13
AD-Umstrukturierung + RDS-Server vs. Fat-Clients
Moin!
Vorweg: Ein "so großes" AD habe ich bisher nicht betreut, daher verzeiht den ein oder anderen Fehler.
Aktuell steht die Umstrukturierung eines AD´s einer örtlichen Schule (welche wir im EDV-Bereich unterstützen) an. Sicherlich wird es hier den ein oder anderen geben, welcher ebenfalls Schulen betreut. Es handelt sich hierbei um ca. 2700 Userkonten.
Derzeit gibt es eine flachen AD-Aufbau:
- Computer
-- Schüler
-- Lehrer
-- RDS
- Benutzer
-- Schüler
-- Lehrer
Da Lehrer die Möglichkeit haben Schülerkennwörter zu ändern haben wir vor, die Schüler Klassenweise in eigene OU´s zu packen. Im Feld "Anmerkung" in den Benutzereigenschaften ist bisher die Klasse erfasst. Gibt es hier eine einfache Möglichkeit, über Skripte etc. die User automatisch in die Entsprechende OU mit der selben Bezeichnung zu verschieben?
Des weiteren steht die Einführung von Office 365 und Teams an. Ein Teil der Schülerrechner sind ThinClients, welche sich auf einen der sechs RDS-Server aufschalten. Es sind jedoch auch 2 Räume á 30 Rechner mit Fat-Clients existent.
Gearbeitet wird aktuell unter W2012R2, und LibreOffice, sowie weitere lokale Software auf den Rechnern, Remote-Anwendungen und Portable, welche über ein Netzlaufwerk kommen.
Das "Netzwerk" soll dabei folgende Vorgaben entsprechen:
Aus diesen Gründen ist vor ein paar Jahren auf Terminal-Server gesetzt worden. Mit Hinblick auf Office 365 und auch Server 2019 habe ich jedoch etwas Bauchschmerzen mit den Lizenzkosten und der Performance.
Hier stellt sich meine zweite Frage: Wie rentabel bzw. zukunftssicher ist es, weiter auf das TS Prinzip zu setzen, oder die vorhandenen alten Rechner durch neue ersetzen und wieder lokal alles zu installieren? Es gibt ja Packetverwaltungssoftware wie z.B. Matrix42 mit denen schnell (und einfach?) weitere Software verteilt werden kann auf die Schülerrechner. Wenn ich die Kosten richtig sehe ist es für jeden PC Windows 10 Pro und für die User ein Office 365 Konto. Würde das ganze auf TS weiterlaufen fallen noch weiterhin CALs dazu, sowohl für RDS und auch Office.
Ich würde ganz gerne eure Meinung dazu hören, gerne auch mit anderen Vor- und Nachteilen gegenüber "großes" AD, RDS und Fat-Clients und Anwendungen.
Vorweg: Ein "so großes" AD habe ich bisher nicht betreut, daher verzeiht den ein oder anderen Fehler.
Aktuell steht die Umstrukturierung eines AD´s einer örtlichen Schule (welche wir im EDV-Bereich unterstützen) an. Sicherlich wird es hier den ein oder anderen geben, welcher ebenfalls Schulen betreut. Es handelt sich hierbei um ca. 2700 Userkonten.
Derzeit gibt es eine flachen AD-Aufbau:
- Computer
-- Schüler
-- Lehrer
-- RDS
- Benutzer
-- Schüler
-- Lehrer
Da Lehrer die Möglichkeit haben Schülerkennwörter zu ändern haben wir vor, die Schüler Klassenweise in eigene OU´s zu packen. Im Feld "Anmerkung" in den Benutzereigenschaften ist bisher die Klasse erfasst. Gibt es hier eine einfache Möglichkeit, über Skripte etc. die User automatisch in die Entsprechende OU mit der selben Bezeichnung zu verschieben?
Des weiteren steht die Einführung von Office 365 und Teams an. Ein Teil der Schülerrechner sind ThinClients, welche sich auf einen der sechs RDS-Server aufschalten. Es sind jedoch auch 2 Räume á 30 Rechner mit Fat-Clients existent.
Gearbeitet wird aktuell unter W2012R2, und LibreOffice, sowie weitere lokale Software auf den Rechnern, Remote-Anwendungen und Portable, welche über ein Netzlaufwerk kommen.
Das "Netzwerk" soll dabei folgende Vorgaben entsprechen:
- einfache Wartung
- einfache Anwendungsbereitstellung
- flexibel erweiterbar und skalierbar mit Arbeitsstationen
- Performant
- Gruppenräume unterstützen (=> Dies muss ich tatsächlich noch telefonisch erodieren, was genau damit gemeint ist.)
- Teilnahme an Konferenzen von jedem Gerät
Aus diesen Gründen ist vor ein paar Jahren auf Terminal-Server gesetzt worden. Mit Hinblick auf Office 365 und auch Server 2019 habe ich jedoch etwas Bauchschmerzen mit den Lizenzkosten und der Performance.
Hier stellt sich meine zweite Frage: Wie rentabel bzw. zukunftssicher ist es, weiter auf das TS Prinzip zu setzen, oder die vorhandenen alten Rechner durch neue ersetzen und wieder lokal alles zu installieren? Es gibt ja Packetverwaltungssoftware wie z.B. Matrix42 mit denen schnell (und einfach?) weitere Software verteilt werden kann auf die Schülerrechner. Wenn ich die Kosten richtig sehe ist es für jeden PC Windows 10 Pro und für die User ein Office 365 Konto. Würde das ganze auf TS weiterlaufen fallen noch weiterhin CALs dazu, sowohl für RDS und auch Office.
Ich würde ganz gerne eure Meinung dazu hören, gerne auch mit anderen Vor- und Nachteilen gegenüber "großes" AD, RDS und Fat-Clients und Anwendungen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667207
Url: https://administrator.de/contentid/667207
Ausgedruckt am: 18.11.2024 um 17:11 Uhr
13 Kommentare
Neuester Kommentar
Servus,
da empfehle ich dir mal die Seite schulnetz.info von Edi Pfisterer, der Schul-Admin mit Leib und Seele ist und viele gute Tipps zu diesem Thema geben kann. Der antwortet auch recht schnell, wenn man ihn anschreibt.
Gruß NV
da empfehle ich dir mal die Seite schulnetz.info von Edi Pfisterer, der Schul-Admin mit Leib und Seele ist und viele gute Tipps zu diesem Thema geben kann. Der antwortet auch recht schnell, wenn man ihn anschreibt.
Gruß NV
1
Des weiteren steht die Einführung von Office 365 und Teams an
In den meisten Bundesländern gar nicht möglich da bekanntlich nicht DSGVO konform und aus guten und berechtigten Gründen in den meisten Bundesländern deshalb auch nicht zulässig !https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein ...
https://www.heise.de/newsticker/meldung/Datenschuetzer-Einsatz-von-Micro ...
Moin,
Microsoft und das Bildungssystem, ich persönlich bin kein Fan dieser Konstellation.
Daher einfache Antwort.
Zentraler Authentifizierungsserver + Terminalserver: Ja
MS-AD + MS-RDS: nein
Eine Softwareverteilung muss auch gepflegt werden. Sprich Installationspakete müssen regelmäßig erstellt/angepasst/getestet werden. Zusätzlicher Aufwand. Hier kommt es auf das Wissen der zuständigen IT-Abteilung an.
Microsoft und das Bildungssystem, ich persönlich bin kein Fan dieser Konstellation.
Daher einfache Antwort.
Zentraler Authentifizierungsserver + Terminalserver: Ja
MS-AD + MS-RDS: nein
Eine Softwareverteilung muss auch gepflegt werden. Sprich Installationspakete müssen regelmäßig erstellt/angepasst/getestet werden. Zusätzlicher Aufwand. Hier kommt es auf das Wissen der zuständigen IT-Abteilung an.
Hallo
Perfomence ist bei entsprechender Hardware auch kein Problem. Habe hier ein TS Farm mit 200 Usern.
Ps.: Wir verteilen die Software auf den RDS Servern 2019 und auf weiteren ca 600 Fat Clients (Win 10) mit Matrix42.
Aus diesen Gründen ist vor ein paar Jahren auf Terminal-Server gesetzt worden. Mit Hinblick auf Office 365 und auch Server 2019 habe ich jedoch etwas Bauchschmerzen mit den Lizenzkosten und der Performance.
Da Office365 eingesetzt werden soll gibt es doch da keine Probleme. Lizenziert wird pro User.Perfomence ist bei entsprechender Hardware auch kein Problem. Habe hier ein TS Farm mit 200 Usern.
Ps.: Wir verteilen die Software auf den RDS Servern 2019 und auf weiteren ca 600 Fat Clients (Win 10) mit Matrix42.
Zitat von @aqui:
https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein ...
https://www.heise.de/newsticker/meldung/Datenschuetzer-Einsatz-von-Micro ...
Des weiteren steht die Einführung von Office 365 und Teams an
In den meisten Bundesländern gar nicht möglich da bekanntlich nicht DSGVO konform und aus guten und berechtigten Gründen in den meisten Bundesländern deshalb auch nicht zulässig !https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein ...
https://www.heise.de/newsticker/meldung/Datenschuetzer-Einsatz-von-Micro ...
Wo ist es denn bisher untersagt oder verboten? Selbst Hessen "warnt" nur davor. Verboten ist es dennoch nicht
Moin,
Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen
Gruß,
Dani
Wo ist es denn bisher untersagt oder verboten? Selbst Hessen "warnt" nur davor. Verboten ist es dennoch nicht
Verboten ist es meines Wissens nach noch in keinem Bundesland. In Bayern und BW hingegen steht die Ampel auf Rot.Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen
Gruß,
Dani
Moin,
Zum Thema:
RDS-Dealbreaker ist hier mMn der Punkt
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
lg,
Slainte
/EDIT: Dicke Finger
In Bayern und BW hingegen steht die Ampel auf Rot.
Aus eigener Erfahrung kann ich dir sagen das O365 inkl. Teams großflächig in BY in den Schulen zum Einsatz kommt.Zum Thema:
RDS-Dealbreaker ist hier mMn der Punkt
Teilnahme an Konferenzen von jedem Gerät
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
lg,
Slainte
/EDIT: Dicke Finger
Moin
Das heißt nicht, dass es korrekt ist.
Dadurch das MS allerdings sowohl die Verträge als auch das Angebot ständig anpasst, wird es meiner Meinung nach keine zuverlässige dauerhafte Meinung geben:
Beispiel:
https://www.heise.de/news/Datenschuetzer-sehen-Microsoft-365-in-Behoerde ...
Wenn sich selbst die Datenschutzbeauftragen der Länder nicht einig sind, werden wir hier als Admin auch sicher nicht die Lösung finden. Auch die Gründe, die hier hier aufgeführt werden, sind sicherlich richtig, wobei man sich dann auch die Frage stellt, wieso die DS-Beauftragten es unterschiedlich bewerten.
Vielleicht bin ich an der Stelle etwas naiv, aber das ganze wird doch für eine Schule durchgeführt. Die haben da ihren DS-Beauftragten. Leg das Konzept der Schule und dem DS-Beauftragten vor. Der muss entscheiden ob Office365 eingesetzt werden soll oder nicht. Wenn er es genehmigt, dann ist der DL meines Erachtens aus der Pflicht entbunden. Klar, wir haben eine Sorgfaltspflicht, aber wenn der Experte es genehmigt, dann wiegt in meinen Augen die Meinung des DS-Experten höher als die Meinung von uns (als DS-Leihen).
Ansonsten zu den ursprünglichen Fragen zurück:
Sorry, aber mit 2700 Anwendern hast du noch kein großes AD. Ich war mal bei einer MS Schulung zum Thema AD. Aussage des Dozenten war, dass alles unter 10 DCs, die jeweils 5K User verwalten, bei MS als mittelgroßes Unternehmen gilt. Erst ab 10 DCs mit insgesamt mehr als 50.000 Usern sprich MS von einem großen AD. Der Grund ist auch relativ einfach. Du musst nur einmal die Struktur des AD festlegen und die Regeln der Domäne definieren. Danach hast du damit im Prinzip nichts mehr zu tun, außer mal User anlegen, zuordnen und löschen. Aber das macht man (und auch du bei der Schule) dann ja nicht mehr händisch, sondern per Skript aus einer CSV-Datei.
Gruß
Doskias
Zitat von @SlainteMhath:
Moin,
Moin,
In Bayern und BW hingegen steht die Ampel auf Rot.
Aus eigener Erfahrung kann ich dir sagen das O365 inkl. Teams großflächig in BY in den Schulen zum Einsatz kommt.Das heißt nicht, dass es korrekt ist.
Dadurch das MS allerdings sowohl die Verträge als auch das Angebot ständig anpasst, wird es meiner Meinung nach keine zuverlässige dauerhafte Meinung geben:
Beispiel:
https://www.heise.de/news/Datenschuetzer-sehen-Microsoft-365-in-Behoerde ...
Wenn sich selbst die Datenschutzbeauftragen der Länder nicht einig sind, werden wir hier als Admin auch sicher nicht die Lösung finden. Auch die Gründe, die hier hier aufgeführt werden, sind sicherlich richtig, wobei man sich dann auch die Frage stellt, wieso die DS-Beauftragten es unterschiedlich bewerten.
Vielleicht bin ich an der Stelle etwas naiv, aber das ganze wird doch für eine Schule durchgeführt. Die haben da ihren DS-Beauftragten. Leg das Konzept der Schule und dem DS-Beauftragten vor. Der muss entscheiden ob Office365 eingesetzt werden soll oder nicht. Wenn er es genehmigt, dann ist der DL meines Erachtens aus der Pflicht entbunden. Klar, wir haben eine Sorgfaltspflicht, aber wenn der Experte es genehmigt, dann wiegt in meinen Augen die Meinung des DS-Experten höher als die Meinung von uns (als DS-Leihen).
Ansonsten zu den ursprünglichen Fragen zurück:
Da Lehrer die Möglichkeit haben Schülerkennwörter zu ändern haben wir vor, die Schüler Klassenweise in eigene OU´s zu packen.
Wieso haben die Lehrer diese Möglichkeit? Hier schrillen bei mir auf jeden Fall die Alarmglocken.Im Feld "Anmerkung" in den Benutzereigenschaften ist bisher die Klasse erfasst. Gibt es hier eine einfache Möglichkeit, über Skripte etc. die User automatisch in die Entsprechende OU mit der selben Bezeichnung zu verschieben?
ja gibt es. Powershell kann User im AD verschieben.Das "Netzwerk" soll dabei folgende Vorgaben entsprechen:
einfache Wartung
einfache Anwendungsbereitstellung
flexibel erweiterbar und skalierbar mit Arbeitsstationen
Performant
Gruppenräume unterstützen (=> Dies muss ich tatsächlich noch telefonisch erodieren, was genau damit gemeint ist.)
Teilnahme an Konferenzen von jedem Gerät
Mir persönlich fehlt hier der Punkt Sicherheit. Darf jeder seine Geräte ins Netzwerk einbringen? Wenn ja, viel Spass. Du hast bei dem was du schreibst sicher keine Grundschule mit 2.700 Nutzern. BYOD wird zwangsläufig dazu führen, dass euer Netzwerk voller Viren ist und die Kids versuchen eure Sicherheitseinstellungen mit allen mitteln zu umgehen.einfache Wartung
einfache Anwendungsbereitstellung
flexibel erweiterbar und skalierbar mit Arbeitsstationen
Performant
Gruppenräume unterstützen (=> Dies muss ich tatsächlich noch telefonisch erodieren, was genau damit gemeint ist.)
Teilnahme an Konferenzen von jedem Gerät
Aus diesen Gründen ist vor ein paar Jahren auf Terminal-Server gesetzt worden. Mit Hinblick auf Office 365 und auch Server 2019 habe ich jedoch etwas Bauchschmerzen mit den Lizenzkosten und der Performance.
Die sind recht einfach zu berechnen. 2700 Account multipliziert mit den monatlichen Kosten für O365 zzgl. Einmalig Server 2019,Hier stellt sich meine zweite Frage: Wie rentabel bzw. zukunftssicher ist es, weiter auf das TS Prinzip zu setzen, oder die vorhandenen alten Rechner durch neue ersetzen und wieder lokal alles zu installieren?
Hängt von der jetzt verwendeten Hardware ab und was da noch alles zu kommt. Die Frage stellt sich immer und ist immer schwer zu beantworten. Grade da wir gar nicht wissen wie die Hardware dort aussieht und was an SW noch kommen wird, kann dir keiner hier die Frage wirklich aussagekräftig beantworten. Wir persönlich nutzen keine TS in unser Firma, da jeder Client irgendwo zusätzliche Software nutzt, deren Lizensierung auf TS nur unnötig teuer wäre.Wenn ich die Kosten richtig sehe ist es für jeden PC Windows 10 Pro und für die User ein Office 365 Konto. Würde das ganze auf TS weiterlaufen fallen noch weiterhin CALs dazu, sowohl für RDS und auch Office.
Nein. Es fallen keine weiteren Office Kosten an. Auf dem TS brauchst du nur zusätzliche RDS Cals, dafür fällt ggf. die Windows 10 Lizenz weg. Stichwort Linux-RDP-Clients. Also bei lokaler Installation hast du dann Win 10 und Office als Kostenpunkt, beim TS-Server Office und RDS-Cals (bei Linux-OS).Ich würde ganz gerne eure Meinung dazu hören, gerne auch mit anderen Vor- und Nachteilen gegenüber "großes" AD, RDS und Fat-Clients und Anwendungen.
Sorry, aber mit 2700 Anwendern hast du noch kein großes AD. Ich war mal bei einer MS Schulung zum Thema AD. Aussage des Dozenten war, dass alles unter 10 DCs, die jeweils 5K User verwalten, bei MS als mittelgroßes Unternehmen gilt. Erst ab 10 DCs mit insgesamt mehr als 50.000 Usern sprich MS von einem großen AD. Der Grund ist auch relativ einfach. Du musst nur einmal die Struktur des AD festlegen und die Regeln der Domäne definieren. Danach hast du damit im Prinzip nichts mehr zu tun, außer mal User anlegen, zuordnen und löschen. Aber das macht man (und auch du bei der Schule) dann ja nicht mehr händisch, sondern per Skript aus einer CSV-Datei.
Gruß
Doskias
RDS-Dealbreaker ist hier mMn der Punkt
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
Warum? Wir haben hier keine ProblemeTeilnahme an Konferenzen von jedem Gerät
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
Warum? Wir haben hier keine Probleme
Unter "Konferenzen" würde ich jetzt Teams, Webex und Co verstehen. Das läuft bei euch über die RDS-Farm mit Durchreichung von Sound+Video zu/von den ThinClients? Ohne Zusatzsoftware (XenApp, FSLogix)? Respekt :DZitat von @SlainteMhath:
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
Warum? Wir haben hier keine Probleme
Unter "Konferenzen" würde ich jetzt Teams, Webex und Co verstehen. Das läuft bei euch über die RDS-Farm mit Durchreichung von Sound+Video zu/von den ThinClients? Ohne Zusatzsoftware (XenApp, FSLogix)? Respekt :DJa läuft es.
IGEL OS 11 Thinclients.
Server 2019 Farm mit normalen Userdisk ohne FSLogix. Die Farm läuft einem VMware Cluster mit SSD Huawei Storages
Sound + Video wird vom Thinclient via RDP durchgereicht. Genutzt wird ausschließlich MS Teams. Kein Cisco Webex.
@SlainteMhath:
Kommt auf die eingesetzten Betriebssystemversionen an. Der Original-RDP-Client unter Windows 10 von Microsoft kann Video- und Audiohardware (z. B. Dokumentenkameras) mittlerweile gut, einfach und sicher durschleifen, wenn der Ziel-Terminalserver mindestens W2K19 ist. Bis einschl. W2K16 ging das gar nicht oder nur mit riesigem Aufwand und proprietärer Software von Drittanbietern.
In der Konstellation Windows 10 Embedded (als OS für die ThinClients) und W2K19 (als OS für den RDS-/Terminalserver) sehe ich da keine Probleme. Ältere Windows-Embedded-Betriebssysteme für Thin Clients (z. B. XP Embedded oder 7 Embedded) mangelt es allerdings am passenden RDP-Client, der sich auch nicht bis hoch zur aktuellsten Version nachinstallieren läßt. Und, wie gesagt, der Terminalserver müßte mind. Windows 2019 sein.
Viele Grüße
von
departure69
Zum Thema:
RDS-Dealbreaker ist hier mMn der Punkt
Teilnahme an Konferenzen von jedem Gerät
Teilnahme an Konferenzen von jedem Gerät
Das ist mit RDS und ThinClients nur mit erheblichen Mehraufwand, und dann auch eher schlecht als recht, abzubilden.
Kommt auf die eingesetzten Betriebssystemversionen an. Der Original-RDP-Client unter Windows 10 von Microsoft kann Video- und Audiohardware (z. B. Dokumentenkameras) mittlerweile gut, einfach und sicher durschleifen, wenn der Ziel-Terminalserver mindestens W2K19 ist. Bis einschl. W2K16 ging das gar nicht oder nur mit riesigem Aufwand und proprietärer Software von Drittanbietern.
In der Konstellation Windows 10 Embedded (als OS für die ThinClients) und W2K19 (als OS für den RDS-/Terminalserver) sehe ich da keine Probleme. Ältere Windows-Embedded-Betriebssysteme für Thin Clients (z. B. XP Embedded oder 7 Embedded) mangelt es allerdings am passenden RDP-Client, der sich auch nicht bis hoch zur aktuellsten Version nachinstallieren läßt. Und, wie gesagt, der Terminalserver müßte mind. Windows 2019 sein.
Viele Grüße
von
departure69
Zitat von @SlainteMhath:
Unter "Konferenzen" würde ich jetzt Teams, Webex und Co verstehen. Das läuft bei euch über die RDS-Farm mit Durchreichung von Sound+Video zu/von den ThinClients? Ohne Zusatzsoftware (XenApp, FSLogix)? Respekt :D
Unter "Konferenzen" würde ich jetzt Teams, Webex und Co verstehen. Das läuft bei euch über die RDS-Farm mit Durchreichung von Sound+Video zu/von den ThinClients? Ohne Zusatzsoftware (XenApp, FSLogix)? Respekt :D
FSLogix kann man doch üblicherweise ohne Zusatzkosten benutzen.
/Thomas
