Schulnetz Administration
Liebe Admingemeinde, ich bin ein Netzwerk und Systemadministartor an einem großen Berufskolleg. Ich habe zur Zeit 6 physikalische und 3 virtuelle Server unter mir, sowie knapp 500Clients (XP/WIN7). Da ich dieses Netz ausschließlich alleine betreue habe ich gewisse Anforderungen an das System und nun hab ich mehrere Probleme/Fragen:
Zum Sachverhalt:
Linux Proxy: Dort werden die PC´s Raumweise für das Internet freigeschaltet durch die Lehrer.
Moodle Linux Server
Web Server
2* DC/DNS Windows 2008 Standart R2 64bit
1 * ESXi mit 3 Windows 2008 Standart R2 64bit Servern
500 Clients (ca.50 XP Pro / Rest Windows 7)
Da ich hier in einer Schulnetz Umgebung mich befinde habe ich mehrere Anforderungen an das Netz die alle zusammen wohl kaum bei normalen Firmen zum tragen kommen.
Was bereits funktionsfähig konfiguriert ist:
Login/Logout Protokollierung (An welchem PC, in welchem Raum hat sich der Schüler / Lehrer angemeldet/abgemeldet
Anlegen der kompletten Schule im AD innerhalb von 2 Std ( Selbstgeschriebenes VB Tool, was in 2 Std rund 3000 Schüler mit Profilen/Homeverzeichnissen und Sicherheitsgruppen anlegt )
Druckerprotokollierung (Welcher Benutzer hat wann,wo und was gedruckt?)
Was noch in Planung ist:
Internetprotokollierung, sowie einfache Auswertung (vorzugsweise mit einem Tool)
Zur Zeit arbeite ich mit den 3 Terminalservern im Testmodus um 1. die Belastung der Server zu testen und 2. die genaue Anzahl der CALs berechnen zu können.
Sachverhalt:
Ich habe einen Benutzer "remote" erstellt welcher erstmal von den Schülern genutzt wird um sich automatisch auf den ersten TS zu verbinden. Das klappt soweit. (Gerade getestet)
Drucker die per GPO dem Raumzugewiesen sind werden erfolgreich mitgenommen
Folgende Probleme habe ich dabei:
Die Internetfreischaltung funktioniert nicht so wie ich das möchte. Das bedeutet der TS ist dauerhaft mit dem Internet verbunden und durch die remote Anmeldung am TS können die Schüler dauerhaft surfen.
Serverbasierte Profile bei ganzen Bildungsgängen (.man (Mandatory))
Jetzt zu meiner frage:
Durch den Linux Server (Proxy/Gateway) werden hier bei uns die IP Adressen der Clients explizit freigeschaltet. Wäre es möglich dies mit dem Terminalserver ebenfalls umzusetzen? Ich möchte ungern 1 TS pro Raum installieren müssen. Vielleicht gibts ja die möglichkeit für den Benutzer (Schüler) per GPO den wahlweise gesperrten oder freigeschalteten Client als Proxy zuzuweisen und dadurch sicherzustellen dass die Internetfreischaltung weiter wie gehabt funktioniert? Einziger hacken bei der Geschichte ist wenn die Schüler sich am Client nicht mit Ihrem Anmeldenamen anmelden sondern mit remote!
Vielleicht habt ihr ja Ideen ) Ich freue mich immer über konstruktive Ideen / Kritik
mfg
Mattes
Zum Sachverhalt:
Linux Proxy: Dort werden die PC´s Raumweise für das Internet freigeschaltet durch die Lehrer.
Moodle Linux Server
Web Server
2* DC/DNS Windows 2008 Standart R2 64bit
1 * ESXi mit 3 Windows 2008 Standart R2 64bit Servern
500 Clients (ca.50 XP Pro / Rest Windows 7)
Da ich hier in einer Schulnetz Umgebung mich befinde habe ich mehrere Anforderungen an das Netz die alle zusammen wohl kaum bei normalen Firmen zum tragen kommen.
Was bereits funktionsfähig konfiguriert ist:
Login/Logout Protokollierung (An welchem PC, in welchem Raum hat sich der Schüler / Lehrer angemeldet/abgemeldet
Anlegen der kompletten Schule im AD innerhalb von 2 Std ( Selbstgeschriebenes VB Tool, was in 2 Std rund 3000 Schüler mit Profilen/Homeverzeichnissen und Sicherheitsgruppen anlegt )
Druckerprotokollierung (Welcher Benutzer hat wann,wo und was gedruckt?)
Was noch in Planung ist:
Internetprotokollierung, sowie einfache Auswertung (vorzugsweise mit einem Tool)
Zur Zeit arbeite ich mit den 3 Terminalservern im Testmodus um 1. die Belastung der Server zu testen und 2. die genaue Anzahl der CALs berechnen zu können.
Sachverhalt:
Ich habe einen Benutzer "remote" erstellt welcher erstmal von den Schülern genutzt wird um sich automatisch auf den ersten TS zu verbinden. Das klappt soweit. (Gerade getestet)
Drucker die per GPO dem Raumzugewiesen sind werden erfolgreich mitgenommen
Folgende Probleme habe ich dabei:
Die Internetfreischaltung funktioniert nicht so wie ich das möchte. Das bedeutet der TS ist dauerhaft mit dem Internet verbunden und durch die remote Anmeldung am TS können die Schüler dauerhaft surfen.
Serverbasierte Profile bei ganzen Bildungsgängen (.man (Mandatory))
Jetzt zu meiner frage:
Durch den Linux Server (Proxy/Gateway) werden hier bei uns die IP Adressen der Clients explizit freigeschaltet. Wäre es möglich dies mit dem Terminalserver ebenfalls umzusetzen? Ich möchte ungern 1 TS pro Raum installieren müssen. Vielleicht gibts ja die möglichkeit für den Benutzer (Schüler) per GPO den wahlweise gesperrten oder freigeschalteten Client als Proxy zuzuweisen und dadurch sicherzustellen dass die Internetfreischaltung weiter wie gehabt funktioniert? Einziger hacken bei der Geschichte ist wenn die Schüler sich am Client nicht mit Ihrem Anmeldenamen anmelden sondern mit remote!
Vielleicht habt ihr ja Ideen ) Ich freue mich immer über konstruktive Ideen / Kritik
mfg
Mattes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 151442
Url: https://administrator.de/contentid/151442
Ausgedruckt am: 14.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Was noch in Planung ist: Internetprotokollierung
Was meinst du damit genau ??
Was meinst du damit genau ??
- Traffic also welche IP oder welches Protokoll verursacht welchen Traffic ?
- Benutzerverhalten, welcher benutzer surft wohin und wieviel ?
- Allgemeine Auslastung des Internet Router Interfaces
- usw. usw.
500 Clients und dann machst du das wahrscheinlich als Lehrer noch nebenberuflich?
Mal ehrlich: Das sind Zahlen wo jedes Unternehmen 3-4 Admins festeingestellt hätte und selbst für eine Schule ist es bei der Anzahl dreist, das nicht zu haben.
Und zum Thema Proxy: Du kannst keine effiziente Internetsteuerung über IP-Adressen in der Schule machen.
Das ist schlicht nicht möglich, außer du benutzt Domain-Isolation (und das ist so komplex, dass es kaum einer wagt).
Also mach es auf Benutzerebene.
Es ist kein Problem, dass ein Proxy die Benutzerdaten gegen AD prüft und die Freigabe entsprechend an diese Konten zu koppeln.
Allerdings darf es dann keine Gruppenkonten geben, denn Passwörter wandern in der Schule - immer.
Und zum Thema Linux als Proxy: Mach dich über die rechtlichen Vorgaben deines Bundeslandes schlau.
Evtl. seid ihr verpflichtet das BPjM-Modul zu verwenden und das gibt es nur für kommerzielle Software wie Time-for-Kids (leider).
Das Thema Internetprotokollierung in Schulen ist ein Streitpunkt, zu dem jeder Softwarehersteller sofort sagen wird: "Aber klar, das müssen sie sogar machen".
Ich habe dazu eine diametral andere Meinung und zumindest der Elternbeirat sollte unbedingt zustimmen.
Mal ehrlich: Das sind Zahlen wo jedes Unternehmen 3-4 Admins festeingestellt hätte und selbst für eine Schule ist es bei der Anzahl dreist, das nicht zu haben.
Und zum Thema Proxy: Du kannst keine effiziente Internetsteuerung über IP-Adressen in der Schule machen.
Das ist schlicht nicht möglich, außer du benutzt Domain-Isolation (und das ist so komplex, dass es kaum einer wagt).
Also mach es auf Benutzerebene.
Es ist kein Problem, dass ein Proxy die Benutzerdaten gegen AD prüft und die Freigabe entsprechend an diese Konten zu koppeln.
Allerdings darf es dann keine Gruppenkonten geben, denn Passwörter wandern in der Schule - immer.
Und zum Thema Linux als Proxy: Mach dich über die rechtlichen Vorgaben deines Bundeslandes schlau.
Evtl. seid ihr verpflichtet das BPjM-Modul zu verwenden und das gibt es nur für kommerzielle Software wie Time-for-Kids (leider).
Das Thema Internetprotokollierung in Schulen ist ein Streitpunkt, zu dem jeder Softwarehersteller sofort sagen wird: "Aber klar, das müssen sie sogar machen".
Ich habe dazu eine diametral andere Meinung und zumindest der Elternbeirat sollte unbedingt zustimmen.
dog bist du auch ein Admin an einer Schule oder woher kennste das Program??
Eher ein Hobby.
Was bedeutet Domain Isolation,
Domain Isolation bedeutet zertifikatbasiertes IPSec auf jedem Rechner.
Bei Domain Isolation kommuniziert ein Server nur noch mit PCs die ein akzeptiertes IPSec-Zertifikat und eine verschlüsselte Kommunikation vorweisen können.
Das ganze funktioniert nur wenn du VLAN-fähige Switche hast (und somit alle Printserver etc. aus dem Netz ziehen kannst) und dein Netzwerk ein reines Windows-Netzwerk ist.
Außerdem brauchst du eine funktionierende Zertifizierungsstelle, der auch alle Rechner vertrauen.
Dann kannst du Domain Isolation einrichten, aber dazu gibt es praktisch kein brauchbares Dokument von Microsoft für den Aufbau und leicht ist es nicht...