DepotServer in DMZ

[mIsixth]

Hallo Leute,

da der Advanced Agent ja eigentlich https und Zertifikate unterstützen würde, wäre ich nicht abgeneigt, einen DepotServer in die DMZ zu stellen.

Das Ganze macht natürlich nur dann Sinn, wenn ich auch wirklich alles machen kann. Softwareverteilung, Inventory und Patchen.

Gehen tut es, so wie meistens, um die Notebooks. Diese sind bis dato ja nur dann gemanaged, wenn sich diese im LAN befinden, bzw. via VPN verbunden sind. Aussderdem, wäre es so möglich, unsere Notebooks in den abgesetzten Lokationen, direkt ins Internet zu lassen. Das würde die WAN Strecke entlasten...

Zu dem Thema, gibt es viele Gerüchte. Mich würde interessieren, ob jemand von euch das umgesetzt hat.
Und natürlich, wieviel AUfwand das ganze war.

danke
markus

[Hendrik_Ambrosius]

Ich habe es mal ohne Zertifikate und https, rein auf http-Basis, umgesetzt. Der Aufwand lag bei einem Tag.

[Hendrik_Ambrosius]

P.S.: Patchen mit dem Matrix42 Patch Management wird aber nicht über http unterstützt.

[mIsixth]

Ui,Ui,

also lag ich richtig. Dann kann das ganze wohl doch nicht schon seit 4 Jahren funktionieren....

Das bedeutet, dass ich max. Softwareverteilung und Inventory hin bekomme?

Das Patchen würde ich also nur dann hin bekommen, wenn ich ein Pakete baue, in dem ich die einzelnen Patches installiere?

von hinten durch die brust ins auge...

[Hendrik_Ambrosius]

...oder Sie warten auf das neue Matrix42 PatchManagement das im nächsten Jahr kommen soll.

[mIsixth]

Hallo,

2012 wird genauso lang wie 2011 werden...
wenn ich dann noch dazu zähle wie lange das nun schon angedacht ist...

Leider ist es numal so, dass gerade das Patchen den größten Aufwand darstellt. Das muss alle 30 Tage wieder passieren.

danke
markus

[mIsixth]

...oder Sie warten auf das neue Matrix42 PatchManagement das im nächsten Jahr kommen soll.

Ich habe recht behalten.

2012 ging auch ohne PMv3 an uns vorüber...

Wie sieht das jetzt mit PMv3 aus? Meines Wissens kann ich mein Anliegen auch mit PMv3 nicht umsetzen, da das neue PM, auch nicht das Agentprotokoll für den Download der Patches verwendet...

Wir haben seit kurzem den NetScaler. Hat schon mal jemand versucht, den Agent via Certificate und Netscaler, einen vpn Tunnel auf machen zu lassen?

Das wäre doch irgendwie nicht uncool, oder?

[bboehm]

Guten Morgen,

Microsoft Direct Access implementieren und so ist dann jedes Notebook "always on",
natürlich nur, wenn es selbst eine offene/freie Verbindung in das Internet hat, sonst
muss sich der Benutzer noch mit UMTS verbinden oder z.B. ein WLAN über ein
Web-Portal freischalten.

Schöne Grüße
Bernhard

[mIsixth]

Guten Morgen,

Microsoft Direct Access implementieren und so ist dann jedes Notebook "always on",
natürlich nur, wenn es selbst eine offene/freie Verbindung in das Internet hat, sonst
muss sich der Benutzer noch mit UMTS verbinden oder z.B. ein WLAN über ein
Web-Portal freischalten.

Schöne Grüße
Bernhard

Hi,

ja das hätte ich gerne... Leider bin ich bei uns auch der einzige. man will irgendwie mit Gewalt kein Direct Access.
Security... 2 Faktor Authentifizierung... -> old school vpn...

Hab das bereits vor 1 Jahr machen wollen. Im Zuge des Win7 Rollouts. Naja, wir habens immer noch nicht...
Wir werden es jetzt win8 wohl auch nicht kriegen...
Man stelle sich vor?!? User muss sich nich 2 Mal an seinem Tablet anmelden! Geht ja garnich!!!

[Phoenix33]

Hallo,

Außerdem braucht direct Access IPv6 und wenn man den nicht hat muss man sich mit 6to4 Tunneling behelfen. Von der Sicherheit mal ganz zu schweigen, aber IPv6 ist bei uns sogar auf den Servern per Default aus weil SMB teilweise dumm ist und meint das wenn der Server ipv6 hat er auch gefälligst über IPv6 zu gehen hat. Funktioniert nur leider nicht wenn die Clients kein IPv6 haben etc etc. Also Direct Access ist mal wieder ein tolles Feature von MS was völlig an Unternehmen vorbei gedacht ist so wie 2012 mit Kachel Oberfläche (Braucht jeeeeeeeder Admin -.-).

Aber back to Topic sehe ich das richtig das man mit einem SSL Zertifikat in der DMZ einen Depotserver stellt dieser auch für Clients ohne VPN etc gilt? Wie sieht es da mit Agent Updates aus?

[mIsixth]

Hallo,
Aber back to Topic sehe ich das richtig das man mit einem SSL Zertifikat in der DMZ einen Depotserver stellt dieser auch für Clients ohne VPN etc gilt? Wie sieht es da mit Agent Updates aus?

Also das war nur so ne Idee von mir. Für unsere User wird es köünftig 2Möglichkeiten geben:

A) er geht auf unsren link(NetScaler), gibt username/password ein. Und er kommt auf unsere Citrix Farm.
Er kann sein lokales Outlook nicht verwenden, kein Drivemapping usw.
So als wäre er ein Home-Office User.

B) Er will mehr. also hat er auf der seite einen Knopf VPN. Hier muss er zusätzlich zu seinem Usernamen, den 2. Faktor machen. In unsrem Fall SMS-Passcode. Jetzt hat er einen ssl vpn tunnel. Er kann sein lokales outlook verwenden, kann die laufwerke mappen usw.

Ich dachte mir, dass ich unserem agenten user ein zertifikat austelle und den agenten Https+bits verwenden lasse.
So, jetzt müsste es doch möglich sein, dass wenn dieser user mit gültigen Zertifikat am NetScaler daher kommt, sich auf seinen Depotserver zu verbinden darf. Nur der User und nur auf den Depotserver.
Uußerdem könnte man den Weg auch für andere Dinge nutzen. Policy usw.

Das mit dem DepotServer in der DMZ... Wurde wohl bei anderen Kunden schon umgesetzt. Von M42, wollte mir aber nie wirklich jemand auskunft geben. Ist wohl etwas Bastelei... Und Patchen geht nicht!

Es geht immer um die Notebooks. Würde es mir schlicht wünschen, dass die immer ihre Updates bekommen, auch ohne VPN...

[Phoenix33]

Ah alles klar ja die Frage stellt sich für mich jetzt auch da wir viele Außendienstler haben und wir wollen von VPN weg das die nur noch mehr auf eine Webseite gehen um benötigte Programme zu starten von einem Terminalserver.

Allerdings macht dann Empirum nichts und die Rechner kriegen keine Updates gar nichts was schlecht wäre weil wenn die dann mal im Werk sind kriegen die erstmal Gigabyteweise die Pakete weil Sie monatelang nicht im Unternehmen waren da wäre eine Verteilung über eine DMZ nicht nur schick sondern super vor allem weil das Ganze bestimmt auch schneller geht als über den VPN mit allem Overhead.

Wäre mal nett ob sich jemand dazu äußern könnte der das hat / gesehen hat / oder jemanden kennt der jemanden kennt der sowas schon mal gesehen hat

[mIsixth]

Ah alles klar ja die Frage stellt sich für mich jetzt auch da wir viele Außendienstler haben und wir wollen von VPN weg das die nur noch mehr auf eine Webseite gehen um benötigte Programme zu starten von einem Terminalserver.

Allerdings macht dann Empirum nichts und die Rechner kriegen keine Updates gar nichts was schlecht wäre weil wenn die dann mal im Werk sind kriegen die erstmal Gigabyteweise die Pakete weil Sie monatelang nicht im Unternehmen waren da wäre eine Verteilung über eine DMZ nicht nur schick sondern super vor allem weil das Ganze bestimmt auch schneller geht als über den VPN mit allem Overhead.

Wäre mal nett ob sich jemand dazu äußern könnte der das hat / gesehen hat / oder jemanden kennt der jemanden kennt der sowas schon mal gesehen hat

Bin ganz bei dir. Ist ein echt spannendes Thema!
Die M42 biete Ihre Dienste ja mittlerweile auch in der Cloud an. Vielleicht geht in der Richtung etwas...

[hdroege]

Hallo,
das Cloud Offering wird aktuell nicht per automatisierter Empirum-Standardinstallation erstellt sondern über Mechanismen der Azure Cloud sowie einiger speziell angefertigter Scripts. Das ist auch "normal" für so ein Offering.

Generell kann ein Depot heute schon per Internet angebunden werden - ob per DMZ oder als exposed Host kommt auf den Kunden an. Der Agent kann http(s) und würde darüber Software installieren und Inventory ausführen. Aktuell ist dies im Projekt zu lösen.

Zukünftig wird auch das Patch Management per http(s) verfügbar sein. In dem Zusammenhang werden wir auch die Konfiguration des IIS automatisieren.
Zudem wird auch die gesicherte Depot Synchronisation Einzug in das Produkt halten.

Zweitaussagen kann ich an dieser Stelle keine geben.

Mit freundlichen Grüßen

[mIsixth]

Hallo,
das Cloud Offering wird aktuell nicht per automatisierter Empirum-Standardinstallation erstellt sondern über Mechanismen der Azure Cloud sowie einiger speziell angefertigter Scripts. Das ist auch "normal" für so ein Offering.

Generell kann ein Depot heute schon per Internet angebunden werden - ob per DMZ oder als exposed Host kommt auf den Kunden an. Der Agent kann http(s) und würde darüber Software installieren und Inventory ausführen. Aktuell ist dies im Projekt zu lösen.

Zukünftig wird auch das Patch Management per http(s) verfügbar sein. In dem Zusammenhang werden wir auch die Konfiguration des IIS automatisieren.
Zudem wird auch die gesicherte Depot Synchronisation Einzug in das Produkt halten.

Zweitaussagen kann ich an dieser Stelle keine geben.

Mit freundlichen Grüßen

Hallo,

na das ist soch mal ne Ansage! Kann ich Herrn Frank G. darauf ansprechen?
Wie lange wird es dauern,bis das Patchen via https funktioniert? Wenn PMv3 dann, bei uns auch mal funktioniert...
Wie groß ist der Projektaufwand ungefähr angesetzt?

Das wäre ein riesen Thema für mich!!!
Man stelle sich vor, der Service Catalog von extern erreichbar.
Kunde bestellt sich seine Software.
Das nicht mehr schöne, weil jetzt rote, Empirum Icon gibt laut...

perfect!!!