2
Zentrales Managementsystem - Auslegung
Hallo zusammen,
ich versuche uns gerade in die Neuzeit zu bringen, der Weg ist aber leider keine Abkürzung.
Kurz zur Umgebungsstruktur:
4x Microsoft Hyper-V Server bestehend aus:
Aktuell bin ich daran den Mangel an einem funktionsfähigen Management-VLAN zu beheben, der momentane Backupserver läuft bspw. als VM im Produktivnetz und sicher auf ein NAS (ebenfalls im Produktivnetz).
Der neue kommt als Hardware mit eigenem internen Speicher und erhält ein neues Backupkonzept, soll dann natürlich auch nicht mehr ins produktive Netz, womit die Physik der Hyper-V Server ebenfalls ins Management sollen.
Nun zum Kern meines Anliegens und zum Bereich "der Schuster hat immer die schlechtesten Schuhe".
Als Administrator bin ich von vielen Orten tätig, Home-Office über einen dortigen Mini-PC, mobil via Notebook und im Büro über eine Dockingstation des Notebooks.
Beide Systeme laufen über Intune, aber gerade das Notebook ist mittlerweile ziemlich in die Jahre gekommen.
Zudem mangelt es mir aktuell an einem Test-Lab und vernünftigen Verwaltungssystemen.
Meine Überlegung daher:
Eine entsprechende Workstation in der Firma mit ausreichend Power für Verwaltung und Test-Lab.
Zugehörige Server würde ich über ein passendes VLAN an den bestehenden Hyper-Vs abbilden, da wir dort lizenztechnisch kein Problem haben.
Grundlegend setzen wir noch auf Windows 10 Pro (nur die Intune-angebundenen Systeme sind bereits Windows 11).
Um meine "VMs" auf der Workstation zu lizenzieren überlege ich an einer M365 E3 Lizenz, da dort die Virtualisierungsrechte dabei sind, Szenario 2 also:
https://learn.microsoft.com/de-de/windows/deployment/vda-subscription-ac ...
Kommen wir also zum Kern der Angelegenheit.
Ich lege mir selbst ein gewisses Ei ins Nest, wenn dieses System "überall" hinkommt, aber ebenfalls eine Anbindung an das liebe Internet hat, um mit der M365 Lizenz zu interagieren?
Vielleicht bin ich auch ein wenig paranoid?
Aber wenn es einmal eingerichtet ist, auch wenn nur "provisorisch", dann bleibt es doch meist, denn nichts hält länger als ein Provisorium.
P.S.: Für ein solches System ECC-Speicher, oder genügt die "on-die ECC"-Variante, die heute jeder DDR5 Speicher mitbringt?
Dabei fällt mir noch was ein, aktuell liegt eine NVIDIA Quadro P2000 rum, lässt sich das mittlerweile gescheit an die VMs durchgeben?
Grüße
ToWa
ich versuche uns gerade in die Neuzeit zu bringen, der Weg ist aber leider keine Abkürzung.
Kurz zur Umgebungsstruktur:
4x Microsoft Hyper-V Server bestehend aus:
- 2x Hauptserver Datacenter (2022) für alles was sich Server auf Basis von Microsoft und Linux schimpft
- 1x Backupserver Standard (2022) für rechtskonformes Mailarchiv und Veeam (gerade neu eingetroffen und in der Implementierung)
- 1x Produktionssystem Standard (2016) hier läuft auch nur noch eine VM für eine Maschine
- Kompakt gehalten, einheitliche Hardware und VLANs integriert
Aktuell bin ich daran den Mangel an einem funktionsfähigen Management-VLAN zu beheben, der momentane Backupserver läuft bspw. als VM im Produktivnetz und sicher auf ein NAS (ebenfalls im Produktivnetz).
Der neue kommt als Hardware mit eigenem internen Speicher und erhält ein neues Backupkonzept, soll dann natürlich auch nicht mehr ins produktive Netz, womit die Physik der Hyper-V Server ebenfalls ins Management sollen.
Nun zum Kern meines Anliegens und zum Bereich "der Schuster hat immer die schlechtesten Schuhe".
Als Administrator bin ich von vielen Orten tätig, Home-Office über einen dortigen Mini-PC, mobil via Notebook und im Büro über eine Dockingstation des Notebooks.
Beide Systeme laufen über Intune, aber gerade das Notebook ist mittlerweile ziemlich in die Jahre gekommen.
Zudem mangelt es mir aktuell an einem Test-Lab und vernünftigen Verwaltungssystemen.
Meine Überlegung daher:
Eine entsprechende Workstation in der Firma mit ausreichend Power für Verwaltung und Test-Lab.
Zugehörige Server würde ich über ein passendes VLAN an den bestehenden Hyper-Vs abbilden, da wir dort lizenztechnisch kein Problem haben.
Grundlegend setzen wir noch auf Windows 10 Pro (nur die Intune-angebundenen Systeme sind bereits Windows 11).
Um meine "VMs" auf der Workstation zu lizenzieren überlege ich an einer M365 E3 Lizenz, da dort die Virtualisierungsrechte dabei sind, Szenario 2 also:
https://learn.microsoft.com/de-de/windows/deployment/vda-subscription-ac ...
Kommen wir also zum Kern der Angelegenheit.
- Wo packe ich die Workstation gedanklich hin, also wo binde ich diese an?
- Wie nutze ich die Basis (Win 11 Pro) der Workstation? Behandle ich diese also als reinen Hyper-V mit RDP Sprungpunkt zu den Verwaltungssystemen?
Ich lege mir selbst ein gewisses Ei ins Nest, wenn dieses System "überall" hinkommt, aber ebenfalls eine Anbindung an das liebe Internet hat, um mit der M365 Lizenz zu interagieren?
Vielleicht bin ich auch ein wenig paranoid?
Aber wenn es einmal eingerichtet ist, auch wenn nur "provisorisch", dann bleibt es doch meist, denn nichts hält länger als ein Provisorium.
P.S.: Für ein solches System ECC-Speicher, oder genügt die "on-die ECC"-Variante, die heute jeder DDR5 Speicher mitbringt?
Dabei fällt mir noch was ein, aktuell liegt eine NVIDIA Quadro P2000 rum, lässt sich das mittlerweile gescheit an die VMs durchgeben?
Grüße
ToWa
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669682
Url: https://administrator.de/forum/zentrales-managementsystem-auslegung-669682.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
2 Kommentare
Neuester Kommentar
Hi,
mischt du nicht gerade viele Anforderungen in eine Frage?
Gerade dein "P.S." und der Absatz darüber irritiert mich.
Wenn du von einem Lab sprichst, dann ist das für mich eine komplette eigene Welt - Neben jeglichen anderen Netzten/Strukturen. Wenn nicht sogar soweit, dass es bereits bei einem anderen Internetanschluss beginnt.
Letztlich ist es ja genau der Kern. Ein Lab ist dafür da um 1) neue Sachen zu testen 2) vorhandene Strukturen zu ändern und diese Änderungen mehr oder weniger mit den selben Parametern vorher zu testen.
Anyways, mit einer "fetten" Workstation lässt sich viel machen und auch viel testen. Was genau dann wie lizensiert wird; uff das kann ich nicht beantworten. Die Hardwareauswahl ist dann wieder ein anderes Thema. In einem Lab brauchst du keine P2000, wenn du nur "Firewall-Regeln" testest.
Ich implementiere - wenn überhaupt - eine Verwaltungs(Maschine) nur wie folgt:
- Kein Internetzugriff
- Von extern kommt man nur durch vorherige VPN rein (wenn überhaupt)
- Intern lässt sich diese Maschine nur über bestimmte VLANs oder Hosts erreichen (meistens per RDP)
- Die Maschine (oder gerne VM) besitzt nur bestimmte Zugriffe auf andere Netze
(was ich auch zum Teil mache, sind unterschiedliche Maschinen/VMs mit unterschiedlichen Berechtigungen)
Cheers
mischt du nicht gerade viele Anforderungen in eine Frage?
Gerade dein "P.S." und der Absatz darüber irritiert mich.
Wenn du von einem Lab sprichst, dann ist das für mich eine komplette eigene Welt - Neben jeglichen anderen Netzten/Strukturen. Wenn nicht sogar soweit, dass es bereits bei einem anderen Internetanschluss beginnt.
Letztlich ist es ja genau der Kern. Ein Lab ist dafür da um 1) neue Sachen zu testen 2) vorhandene Strukturen zu ändern und diese Änderungen mehr oder weniger mit den selben Parametern vorher zu testen.
Anyways, mit einer "fetten" Workstation lässt sich viel machen und auch viel testen. Was genau dann wie lizensiert wird; uff das kann ich nicht beantworten. Die Hardwareauswahl ist dann wieder ein anderes Thema. In einem Lab brauchst du keine P2000, wenn du nur "Firewall-Regeln" testest.
Ich implementiere - wenn überhaupt - eine Verwaltungs(Maschine) nur wie folgt:
- Kein Internetzugriff
- Von extern kommt man nur durch vorherige VPN rein (wenn überhaupt)
- Intern lässt sich diese Maschine nur über bestimmte VLANs oder Hosts erreichen (meistens per RDP)
- Die Maschine (oder gerne VM) besitzt nur bestimmte Zugriffe auf andere Netze
(was ich auch zum Teil mache, sind unterschiedliche Maschinen/VMs mit unterschiedlichen Berechtigungen)
Cheers
Salut,
genau das ist ja mein Thema, es soll möglichst simpel bleiben, aber eben möglichst viele Funktionen bieten.
Daher dachte ich an eine entsprechend potente Workstation als Hypervisor und darauf dann passende Zugriffe der VMs in entsprechende Netze.
Nehmen wir das hier und dort Abbildung 8: https://www.comconsult.com/sichere-administration-it/
Muss man sich auf seine Umgebung zusammenstutzen, wir haben/benötigen bspw. keine DMZ, aber letztlich gilt es doch genau dies zu erreichen.
Dass der Hypervisor keinen Internetzugriff haben sollte passt nicht ins Lizenzkonzept einer E3 und auch für die "einfache" Verwaltung geht es meiner Ansicht nach nicht ohne.
Entsprechend abgesichert sollte das schon sein.
Klar sind das viele Themen, aber irgendwie gehören die alle zusammen.
Grüße
ToWa
genau das ist ja mein Thema, es soll möglichst simpel bleiben, aber eben möglichst viele Funktionen bieten.
Daher dachte ich an eine entsprechend potente Workstation als Hypervisor und darauf dann passende Zugriffe der VMs in entsprechende Netze.
Nehmen wir das hier und dort Abbildung 8: https://www.comconsult.com/sichere-administration-it/
Muss man sich auf seine Umgebung zusammenstutzen, wir haben/benötigen bspw. keine DMZ, aber letztlich gilt es doch genau dies zu erreichen.
Dass der Hypervisor keinen Internetzugriff haben sollte passt nicht ins Lizenzkonzept einer E3 und auch für die "einfache" Verwaltung geht es meiner Ansicht nach nicht ohne.
Entsprechend abgesichert sollte das schon sein.
Klar sind das viele Themen, aber irgendwie gehören die alle zusammen.
Grüße
ToWa
