch meist, denn nichts hält länger als ein Provisorium.
P.S.: Für ein solches System ECC-Speicher, oder genügt die "on-die ECC"-Variante, die heute jeder DDR5 Speicher mitbringt?
Dabei fällt mir noch was ein, aktuell liegt eine NVIDIA Quadro P2000 rum, lässt sich das mittlerweile gescheit an die VMs durchgeben?
Grüße
ToWa
ich versuche uns gerade in die Neuzeit zu bringen, der Weg ist aber leider keine Abkürzung.
Kurz zur Umgebungsstruktur:
4x Microsoft Hyper-V Server bestehend aus:
- 2x Hauptserver Datacenter (2022) für alles was sich Server auf Basis von Microsoft und Linux schimpft
- 1x Backupserver Standard (2022) für rechtskonformes Mailarchiv und Veeam (gerade neu eingetroffen und in der Implementierung)
- 1x Produktionssystem Standard (2016) hier läuft auch nur noch eine VM für eine Maschine
- Kompakt gehalten, einheitliche Hardware und VLANs integriert
Aktuell bin ich daran den Mangel an einem funktionsfähigen Management-VLAN zu beheben, der momentane Backupserver läuft bspw. als VM im Produktivnetz und sicher auf ein NAS (ebenfalls im Produktivnetz).
Der neue kommt als Hardware mit eigenem internen Speicher und erhält ein neues Backupkonzept, soll dann natürlich auch nicht mehr ins produktive Netz, womit die Physik der Hyper-V Server ebenfalls ins Management sollen.
Nun zum Kern meines Anliegens und zum Bereich "der Schuster hat immer die schlechtesten Schuhe".
Als Administrator bin ich von vielen Orten tätig, Home-Office über einen dortigen Mini-PC, mobil via Notebook und im Büro über eine Dockingstation des Notebooks.
Beide Systeme laufen über Intune, aber gerade das Notebook ist mittlerweile ziemlich in die Jahre gekommen.
Zudem mangelt es mir aktuell an einem Test-Lab und vernünftigen Verwaltungssystemen.
Meine Überlegung daher:
Eine entsprechende Workstation in der Firma mit ausreichend Power für Verwaltung und Test-Lab.
Zugehörige Server würde ich über ein passendes VLAN an den bestehenden Hyper-Vs abbilden, da wir dort lizenztechnisch kein Problem haben.
Grundlegend setzen wir noch auf Windows 10 Pro (nur die Intune-angebundenen Systeme sind bereits Windows 11).
Um meine "VMs" auf der Workstation zu lizenzieren überlege ich an einer M365 E3 Lizenz, da dort die Virtualisierungsrechte dabei sind, Szenario 2 also:
https://learn.microsoft.com/de-de/windows/deployment/vda-subscription-ac ...
Kommen wir also zum Kern der Angelegenheit.
- Wo packe ich die Workstation gedanklich hin, also wo binde ich diese an?
- Wie nutze ich die Basis (Win 11 Pro) der Workstation? Behandle ich diese also als reinen Hyper-V mit RDP Sprungpunkt zu den Verwaltungssystemen?
Ich lege mir selbst ein gewisses Ei ins Nest, wenn dieses System "überall" hinkommt, aber ebenfalls eine Anbindung an das liebe Internet hat, um mit der M365 Lizenz zu interagieren?
Vielleicht bin ich auch ein wenig paranoid?
Aber wenn es einmal eingerichtet ist, auch wenn nur "provisorisch", dann bleibt es doch meist, denn nichts hält länger als ein Provisorium.
P.S.: Für ein solches System ECC-Speicher, oder genügt die "on-die ECC"-Variante, die heute jeder DDR5 Speicher mitbringt?
Dabei fällt mir noch was ein, aktuell liegt eine NVIDIA Quadro P2000 rum, lässt sich das mittlerweile gescheit an die VMs durchgeben?
Grüße
ToWa
Please also mark the comments that contributed to the solution of the article
Content-ID: 669682
Url: https://administrator.de/contentid/669682
Printed on: December 6, 2024 at 16:12 o'clock
2 Comments
Latest comment
Hi,
mischt du nicht gerade viele Anforderungen in eine Frage?
Gerade dein "P.S." und der Absatz darüber irritiert mich.
Wenn du von einem Lab sprichst, dann ist das für mich eine komplette eigene Welt - Neben jeglichen anderen Netzten/Strukturen. Wenn nicht sogar soweit, dass es bereits bei einem anderen Internetanschluss beginnt.
Letztlich ist es ja genau der Kern. Ein Lab ist dafür da um 1) neue Sachen zu testen 2) vorhandene Strukturen zu ändern und diese Änderungen mehr oder weniger mit den selben Parametern vorher zu testen.
Anyways, mit einer "fetten" Workstation lässt sich viel machen und auch viel testen. Was genau dann wie lizensiert wird; uff das kann ich nicht beantworten. Die Hardwareauswahl ist dann wieder ein anderes Thema. In einem Lab brauchst du keine P2000, wenn du nur "Firewall-Regeln" testest.
Ich implementiere - wenn überhaupt - eine Verwaltungs(Maschine) nur wie folgt:
- Kein Internetzugriff
- Von extern kommt man nur durch vorherige VPN rein (wenn überhaupt)
- Intern lässt sich diese Maschine nur über bestimmte VLANs oder Hosts erreichen (meistens per RDP)
- Die Maschine (oder gerne VM) besitzt nur bestimmte Zugriffe auf andere Netze
(was ich auch zum Teil mache, sind unterschiedliche Maschinen/VMs mit unterschiedlichen Berechtigungen)
Cheers
mischt du nicht gerade viele Anforderungen in eine Frage?
Gerade dein "P.S." und der Absatz darüber irritiert mich.
Wenn du von einem Lab sprichst, dann ist das für mich eine komplette eigene Welt - Neben jeglichen anderen Netzten/Strukturen. Wenn nicht sogar soweit, dass es bereits bei einem anderen Internetanschluss beginnt.
Letztlich ist es ja genau der Kern. Ein Lab ist dafür da um 1) neue Sachen zu testen 2) vorhandene Strukturen zu ändern und diese Änderungen mehr oder weniger mit den selben Parametern vorher zu testen.
Anyways, mit einer "fetten" Workstation lässt sich viel machen und auch viel testen. Was genau dann wie lizensiert wird; uff das kann ich nicht beantworten. Die Hardwareauswahl ist dann wieder ein anderes Thema. In einem Lab brauchst du keine P2000, wenn du nur "Firewall-Regeln" testest.
Ich implementiere - wenn überhaupt - eine Verwaltungs(Maschine) nur wie folgt:
- Kein Internetzugriff
- Von extern kommt man nur durch vorherige VPN rein (wenn überhaupt)
- Intern lässt sich diese Maschine nur über bestimmte VLANs oder Hosts erreichen (meistens per RDP)
- Die Maschine (oder gerne VM) besitzt nur bestimmte Zugriffe auf andere Netze
(was ich auch zum Teil mache, sind unterschiedliche Maschinen/VMs mit unterschiedlichen Berechtigungen)
Cheers