florian.rhomberg
Goto Top

Netzwerkaufbau, Erfahrungstausch

Hallo,

Ich habe folgenden Situation. Wir sind eine Schule mit cirka 800 Schülern plus 200 Lehrern und cirka 250 Computern. Bis jetzt hatten die einzelnen Abteilungen mehr oder weniger alle ein eigenes Netzwerk mit ganz gewöhnlichen Computern als Servern. Bis vor einem Jahr waren wir auch mit unserer Webseite auf einem Server von einem Provider. Nur wurde uns mit der Zeit die Festplattenkapazitäten zu klein und wir beschlossen sozusagen selbständig zu werden und haben uns einen eigenen Webserver zugelegt (HP ProLiant ML370 G3). Auf diesem läuft Linux mit Apache. Heuer im Frühjahr erhielten wir einen weiteren Server (HP ProLiant Server 370G4). Des weiteren haben wir noch von einer anderen Abteilung einen fast nie genutzen circa 2 Jahr alten Fusjitsu Siemens Server (ebenfalls mit Xeon Prozessor). Über den Sommer wollen wir die gesamte Schule in den neuen HP Server mit Windows 2003 integrieren. Der Fujitsu Siemens Server soll ab Herbst als Mailserver mit Windows 2003 und Exchange Server 2003 dienen. Des weiteren soll der FS Server als zusätzlicher Anmeldeserver dienen (erster ist der HP Server). Daten werden asusschließlich am HP gespeichert. Die Auslagerung des AD auf einen eigenen Server bzw. auf eigene Server ist geplant wird aber aus Kostengründen wohl erst nächstes Jahr möglich sein. Wir haben seitens unseres Internetprovider zwei offizielle IP Adressen bekommen, auf einer lauft der Webserver auf der zweiten soll der Mailserver laufen.

Wir möchten den Usern folgenden Möglichkeiten geben:

- Anmeldung mit Benutzername und Kennwort an jdem Computer in der Schule (eh klar!)
- Besitz einer eigenen e-mail Adresse
- Zugriff auf die Daten im eigenen Home Verzeichniss auch von daheim via FTP

Nachdem wir aber aus Sicherheitsgründen nicht wollen bzw. wegen der fehlenden IP Adressen auch nicht können, dass der Anmeldeserver vom Internet aus sichbar ist, heißt über eine eigene IP Adresse verfügt habe ich mit folgendes ausgedacht:

Der File/Anmeldeserver bekommt eine zusätzliche Netzwerkkarte in einem vom restlichen Netzwerk getrennten VLAN die ich direkt z.B.: über einen Switch mit einer Netzwerkkarte des Webservers verbinde. Dieser soll anschließend als Router fungieren und die interne IP Adresse nach aussen hin auflösen. Auf dem Webserver läuft ein Suse Firewall bei dem der Port 21 ohnehin schon freigeschalten wurde. Nach meinem Wissen sollte doch damit auser dem Port 21 kein anderer Port offen sein?, bzw. durch das seperate VLAN ein Zugriff auf das interen Netz fast unmöglich sein.

Jetzt meine Frage:
Ist dieses Idee erstens überhaupt durchführbar, zweitens eine gute Lösung, drittens gibt es da Dinge die ich zusätzlich beachten muss und viertens gibt es bessere Lösungen?

Selbstverständlich läuft auf dem Fileserver mit F-Secure Server ein Virenschutz und wir haben uns überlegt für den Mailserver die Spam Lösung ebenfalls von F-Secure einzusetzten. Hat mit dieser Spam Lösung irgendwer Erfahrung?

Ich weiß, dass das vermutlich viele Fragen auf einmal sind deswegen bin ich auch froh wenn nur Teile beantwortet werden.

Danke,
Florian

Content-ID: 13910

Url: https://administrator.de/contentid/13910

Ausgedruckt am: 27.11.2024 um 01:11 Uhr

superboh
superboh 02.08.2005 um 17:55:41 Uhr
Goto Top
Ich weiss zwar nicht, um wieviel eine Schule Microsoft-CALs günstiger bekommt, aber wenn ich das recht verstehe, geht es darum, 1000 Postfächer bereit zu stellen.
Das heisst dann bei Exchange 1000 CALs. Meines Wissens liegen die normalerweise so bei 100 Euro das Stück.

Dann noch was zur Datenmenge auf dem Exchange.- Ich denke mal es handelt sich um die Standard-Version von Exchange, nicht die Enterprise, oder? Weil die Datenbank in der Exchange die Mails verwaltet, darf bei der Standard-Version nicht grösser als 16 GB werden.

Der Exchange-Server braucht ja auch irgendwie Verbindung zum Internet, daher sollte es schon eine eigene Firewall sein und der Web-Server dann in einer DMZ stehen. Diese Firewall könnte dann Port 21 per NAT auf den File-Server weiterleiten. Allerdings sollte dieser FTP-Server dann SEHR gut gesichert sein.
Gut finde ich so eine Lösung jedenfalls nicht, weil FTP ist einfach nicht sicher genug. Besser wäre da schon eine SFTP-Lösung.
florian.rhomberg
florian.rhomberg 02.08.2005 um 18:55:52 Uhr
Goto Top
Danke für die Antwort!
Wir verfügen sowohl über die Standard wie auch Enterprise Version des Exchange Servers 2003 und zahlen für die einzelnen CAL Lizenzen überhaupt nichts.
Sowohl der Webserver wie auch der Mailserver verfügen über eine direkte Leitung ins Internet. Es geht also mit vorallem um eine sichere Variante wie ich den File Server vom Internet aus erreichen kann. Daher wollte ich den Webserver als Router verwenden, da es heißt, dass Linux a.) sicherer ist und b.) weniger oft angegriffen wird als Windows.
Bezüglich Sicherheit wollte ich nur fragen was du damir genau meinst. Ich wollte den FTP Server zusätzlich noch durch einen zusätzlichen Firewall sichern. Was genau muß ich beachten bzw. was sin die Vorraussetzungen für eine SFTP-Lösung?

Florian
superboh
superboh 05.08.2005 um 14:18:35 Uhr
Goto Top
Bei FTP werden sowohl die Anmeldung (was dann ja auch sicher der Windows-Anmeldung entsprechen würde) als auch die Daten unverschlüsselt übertragen. Bei SFTP wird beides verschlüsselt.

Für SFTP bracht man einen SSH-Server. Unter Windows habe ich so etwas aber noch nie gemacht.
teacherwilli
teacherwilli 07.02.2009 um 19:03:38 Uhr
Goto Top
Hallo,

hier ein Hinweis zu einem super Konzept für Schulen, welches an unserer Berufsbildenden Schule seit Jahren zuverlässig funktioniert und von allen Kollegen (auch NICHT-EDV-Lehrern!) hoch gelobt wird:

Unter www.schoolnettools.de wird dieses Konzept mit einfachst zu bedienenden Lehrertools beschrieben.
Die wichtigsten Lehrertools sind dabei
- MonitorRemote für Bildschirmübertragung und Fernsteuerung der Schüler - PCs
- FileTrans für das Dateimanagement und die Internetfreigabe

Riesiger Vorteil dieses Konzeptes ist, dass sich da jemand schon viel Gedanken gemacht hat, wie man eine enorme Entlastung für den Admin (sprich den betreuenden Lehrer) erreichen kann, die eigentliche Umgebung auf den Schüler-PCs ohne Verfremdung der Oberfläche oder wirrer Einschränkungen beibehält und zudem am Lehrerrechner einfachst zu bedienende Tools für alle Lehrer zur Verfügung hat.

Die Lizenzpreise richten sich übrigens an den bescheidenen finanziellen Mitteln der heutigen Schulen (und nicht wie bei anderen Anbietern an dem Budget von Großunternehmen)!!!


Diese Tools sind übrigens auch ideal für PC-Kabinette !!! Sehr empfehlenswert!

Und immer daran denken: Lehrer sind zum Unterrichten da und nicht zum administrieren von Netzwerken (was leider zu oft verkannt wird und als Nebentätigkeit unterschätzt wird!).
Das geniale ist die Einfachheit eines Konzeptes! Wann sieht denn endlich jede Schule ein, dass sie keine benutzerorientierte Anmeldung braucht wie in Unternehmen, sondern eine platzorientierte Anmeldung (natürlich in Verbindung mit einem Tool wie FileTrans) alle Anforderungen für Schulen erfüllt?

Und noch was bzgl. "Emailadresse für jeden Schüler":
Eine Schule ist keine Hochschule und schon gar kein Unternehmen! Selbst wenn ein administrator-spielender Lehrer noch so viel Zeit hätte, sich auch um so etwas noch zu kümmern, dann stellen sich immer noch einige rechtliche Fragen:
Wer ist verantwortlich für gewisse Inhalte der Schüler-Emails? Wer ist verantwortlich für nicht ankommende oder nicht verschickte Mails? Wer ist für Serverausfälle verantwortlich?....
Lösungsvorschlag, der nicht nur an unserer Schule zum Einsatz kommt: Jeder Schüler richtet sich selbst PRIVAT bei einem freien Provider (gmx,...) einen Email-Account ein. Damit ist die Schule aus dem Schneider, und jeder Schüler aggiert eigenverantwortlich unabhängig von der Schule und behält auch den Account, wenn er nach einiger Zeit nicht mehr an der Schule ist!


Viele Grüße

teacherwilli