Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei

[Rickmer]

In diesem Artikel wird der Exchange Server Next beschrieben.
https://techcommunity.microsoft.com...urrent-versions-to-exchange-server-se/4241305

Erwähnt wird auch, dass man dem Exchange Server SE über eine Cloud subscription license laufen lassen kann:

Cloud subscription licenses for all users and devices that access Exchange Server SE (for example, Microsoft 365 E3 or E5 licenses)

Weiß wer, welche Lizenzen dafür gültig sind? Wäre eine Business Premium Lizenz z.B. nutzbar? Microsoft schreibt im Blog nur dies:

Other cloud subscription licenses besides Microsoft 365 E3/E5 also satisfy, but we’re calling E3/E5 out because they include Extended Use Rights that provide an unlimited number of Office Server licenses at no additional charge (see the Microsoft Product Terms for full details).

(Ich frage nach Business Premium weil es die mWn günstigste Lizenz ist die am Terminal Server nutzbar ist.)

 

[Thaddelino]

@konkretor wir haben es auch so umgesetzt mit PAW in VMWare Workstation, es ist ein wenig Umgewöhnung, aber es läuft.
Wir haben eine VM für Azure, eine für OnPrem (separates Netz ver IPSEC angebunden). Von dieser aus per RDP / Managementtools / Browser auf die jeweiligen Systeme. Endpoints konsequent per LAPS.

 

[Sandro_Suchti]

Hat witzigerweise noch wer das Problem, dass teilweise E-Mails im Outlook am PC als gelesen markiert sind, zeitgleich am Handy aber nicht und dadurch der Zähler für ungelesene E-Mails auch am PC hochgeht?

 

[Mac_Leod]

Moin, mal wieder bissl EntraAD Spaß:

Ich brauchte einen print user im EntraAD für oldshool SMTP auth vom Drucker aus.
Nun muss man auf Tenant Ebene die globalen Security Rules deaktivieren, damit das funktioniert.
Oauth können die leider nicht sprechen -,-
Nun finde ich keinerlei Infos darüber, welche Regel innerhalb der default policys (die ich deaktiviert habe) alle alten Protokolle abgeschaltet hat und welche Regeln generell nun aus sind.
allg. bei MS heißt es die Regeln beinhalten:

• Multi-Faktor-Authentifizierung für Admins
• Registrierung für MFA für alle Benutzer
• Blockierung von Legacy-Authentifizierungsprotokollen

MFA ist bei allen Accounts (egal welche Rolle) aktiv, also müsste ich eigentlich kein schlechtes Bauchgefühl haben, wenn die default policy aus ist oder?

 

[charmin]

Da würde ich mir eine Kiste hinstellen die das macht (also altes SMTP auf Oauth) und nicht global sinnvolle Security Features abschalten.

Sowas z.B. (falls du das nicht über die Firewall o.ä. machen kannst):
https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/

 

[Mac_Leod]

Tatsächlich habe ich genau den Gedanken gemacht, weshalb ich den das oben geschrieben habe.
Man muss abwägen, gibt man einem nicht eignenen Tool alle Permissions um alle Mails die darüber laufen, oder deaktiviert man die Policy.

 

[Rickmer]

Hast du überlegt eine der anderen Optionen zu nutzen? Wir richten teils direct send ein.
https://learn.microsoft.com/en-us/e...-send-email-using-microsoft-365-or-office-365

 

[Skysnake]

Hat vielleicht jemand von euch Erfahrung mit der Mirantis Container Registry? Also taugt das etwas insbesondere bezüglich scannen auf Vulnerabilities?

 

[konkretor]

Jo kenn ich, tut was es soll. Du arbeitest doch in einer großen Bude. Gibt es da niemand der einen Service anbietet? Das zeug selber betreiben ist halt immer Aufwand.

Das zeug von Mirantis muss doch vergoldet werden, wenn ich mich dran erinnere.

Ich hab sonst in meinen Projekten immer das hier verwendet https://github.com/goharbor/harbor
Das hat immer gereicht für die Projekte wo ich unterwegs war.
Red Hat bietet ja auch noch was an

https://www.redhat.com/en/technologies/cloud-computing/quay

 

[Mordi]

Harbor hatte ich mal vor 2 Jahren in nem Kundenprojekt angeschaut. Mehr weiß ich aber auch nicht mehr.

 

[Skysnake]

@konkretor mir ging es jetzt auch eher um die Nützlichkeit der Scans. Also wie hoch ist z.B. die false positive Rate?

Ich will mir damit am Ende vom Tag die Arbeit ersparen selbst regelmäßig zu checken ob im Image irgendwelche anfälliger Komponenten sind.

Wenn mir dann aber ständig irgendwelche falschen positive präsentieren werden dann kann ich auch gleich selbst regelmäßig nach Updates schauen....

Das wäre halt die Alternative. Container starten und schauen ob es Securityupdates gibt. So wirklich zielführend halte ich das aber nicht, da man ständig/täglich irgendwelche Updates bekommt.

 

[konkretor]

Aso, die CVE Erkennung war soweit ok. Wenn eine drin war hat das schon gepasst. Problem ist halt bei hunderten von Containern gibt es immer etwas.
Du hast in allen Systemen die Problematik das dort eine CVE ist und lass sie nur als 3.4 dort stehen. Die Flut der CVE ist ja die letzten Jahre explodiert.

Eine 9.8 gabs neulich beim Tomcat, die war aber nicht relevant in den Default Einstellungen. Muss ich jetzt trotzdem patches?

Ich nutze mittlerweile den EPSS um dann zu entscheiden sofort patchen oder im normalen Patch Zyklus das Problem los zu werden. Da hat jede Firma andere Vorgaben. Das System gibt es erst seit ein paar Jahren
https://www.heise.de/hintergrund/Se...ploit-Prediction-Scoring-System-10252792.html

 

[Skysnake]

Aso, die CVE Erkennung war soweit ok. Wenn eine drin war hat das schon gepasst.

Das klingt doch positiv.

Problem ist halt bei hunderten von Containern gibt es immer etwas.

Die Anzahl der Container ist ja egal. Die Anzahl der Images ist interessant. Mehr als 50 Images wird eine einzelne Person aber auch mit Tools und ohne eigene Weiterentwicklung kaum bewältigen können. Im Prinzip muss du ja täglich drüber schauen. Im Zweifel halt wöchentlich. Aber sobald was geändert werden muss und es anfängt zu klemmen, verfliegt die Zeit wie im Flug und irgendwo klemmt es dann doch immer wieder.

Ich nutze mittlerweile den EPSS um dann zu entscheiden sofort patchen oder im normalen Patch Zyklus das Problem los zu werden.

Hm.. weiß nicht was ich davon halten soll. Klingt ja ganz nett aber das wird auf die Performance gehen und ist damit in meinem Umfeld raus. Keiner wird 10-20% Leistubgsverlust akzeptieren und wir sind immer am Anschlag.

 

[Mordi]

Ich hab ein wenig Erfahrung mit dem Vulnerability Scanner von Greenbone - und dabei festgestellt dass die Idee zwar sehr cool klingt ("Wissen was da unsicherem Zeugs im Env ist"), aber der Nutzen dann eher gering.
Es wird vermutlich sehr schnell nen sehr dicken Haufen an Sachen finden, den du zu großen Teilen gar nicht lösen kannst weil es keine Updates gibt (oder du die nicht installieren willst weil sie was kaputt machen).

In meinen Augen ist daher zumindest Greenbone eine Software die gut ist wenn du weniger gut schlafen willst.

 

[Mac_Leod]

Moin,

ich suche gerade die eierlegende Wollmilchsau Node Konfig, für ein neues Kundenprojekt.
Terminalserver mit 30 APs, DC, DATEV Server, die auf einem HyperV Node laufen.
28APs für Office 365 Apps und 2 APs zusätzlich mit DATEV Arbeitsplatz Pro.
Gleichzeitig sind immer mindestens 26 APs belegt.

Für HA für bessere Wartbarkeit war leider kein zweiter Node drin -.-
Wenigstens ist noch Geld für die USV, Blech für Veeam und eine Notfall Klimaanlage im RZ da.
Aber darum soll es gerade nicht gehen.
Dau kommt noch die Problematik, das Kunde von Dell nichts hält, egal ob ich mit Dell am Ende preiswerter bin oder nicht.

Normal greif ich ins Dell Portfolio und bestellt einen R750, bzw. der Vorgänger und Steck 2x Xeon Silver 4314 oder Gold 6346 rein. Dazu genug RAM und mindesten 2 bzw. 4 SAS SSD.
Berechnungsgrundlage sind 2 vcpus pro AP.

Wenn ich mir Angebote von befreundeten Systemhäusern ansehe, mit alternativen Herstellern gibt es natürlich viele Möglichkeiten zb.:

Von Fujitsu gibt es die Varianten:
PRIMERGY RX2540 M6 @ 2x Xeon Gold 6426Y (24x 2,5 GHz)
oder
Fujitsu PRIMERGY RX2450 M1 @ 2x AMD EPYC 9354 (24x 3,25 GHz)
Zum ähnlichen Preis.

HP mit HPE ProLiant DL380 Gen10 Plus und HPE ProLiant DL385 Gen10 Plus
Lenovo mit ThinkSystem SR650 V2 und Lenovo ThinkSystem SR665.

Am Ende ist es wie immer nur ähnliches Blech mit anderem Label drauf welches seinen Job macht. Nur da ich wenig Erfahrung mit nicht Dell Systemen habe, dachte ich mir, ich schreib hier mal paar Zeilen dazu.
Bin etwas verwöhnt mit iDRAC, aber die anderen haben ja ähnliche Varianten.

Fragen:

1.
Macht es Sinn, den Workload auf 2 Terminalserver VMs aufzuteilen?
Ich weiß aus Erfahrung, das 20 User die im Browser und Outlook und Excel unterwegs sind, auf einem Terminalserver mit der oben genannten Hardware, sehr gut performen.
Ich weiß aber nicht, wie sich es mit 30 Usern verhält.
Lizenztechnisch nicht ganz ohne, aber das sollte ich hinbekommen.

2.
Aktuell tendiere ich zu Fujitsu, aber sollte ich evtl. einen anderen Hersteller bevorzugen?

3.
Generelle Konzeptfrage, 2 Sockel vs. 1 Sockel
Bin am überlegen, ob nicht auch eine 1-Sockel Variante interessant wäre.
Die 2 Sockel Varianten sind über die Jahre in meinem Kopf verhärtet, weil es normal um viele VMs auf mehr als einem Node ging. Diesmal ist es etwas anders.
Dann sind Intel Xeon Gold 6448Y oder AMD EPYC 9474F interessant, nur weiß ich nicht, wie Xeon mit seinen 2,6 GHz Grundtakt performt, im Vergleich zum EPYC.

Danke fürs Feedback.

 

[Skysnake]

Bei 2S muss du dir halt um NUMA awareness Gedanken machen oder halt performance liegen lassen. Bei single Socket nicht.

Was halt ist, du hast bei 2S die doppelte Speicherbandbreite und -größ. Mit den vielen Channels und min 16GB DIMMs braucht man den Platz aber öfters gar nicht.

Ich würde auf einem Bestandssystem mal die HW Counter für den Speicher anschauen was da überhaupt drüber geht. Wenn nicht viel ist go for 1S.

 

[Stock86]

Wir setzen in den letzten Jahren fast nur noch auf HPE 385 Gen10 / Gen11. HPE passt für uns preislich und lag bei den letzen paar Anfragen auch unter Fujitsu. Lenovo weiß ich gerade gar nicht. War aber glaube ich ähnlich.

Dell ist in der ersten Anschaffung meistens günstiger, aber falls man später mal aufrüsten (z.B. RAM) wirds teuer. Aber fällt bei dem Kunden ja eh raus.

AMD CPUs bieten aktuell das bessere Gesamtpaket finde ich. Auf passende Coreanzahl (Für z.B. MS Lizenzen gesehen) in Verbindung mit GHz zu einem günstigeren Preis als änliche CPUs von Intel.

Und Thema 2 Sockets. Ich würde vermutlich eher 2 CPUs mit je 32 Kernen für Stück 2.500€ nehmen als nur eine CPU mit 64 Kernen für 5.000€. Der 9474F mit 48 Kernen liegt irgendwo bei 4.000€ und z.B. der Epyc 9354 bei 2.000€. Kommt aber so ein bisschen aufs Szenario an denke ich. Bzgl. Speicherzugriff der CPUs, Scheduler, Lastenausgleich auf 2 CPUs.

 

[Mac_Leod]

Und bei der Useranzahl 30+ auf dem Terminal, muss man sich keine Sorgen machen oder?

 

[Rickmer]

Bei der Frage Fujitsu vs HPE würde ich persönlich den HPE Proliant wählen.

Das liegt daran, dass ich zwischenzeitig in Infra war und auch mal Updates gemacht habe. Mit dem bereitgestellten SPP (Service Pack Proliant) war das Updaten von Firmware und Treibern immer sehr entspannt.
Man findet den Download problemlos und die Installation ist ein Selbstläufer - einfach starten und abwarten. Allerdings sollte man immer drauf achten, eine iLO Advanced Lizenzierung direkt mit anzubieten.

Bei Fujitsu ist das mit dem updaten deutlich unübersichtlicher und nerviger.

Beim Support nehmen die sich glaube ich nicht so super viel - wobei ich keinen persönlichen Kontakt mit dem Fujitsu Support hatte. Bei HPE wars immer easy, ist jetzt aber auch ein paar Jahre her.

Und bei der Useranzahl 30+ auf dem Terminal, muss man sich keine Sorgen machen oder?

... gute Frage.
Wir verkaufen meistens Citrix bei größeren Kunden und dann werden die Worker auf 10-20 User angesetzt. Aber die Worker sind auch wesentlich einfacher in Breite zu skalieren als normale TerminalServer.

Mir fällt spontan kein Beispiel ein wo 20+ User auf einem TS arbeiten, aber ich weiß auch nicht ob das Absicht ist oder sich einfach so ergeben hat mit den vorhandenen Kunden.

 

[crashbandicot]

Mir fällt spontan kein Beispiel ein wo 20+ User auf einem TS arbeiten

In meiner alten Firma waren 40 User/TS normal. Lief alles, wobei auch keine Officeanwendungen (Outlook, Word/Excel, Teams, etc.) darauf liefen, sondern ausschließlich administrative Werkzeuge (Putty, Remote Desktop Connection Manager und Co.).