Hallo,

ich möchte/werde in einer Firma eine neue Infrastruktur aufbauen und würde gerne die vorhandene komplett raus schmeissen.

Ich überlege momentan ein halbhohes 19" Rack aufzubauen mit einem Gigabit-Switch, drei bis vier Dual-Servern und einem Raidsystem.

Momenta stellt sich für mich die Frage, welches Betriebsystem, welchen Hardwarehersteller und in wie weit ich die komponenten redudant auslegen soll.

Als Betriebsystem werde ich einen Windows2003 Server einsetzen, womit ich die Domäne und einige Win-Applikation abhandeln möchte. Die restlichen würde ich auf Debian aufbauen.

Das System müsste folgende Aufgaben erledigen :
Datenserver
Dokumentenmanagement
Domänencontroller (für XP-Clients)
Mailserver (inkl. Verteilerlisten usw.)
Hauseigene Software (unter Windows)
S-DSL Anbindung und ggf. mit einem Webserver
Unterbrechungsfreie Stromversorgung...

Achja und eine Sandbox - mus ja sein :)

Was sehr kritisch ist, ist das Mailsystem, dort bin ich noch sehr unentschlossen. Ich überlege mir den Webserver in Haus zu holen aber ich weis noch nicht welches Mailsystem sinnvoll und gut ist.

Zu dem stellt sich für mich die Frage, wie ich das System am besten vom Internet "Abschotte" - über Hardware oder Software und wenn welche ??

Könnt Ihr mir ein paar Tipps geben auch wenn es nur nach Gefühl geht ?

Danke !!
Ciao
ExeCRabLE

also zu deiner frage mit der abschottung ich würde es wenn die nötigen rechner vorhanden sind :

so machen des is jetzt mal ne shematische zeichnung


inet mit fw (portforwarding etc)
(1. router erlaubt bestimmte Zugriffe auf DMZ wie mail weiterleiten Webseite zugreifen )
| // 1. Netz
|
DMZ
(hier befinden sich web/mail server sofern sie von ausen zugreifbar sein sollen)
|
|
2. router mit fw
(dieser erlaubt Zugriffe auf die DMZ und auf INET über den Proxie)
| //2. Netz
|
Proxie für webzugriffe wahlweise mit userauth oder ohne .. je nach sicherheitsforderung
|
|
dns (inet / lokal)
wichtig das dieser über die DMZ ins inet kann um DNS Abfrageb tätigen zu können und wichtig das er nicht in der DMZ steht da es schnell sein kann das er umfunktioniert werden kann und DNS einträge zu deinen ungunsten geändert werden könnten.
|
|
user / admins etc


zur konfiguration
Router 1 erlaubt von ausen Zugriff auf dem Webserver sprich er routet die Anfragen weiter an den Webserver (wenn benötigt) erlaubt dem Mailserver mails zu senden und zu empfangen.

Auf mail / web Server so wenig Services wie möglich offen lassen am besten ssh zugriffe nur aus dem 2. netz erlauben sprich von ips die hinter dem 2. router sind und vom 2. router kommen (wegen hijacking von packten etc)

2. Router erlaubt nur dem Proxy zugriff auf http / https (port 80 / 443) gegebenenfalls auch ftp für Downloads aber auch nur vom proxie.
Erlaubt pop3 und smtp nur auf DMZ sprich port 110 und 43 nur auf ip vom Mailserver (um die Leutz zu ärgern das sie nicht auf ihren Mailaccount daheim zugreifen können , is quatsch des mit dem ärgern ist nur zur Sicherheit das die user keine Viren von ihrem Mailaccount reinbekommen können ins interne netz.
Desweitern sshzugriffe nur von Adminpcs in die DMZ alle anderen geblockt hier mactable oder feste ips je nach einstellung dhcp / feste ips wobei mac zu bevorzugen wären.


Als systeme würde ich dir für die 2 router auf jeden Fall Debian oder eine andere Linux Distribution deiner Wahl empfehlen mit iptables.

Für den webserver ebenfalls linux mit Apache und iptables.

Für den mailserver sagste ja selber weisste noch net.

Alles weitere kann man pauschal nicht sagen ... das sind so die Standard Sachen die man so machen sollte und die sich bewährt haben.

Desweitern wäre ein sog, Honeypot in der DMZ zu empfehlen sprich ein rechner bei dem ssh etc offen ist damit du potenzielle Hacker erstma auf diesen Server zugreifen lässt und du somit auf diese reagieren kannst .. sprich bei dem nicht auf sicherheit extrem setzen sondern als "Goodie" für Hacker da lassen. Damit sie dir nicht in deinem Netz rumpfuschen und du diese gegenenenfalls bannen kannst ;)


Als ipaddressen verteilung würde ich für die DMZ 10.10.10.x nehmen und für die user 10.10.1.x und vllt für die admins 10.10.2.x am besten per dhcp bei den Usern.


Deine ganzen Infrastrukturserver die du ja haben willst kommen ins 2. Netz.
Ich würde an deiner Stelle auch einen eigenen WUS (Windows Update Server) denken.
Weil wenn du Active Direktory in deiner Domäne hast kannste somit realtiv easy auf allen Rechnern die Windowsupdates draufspielen die du haben willst / haben musst. (Weil nicht jedes Update verträgt sich mit der eingesetzen Software spreche hier aus Erfahrung).
Da du wahrscheinlich ein Mischsystem von Windows und Linuxclients hast würde sich auch ein WINS-Server sehr empfehlen diesen würde ich auf den DNS setzen.


Wegen der Redunanz ich würde auf jeden Fall neben dem PDC noch einen BPC wenn nicht sogar 2 einsetzen nur um deine Domäne sicher zu halten. Desweiteren würde ich einen Notfalldns aufsetzen auf den Domäncontrollern.

Für die Ipaufteilung wird dir dann nichts anderes übrig bleiben ein DHCP system zu nehmen damit du auf ausfälle schnell reagieren kannst.

Zu den Routern wären auch Switches die sowas können interessant ist aber alles eine Sache der vorhanden HW.


Zu der HW :

Also für die 2 Router wirste nix Grossartiges brauchen da wären "normale" Rechner mit 1 Ghz aufwärts geeignet da sie nicht wirklich was "Arbeiten" müssen.

Für DNS / WINS empfiehlt sich ab ca 50 Clients aufwärts ein Dualprozessor Rechner da vor allem die Anfragen auf DNS und WINS sehr oft kommen werden.

Für den PDC / BDC emfehle ich ebenfalls ab 50 Clients aufwärts Dualsysteme da diese doch auch sehr
rechenintensiv sind .. ist aber kein muss.

So wegen der eingesetzten NW-Hardware also für die interenen Server und Backbones (ka wie du des schalten kannst ist alles reine Theorie jetzt) sind Gigabitswitches anzuraten desweitern würde ich zu jedem Gebäudeverteiler bzw Etagenverteiler mit Gigabit von der Backbone zu kommen. Du kannst auch ein komplettes GBit Netzwerk aufbauen des liegt alles in deiner Hand und am vorhandenen Geld ;)

Hier empfiehlt es sich weiterhin eine Ersatzbackbone zu haben für den Worstcase.

An eine USV kommen auf jeden fall die Router , PDC und min ein BDC, der DNS , Web / Mailserver alles weitere je nach Wichtigkeit.

Zu dem Datenserver :

Also den Datenserver würde ich auf jeden Fall auf dem Rechner mit dem Raid einsetzen und noch einen NAS zur Sicherung des selbigen bzw Ausfallserver.

Zum Thema Backups :

Trotz allen fallenden Preisen für Brenner etc empfiehlt sich immer noch Bandlaufwerke mit Kartringen sprich mehrere Bänder in einem Fach. Hier würde ich den Datenserver zusätzlich nochmals sichern
einmal in der Woche ein Vollbackup und dann täglich inkremintell sprich nur Veränderungen speichern. Und den Datenbestand 2 Wochen halten und dann wieder überspielen.
Desweitern würde ich von jedem Server nachdem er installiert worden ist ein Ghostimage machen damit man bei Totalausfall (sprich Os kaputt oder Platte etc) schnell und einfach wieder den Server neumachen kann. Bei den Linuxkisten reicht eigentlich n Backup der Configs da du eh Debian nehmen willst wie ich des sehe und das ist innerhalb von ner Stunde droben mit allen Services die du brauchst incl. zurückspielen der Backups.



Solltest du dich durch diesen Text durchgekämpft haben und nicht total verzeifelt bist kannste dich wennst weitere Fragen dich ja im icq melden oder mir ne kurze mail schreiben dann kann man des besser ausarbeiten bzw Anpassen an deine Bedrüfnisse und Anforderungen.

mfg phoenix33

icq: 54140442
mail phoenix2(at)web.de

Edit : einige Rechtschreibfehler verbessert und Netzwerkplan etwas besser strukturiert, und einige kleinere Erweiterungen getätigt.

Guten Morgen Phoenix,

danke für die ausführliche Beschreibung :cool:

Ich werde mir jetzt erst einmal nen Kaffee holen und den Text noch das ein oder ander mal studieren. Im ganzen hätte ich, von der groben Logik her, das System ähnlich auf gebaut. Du hast mir aber ne menge zum Nachdenken mitgegeben... das wars dann mit dem WE ;)

Ich melde mich später nochmal !

Ciao
ExeCRabLE

Mit dem AUfbau von Infrastrukturen kenne ich mich aus.

Ich schlage dir folgende Lösung vor:

- 42 U Rack oder 36 U Rack von HP (HP 10642 oder HP 10636)
- HP ProCurve 2824 mit redundantem Netzteil
- WatchGuard Firebox X 700 als Firewall
- 3x HP ProLiant DL 380 G4, Dual Xeon 3,4 GHz, 2GB RAM, 4x 72GB als RAID 1/0
- evtl. 1x HP ProLiant DL 360 G4, Dual Xeon 3,4 GHz, 2GB RAM, 2x 72GB als RAID 1
- MSA20 JBOD mit 6x 250GB SATA Platten
- externes HP LTO3 Laufwerk
- 1x SmartArray 6402 mit 256MB Cache für die MSA20 und für das LTO (bitte
- 1x Windows Server 2003 Standard mit entsprechend vielen CALs
- HP DataProtector 5.50 StarterPatck Single Drive LTU for Windows und drei bzw. vier Online-Extensions für die Server
- APC SmartUps 3000VA Rackmount
- entsprechender Support für die Komponenten (entweder 13x5 Next business day oder 24x7 4 Stunden vor Ort)

Alles ist aus einem Guss, ordentlich abgesichert (Firewall, USV, Backup, Support) und erfüllt genau die Anforderungen. Ein DL 380 als W2K3 Domain-Controller, zwei DL 380 mit Debian für Linux-Anwendungen, der DL 360 mit Debian und Qmail oder Postfix als Mail-Relay (evtl. mit POP3 für die Clients oder Weiterleitung an einem der DL 380 auf dem ein IMAP Server oder gar SUSE OpenExchange läuft). Ein weiterer DL 360 könnte in die DMZ als Webserver.

Hallo,
ich möchte/werde in einer Firma eine neue Infrastruktur aufbauen und würde gerne die vorhandene komplett raus schmeissen.
Mailserver (inkl. Verteilerlisten usw.)
Was sehr kritisch ist, ist das Mailsystem, dort bin ich noch sehr unentschlossen. Ich überlege mir den Webserver in Haus zu holen aber ich weis noch nicht welches Mailsystem sinnvoll und gut ist.
Danke !!
Ciao
ExeCRabLE

Ich sehe bei vielen, ja eigentlich den allermeisten Firmen, dass die Verkabelung viel zu knapp bemessen wurde. Ich würde heute unbedingt eine Doppeldose je _DIN_-Arbeitsplatz einsetzen. Ich glaube, es gibt eine Norm nach der ein Büroarbeitsplatz 8qm groß sein muss. Einfach die vorhandenen qm durch acht teilen und die Doppeldosen entsprechend verteilen.
Was meinst Du mit Mailserver? Exchange zum Beispiel würde ich eigentlich nicht mehr zu den Mailservern zählen, oder ist Emacs für Dich ein Editor? Einige setzen intern einen Exchange-server ein und lassen einen anderen etwa Postfix auf Linux die ein- und ausgehenden Mails verarbeiten. Diesen internen Mail-relay würde ich durchaus mit auf das gateway packen. Wenn Du nicht gezwungen bist, Dir Exchange ans bein zu binden, könnte Cyrus/Postfix mit LDAP/PostgreSQL eine gute Basis sein. Es sollte dann nachträglich relativ schmerzfrei möglich sei, OpenXChange nachzuinstallieren.

HTH,
mamue

Ich sehe bei vielen, ja eigentlich den allermeisten Firmen, dass die Verkabelung viel zu knapp bemessen wurde. Ich würde heute unbedingt eine Doppeldose je _DIN_-Arbeitsplatz einsetzen. Ich glaube, es gibt eine Norm nach der ein Büroarbeitsplatz 8qm groß sein muss. Einfach die vorhandenen qm durch acht teilen und die Doppeldosen entsprechend verteilen.

Vor allem macht das ganze Sinn wenn man für TK und IT die gleiche Verkabelung (CAT6 mit entsprechenden Dosen) und dann pro Arbeitsplatz zwei Doppeldosen nimmt. Dann hat man auf jeden Fall genug Reserven und kann jederzeit aus einem Netzwerkanschluss einen TK-Anschluss und umgekehrt machen. Einfach am Patchfeld umpatchen.



Was meinst Du mit Mailserver? Exchange zum Beispiel würde ich eigentlich nicht mehr zu den Mailservern zählen, oder ist Emacs für Dich ein Editor? Einige setzen intern einen Exchange-server ein und lassen einen anderen etwa Postfix auf Linux die ein- und ausgehenden Mails verarbeiten. Diesen internen Mail-relay würde ich durchaus mit auf das gateway packen. Wenn Du nicht gezwungen bist, Dir Exchange ans bein zu binden, könnte Cyrus/Postfix mit LDAP/PostgreSQL eine gute Basis sein. Es sollte dann nachträglich relativ schmerzfrei möglich sei, OpenXChange nachzuinstallieren.


Exchange ist kein Mailserver, sondern ein GroupWare-System. Ein Mail-Relay macht in jedem Fall Sinn. Sofern man eine feste IP-Adresse vom ISP hat, kann man diese IP (wäre in meinem Vorschlag das externe Interface der WatchGuard) als MX-Record eintragen lassen. Die WatchGuard leitet das dann zum Mail-Relay in der DMZ weiter und das Relay an den Mailserver oder Groupware Server im LAN. Der Weg zum Verschicken wäre genau umgekehrt: Mailserver oder Groupware Server im LAN an das Relay und das Relay verschickt dann an den Zielserver.

Ok ... :ugly:

Die Infrastruktur ist momentan auf dem Stand 1995. Dort wird momentan alles an die Wand gefahren und sie stehen inzwischen ständig auf irgendwelchen Blacklisten, weil sie den Mailverkehr nicht unter Kontrolle bekommen.

Die Server sind olle "Eigenbau" und das Raidsystem steht offen im Administrator Fussraum. Insgesamt ist alles in einem völlig desolaten Zustand.

Die Verkabelung ist Standard-Cat5... wie sieht es da mit 1Gbit aus ? Muss ich alle Kabel neu ziehen ? Wie die Kabelverteilung in den Büros erfolgt ist, weis ich nicht, würde ich aber noch in Erfahrung bringen.

Ich schau mir mal die HP Konfiguration von bla!zilla an. Wobei ich mich Frage, ob ich nicht ein Auge auf die 64Bit Prozessor Generation werfen sollte - der Zukunft und spielerie wegen. ;) Die Infrastruktur ist/wäre auch mit einer 32er völlig ausreichend

Ich hatte vor einem Jahr ein Auge auf die SLOX geworfen, aber damals hatte die Firma noch kein Investitionsbedarf.... Hat Debian ein OpenExchange-Paket im Angebot, oder ist da eine komplett eigene Implementierung nötig ?

Die Groupeware funktion ist schon wichtig, da muss ich mir noch etwas einfallen lassen. Der jetzige Exchange-Server würde ich von Gefühl her gerne raus schmeissen - Windows auf dem Arbeitsplatz reicht mir.

Ich muss mir jetzt erst einmal über die DMZ und dem Mailverkehr gedanken machen. Das waren bis dato nie Themen für mich. Das Mailsystem macht mir allerdings richtig Sorgen.

Ok ... :ugly:

Die Infrastruktur ist momentan auf dem Stand 1995. Dort wird momentan alles an die Wand gefahren und sie stehen inzwischen ständig auf irgendwelchen Blacklisten, weil sie den Mailverkehr nicht unter Kontrolle bekommen.

Die Server sind olle "Eigenbau" und das Raidsystem steht offen im Administrator Fussraum. Insgesamt ist alles in einem völlig desolaten Zustand.


Das freut die Banken mit Blick auf Basel II... spart sich die Bank einen Kredit den sie evtl. nie wieder sieht. Immerhin werden mit Basel II (ab 2006) auch Dinge wie IT-Riskmanagement usw. mit in die Bewertung mit einbezogen.



Die Verkabelung ist Standard-Cat5... wie sieht es da mit 1Gbit aus ? Muss ich alle Kabel neu ziehen ? Wie die Kabelverteilung in den Büros erfolgt ist, weis ich nicht, würde ich aber noch in Erfahrung bringen.


Wenn es CAT5e ist, ist Gbit-Eth kein Thema. Ich würde trotzdem alles neu ziehen mit CAT6 und dann brav zwei Doppeldosen pro Arbeitsplatz für TK und IT.



Ich schau mir mal die HP Konfiguration von bla!zilla an. Wobei ich mich Frage, ob ich nicht ein Auge auf die 64Bit Prozessor Generation werfen sollte - der Zukunft und spielerie wegen. ;) Die Infrastruktur ist/wäre auch mit einer 32er völlig ausreichend


Wenn du Itanium meinst: Skip it. Opterons wären eine Alternative. Da würde sich der DL 385 anbieten, das ist die gleiche Basis wie der DL 380, aber mit AMD Opteron CPU.

Kleine Gegenüberstellung:

HP ProLiant DL 385, Dual Opteron 2,6GHz, 1MB Cache, 2GB RAM, 2x 72GB 15.000 upm SCSI HDDs, 3 Jahre 13x5 Next business day - ca. 6900 € Listenpreis (da geht noch einiges beim Preis).

HP ProLiant DL 380 G4, Dual Xeon 3,4GHz, 1MB Cache, 2GB RAM, 2x 72GB 15.000 upm SCSI HDDs, 3 Jahre 13x5 Next business day - ca. 6500 € Listenpreis (da geht noch einiges beim Preis).

Opteron kostet geringfügig mehr, ist aber halt schon 64Bit.
[/QUOTE]



Ich hatte vor einem Jahr ein Auge auf die SLOX geworfen, aber damals hatte die Firma noch kein Investitionsbedarf.... Hat Debian ein OpenExchange-Paket im Angebot, oder ist da eine komplett eigene Implementierung nötig ?


SLOX ist halt aus einem Guss mit Support usw. Debian + OpenExchange ist halt günstiger, hat aber keinen Support. Ich würde bei sowas immer auf Software wie den SLES8/SLES9 und SLOX setzen. Vorteil für den Kunden: Investitionssicherheit, definierter Support-Rahmen mit Updates usw.



Die Groupeware funktion ist schon wichtig, da muss ich mir noch etwas einfallen lassen. Der jetzige Exchange-Server würde ich von Gefühl her gerne raus schmeissen - Windows auf dem Arbeitsplatz reicht mir.


Na ja, so schlecht ist Exchange 2003 auch nicht. Fügt sich halt sehr gut in das AD mit ein und wenn am Arbeitsplatz Office eingesetzt wird, mit Outlook, passt das sehr, sehr gut.



Ich muss mir jetzt erst einmal über die DMZ und dem Mailverkehr gedanken machen. Das waren bis dato nie Themen für mich. Das Mailsystem macht mir allerdings richtig Sorgen.

Mach es so wie ich es gesagt habe: Externe IP als MX-Record eintragen lassen, Mail-Relay mit Postfix oder Qmail (auf Relaysicherheit achten!!) in die DMZ und von da aus zum internen Mailserver weiter. In die DMZ (vom LAN aus) nur SSH und SMTP reinlassen und nur vom Mailserver aus, und aus der DMZ raus (ins LAN) nur SMTP erlauben (und auch nur zum Mailserver). Ebenso würde ich bei einem Webserver verfahren. Von Außen in die DMZ nur HTTP und HTTPs, in die DMZ vom LAN aus nur SSH, HTTP und HTTPs. Evtl. macht es Sinn von der DMZ ins LAN noch NTP zu erlauben, wegen der genauen Uhrzeit (ist für Logdateien im Falle eines Angriffes wichtig). Was auch noch Sinn machen könnte: DNS Server auf dem Mail-Relay. Dann kannst du vom W2K3 DNS eine DNS Weiterleitung auf das Relay machen und das Relay ist die einzige Maschine im gesamten Netz was externe DNS Anfragen macht. Deine Clients und alle anderen Server fragen den W2K3 Server und dieser, sofern es sich um eine externe Anfrage handelt, das Mail-Relay. Minimalismus ist das Zauberwort.

Ach und noch was komm net auf die idee so wie wir des in meiner alten arbeit gemacht haben (bzw machen mussten weil chefe gemeint hat so des brauchen wir etzt und sofort) irgentwas ohne genauste tests einzubinden in deine alte / neue infrastruktur ..

weil ich musste dann die *******e ausbauen weil des lief einwandfrisch aber die cfgs waren fürn arsch und keiner wusste so recht wie des teil gemacht worden is weil keine doku da war weil es eigentlich erstma ein rumgespiele war zum testen und quasie ein testsystem welches noch net zu 100% durch getestet war ans netz ging

mach dir ne art zeitplan und lass dir zeit sehr viel zeit beim einrichten der sachen und dokumentiere sauber weil des schlimmste was du haben kannst ist ein NW von dem du null weisst was welcher Server genau macht und wie er eingestellt worden ist. Weil sowas nachträglich machen ist ätzend und vor allem naja irgentwie Sinnfrei ..

ALs erstes würde ich mich an die Router setzen da sie quasie ein Kernbestandteil des Systems sind des weitern die Infos die Bla!zilla gegeben hat sind richtig gut ich würde sie an deiner stelle nehmen bzw vergleichbare Systeme.

Und wenn du schon ne NT4 Domäne hast dann solltest du dir überlegen die entweder zu portieren (was zu fehlern führen kann aber nicht muss) oder gleich eine neue anzulegen was dich im Endeffkt zwar mehr Zeit kosten kann aber dafür haste dann ne sauber dokumentierte Domäne.

Desweiteren überleg dir jetzt schon einen Notfallplan sprich was ist wenn es im SRV-Raum brennt oder oder im Bezug auf die Backups sehr wichtig heb die an 2 getrennten Orten auf sprich den Nas im Srv-Raum selber die Bänder irgendwo anders am besten in einem Safe oder so.

Ich schätze mal wenn du dich reinhängst und du noch 3 - 5 fähige Mitarbeiter hast kannste die ganze Sache mit testphase innerhalb von 5 -6 Monaten abschliessen.

Vor allem macht das ganze Sinn wenn man für TK und IT die gleiche Verkabelung (CAT6 mit entsprechenden Dosen) und dann pro Arbeitsplatz zwei Doppeldosen nimmt. Dann hat man auf jeden Fall genug Reserven und kann jederzeit aus einem Netzwerkanschluss einen TK-Anschluss und umgekehrt machen. Einfach am Patchfeld umpatchen.


...nix 4 Dosen und v.a. nix umpatchen: VoIP und es gibt nur noch EINE Infrastruktur. Leute, die Zeit ist reif dafür!! Moderne VoIP Telefone haben auch einen eingebauten Switch und das reduziert die Netzkosten in der Fläche enorm!

Greetz
Thomas

*möööp*

VoIP ist nett, aber aktuell noch nicht interessant genug. Vor allem läuft es zum Teil noch nicht ordentlich ohne Priorisierung usw. CISCO empfiehlt immer noch ein eigenes VLAN für die Telefone um Störungen zu vermeiden.