-wAcKy- Geschrieben 14. Dezember 2007 Geschrieben 14. Dezember 2007 Hi all, ich hab ein Anbgeot bekommen, welches mir nicht so behagt und ich gerne eure Meinung dazu haben möchte. Wir bekommen in der Firma 2 Citrix-Terminalserver, 1 Exchange-Server, 1 File/SQL-Server und einen ISA-Server(brauchen wir überhaupt einen ISA-Server? könnt Ihr mir ein paar alternativen nenen wegen Citrix?) Jetzt zum Angebot: Backup Exec 11d Windows Server + System Recovery Windows Agent und SQL-Server Agent für SQL-Server Windows Agent und Exchange Server Agent für Exchange-Server 2 x Windows Agent für TS1 und TS2 Advanced Open File Agent für Fileserver McAfee Total Protection für X User Ich stell mich jetzt einfach ganz dumm und möchte von euch gerne wissen, ob das wirklich nötig ist. PS: zur Zeit haben wir einen SBS. Sind die Backupsoftware etc. mit den Lizenzen vom SBS gekoppelt? nö, oder? :-) (ich wills von euch wissen, damit ich weiß, ob ich in die Klapse muss oder nicht *g*) Danke im Voraus! Zitieren
hades Geschrieben 14. Dezember 2007 Geschrieben 14. Dezember 2007 Der SQL-Agent von BE ist Geschmackssache. Ich brauch ihn nicht, weil ich ueber die Wartungsplaene vom SQL Server Sicherungen von DB und Transaktionslog-Dateien anlege, die ueber dateibasierte Sicherungen eingesammelt werden koennen. Und im Wiederherstellungsfall kannst Du das dann ueber die Verwaltungssoftware vom SQL Server wieder einspielen. Der Open File Agent: Muss auch nicht zwingend sein. Wuerde ich erst ohne testen und dann bei Bedarf nachkaufen. Ist ja nur ein Installationscode, der nachtraeglich eingepflegt wird, einmal die BE-Agenten neu ausrollen sowie die betreffenden Server neustarten. Exchange Agent: ja der muss sein. Ohne kannst Du auf Anhieb nur komplette Exchange DB und dann zeitaufwaendig auch manuell einzelne Postfaecher wiederherstellen. Mit dem Exchange Agent ist das deutlich einfacher. Remote Agent fuer Windows Server: ja der muss auch sein. Sonst kannst Du keinen anderen Windows Server mit BE sichern als den BE-Mediaserver selbst. Backup Exec gibt es in zwei Editionen: - Eine normale, wo die einzelnen Agenten hinzugekauft werden muessen und - Eine deutlich preiswertere SBS-Edition Die SBS-Edition enthaelt den Exchange und den SQL Agenten und kann nur auf SBS Servern installiert werden. Fuer vollwertige Windows Server kannst Du keine SB-Edition einsetzen, dort muss das Vollprodukt von BE drauf. ISA Server: Wuerde ich als Appliance mit der IAG-Erweiterung kaufen, nicht als Software-Produkt (wo es kein IAG gibt). Das IAG 2007 ermoeglicht Dir mit dem ISA SSL-VPNs. Der normale ISA als Software-Produkt kann bei VPN nur PPTP und L2TP/IPsec sowie IPsec-Tunnel. Der ISA ist -vorausgesetzt gut konfiguriert- besser als jeder handelsuebliche DSL-Router. Der ISA kann bis auf Applikation-Ebene in die Pakete reinschauen und nicht erwuenschte Befehle/Code filtern. Auch kann er in SSL-geschuetzten Traffic von extern zu Deinen internen Servern reinschauen. Er kann Exchange und andere MS-Dienste sehr gut absichern, weil er keine profane Portweiterleitung wie ein DSL-Router macht. Er kennt Protokolle bis Applikations-Ebene und kann auch einzelne Kommandos (z.B. SMTP EXPN oder SMTP VRFY) filtern. Er stellt bei Serververoeffentlichungen eigene Anmeldeseiten fuer die veroeffentlichten Dienste zur Verfuegung. Sieht im Fall von Exchange genauso wie die formularbasierte OWA-Anmeldung auf dem Exchange aus, stammt aber vom ISA selbst. D.h. im Falle eines Angriffs wird der ISA und nicht der beabsichtigte MS-Dienst angegriffen. Du kannst mit dem ISA auch Signaturen von z.B. Instant Messaging, Skype oder P2P in HTTP-Paketen erkennen. Der ISA 2004 entspricht den hochstmoeglichen common critieria (EAL4+), beim ISA 2006 ist diese Bescheinigung beim BSI in Bearbeitung. McAfee: Kenn ich nicht (mehr) so genau. Es gab mal bzw. gibt eine Edition, in der der ePO als zentrales Verwaltungsinstrument, dann McAfee VirusScan als Virenscanner fuer die Clients/Server und zusaetzlich ein Virenscanner speziell fuer Exchange DB drin war. Das waere das Passende fuer Dich. Denn Du solltest zum Einen auch die Exchange DB scannen und zum anderen die AV-Software zentral verwalten koennen. Zitieren
-wAcKy- Geschrieben 17. Dezember 2007 Autor Geschrieben 17. Dezember 2007 ebenfalls danke hades für die Info! Natürlich hab ich noch einige Fragen Brauch ich für jeden Server einen Windows-Agent? Was ist den ein Windows-Agent? Ich hab noch nichts brauchbares unter google gefunden. siehe Angebot: Windows Agent und SQL-Server Agent für SQL-Server Windows Agent und Exchange Server Agent für Exchange-Server 2 x Windows Agent für TS1 und TS2 Und nochwas, 2 x Windows Agent für TS1 und TS2 wird wahrscheinlich der Remote-Agent gemeint, oder? Da es sich ja um eine Citrix-Umgebung in Zukunft halten wird, währe da nicht der Citrix Access Gateway nicht die bessere Variante, als den IAG 2007? Aus Kostengründen wollte ich eigentlich darauf verzichten. VPN-Verbindungen sind ja mit dem ISA trotzdem möglich. Dafür muss doch nur ein VPN-Client auf die Laptops. (für die im außendienst) PS: was ist den ein Active-Server Agent? das hab ich auch angeboten bekommen. Davon hatte ich zuvor noch nichts gehört und auch googlen hatte nichts gebracht. Edit: nochmal groooßes Danke im Voraus! werd jetzt mal nach einer gescheiten Virenlösung suchen. Zitieren
hades Geschrieben 17. Dezember 2007 Geschrieben 17. Dezember 2007 Der Windows Agent ist "mein" Remote Agent fuer Windows Server. Den brauchst Du fuer jeden Windows-Server, den Du sichern willst und auf dem nicht die Backup Exec Software selbst installiert ist. In manchen Backup Exec Agenten sind bereits die Remote Agenten fuer Windows Server drin. Z.B. im Exchange Agent und SQL Agent Die Backup Exec Agenten sind Software, die das Sichern eines Servers oder bestimmte Software des Servers mit Backup Exec ueber eine Netzwerkverbindung ermoeglicht. Dieser Agent wird wie alle Backup Exec Agenten (im Normalfall) ueber die Backup Exec Software auf die einzelnen Server installiert. VPN: Ja der ISA hat VPN, aber... Er unterstuetzt als Software-Version ausschliesslich die VPN-Protokolle PPTP, L2TP/IPsec und IPsec im Tunnelmodus, die in manchen Umgebungen Probleme bereiten: Nicht alle Router beherrschen das ungefilterte Durchlassen der IPsec-Protokolle ESP bzw. AH (IPsec-Passthrough) bzw. des bei PPTP verwendeten GRE-Protokolls (PPTP-Passthrough). Manche Router sind auch in der max. Verbindungsanzahl fuer PPTP bzw. IPsec auf wenige Verbindungen (z.B. nur auf 1) beschraenkt. Bei IPsec kann zusaetzlich das haeufig anzutreffende NAT Probleme bereiten. NAT veraendert IP-Header, was IPsec gar nicht mag (siehe oben IPsec-Passthrough). Dafuer gibt es mittlerweile das sogenannte NAT-Traversal, wo ESP nicht als eigenstaendiges IP-Protokoll uebertragen, sondern in UDP eingepackt und auf einem zusaetzlichen UDP-Port uebertragen wird. NAT-Traversal wird vom ISA ab Version 2004 unterstuetzt, wenn er auf Windows Server 2003 oder hoeher installiert ist. SSL-VPN umgeht diese Probleme, indem der in vielen Umgebungen offene HTTPS-Port 443 und als Verschluesselung SSL/TLS genutzt wird. Eine SSL-VPN-Loesung ist auch das kostenlose OpenVPN. Citrix Access Gateway: Ja ist auch SSL-VPN. Vorteil hier, Du brauchst wie beim IAG 2007 keinen VPN-Client (wie z.B. bei OpenVPN) verteilen oder konfigurieren (ISA ohne IAG) oder beides (andere IPsec basierende Loesungen). Ab der Advanced Edition kannst Du hier auch festlegen wer was ueber VPN darf. Das kannst Du beim ISA auch. Nicht bei OpenVPN oder anderen IPsec basierenden Loesungen. Citrix Access Gateway uebernimmt die Funktionen des Presentation Server Security Gateway, dort brauchst Du dann keine separate Anmeldung. Ansonsten fuer Dich vielleicht nicht so interessant: Der High-Available Mode in der Enterprise Edition. Das kann das IAG 2007 nicht (der ISA ist auf Appliances meist nur als Standard Edition drauf). Wenn Du ein kostenloses VPN haben moechtest, das hohe Sicherheit bietet und fast* problemlos durch NAT und Proxy-Verbindungen durchkommt: OpenVPN. (*kann wie alles andere auch durch IDS/IPS-Systeme gefiltert werden) Wenn Du Wert auf sehr gute Integrierbarkeit in die vorhandene MS-Infrastruktur und (fuer Sicherheitstechnik) einfache Bedienung legst: ISA (als Appliance mit IAG2007) Wenn Du Wert darauf legst, eine grosse Citrix-Umgebung aufzubauen und diese auch so einfach wie moeglich per VPN anzubinden: Citrix Access Gateway Zitieren
-wAcKy- Geschrieben 17. Dezember 2007 Autor Geschrieben 17. Dezember 2007 danke für diese ausführliche Antwort! tja, da wir ein kleines Unternehmen sind, wären ein Citrix Access Gateway ein bisschen zu teuer. Der IGA wird sicherlich günstiger sein, nehm ich mal an. Nungut, dann werden wir mal sehen, welches Produkt wir nun einsetzen werden. gruß Zitieren
Mike Lorey Geschrieben 19. Dezember 2007 Geschrieben 19. Dezember 2007 tja, da wir ein kleines Unternehmen sind, wären ein Citrix Access Gateway ein bisschen zu teuer. Der IGA wird sicherlich günstiger sein, nehm ich mal an. Das interessante an dem CAG in Verbindung Advanced Access Control ist die dedizierte Rechtevergabe je nach Zugriffszenario. Durch die Endpunkt Analyse kannst Du genau festlegen was in welchen Fall passiert. Wenn Ihr so etwas benötigt, oder in nächster Zeit andenkt, ganz klar CAG. Wenn du won extern nur auf deine Citrix-Apps willst bleibt noch die kostenlose Lösung Webinterface und SecureGateway. Allerdings gibt es hier nicht die Filter wie beim CAG und das SecureGateway wird nicht weiterentwickelt. Allerdings kenn ich Eure Preise nicht für ein CAG. Bei uns war ein CAG billiger als einen Server zu kaufen, auf dem dann die WI / CSG Kombi läuft. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.