6
Schulnetz Administration
Liebe Admingemeinde, ich bin ein Netzwerk und Systemadministartor an einem großen Berufskolleg. Ich habe zur Zeit 6 physikalische und 3 virtuelle Server unter mir, sowie knapp 500Clients (XP/WIN7). Da ich dieses Netz ausschließlich alleine betreue habe ich gewisse Anforderungen an das System und nun hab ich mehrere Probleme/Fragen:
Zum Sachverhalt:
Linux Proxy: Dort werden die PC´s Raumweise für das Internet freigeschaltet durch die Lehrer.
Moodle Linux Server
Web Server
2* DC/DNS Windows 2008 Standart R2 64bit
1 * ESXi mit 3 Windows 2008 Standart R2 64bit Servern
500 Clients (ca.50 XP Pro / Rest Windows 7)
Da ich hier in einer Schulnetz Umgebung mich befinde habe ich mehrere Anforderungen an das Netz die alle zusammen wohl kaum bei normalen Firmen zum tragen kommen.
Was bereits funktionsfähig konfiguriert ist:
Login/Logout Protokollierung (An welchem PC, in welchem Raum hat sich der Schüler / Lehrer angemeldet/abgemeldet
Anlegen der kompletten Schule im AD innerhalb von 2 Std ( Selbstgeschriebenes VB Tool, was in 2 Std rund 3000 Schüler mit Profilen/Homeverzeichnissen und Sicherheitsgruppen anlegt )
Druckerprotokollierung (Welcher Benutzer hat wann,wo und was gedruckt?)
Was noch in Planung ist:
Internetprotokollierung, sowie einfache Auswertung (vorzugsweise mit einem Tool)
Zur Zeit arbeite ich mit den 3 Terminalservern im Testmodus um 1. die Belastung der Server zu testen und 2. die genaue Anzahl der CALs berechnen zu können.
Sachverhalt:
Ich habe einen Benutzer "remote" erstellt welcher erstmal von den Schülern genutzt wird um sich automatisch auf den ersten TS zu verbinden. Das klappt soweit. (Gerade getestet)
Drucker die per GPO dem Raumzugewiesen sind werden erfolgreich mitgenommen
Folgende Probleme habe ich dabei:
Die Internetfreischaltung funktioniert nicht so wie ich das möchte. Das bedeutet der TS ist dauerhaft mit dem Internet verbunden und durch die remote Anmeldung am TS können die Schüler dauerhaft surfen.
Serverbasierte Profile bei ganzen Bildungsgängen (.man (Mandatory))
Jetzt zu meiner frage:
Durch den Linux Server (Proxy/Gateway) werden hier bei uns die IP Adressen der Clients explizit freigeschaltet. Wäre es möglich dies mit dem Terminalserver ebenfalls umzusetzen? Ich möchte ungern 1 TS pro Raum installieren müssen. Vielleicht gibts ja die möglichkeit für den Benutzer (Schüler) per GPO den wahlweise gesperrten oder freigeschalteten Client als Proxy zuzuweisen und dadurch sicherzustellen dass die Internetfreischaltung weiter wie gehabt funktioniert? Einziger hacken bei der Geschichte ist wenn die Schüler sich am Client nicht mit Ihrem Anmeldenamen anmelden sondern mit remote!
Vielleicht habt ihr ja Ideen
) Ich freue mich immer über konstruktive Ideen / Kritik
mfg
Mattes
Zum Sachverhalt:
Linux Proxy: Dort werden die PC´s Raumweise für das Internet freigeschaltet durch die Lehrer.
Moodle Linux Server
Web Server
2* DC/DNS Windows 2008 Standart R2 64bit
1 * ESXi mit 3 Windows 2008 Standart R2 64bit Servern
500 Clients (ca.50 XP Pro / Rest Windows 7)
Da ich hier in einer Schulnetz Umgebung mich befinde habe ich mehrere Anforderungen an das Netz die alle zusammen wohl kaum bei normalen Firmen zum tragen kommen.
Was bereits funktionsfähig konfiguriert ist:
Login/Logout Protokollierung (An welchem PC, in welchem Raum hat sich der Schüler / Lehrer angemeldet/abgemeldet
Anlegen der kompletten Schule im AD innerhalb von 2 Std ( Selbstgeschriebenes VB Tool, was in 2 Std rund 3000 Schüler mit Profilen/Homeverzeichnissen und Sicherheitsgruppen anlegt )
Druckerprotokollierung (Welcher Benutzer hat wann,wo und was gedruckt?)
Was noch in Planung ist:
Internetprotokollierung, sowie einfache Auswertung (vorzugsweise mit einem Tool)
Zur Zeit arbeite ich mit den 3 Terminalservern im Testmodus um 1. die Belastung der Server zu testen und 2. die genaue Anzahl der CALs berechnen zu können.
Sachverhalt:
Ich habe einen Benutzer "remote" erstellt welcher erstmal von den Schülern genutzt wird um sich automatisch auf den ersten TS zu verbinden. Das klappt soweit. (Gerade getestet)
Drucker die per GPO dem Raumzugewiesen sind werden erfolgreich mitgenommen
Folgende Probleme habe ich dabei:
Die Internetfreischaltung funktioniert nicht so wie ich das möchte. Das bedeutet der TS ist dauerhaft mit dem Internet verbunden und durch die remote Anmeldung am TS können die Schüler dauerhaft surfen.
Serverbasierte Profile bei ganzen Bildungsgängen (.man (Mandatory))
Jetzt zu meiner frage:
Durch den Linux Server (Proxy/Gateway) werden hier bei uns die IP Adressen der Clients explizit freigeschaltet. Wäre es möglich dies mit dem Terminalserver ebenfalls umzusetzen? Ich möchte ungern 1 TS pro Raum installieren müssen. Vielleicht gibts ja die möglichkeit für den Benutzer (Schüler) per GPO den wahlweise gesperrten oder freigeschalteten Client als Proxy zuzuweisen und dadurch sicherzustellen dass die Internetfreischaltung weiter wie gehabt funktioniert? Einziger hacken bei der Geschichte ist wenn die Schüler sich am Client nicht mit Ihrem Anmeldenamen anmelden sondern mit remote!
Vielleicht habt ihr ja Ideen
) Ich freue mich immer über konstruktive Ideen / Kritikmfg
Mattes
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 151442
Url: https://administrator.de/contentid/151442
Ausgedruckt am: 23.11.2024 um 06:11 Uhr
6 Kommentare
Neuester Kommentar
Was noch in Planung ist: Internetprotokollierung
Was meinst du damit genau ??
Was meinst du damit genau ??
- Traffic also welche IP oder welches Protokoll verursacht welchen Traffic ?
- Benutzerverhalten, welcher benutzer surft wohin und wieviel ?
- Allgemeine Auslastung des Internet Router Interfaces
- usw. usw.
Ich möchte gerne wissen welcher Benutzer des AD, wo und wie lange surft, sowie eine top 20 auflistung besuchter seiten. Am besten wäre eine grafische auswertung, weiss nich was es da so an einfachen progs gibt
500 Clients und dann machst du das wahrscheinlich als Lehrer noch nebenberuflich?
Mal ehrlich: Das sind Zahlen wo jedes Unternehmen 3-4 Admins festeingestellt hätte und selbst für eine Schule ist es bei der Anzahl dreist, das nicht zu haben.
Und zum Thema Proxy: Du kannst keine effiziente Internetsteuerung über IP-Adressen in der Schule machen.
Das ist schlicht nicht möglich, außer du benutzt Domain-Isolation (und das ist so komplex, dass es kaum einer wagt).
Also mach es auf Benutzerebene.
Es ist kein Problem, dass ein Proxy die Benutzerdaten gegen AD prüft und die Freigabe entsprechend an diese Konten zu koppeln.
Allerdings darf es dann keine Gruppenkonten geben, denn Passwörter wandern in der Schule - immer.
Und zum Thema Linux als Proxy: Mach dich über die rechtlichen Vorgaben deines Bundeslandes schlau.
Evtl. seid ihr verpflichtet das BPjM-Modul zu verwenden und das gibt es nur für kommerzielle Software wie Time-for-Kids (leider).
Das Thema Internetprotokollierung in Schulen ist ein Streitpunkt, zu dem jeder Softwarehersteller sofort sagen wird: "Aber klar, das müssen sie sogar machen".
Ich habe dazu eine diametral andere Meinung und zumindest der Elternbeirat sollte unbedingt zustimmen.
Mal ehrlich: Das sind Zahlen wo jedes Unternehmen 3-4 Admins festeingestellt hätte und selbst für eine Schule ist es bei der Anzahl dreist, das nicht zu haben.
Und zum Thema Proxy: Du kannst keine effiziente Internetsteuerung über IP-Adressen in der Schule machen.
Das ist schlicht nicht möglich, außer du benutzt Domain-Isolation (und das ist so komplex, dass es kaum einer wagt).
Also mach es auf Benutzerebene.
Es ist kein Problem, dass ein Proxy die Benutzerdaten gegen AD prüft und die Freigabe entsprechend an diese Konten zu koppeln.
Allerdings darf es dann keine Gruppenkonten geben, denn Passwörter wandern in der Schule - immer.
Und zum Thema Linux als Proxy: Mach dich über die rechtlichen Vorgaben deines Bundeslandes schlau.
Evtl. seid ihr verpflichtet das BPjM-Modul zu verwenden und das gibt es nur für kommerzielle Software wie Time-for-Kids (leider).
Das Thema Internetprotokollierung in Schulen ist ein Streitpunkt, zu dem jeder Softwarehersteller sofort sagen wird: "Aber klar, das müssen sie sogar machen".
Ich habe dazu eine diametral andere Meinung und zumindest der Elternbeirat sollte unbedingt zustimmen.
Ne ich bin kein Lehrer, ich mache das komplett als Angestellter der Schule, muss also kein Unterricht geben oder so.
Also den Zugriff an sich steuere ich über eine Selbstentwickelte Linux-Firewall, die Firewall hat eine Weboberfläche wo ich bzw. der anwesende Lehrer einzelne Rechner innerhalb von Sekunden Internetfähig machen kann. Das funktioniert gut, nur halt eben nicht auf dem Terminalserver, er ist geplant für mehrere Räume, somit fällt meine Internetfreischaltung flach, oder ich sperre die entsprechenden Räume quasi alle.
Die Internetprotokollierung will ich nicht machen um die Schüler zu überprüfen sondern um die Leitung schneller zu kriegen, da viele zb. YouTube aufrufen und Videos hier gucken, das zeiht die Leitung zu. Desweiteren unterschreibt jeder Schüler eine Verpflichtungserklärung wo das ganze haargenau dokumentiert wird, was alles protokolliert wird und was für Konsequenzen dem jenigen dann drohen. Zb. bei unsachgemäßer Benutzung der Drucker wird eine kostenbeteiligung in Erwägung gezogen, über eine Spende an den Förderverein.
Wir sind dazu nicht verpflichtet, wir haben uns eine Befreiung der ganzen Time-for-kids Geschichte eingeholt, denn wir fahren kein Schulgerechtes Netzwerk, wir haben spezielle Bildungsgangnezogene Software die vom Schulgerechten Netzwerk nicht supported wird.
dog bist du auch ein Admin an einer Schule oder woher kennste das Program??
Was bedeutet Domain Isolation, komplex ist kein Problem, ich bin jung und traue mir einiges zu, wie geht man da vor und was für Vorraussetzungen muss man da schaffen??
mfg
Also den Zugriff an sich steuere ich über eine Selbstentwickelte Linux-Firewall, die Firewall hat eine Weboberfläche wo ich bzw. der anwesende Lehrer einzelne Rechner innerhalb von Sekunden Internetfähig machen kann. Das funktioniert gut, nur halt eben nicht auf dem Terminalserver, er ist geplant für mehrere Räume, somit fällt meine Internetfreischaltung flach, oder ich sperre die entsprechenden Räume quasi alle.
Die Internetprotokollierung will ich nicht machen um die Schüler zu überprüfen sondern um die Leitung schneller zu kriegen, da viele zb. YouTube aufrufen und Videos hier gucken, das zeiht die Leitung zu. Desweiteren unterschreibt jeder Schüler eine Verpflichtungserklärung wo das ganze haargenau dokumentiert wird, was alles protokolliert wird und was für Konsequenzen dem jenigen dann drohen. Zb. bei unsachgemäßer Benutzung der Drucker wird eine kostenbeteiligung in Erwägung gezogen, über eine Spende an den Förderverein.
Wir sind dazu nicht verpflichtet, wir haben uns eine Befreiung der ganzen Time-for-kids Geschichte eingeholt, denn wir fahren kein Schulgerechtes Netzwerk, wir haben spezielle Bildungsgangnezogene Software die vom Schulgerechten Netzwerk nicht supported wird.
dog bist du auch ein Admin an einer Schule oder woher kennste das Program??
Was bedeutet Domain Isolation, komplex ist kein Problem, ich bin jung und traue mir einiges zu, wie geht man da vor und was für Vorraussetzungen muss man da schaffen??
mfg
dog bist du auch ein Admin an einer Schule oder woher kennste das Program??
Eher ein Hobby.
Was bedeutet Domain Isolation,
Domain Isolation bedeutet zertifikatbasiertes IPSec auf jedem Rechner.
Bei Domain Isolation kommuniziert ein Server nur noch mit PCs die ein akzeptiertes IPSec-Zertifikat und eine verschlüsselte Kommunikation vorweisen können.
Das ganze funktioniert nur wenn du VLAN-fähige Switche hast (und somit alle Printserver etc. aus dem Netz ziehen kannst) und dein Netzwerk ein reines Windows-Netzwerk ist.
Außerdem brauchst du eine funktionierende Zertifizierungsstelle, der auch alle Rechner vertrauen.
Dann kannst du Domain Isolation einrichten, aber dazu gibt es praktisch kein brauchbares Dokument von Microsoft für den Aufbau und leicht ist es nicht...
Also das scheidet bei mir aus, ist viel zu umständlich. Ich brauche was simples was die Internetprotokollierung anbetrifft.
Desweiteren hat jmd. von euch erfahrung mit den neuen Profilen?? Die werden ja mit .V2 abgespeichert.
Was ich bislang testen konnte:
Auf dem Server 2008 R2 habe ich eine Klasse angelegt und allen ein Profil zugewiesen, und es zu mandatory umfunktioniert. Wenn ich einen XP Client innerhalb der Domäne verwende klappt es. Sobald ich Windows 7 als Client nutze klappt die Anmeldung mit der besagten Klasse nicht mehr.
Ich möchte diese ständige Profil -erzeugerei/laderei unterbinden. Habt ihr Ideen??
Ist echt beknackt alles hier.. .
Desweiteren hat jmd. von euch erfahrung mit den neuen Profilen?? Die werden ja mit .V2 abgespeichert.
Was ich bislang testen konnte:
Auf dem Server 2008 R2 habe ich eine Klasse angelegt und allen ein Profil zugewiesen, und es zu mandatory umfunktioniert. Wenn ich einen XP Client innerhalb der Domäne verwende klappt es. Sobald ich Windows 7 als Client nutze klappt die Anmeldung mit der besagten Klasse nicht mehr.
Ich möchte diese ständige Profil -erzeugerei/laderei unterbinden. Habt ihr Ideen??
Ist echt beknackt alles hier.. .
