spritbarometer.at - Hier finden Sie die günstigste Tankstelle
Bereits 10763 Beiträge!


Neue Beiträge
Routerkonfiguration per T...
17.04.2014 - IT-Kraut
Analog vs. Digital
16.04.2014 - Karin
IT-geeignete Büror&a...
16.04.2014 - Amis
Dämonen Controller
14.04.2014 - shaolin
diese gemeine PDF ...
14.04.2014 - Karin
Zeitreise dank Abwesenhei...
14.04.2014 - Der Reisende
Am falschen Ende gespart ...
12.04.2014 - Dachschaden
Jaja, da steht zwar Garan...
11.04.2014 - Dachschaden
Wie man den Job NICHT bek...
10.04.2014 - Dr4ch3
OT: Radarkontrollen-Dau
10.04.2014 - ramboraser

Neue Kommentare
Routerkonfigurati... - oldBoy
diese gemeine PDF... - Dauerkenne...
IT-geeignete B&uu... - Marker
diese Hitze - kleiner Wo...
Analog vs. Digita... - hugo
Wanderschuhe - Fassungslo...
Verwählt? - Johannes.d...
Zeitreise dank Ab... - Kursleiter
Vom Regen in die ... - James May
Das letzte Tröpfc... - Slowpoke

Consult the Consultant

Beitrag von codiac ® (Profil des Users), am 28.08.2012
Durchschnittliches Voting: 3.222


Nicht lang ist es her, da bahnte sich meine Karriere durch ein Beratungsunternehmen für IT-Sicherheit. Der Geschäftsführer (GF) war ein hochintellektueller BSI-Grundschutz-Fan, der - man glaube es kaum - in IT-Sicherheit berät.
Seine interne IT bestand aus einem IT-Leiter, dem durchgängig eine Hand voll Azubis unterstellt waren. Neben Autowaschen, Wände streichen und Telefondienst waren sie auch für die Abwicklung aller möglicher interner IT-Leistungsprozesse zuständig, die alle feinsäuberlich in einem riesigen Word-Dokument namens EDV-Handbuch [sic!] dokumentiert waren.

Meine leidige Aufgabe war es nun, diese Prozesse nach Best-Practise auszurichten, diese mussten aber mehr als konform zum BSI-Grundschutz und billig sein. Fangen wir also an.

######################
# LEISTUNGSPROZESS 1
--------------------------------------
# User Configuration
######################
Problemstellung:
Ein Benutzer darf sich nicht selbst sein Profil (E-Mail, Proxy, Netzlaufwerke, etc.) einrichten, vielleicht kann er das auch nicht. Außerdem wäre er viel zu teuer, sodass man das schön die Azubis machen lässt.
Ursprungszustand:
Ein neuer Benutzer wird im Vorfeld komplett durchkonfiguriert und dann vom jeweiligen Anwender abgenommen.
interne Verbesserung:
1. Servergespeicherte Profile.
2. Alle Einstellungen wurden dokumentiert, damit man auch ja nichts vergisst.
empfohlene Lösung:
Gruppenrichtlinien. Einfach, transparent, klick-bunti zu handhaben, man muss eigentlich nur wissen, dass es die gibt.
Ist-Zustand:
Das Unternehmen ist gut durchgemanaged, alle Einstellungen sind von GF abgesegnet (freigegeben und genehmigt); nur noch der Firefox muss manuell konfiguriert werden.

######################
# LEISTUNGSPROZESS 2
--------------------------------------
# Serverwartung
######################
Problemstellung:
Manchmal muss man an einem Server Hand anlegen. Zum Beispiel, wenn er mal kaputt ist, oder ... man eine Richtlinie bearbeiten möchte. Oder so ...
Ursprungszustand:
Der IT-Leiter hat als einziger neben dem GF einen Schlüssel zum Kabuff aka Serverraum, das in dem Wohnhaus direkt über einem Badezimmer liegt. Jetzt kann er sich mithilfe von KVM-Switch, Maus, Tastatur und und Röntgenröhre an den Servern zuschaffen machen. Er muss aber aufpassen, dass er nicht in die Wassersammelschale der Klimaanlage tritt oder über den Uralt-Feuerlöscher stolpert, auf dessen Prüfsiegel man noch grob ein Hakenkreuz erkennen kann.
interne Verbesserung:
Der Feuerlöscher wurde in den Keller gestellt, bis er ins Museum für Industriegeschichte darf.
empfohlene Lösung:
Remote Desktop Protocol. Weg von der Turnschuhadministration, hin zur verschlüsselten Fernwartung. So kann man auch trennen, wer in den Serverraum darf und wer an dem Server arbeiten darf.
Ist-Zustand:
Nach vielen Vorbehalten, weil ja mal der Bundeschiffrierdienst (heute; Bundesamt für Sicherheit in der Informationstechnik, BSI) etwas gegen VNC hatte, konnte die Fernwartung durchgesetzt werden. Dazu musste leider erst mittels Spoofing gezeigt werden, dass das Kauderwelsch, das eine RDP-Verbindung erzeugt für GF keinen Sinn ergibt.

######################
# LEISTUNGSPROZESS 3
--------------------------------------
# Desktop Deployment
######################
Problemstellung:
Es gibt so Kollegen, die schaffen es regelmäßig, ihren Desktoprechner unbrauchbar zu machen - zum Beispiel, indem ein Duron 800 den Adobe Reader 10 nicht mehr so ganz stemmt. Da hilft nix: neukaufen und abschreiben. Denkste! Neuinstallieren!
Ursprungszustand:
Analog zu User-Configuration wurde dann alles schön manuell installiert. Auffällig war, dass manche Kisten trotz uralter Installationen immernoch sehr fit waren. Na ja, Office 97 und FireFox 1.5 sei dank!
interne Verbesserung:
Es wurde man mit Acronis oder einer anderen Home-Edition-Imaging-Software herumexperimentiert. Schließlich spart man sich ja auch so Aktivierungen von Software und Betriebssystem, nicht? Leider hat das auch ein paar Probleme verursacht, die sich keiner erklären konnte - außer demjenigen, der wusste, was eine Security Identifier ist.
empfohlene Lösung:
1) Neuanschaffungen
2) Windows Deployment, Softwareverteilung per GPO, übriger Aufwand ca. 1 Stunde
Ist-Zustand:
Es wurden ein paar Computer neu angeschafft. Natürlich wurde erstmal wieder mit Imaging-Programmen herumexperimentiert. Dafuq?

######################
# LEISTUNGSPROZESS 4
--------------------------------------
# Windows Updates
######################
Problemstellung:
Das BSI erklärt einem lang und breit, dass man doch bitte sicherstellen soll, dass Betriebssystemupdates zeitnah eingespielt werden sollen.
Ursprungszustand:
Der IT-Leiter macht Turnschuhadministration, vertreibt die Berater von ihren Computern, meldet sich als lokaler Admin an und lässt Windows Update durchlaufen.
interne Verbesserung:
Ein Azubi macht Turnschuhadministration, hofft, dass die Berater bald Mittag machen, meldet sich als lokaler Admin an und lässt Windows Update durchlaufen.
empfohlene Lösung:
WSUS. Ist per GPO als zuständiger Updateserver eingetragen, erlaubt Klick-Bunti-Administration, pflegeleicht, mit Reporting und so weiter ...
Ist-Zustand:
Hätte ich nicht eingetragen, dass Updates automatisch freigegeben werden, würden wahrscheinlich immernoch Updates von bis Februar 2012 verteilt.

######################
# LEISTUNGSPROZESS 5
--------------------------------------
# Passwortwechsel für
# Home Office User
######################
Problemstellung:
Organisatorisch-verbindlich vorgegeben und als einzige Gruppenrichtlinie vor meinem Auftreten konfiguriert war eine Passwortrichtlinie, die einen Passwortwechsel alle 90 Tage forderte. Bei Domain-Usern alles kein Problem; es gab da nur die Außendienstler, die mit einem besonders bösen "Ich verarsche mal Kerberos"-Trick gearbeitet haben.
Auf den Notebooks gab es einen lokalen Nutzer gleichen Namens und mit demselben Passwort wie im AD, mit er sich auch gegen die Ressourchen authentifizieren konnte. Dummerweise musste das Domänenpasswort regelmäßig geändert werden, was ohne interaktive Domänenanmeldung etwas schwierig ist.
Um sich ohne Anmeldefehler auch ohne DC zu bewegen, durften die ja kein Profil haben.
Ursprungszustand:
Die Benutzer meldeten sich beim IT-Leiter, der sie in den Serverraum führte, wo sie dann ihr Passwort ändern durften.
interne Verbesserung:
Nach Einführung von RDP durften sie ihr Passwort auch direkt am Arbeitsplatz des IT-Leiters ändern.
empfohlene Lösung:
Domänenbenutzer ohne Profil bzw. mit Profil, das aber komplett umgeleitet und offline-verfügbar ist.
Ist-Zustand:
s. "interne Verbesserung"

######################
# LEISTUNGSPROZESS 6
--------------------------------------
# Netzkonfiguration für
# Home Office User
######################
Problemstellung:
Die besagten Außendienstler, die auch im Home-Officec arbeiten, können leider IP, Gateway und DNS nicht selbst eintragen. Wozu auch, es gibt ja ... nein, gibt es nicht.
Ursprungszustand:
Aus SICHERHEITSGRÜNDEN gibt es ausschließlich statische IP-Adressen mit der gesamten anhängenden Konfigration, damit nicht ein Externer, der physisch (nein, WLAN gibt es nicht in der Firma, er muss schon mit Leiter und Stein bewaffnet sein) in das Netz kommt.
interne Verbesserung:
Für Homeoffice-User gibt es das Tool "IP Net Switch" oder so, mit dem die zwischen [böses Wort] im Home Office und einer statischen IP wechseln können.
empfohlene Lösung:
[Böses Wort, das mit dynamischer Konfiguration zu tun hat]
Ist-Zustand:
Es gibt eine kleine Böses-Wort-Range von 10 Adressen, damit beim Aufsetzen von Desktops nicht erst eine IP geraten werden muss und ein Adresskonflikt erzeugt wird.

######################
# LEISTUNGSPROZESS 7
--------------------------------------
# Backup
######################
Problemstellung:
Wie gesagt: das BSI empfiehlt ... Daten bitte regelmäßig sichern
Ursprungszustand:
Irgendeine Gammelsoftware arbeitet einmal in der Woche alle Freigaben ab, zippt sie in 4.2 GB-Häppchen und dann ab auf die DVD. Damit ist ein Azubi auch eine Woche beschäftigt. Rücksicherung dauert 1 Tag (unvollständig).
interne Verbesserung:
Irgendeine Gammelsoftware arbeitet einmal in der Woche alle Freigaben ab, zippt sie in 25 GB-Häppchen und dann ab auf die Blu-ray. Damit ist ein Azubi auch zwei Tage beschäftigt. Rücksicherung dauert 1/2 Tag (unvollständig).
empfohlene Lösung:
Bandsicherung mit BackupExec auf LTOs im Generationenprinzip (inkl. Systemstate und Agent für SQL-Datenbanken); die Wochenbänder werden mitgenommen und fertig.
Ist-Zustand:
GF hatte was gegen Bänder. Nicht nur wegen der rund 2000 Euro, die er in die Runde hätte werfen müssen, nein, er hat "damit schlechte Erfahrungen gemacht". Was kann ich denn dafür, dass ihm mal eine Datasette im Rekorder aufgespult worden ist? Mir wäre wichtiger, dass ich mein Unternehmen zügig und vollständig wieder ans Laufen bekomme.
Stattdessen wurde ein NAS mit 2 TB-Platten angeschafft, auf das bitte die Sicherungen aufnehmen soll.
Auf den Samba sollten dann die Backup-Häppchen geschoben werden - mit einer mordsmäßigen Performance.

Aus der Not wurde also eine Tugend: das NAS arbeitet als iSCSI-Target und befindet sich in einem anderen Brandabschnitt (als die DVDs, die in der Sonne braten). Der eine der Server ist zweiter DC und Fileserver, der per DFSR alle Shares auf sich selbst nochmals spiegelt. Sollte also einer der Server abrauchen, haben die noch etwas inder Hinterhand. Weiterhin missbraucht er die Windows-Serversicherung, um sich selbst auf das iSCSI-Target zu sichern. Damit können die immerhin ein paar Tage zurückgehen.

Zwischenzeitlich wurde übrigens beschlossen, regelmäßig eine der RAID1-Platten im NAS herauszurupfen und vom GF mitnehmen zu lassen. Eine andere Platte ist dann emsig damit beschäftigt, das Array wiederherzustellen. Ich bin mal gespannt, wielange das gut geht.

######################
# LEISTUNGSPROZESS 8
--------------------------------------
# Serverkonsolidierungs
######################
Problemstellung:
Viele Serverbleche, viel Strom.
Ursprungszustand:
Dieser Umstand gefiel GF mal gar nicht - zumindest, als er erfuhr, dass ein dedizierter Server mit Windows XP Home und Apache 1.3.? das Intranet hostet. Virtualisierung war zwischendrin schon Thema, wurde dann aber auch umgesetzt, als ein neues Datenbanksystem gebraucht wurde.
interne Verbesserung:
Ein Core i5 unter Windows 2003 SBS (x86) als DC in einer eigenen Domain mit eigenem Forest hostete VMware Server 2 (bekanntermaßen für Testzwecke, seit ca. 2008 nicht mehr unterstützt). Auf diesem Server liefen dann drei VMs: einmal das Datenbanksystem unter derselben 2003er-SBS-Lizenz wie der Hypervisor [*hüstel* 2003 SBS darf nicht virtualisiert werden */hüstel*], besagter Intranet-Server und eine weitere Maschine, dazu später mehr.
empfohlene Lösung:
Ein anständiger neuer Server [HARDWARE] mit echtem RAID-Controller, BBU, Xeon- oder Opteron-Prozessor, ECC-Speicher und los gehts mit ESXi.
Zu teuer! Opteron und ECC habe ich bekommen, den Rest nicht (BBU kannte der IT-Leiter wohl nicht, wozu dann Adaptec oder LSI?). Also Kommando zurück, denn VMware lässt sich von Fake-RAID nicht verarschen, zumal "LINUX" oder "UNIX", wie GF sagt, sowieso unbeliebt sind. Also her mit Hyper-V Server 2008 R2 und dadrauf dann alle VMs migriert.
Ist-Zustand:
Wie ich es verlassen habe ... glaube ich.

######################
# LEISTUNGSPROZESS 9
--------------------------------------
# Dateiindexierung
######################
Problemstellung:
Beizeiten entsinnt sich GF an einen ganz klugen Text, den er mal geschrieben hat, kann sich aber nicht entsinnen, wo er ihn abgelegt hat. Da muss etwas her, um ALLES zu durchsuchen.
Ursprungszustand:
Gerne wurde einer besagter Azubis damit beauftragt, mal nach Dateien zu suchen - mit mäßigem Erfolg, zumal er keine Zugriff auf alle Dateien hatte.
interne Verbesserung:
Der GF ist mal über Copernic Home Edition gestolpert. Tolle Sache, es legt nur gerne mal eine Index von 10 bis 15 GB an und ist damit voll zu vergessen - außerdem kostete die Profiversion > 0 €. Das auf jedem Client zu installieren? Wer ist denn so wahnsinnig? Vor allem die CPU- und Netzwerklast ist für einen Duron schon eine harte Aufgabe (die mit Latinum, verstehen den Wortwitz). Also die magische dritte VM. So eine Art Fake-Terminal-Server, auf dem XP Pro mit besagter Software alle Netzlaufwerke durchsuchte und mit einem besonderen AD-User mit Leserechten per RDP verfügbar war. Dafuq?
empfohlene Lösung:
Pro-Version? NEIN! Windows Search bei indizierten Laufwerken, auf denen Freigaben liegen.
Ist-Zustand:
Es wird nicht genutzt. Einerseits beherrscht Windows Search nicht die tollen farblichen Hervorherbungen wie Windows Search, wenn man in den Ergebnissen nochmals mit Strg+F nachbessert, andererseits ... wurde mir auch nicht so beantwortet, dass ich es verstanden hätte.

######################
# LEISTUNGSPROZESS 10
--------------------------------------
# Namensauflösung
######################
Problemstellung:
Wer will schon wie zur Kaiserzeit alle IP-Adressen auswendig kennen? Dafür hat man ja Domain Names erfunden, nicht?
Ursprungszustand:
Es Das gefiel GF mal gar nicht - zumindest, als er erfuhr, dass ein dedizierter Server mit Windows XP Home und Apache 1.3.? das Intranet hostet. Virtualisierung war zwischendrin schon Thema, wurde dann aber auch umgesetzt, als ein neues Datenbanksystem gebraucht wurde. Zwischenzeitlich kursierten Merkzettel mit den IP-Adressen der Server, damit diese angesteuert werden können.
interne Verbesserung:
Bei der Einrichtung von Computern wurde stets eine präparierte Host-Datei importiert, die alle (Stand 2005) Adressen und Domainnamen von Servern enthält. Bei Migrationen musste dann übrigens mit C-Names herumgepfuscht werden.
empfohlene Lösung:
DNS des AD benutzen und eine Weiterleitung auf das Gateway für andere Adressen außerhalb der Domain benutzen.
Ist-Zustand:
Die [Böses Wort]-Clients kennen inzwischen die DCs als DNS, und sind glücklich. Die anderen kommen übrigens nur dadurch in die Domäne dadurch, dass das Gateway eine DNS-Weiterleitung für das lokale Subnetz an die DCs hat. Dafuq?

Leute, dieser Laden war auf dem Stand späten 80er/frühen 90er (in etwa, als der GF studiert hat). Alle genannten Maßnahmen sind kein Hexenwerk und haben außer Mühe nicht viel gekostet. Bestimmte Asbach-Weisheiten wie "E-Mails nur als Text lesen" konnte ich denen nicht austreiben, aber immerhin. Ich bin mal gespannt, wie das wieder laufen sollte ...



Wie gut hat Dir dieser Beitrag gefallen:




Kommentare


Eigenen Kommentar verfassen!

(Bei beleidigenden / besonders dämlichen Kommentaren, bitte mich verständigen, damit ich sie löschen kann ... Ich kann leider nicht ALLE Kommentare lesen ... DANKE!)

armbeitsamt am 12.02.2013
@langweiligerLangweiler
Das Böse an DHCP ist doch wohl, dass es die Sicherheit total aushebelt!

Stell Dir mal vor, Du steckst Dich in ein fremdes Netzwerk und bekommst kein Lease - dann kannst Du nix machen. Wenn Dir aber ein DHCP eine IP-Adresse (und ein Subnet) zuweist, dann hast Du direkt Zugriff ... auf alles!

langweiligerLangweiler am 30.08.2012
@Goth:

Danke. Aber was ist daran "böse"?

PowerUser am 30.08.2012 (® Profil)
"zumal "LINUX" oder "UNIX", wie GF sagt, sowieso unbeliebt sind"

Damit hat der GF auch recht. Wahre Profis setzen auf die Software des sympatischen Weltmarktführes aus dem sonnigen Redmond.

"Einerseits beherrscht Windows Search nicht die tollen farblichen Hervorherbungen wie Windows Search"

Windows Search beherrscht natürlich alles das, was auch Windows Search beherrscht. Anders als Linux oder Unix beherrscht Windows aber wenigstens das Suchen nach Dateien.

Goth am 30.08.2012 (® Profil)
langweiligerLangweiler:

DHCP

langweiligerLangweiler am 30.08.2012
Da mir heute auffe Arbeit mal wieder stinklangweilig war, habe ich doch glatt mal angefangen, den Schmarrn hier zu lesen. Bin jetzt bis #6 gekommen (we want information!) und da tut sich mir folgende Frage auftun, getan, täten:
"Für Homeoffice-User gibt es das Tool "IP Net Switch" oder so, mit dem die zwischen [böses Wort] im Home Office und einer statischen IP wechseln können.
empfohlene Lösung:
[Böses Wort, das mit dynamischer Konfiguration zu tun hat]
Ist-Zustand:
Es gibt eine kleine Böses-Wort-Range von 10 Adressen, damit beim Aufsetzen von Desktops nicht erst eine IP geraten werden muss und ein Adresskonflikt erzeugt wird."

Was ist denn mit "Böses Wort" gemeint?

oidBoy am 30.08.2012
Weniger ist in der Beer Bar von Pattaya auch wirklich weniger. Für alle, die es nicht wissen: "Weniger" ist thailändisch für "mehr".

blabla am 30.08.2012
tl;dr

sorry aber nach Leistungsprozess 5 war bei mir schluss..

zu dem Zeitpunkt war die Geschichte schon deutlich länger als andere, aber von Humor keine Spur.

Weniger ist in diesem Fall mehr...

Volldaus am 30.08.2012
Wieviele gibts denn bitteschön von mir?

Ich geb dir mal die Adresse von meinem Psychotherapeuten, der hat meine Stimmen im Kopf zwar nicht weggebracht, aber sie sind jetzt sehr viel freundlicher zu mir.

Rektor am 30.08.2012
Oh, Menno! Ich will aber nicht Schule!

Firvin am 30.08.2012
Unglaublich wieviele Volldaus sich hier in den Kommentaren zu einer absolut genialen Story tummeln. Geht nach Hause spielen. Husch husch. Wird Zeit das die Schule wieder beginnt.-



*SNIP* das sind die 10 neuesten Kommentare *SNIP*

ALLE Kommentare lesen oder Eigenen Kommentar verfassen