Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei

[t-6]

Wie habt ihr das denn geregelt mit den Downtimes bei Microsoft in der Wolke?

Der C-Ebene sagen dass die Einflussnahme auf Downtime bei Cloud-Diensten so gut wie gar nicht vorhanden ist.
Das höchste der Gefühle ist turnusmäßig vielleicht ein Statusupdate zu erfragen, an die Cheffes weiterzutragen & dem unweigerlich vorhandenen Hysteriker zu verklappen, dass man MS nicht mit Kündigung oder sonstigen Schlonz zu drohen braucht - außer man steht im DAX.

 

[evilhunter]

Die Nutzer müssen damit Leben. Bei Ausfällen, die wirklich auffallen wird meist im Intranet kommuniziert.
Wie @t-6 sagt, was soll man da noch tun.

 

[Blutschlumpf]

Wer Wolken mietet darf halt keinen Sonnenschein erwarten.
Ein Link zum https://de.wikipedia.org/wiki/Gelassenheitsgebet# wäre auch ne gute Reaktion.

Ne im Ernst, gibts Leute, die erwarten, dass man da Einfluss hat?
Bin in ner fast reinen Techie-Firma, mag sein, dass da einfach weniger Illusionen vorherrschen.
Wenn Teams ausfällt fragt da keiner die interne IT wann das wieder läuft.

 

[nosti]

Bei uns schreien die Softwareentwickler als erstes, wenn was nicht geht. Ob das ein Fehler in der onPremise-Umgebung, oder in der Cloud ist, ist dabei relativ egal.

Mails verschicken und den Kollegen im Teams auf den Keks gehen sind ja "nur Basisfunktionen". Microsoft bietet ja mittlerweile viel viel mehr, angefangen vom Clientmanagement bis zu Repos und Build Pipelines im AzureDevOps.

Grüße

 

[foo_1337]

@konkretor Falls das WAF Thema noch aktuell sein sollte: Bei on-prem gedöns setze ich auf nginx mit modsecurity und in den aws/gcp setups in der Regel auf die Cloudfront WAF bzw. auf Cloud Armor. Aber in allen Fällen gilt: Einfach Fire & Forget ist nicht, insbesondere der Anfang bedarf je nach Applikation viel Aufwand.

Und bzgl nsx-t kann ich dir nur zustimmen: Mega cool, wenn man ohnehin schon vmware im Einsatz hat. Ich habe vorher nsx-v benutzt und bin letztes Jahr dann, nachdem es endlich alle Features hatte, auf nsx-t migriert.

 

[nosti]

Bei uns war das ähnlich, erst NSX-V und dann relativ schnell festgestellt, dass wir PKS/Tanzu ebenfalls nutzen wollen, was nur mit NSX-T geht. Letztes Jahr dann die Migration. Ein super interessantes Produkt, aber mal eben "nebenbei" einarbeiten funktioniert da nicht.
Ne gescheite Schulung und im Optimalfall support von VMWare empfinde ich schon als notwendig.

@foo_1337 welche Nodegröße und wieviele habt ihr im Einsatz?

 

[foo_1337]

Jup, stimme ich dir voll zu. Vor allem kommst du ohne tiefergehende Netzwerkkenntnisse sehr schnell an die Grenzen. Wir haben das Glück, sehr gut aufgestellt zu sein, was BGP & Co betrifft, daher fiel uns das einfacher. Dennoch sehe ich es wie du: Ohne die Mitarbeiter zu schulen wird es ein sehr steiniger weg Ich wette, dass die meisten, die noch nie damit was zu tun haben, nichtmal wissen, was genev ist.
Zu den Nodes: 3x Medium.

 

[nosti]

Unser Junger Helpdesk Kollege hat ebenfalls eine Schulung für NSX-T bekommen, dem hat ganz schön der Kopf geraucht.
Von Geneve über CorfuDB, Tier0/1 Service/Distributed Router und dann kommunizieren die Büchsen auch noch intern über APIPA Adressen
Fazit: es ist wirklich sehr komplex

 

[Hannibal Smith]

NSX war bei uns definitiv auch mal geplant - muss unseren VMware Admin mal fragen was da der Stand ist. Ein anderer Kollegen meinte heute, dass er die Windows Defender Advanced Threat Protection einführen möchte und wir uns demnächst das mal zusammen anschauen.

Währenddessen beschäftige ich mich mit meinem persönlichen Unwort des Jahres, der Telematik Infrastruktur

 

[holdes]

Habt ihr ansonsten alles On-Premise? Mich würde Windows Defender ATP (mittlerweile ja umbennant: Microsoft Defender für Endpunkt) auch interessieren, allerdings als einziges Cloud Produkt.

 

[Hannibal Smith]

Ja eigentlich alles onPremise.
Ja so kritisch man M$ hinterfragen sollte, der Defender kann schon einiges und im Vergleich mit jeder anderen mir bekannten Endpoint Security Lösung sehr angenehm zu Administrieren.
Haben auch Applocker von Microsoft in Benutzung und die Verwaltung via GPO ist echt toll und einfach. Leider gibt es gerade im KH Umfeld seeehr viel nicht oder nur Teilweise signierte Software. Da bleibt dann nur der Pfad als mMn schlechteste Option oder Filehash, was allerdings dann wieder Updates lustig macht.

 

[holdes]

Super, sieht bei mir im Umfeld ähnlich aus und die anderen Produkte haben mir da bisher nicht wirklich zugesagt. Der normale Defender an sich ist ja mittlerweile schon nicht schlecht aber es fehlt eben an einer Mangement Funktion die einem an kommerziellen Produkten nicht vorbeikommen lässt. Die Intercept-X with EDR von Sophos war zwar auch super aber der Preis ist einfach viel zu hoch.

 

[Hannibal Smith]

Naja der normale Defender lässt sich meines Wissens nach auch via GPO steuern. Und dann nen Syslog server für die Auswertungen wobei ich nicht weiß wie das dann aussieht was reports etc. angeht.

 

[holdes]

Naja über GPOs brauchen wir nicht sprechen, das ist ja Basic . Man braucht aber irgendwie mindestens ein Dashboard/Übersicht. Ich kann zwar auch über Docusnap den Zustand des Clients abfragen aber das ist eher unbefriedigend. Wenn der normale Defender sowas Ähnliches wie das WSUS Dashboard hätte, könnte man eher damit was anfangen aber out of the Box schwierig.

Aktuell haben wir noch teilweise Symantec laufen, weil die Lizenz einmal da war. Mal sehen was es am Ende wird, der Cloud Defender für Endpunkt ist ja nicht ganz so teuer (die Sache mit der Telemetrie liegt dafür schwer im Magen).

 

[Hannibal Smith]

mhhh lustig, Symantec haben wir auch im Einsatz, allerdings nur noch für Win 7.

Bezüglich des Dashboards weiß ich was du meinst, glaube aber auch sowas wird bei ca 2500 Clients unübersichtlich. Ich persönlich fände ja einen gut strukturierten Log mit entsprechender Suchfunktion ja ziemlich toll.

Docusnap kenne ich bisher nur als Abfrage für Server und da wirft das Ding seitenlange und größtenteils uninteressante Auswertungen. Kann aber auch gut sein, dass das einfach falsch oder für den zweck falsch konfiguriert war

 

[holdes]

Docusnap ist ziemlich Gold wert wenn man es passend einrichtet. Damit erspar ich mir einiges weil ich zumindest die Topologie grafisch anzeigen lassen kann (was hängt an welchem Switch in welchem VLAN, etc). Ich kann nur dazu raten sich damit mal ein wenig auseinander zu setzen wenn ihr dafür noch Lizenzen habt, das mag ein wenig unübersichtlich aussehen, kann aber eigentlich recht viel auswerten. Wenn ein Audit ansteht kann ich z.B. direkt alle Ordnerberechtigungen als PDF werfen und fertig.

Das Symantec war auch nur auf Win7 installiert aber manche Maschinen haben die Kollegen auf 10 gehoben wenn Zeit war damit das 7er verschwindet bevor eine neue Kaufrunde für den jeweiligen Standort ansteht.

 

[Blutschlumpf]

Ich wette, dass die meisten, die noch nie damit was zu tun haben, nichtmal wissen, was genev ist.

Reicht ja wenn die von Geneve gehört haben.

 

[foo_1337]

Die meisten werden allenfalls mal was von vxla gehört haben

 

[Ranayna]

Der Thread hier liegt ja schon ein bisschen laenger brach, aber da ich ihn ja angeregt habe will ich mal wieder eine Frage in die Runde werfen:

Wie stark seit ihr von den Lieferenpaessen bei Elektronik betroffen?

Bei uns ist quasi alles schwerer zu kriegen was mit Hardware zu tun hat. Teilweise wochen-, oder gar monatelang nicht lieferbar. Das was lieferbar ist, ist dann auch noch deutlich teurer geworden.

 

[holdes]

Bei uns das selbe, bei Lenovo warten wir seit bereits 6 Monaten auf eine Client PC Lieferung (bzw. den Rest davon). Was aber definitiv ankam und so gar nicht betroffen ist war das andere Schätzchen . Ansonsten sind die Massenwaren generell zur Zeit hart zu bekommen. Wo es bisher auch kein Thema war, ist bei den Mellanox Switches, das geht auch noch relativ angenehm.

Was ist preislich beurteilen kann sind Kyocera Drucker, absolut krank wenn ich mir dort die Kurve anschaue. Wo ich gar keinen Unterschied bemerkt habe: Poly (plantronics Headsets), zum selben Preis immer noch gängig und unkompliziert geliefert.