dertowa
Goto Top

Zentrales Managementsystem - Auslegung

Hallo zusammen,
ich versuche uns gerade in die Neuzeit zu bringen, der Weg ist aber leider keine Abkürzung. face-big-smile
Kurz zur Umgebungsstruktur:

4x Microsoft Hyper-V Server bestehend aus:
  • 2x Hauptserver Datacenter (2022) für alles was sich Server auf Basis von Microsoft und Linux schimpft
  • 1x Backupserver Standard (2022) für rechtskonformes Mailarchiv und Veeam (gerade neu eingetroffen und in der Implementierung)
  • 1x Produktionssystem Standard (2016) hier läuft auch nur noch eine VM für eine Maschine
Netzwerk:
  • Kompakt gehalten, einheitliche Hardware und VLANs integriert

Aktuell bin ich daran den Mangel an einem funktionsfähigen Management-VLAN zu beheben, der momentane Backupserver läuft bspw. als VM im Produktivnetz und sicher auf ein NAS (ebenfalls im Produktivnetz). face-sad
Der neue kommt als Hardware mit eigenem internen Speicher und erhält ein neues Backupkonzept, soll dann natürlich auch nicht mehr ins produktive Netz, womit die Physik der Hyper-V Server ebenfalls ins Management sollen.

Nun zum Kern meines Anliegens und zum Bereich "der Schuster hat immer die schlechtesten Schuhe".
Als Administrator bin ich von vielen Orten tätig, Home-Office über einen dortigen Mini-PC, mobil via Notebook und im Büro über eine Dockingstation des Notebooks.
Beide Systeme laufen über Intune, aber gerade das Notebook ist mittlerweile ziemlich in die Jahre gekommen.
Zudem mangelt es mir aktuell an einem Test-Lab und vernünftigen Verwaltungssystemen.

Meine Überlegung daher:
Eine entsprechende Workstation in der Firma mit ausreichend Power für Verwaltung und Test-Lab.
Zugehörige Server würde ich über ein passendes VLAN an den bestehenden Hyper-Vs abbilden, da wir dort lizenztechnisch kein Problem haben.

Grundlegend setzen wir noch auf Windows 10 Pro (nur die Intune-angebundenen Systeme sind bereits Windows 11).
Um meine "VMs" auf der Workstation zu lizenzieren überlege ich an einer M365 E3 Lizenz, da dort die Virtualisierungsrechte dabei sind, Szenario 2 also:
https://learn.microsoft.com/de-de/windows/deployment/vda-subscription-ac ...

Kommen wir also zum Kern der Angelegenheit.
  • Wo packe ich die Workstation gedanklich hin, also wo binde ich diese an?
  • Wie nutze ich die Basis (Win 11 Pro) der Workstation? Behandle ich diese also als reinen Hyper-V mit RDP Sprungpunkt zu den Verwaltungssystemen?

Ich lege mir selbst ein gewisses Ei ins Nest, wenn dieses System "überall" hinkommt, aber ebenfalls eine Anbindung an das liebe Internet hat, um mit der M365 Lizenz zu interagieren?

Vielleicht bin ich auch ein wenig paranoid?
Aber wenn es einmal eingerichtet ist, auch wenn nur "provisorisch", dann bleibt es doch meist, denn nichts hält länger als ein Provisorium.

P.S.: Für ein solches System ECC-Speicher, oder genügt die "on-die ECC"-Variante, die heute jeder DDR5 Speicher mitbringt?
Dabei fällt mir noch was ein, aktuell liegt eine NVIDIA Quadro P2000 rum, lässt sich das mittlerweile gescheit an die VMs durchgeben?

Grüße
ToWa

Content-ID: 669682

Url: https://administrator.de/contentid/669682

Printed on: December 6, 2024 at 16:12 o'clock

simple198
simple198 Nov 23, 2024 at 18:16:36 (UTC)
Goto Top
Hi,

mischt du nicht gerade viele Anforderungen in eine Frage?

Gerade dein "P.S." und der Absatz darüber irritiert mich.

Wenn du von einem Lab sprichst, dann ist das für mich eine komplette eigene Welt - Neben jeglichen anderen Netzten/Strukturen. Wenn nicht sogar soweit, dass es bereits bei einem anderen Internetanschluss beginnt.

Letztlich ist es ja genau der Kern. Ein Lab ist dafür da um 1) neue Sachen zu testen 2) vorhandene Strukturen zu ändern und diese Änderungen mehr oder weniger mit den selben Parametern vorher zu testen.

Anyways, mit einer "fetten" Workstation lässt sich viel machen und auch viel testen. Was genau dann wie lizensiert wird; uff das kann ich nicht beantworten. Die Hardwareauswahl ist dann wieder ein anderes Thema. In einem Lab brauchst du keine P2000, wenn du nur "Firewall-Regeln" testest.

Ich implementiere - wenn überhaupt - eine Verwaltungs(Maschine) nur wie folgt:

- Kein Internetzugriff
- Von extern kommt man nur durch vorherige VPN rein (wenn überhaupt)
- Intern lässt sich diese Maschine nur über bestimmte VLANs oder Hosts erreichen (meistens per RDP)
- Die Maschine (oder gerne VM) besitzt nur bestimmte Zugriffe auf andere Netze
(was ich auch zum Teil mache, sind unterschiedliche Maschinen/VMs mit unterschiedlichen Berechtigungen)

Cheers
dertowa
dertowa Nov 24, 2024 at 13:36:24 (UTC)
Goto Top
Salut,
genau das ist ja mein Thema, es soll möglichst simpel bleiben, aber eben möglichst viele Funktionen bieten.
Daher dachte ich an eine entsprechend potente Workstation als Hypervisor und darauf dann passende Zugriffe der VMs in entsprechende Netze.
Nehmen wir das hier und dort Abbildung 8: https://www.comconsult.com/sichere-administration-it/
Muss man sich auf seine Umgebung zusammenstutzen, wir haben/benötigen bspw. keine DMZ, aber letztlich gilt es doch genau dies zu erreichen.

Dass der Hypervisor keinen Internetzugriff haben sollte passt nicht ins Lizenzkonzept einer E3 und auch für die "einfache" Verwaltung geht es meiner Ansicht nach nicht ohne.
Entsprechend abgesichert sollte das schon sein.

Klar sind das viele Themen, aber irgendwie gehören die alle zusammen.

Grüße
ToWa