DepotServer in DMZ
Moderators: MVogt, moderators
DepotServer in DMZ
Hallo Leute,
da der Advanced Agent ja eigentlich https und Zertifikate unterstützen würde, wäre ich nicht abgeneigt, einen DepotServer in die DMZ zu stellen.
Das Ganze macht natürlich nur dann Sinn, wenn ich auch wirklich alles machen kann. Softwareverteilung, Inventory und Patchen.
Gehen tut es, so wie meistens, um die Notebooks. Diese sind bis dato ja nur dann gemanaged, wenn sich diese im LAN befinden, bzw. via VPN verbunden sind. Aussderdem, wäre es so möglich, unsere Notebooks in den abgesetzten Lokationen, direkt ins Internet zu lassen. Das würde die WAN Strecke entlasten...
Zu dem Thema, gibt es viele Gerüchte. Mich würde interessieren, ob jemand von euch das umgesetzt hat.
Und natürlich, wieviel AUfwand das ganze war.
danke
markus
da der Advanced Agent ja eigentlich https und Zertifikate unterstützen würde, wäre ich nicht abgeneigt, einen DepotServer in die DMZ zu stellen.
Das Ganze macht natürlich nur dann Sinn, wenn ich auch wirklich alles machen kann. Softwareverteilung, Inventory und Patchen.
Gehen tut es, so wie meistens, um die Notebooks. Diese sind bis dato ja nur dann gemanaged, wenn sich diese im LAN befinden, bzw. via VPN verbunden sind. Aussderdem, wäre es so möglich, unsere Notebooks in den abgesetzten Lokationen, direkt ins Internet zu lassen. Das würde die WAN Strecke entlasten...
Zu dem Thema, gibt es viele Gerüchte. Mich würde interessieren, ob jemand von euch das umgesetzt hat.
Und natürlich, wieviel AUfwand das ganze war.
danke
markus
-
- Moderator
- Posts: 7966
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Re: DepotServer in DMZ
Ich habe es mal ohne Zertifikate und https, rein auf http-Basis, umgesetzt. Der Aufwand lag bei einem Tag.
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
-
- Moderator
- Posts: 7966
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Re: DepotServer in DMZ
P.S.: Patchen mit dem Matrix42 Patch Management wird aber nicht über http unterstützt.
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Re: DepotServer in DMZ
Ui,Ui,
also lag ich richtig. Dann kann das ganze wohl doch nicht schon seit 4 Jahren funktionieren....
Das bedeutet, dass ich max. Softwareverteilung und Inventory hin bekomme?
Das Patchen würde ich also nur dann hin bekommen, wenn ich ein Pakete baue, in dem ich die einzelnen Patches installiere?
von hinten durch die brust ins auge...
also lag ich richtig. Dann kann das ganze wohl doch nicht schon seit 4 Jahren funktionieren....
Das bedeutet, dass ich max. Softwareverteilung und Inventory hin bekomme?
Das Patchen würde ich also nur dann hin bekommen, wenn ich ein Pakete baue, in dem ich die einzelnen Patches installiere?
von hinten durch die brust ins auge...
-
- Moderator
- Posts: 7966
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Re: DepotServer in DMZ
...oder Sie warten auf das neue Matrix42 PatchManagement das im nächsten Jahr kommen soll.
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Re: DepotServer in DMZ
Hallo,
2012 wird genauso lang wie 2011 werden...
wenn ich dann noch dazu zähle wie lange das nun schon angedacht ist...
Leider ist es numal so, dass gerade das Patchen den größten Aufwand darstellt. Das muss alle 30 Tage wieder passieren.
danke
markus
2012 wird genauso lang wie 2011 werden...
wenn ich dann noch dazu zähle wie lange das nun schon angedacht ist...
Leider ist es numal so, dass gerade das Patchen den größten Aufwand darstellt. Das muss alle 30 Tage wieder passieren.
danke
markus
Re: DepotServer in DMZ
Ich habe recht behalten.Hendrik_Ambrosius wrote:...oder Sie warten auf das neue Matrix42 PatchManagement das im nächsten Jahr kommen soll.
2012 ging auch ohne PMv3 an uns vorüber...
Wie sieht das jetzt mit PMv3 aus? Meines Wissens kann ich mein Anliegen auch mit PMv3 nicht umsetzen, da das neue PM, auch nicht das Agentprotokoll für den Download der Patches verwendet...
Wir haben seit kurzem den NetScaler. Hat schon mal jemand versucht, den Agent via Certificate und Netscaler, einen vpn Tunnel auf machen zu lassen?
Das wäre doch irgendwie nicht uncool, oder?
Re: DepotServer in DMZ
Guten Morgen,
Microsoft Direct Access implementieren und so ist dann jedes Notebook "always on",
natürlich nur, wenn es selbst eine offene/freie Verbindung in das Internet hat, sonst
muss sich der Benutzer noch mit UMTS verbinden oder z.B. ein WLAN über ein
Web-Portal freischalten.
Schöne Grüße
Bernhard
Microsoft Direct Access implementieren und so ist dann jedes Notebook "always on",
natürlich nur, wenn es selbst eine offene/freie Verbindung in das Internet hat, sonst
muss sich der Benutzer noch mit UMTS verbinden oder z.B. ein WLAN über ein
Web-Portal freischalten.
Schöne Grüße
Bernhard
IT-Administrator mit Migrationshintergrund bei Fraunhofer-Gesellschaft
Produktionssystem: W2k22, Empirum 23.0.1, MS SQL 2017 Enterprise
Testsystem: W2k19, Empirum 23.0.1, MS SQL 2017 Express
Produktionssystem: W2k22, Empirum 23.0.1, MS SQL 2017 Enterprise
Testsystem: W2k19, Empirum 23.0.1, MS SQL 2017 Express
Re: DepotServer in DMZ
Hi,bboehm wrote:Guten Morgen,
Microsoft Direct Access implementieren und so ist dann jedes Notebook "always on",
natürlich nur, wenn es selbst eine offene/freie Verbindung in das Internet hat, sonst
muss sich der Benutzer noch mit UMTS verbinden oder z.B. ein WLAN über ein
Web-Portal freischalten.
Schöne Grüße
Bernhard
ja das hätte ich gerne... Leider bin ich bei uns auch der einzige. man will irgendwie mit Gewalt kein Direct Access.
Security... 2 Faktor Authentifizierung... -> old school vpn...
Hab das bereits vor 1 Jahr machen wollen. Im Zuge des Win7 Rollouts. Naja, wir habens immer noch nicht...
Wir werden es jetzt win8 wohl auch nicht kriegen...
Man stelle sich vor?!? User muss sich nich 2 Mal an seinem Tablet anmelden! Geht ja garnich!!!
Re: DepotServer in DMZ
Hallo,
Außerdem braucht direct Access IPv6 und wenn man den nicht hat muss man sich mit 6to4 Tunneling behelfen. Von der Sicherheit mal ganz zu schweigen, aber IPv6 ist bei uns sogar auf den Servern per Default aus weil SMB teilweise dumm ist und meint das wenn der Server ipv6 hat er auch gefälligst über IPv6 zu gehen hat. Funktioniert nur leider nicht wenn die Clients kein IPv6 haben etc etc. Also Direct Access ist mal wieder ein tolles Feature von MS was völlig an Unternehmen vorbei gedacht ist so wie 2012 mit Kachel Oberfläche (Braucht jeeeeeeeder Admin -.-).
Aber back to Topic sehe ich das richtig das man mit einem SSL Zertifikat in der DMZ einen Depotserver stellt dieser auch für Clients ohne VPN etc gilt? Wie sieht es da mit Agent Updates aus?
Außerdem braucht direct Access IPv6 und wenn man den nicht hat muss man sich mit 6to4 Tunneling behelfen. Von der Sicherheit mal ganz zu schweigen, aber IPv6 ist bei uns sogar auf den Servern per Default aus weil SMB teilweise dumm ist und meint das wenn der Server ipv6 hat er auch gefälligst über IPv6 zu gehen hat. Funktioniert nur leider nicht wenn die Clients kein IPv6 haben etc etc. Also Direct Access ist mal wieder ein tolles Feature von MS was völlig an Unternehmen vorbei gedacht ist so wie 2012 mit Kachel Oberfläche (Braucht jeeeeeeeder Admin -.-).
Aber back to Topic sehe ich das richtig das man mit einem SSL Zertifikat in der DMZ einen Depotserver stellt dieser auch für Clients ohne VPN etc gilt? Wie sieht es da mit Agent Updates aus?
Re: DepotServer in DMZ
Phoenix33 wrote:Hallo,
Aber back to Topic sehe ich das richtig das man mit einem SSL Zertifikat in der DMZ einen Depotserver stellt dieser auch für Clients ohne VPN etc gilt? Wie sieht es da mit Agent Updates aus?
Also das war nur so ne Idee von mir. Für unsere User wird es köünftig 2Möglichkeiten geben:
A) er geht auf unsren link(NetScaler), gibt username/password ein. Und er kommt auf unsere Citrix Farm.
Er kann sein lokales Outlook nicht verwenden, kein Drivemapping usw.
So als wäre er ein Home-Office User.
B) Er will mehr. also hat er auf der seite einen Knopf VPN. Hier muss er zusätzlich zu seinem Usernamen, den 2. Faktor machen. In unsrem Fall SMS-Passcode. Jetzt hat er einen ssl vpn tunnel. Er kann sein lokales outlook verwenden, kann die laufwerke mappen usw.
Ich dachte mir, dass ich unserem agenten user ein zertifikat austelle und den agenten Https+bits verwenden lasse.
So, jetzt müsste es doch möglich sein, dass wenn dieser user mit gültigen Zertifikat am NetScaler daher kommt, sich auf seinen Depotserver zu verbinden darf. Nur der User und nur auf den Depotserver.
Uußerdem könnte man den Weg auch für andere Dinge nutzen. Policy usw.
Das mit dem DepotServer in der DMZ... Wurde wohl bei anderen Kunden schon umgesetzt. Von M42, wollte mir aber nie wirklich jemand auskunft geben. Ist wohl etwas Bastelei... Und Patchen geht nicht!
Es geht immer um die Notebooks. Würde es mir schlicht wünschen, dass die immer ihre Updates bekommen, auch ohne VPN...
Re: DepotServer in DMZ
Ah alles klar ja die Frage stellt sich für mich jetzt auch da wir viele Außendienstler haben und wir wollen von VPN weg das die nur noch mehr auf eine Webseite gehen um benötigte Programme zu starten von einem Terminalserver.
Allerdings macht dann Empirum nichts und die Rechner kriegen keine Updates gar nichts was schlecht wäre weil wenn die dann mal im Werk sind kriegen die erstmal Gigabyteweise die Pakete weil Sie monatelang nicht im Unternehmen waren da wäre eine Verteilung über eine DMZ nicht nur schick sondern super vor allem weil das Ganze bestimmt auch schneller geht als über den VPN mit allem Overhead.
Wäre mal nett ob sich jemand dazu äußern könnte der das hat / gesehen hat / oder jemanden kennt der jemanden kennt der sowas schon mal gesehen hat
Allerdings macht dann Empirum nichts und die Rechner kriegen keine Updates gar nichts was schlecht wäre weil wenn die dann mal im Werk sind kriegen die erstmal Gigabyteweise die Pakete weil Sie monatelang nicht im Unternehmen waren da wäre eine Verteilung über eine DMZ nicht nur schick sondern super vor allem weil das Ganze bestimmt auch schneller geht als über den VPN mit allem Overhead.
Wäre mal nett ob sich jemand dazu äußern könnte der das hat / gesehen hat / oder jemanden kennt der jemanden kennt der sowas schon mal gesehen hat
Re: DepotServer in DMZ
Phoenix33 wrote:Ah alles klar ja die Frage stellt sich für mich jetzt auch da wir viele Außendienstler haben und wir wollen von VPN weg das die nur noch mehr auf eine Webseite gehen um benötigte Programme zu starten von einem Terminalserver.
Allerdings macht dann Empirum nichts und die Rechner kriegen keine Updates gar nichts was schlecht wäre weil wenn die dann mal im Werk sind kriegen die erstmal Gigabyteweise die Pakete weil Sie monatelang nicht im Unternehmen waren da wäre eine Verteilung über eine DMZ nicht nur schick sondern super vor allem weil das Ganze bestimmt auch schneller geht als über den VPN mit allem Overhead.
Wäre mal nett ob sich jemand dazu äußern könnte der das hat / gesehen hat / oder jemanden kennt der jemanden kennt der sowas schon mal gesehen hat
Bin ganz bei dir. Ist ein echt spannendes Thema!
Die M42 biete Ihre Dienste ja mittlerweile auch in der Cloud an. Vielleicht geht in der Richtung etwas...
Re: DepotServer in DMZ
Hallo,
das Cloud Offering wird aktuell nicht per automatisierter Empirum-Standardinstallation erstellt sondern über Mechanismen der Azure Cloud sowie einiger speziell angefertigter Scripts. Das ist auch "normal" für so ein Offering.
Generell kann ein Depot heute schon per Internet angebunden werden - ob per DMZ oder als exposed Host kommt auf den Kunden an. Der Agent kann http(s) und würde darüber Software installieren und Inventory ausführen. Aktuell ist dies im Projekt zu lösen.
Zukünftig wird auch das Patch Management per http(s) verfügbar sein. In dem Zusammenhang werden wir auch die Konfiguration des IIS automatisieren.
Zudem wird auch die gesicherte Depot Synchronisation Einzug in das Produkt halten.
Zweitaussagen kann ich an dieser Stelle keine geben.
Mit freundlichen Grüßen
das Cloud Offering wird aktuell nicht per automatisierter Empirum-Standardinstallation erstellt sondern über Mechanismen der Azure Cloud sowie einiger speziell angefertigter Scripts. Das ist auch "normal" für so ein Offering.
Generell kann ein Depot heute schon per Internet angebunden werden - ob per DMZ oder als exposed Host kommt auf den Kunden an. Der Agent kann http(s) und würde darüber Software installieren und Inventory ausführen. Aktuell ist dies im Projekt zu lösen.
Zukünftig wird auch das Patch Management per http(s) verfügbar sein. In dem Zusammenhang werden wir auch die Konfiguration des IIS automatisieren.
Zudem wird auch die gesicherte Depot Synchronisation Einzug in das Produkt halten.
Zweitaussagen kann ich an dieser Stelle keine geben.
Mit freundlichen Grüßen
Horst Droege
Chief Product Architect
Matrix42 AG
Elbinger Strasse 7
60487 Frankfurt
http://www.matrix42.com/de
Twitter: @i_horst
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.
Chief Product Architect
Matrix42 AG
Elbinger Strasse 7
60487 Frankfurt
http://www.matrix42.com/de
Twitter: @i_horst
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.
Re: DepotServer in DMZ
hdroege wrote:Hallo,
das Cloud Offering wird aktuell nicht per automatisierter Empirum-Standardinstallation erstellt sondern über Mechanismen der Azure Cloud sowie einiger speziell angefertigter Scripts. Das ist auch "normal" für so ein Offering.
Generell kann ein Depot heute schon per Internet angebunden werden - ob per DMZ oder als exposed Host kommt auf den Kunden an. Der Agent kann http(s) und würde darüber Software installieren und Inventory ausführen. Aktuell ist dies im Projekt zu lösen.
Zukünftig wird auch das Patch Management per http(s) verfügbar sein. In dem Zusammenhang werden wir auch die Konfiguration des IIS automatisieren.
Zudem wird auch die gesicherte Depot Synchronisation Einzug in das Produkt halten.
Zweitaussagen kann ich an dieser Stelle keine geben.
Mit freundlichen Grüßen
Hallo,
na das ist soch mal ne Ansage! Kann ich Herrn Frank G. darauf ansprechen?
Wie lange wird es dauern,bis das Patchen via https funktioniert? Wenn PMv3 dann, bei uns auch mal funktioniert...
Wie groß ist der Projektaufwand ungefähr angesetzt?
Das wäre ein riesen Thema für mich!!!
Man stelle sich vor, der Service Catalog von extern erreichbar.
Kunde bestellt sich seine Software.
Das nicht mehr schöne, weil jetzt rote, Empirum Icon gibt laut...
perfect!!!
Who is online
Users browsing this forum: No registered users and 15 guests