11
Home Directories und Freigaben (Netzressourcen) über das internet zugänglich machen - windows 2012 R2
Hallo,
nun habe ich mich doch hier angemeldet, da ich aktuell vor einem Problem stehe. Als Informatik-Lehrer bin ich nebenbei für die IT an unserer Schule zuständig und administriere zwei Netzwerke mit knapp 100 Clients und 1000 Usern.
Das Ein oder Andere bekommen wir vom Schulträger vorgeschrieben, so dass wir aktuell zwei Windows 2012 R2 Server im Einsatz haben. Bisher kam ich mit Servereinrichtung super zurecht und alles läuft wirklich sehr stabil. Daher möchte ich nun gerne einen weiteren Punkt von meiner ToDo-Liste umsetzen.
Wie der Tites es schon verrät, möchte ich die Netzwerklaufwerke, die die User zugewiesen bekommen, über das Internet verfügbar machen. Meine erste Überlegung ging in Richtung Webdav, aber leider klappen meine bisherigen Versuche so gar nicht.
Würde mich freuen, wenn mir der ein oder andere hier vielleicht ein paar Anregungen geben könnte.
nun habe ich mich doch hier angemeldet, da ich aktuell vor einem Problem stehe. Als Informatik-Lehrer bin ich nebenbei für die IT an unserer Schule zuständig und administriere zwei Netzwerke mit knapp 100 Clients und 1000 Usern.
Das Ein oder Andere bekommen wir vom Schulträger vorgeschrieben, so dass wir aktuell zwei Windows 2012 R2 Server im Einsatz haben. Bisher kam ich mit Servereinrichtung super zurecht und alles läuft wirklich sehr stabil. Daher möchte ich nun gerne einen weiteren Punkt von meiner ToDo-Liste umsetzen.
Wie der Tites es schon verrät, möchte ich die Netzwerklaufwerke, die die User zugewiesen bekommen, über das Internet verfügbar machen. Meine erste Überlegung ging in Richtung Webdav, aber leider klappen meine bisherigen Versuche so gar nicht.
Würde mich freuen, wenn mir der ein oder andere hier vielleicht ein paar Anregungen geben könnte.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 280723
Url: https://administrator.de/contentid/280723
Printed on: April 19, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hi,
definere bitte "über das Internet verfügbar machen".
Einfacher Down- und Upload über ein Formular oder direkter Zugriff aus der Anwendung heraus?
Vielleicht ist sowas wie owncloud ne Lösung.
E.
definere bitte "über das Internet verfügbar machen".
Einfacher Down- und Upload über ein Formular oder direkter Zugriff aus der Anwendung heraus?
Vielleicht ist sowas wie owncloud ne Lösung.
E.
Hallo,
100 Clients und 1000 User mit einem "nebenberuflichen" Admin (ohne spez. Qualifikation - bitte nicht falsch verstehen, geht nicht gegen Dich) ist schon ein Witz. Aber dafür kannst ja Du nichts. Vielleicht sollte der Kultusminister mal die Vorgaben der Bundesregierung über IT-Sicherheit lesen und in seinem Haushaltsplan aufnehmen.
Du sprichst davon, dass Du 2 Win2k12R2-Server hast. Was machen die denn: AD-Controller, Druck-, File-, Mail-Dienste usw? Soll der Zugriff von "Außen" für alle 1000 User möglich sein, oder zB nur für die Lehrer?
Du weißt schon, dass Du mit diesen 2 phys. Servern 2 Hyper-V-Hosts aufbauen könntest und darauf 4 Win2k12R2-Server-Instanzen zur sauberen Dienstetrennung installieren könntest.
Das wäre auch die erste Voraussetzung aus Sicherheitssicht, um einen Zugriff von "Außen" überhaupt ins Auge zu fassen.
Das 1000 User so ohne weiteres von "Außen" auf den File-Server der Schule zugreifen können, wäre für mich ein sicherheitstechnischer Alptraum!
Ich würde dringend zu einer Lösung mit separatem Server (oder NAS) in einer DMZ raten. "owncloud" oder "seafile" wären dafür eine Lösung. Aber auch die handelsüblichen NAS bieten solche Funktionen.
Jürgen
100 Clients und 1000 User mit einem "nebenberuflichen" Admin (ohne spez. Qualifikation - bitte nicht falsch verstehen, geht nicht gegen Dich) ist schon ein Witz. Aber dafür kannst ja Du nichts. Vielleicht sollte der Kultusminister mal die Vorgaben der Bundesregierung über IT-Sicherheit lesen und in seinem Haushaltsplan aufnehmen.
Du sprichst davon, dass Du 2 Win2k12R2-Server hast. Was machen die denn: AD-Controller, Druck-, File-, Mail-Dienste usw? Soll der Zugriff von "Außen" für alle 1000 User möglich sein, oder zB nur für die Lehrer?
Du weißt schon, dass Du mit diesen 2 phys. Servern 2 Hyper-V-Hosts aufbauen könntest und darauf 4 Win2k12R2-Server-Instanzen zur sauberen Dienstetrennung installieren könntest.
Das wäre auch die erste Voraussetzung aus Sicherheitssicht, um einen Zugriff von "Außen" überhaupt ins Auge zu fassen.
Das 1000 User so ohne weiteres von "Außen" auf den File-Server der Schule zugreifen können, wäre für mich ein sicherheitstechnischer Alptraum!
Ich würde dringend zu einer Lösung mit separatem Server (oder NAS) in einer DMZ raten. "owncloud" oder "seafile" wären dafür eine Lösung. Aber auch die handelsüblichen NAS bieten solche Funktionen.
Jürgen
@ emeriks
Ein einfacher Down- und Upload über ein Formular würde mir schon reichen. So hatten wir das auch damals umgesetzt, als wir noch alles auf Linux-Basis hatten. Owncloud ist da sicherlich eine Möglichkeit, allerdigs ist das Home-Directory Plugin nur in der Enterprise Version möglich.
@ chiefteddy
Ganz so ohne Qualifikation bin ich ja nun auch nicht. Bin Diplom-Informatiker, allerdings mit einem anderen Schwerpunkt.
Es sind zwei Server, da wir aus Datenschutzgründen zwei physikalisch getrennte Netze haben. Für meine Fragestellung steht mir nur ein Server zur Verfügung, auf dem natürlich auch schon ein Hyper-V-Host mit dem Zertifikatsdienst läuft. Also, wir haben einen AD-Controller mit Druck-, Filediensten, DHCP und WSUS, sowie einen NAP für unsere WLAN-Infrastruktur im Einsatz.
Ich hatte gehofft, dass es hier irgendwelche Boardmittel gibt oder Webdav eine Möglichkeit bieten würde.
Ein einfacher Down- und Upload über ein Formular würde mir schon reichen. So hatten wir das auch damals umgesetzt, als wir noch alles auf Linux-Basis hatten. Owncloud ist da sicherlich eine Möglichkeit, allerdigs ist das Home-Directory Plugin nur in der Enterprise Version möglich.
@ chiefteddy
Ganz so ohne Qualifikation bin ich ja nun auch nicht. Bin Diplom-Informatiker, allerdings mit einem anderen Schwerpunkt.
Es sind zwei Server, da wir aus Datenschutzgründen zwei physikalisch getrennte Netze haben. Für meine Fragestellung steht mir nur ein Server zur Verfügung, auf dem natürlich auch schon ein Hyper-V-Host mit dem Zertifikatsdienst läuft. Also, wir haben einen AD-Controller mit Druck-, Filediensten, DHCP und WSUS, sowie einen NAP für unsere WLAN-Infrastruktur im Einsatz.
Ich hatte gehofft, dass es hier irgendwelche Boardmittel gibt oder Webdav eine Möglichkeit bieten würde.
Hallo,
ich will Dir in keinem Fall Deine Qualifikation absprechen, dazu kenne ich Dich doch gar nicht. Da ich aber selber oft in die "Verlegenheit" komme, in "Schulnetzwerken" auszuhelfen, kenne ich die Situation in vielen Schulen. Und es ist einfach ein Unding, wie die Kultusminister die Augen zukneifen, wenn es um IT in der Schule geht. IT-gestützte Lehrkonzepte, Laptops für jeden Schüler usw. Dass das alles aber auch irgendwie administriert werden muß, kommt ihnen nicht in den Sinn. Das machen dann die Informatik-Lehrer nebenbei oder irgend ein interessierter Schüler oder eben ein gutmütiger Bekannter eines Lehrers. Und sei mir nicht böse, ein Studium zum Informatiker ist nun nicht gerade die Kern-Qualifikation eines Administrators (Von der Konfiguration eines Windows-Servers, der Einrichtung einer Firewall, dem Konfigurieren eines L3-Switches usw. ist nach meiner Kenntnis nicht im Ausbildungsplan eines Informatik-Studiums enthalten. Jedenfalls nicht an der Uni in meiner Stadt.).
Allein der Satz:
treibt mir Sorgenfalten ins Gesicht. (Auf einem AD-Controller hat außer DNS und DHCP nichts weiter zu suchen! Und davon braucht man bei 1000 Usern und 100 Clients aus Redundanz-Gründen zwei.)
Wenn Du die Schüler (und potentiellen Hacker) von "Außen" auf Deinen File-Server läßt (womit auch immer), der auch der AD-Controller ist, ist das ein nicht zu vertretendes Sicherheitsrisiko.
Deshalb die Empfehlung, die Internetfreigaben auf einem getrennten System in einer DMZ zu realisieren. Über eine Synchronisierungsfunktion kann man dann ja die Daten aus den Home-Laufwerken auf die Freigaben kopieren.
Jürgen
ich will Dir in keinem Fall Deine Qualifikation absprechen, dazu kenne ich Dich doch gar nicht. Da ich aber selber oft in die "Verlegenheit" komme, in "Schulnetzwerken" auszuhelfen, kenne ich die Situation in vielen Schulen. Und es ist einfach ein Unding, wie die Kultusminister die Augen zukneifen, wenn es um IT in der Schule geht. IT-gestützte Lehrkonzepte, Laptops für jeden Schüler usw. Dass das alles aber auch irgendwie administriert werden muß, kommt ihnen nicht in den Sinn. Das machen dann die Informatik-Lehrer nebenbei oder irgend ein interessierter Schüler oder eben ein gutmütiger Bekannter eines Lehrers. Und sei mir nicht böse, ein Studium zum Informatiker ist nun nicht gerade die Kern-Qualifikation eines Administrators (Von der Konfiguration eines Windows-Servers, der Einrichtung einer Firewall, dem Konfigurieren eines L3-Switches usw. ist nach meiner Kenntnis nicht im Ausbildungsplan eines Informatik-Studiums enthalten. Jedenfalls nicht an der Uni in meiner Stadt.).
Allein der Satz:
wir haben einen AD-Controller mit Druck-, Filediensten, DHCP und WSUS,....
treibt mir Sorgenfalten ins Gesicht. (Auf einem AD-Controller hat außer DNS und DHCP nichts weiter zu suchen! Und davon braucht man bei 1000 Usern und 100 Clients aus Redundanz-Gründen zwei.)
Wenn Du die Schüler (und potentiellen Hacker) von "Außen" auf Deinen File-Server läßt (womit auch immer), der auch der AD-Controller ist, ist das ein nicht zu vertretendes Sicherheitsrisiko.
Deshalb die Empfehlung, die Internetfreigaben auf einem getrennten System in einer DMZ zu realisieren. Über eine Synchronisierungsfunktion kann man dann ja die Daten aus den Home-Laufwerken auf die Freigaben kopieren.
Jürgen
Obwohl ich @chiefteddy voll zustimmen muss: Wenn es denn zwei physikalisch getrennte Netze sind, (ich vermute mal die Verwaltung und die Schüler) und das Netz der Schüler ein reines "Spiel"-Netz ist, also ohne "echte" Daten, dann könnte man mit allen Hühneraugen zusammengekniffen sowas möglicherweise vielleicht eventuell machen.
Andererseits, wenn sowas auch mit einem NAS gehen würde, wie @chiefteddy schreibt, dann ist das mit relativ wenig Geld zu bewerkstelligen, denn ein kleines NAS "costa fast garnix". Und 1000mal besser, als der direkte Zugriff auf den zentralen Server.
E.
Andererseits, wenn sowas auch mit einem NAS gehen würde, wie @chiefteddy schreibt, dann ist das mit relativ wenig Geld zu bewerkstelligen, denn ein kleines NAS "costa fast garnix". Und 1000mal besser, als der direkte Zugriff auf den zentralen Server.
E.
Danke dir erstmal für deine Antwort. Du hast natürlich schon recht, dass man in einem Informatikstudium dieses Handwerk nicht erlernt und keine Produktschulungen bekommt. Dennoch ist die Theorie dahinter schon in den Lehrplänen verankert. Aber das ist ja ein ganz anderes Thema.
Das was du ansprichts ist alles schon richtig, aber was will man machen? Weiterhin Steinzeit in den Schulen betreiben oder doch lieber das Beste versuchen herauszuholen? Gelder für Bildung sind sowieso nicht vorhanden. Daher kann man nicht immer alles so umsetzen, wie man es eigentlich machen müsste. Daher bin ich mit der Ausstattung, die wir derzeit haben, schon sehr glücklich. Das was wir trennen konnten, läuft auf unterschiedlichen Instanzen und das sensible Netz ist physikalisch getrennt. Ich denke aber kaum, dass das Ministerium hier mehr Geld investieren würde, wenn die fertigen Schulserverlösungen am Markt alles in einem System vereinen. Sicherheitsaspekte hin oder her, für die zählt doch nur das Geld.
Jetzt wo ich darüber Nachdenke, ist dein Vorschlag mit der Auslagerung vielleicht sogar umsetzbar. Für eine DMZ hätten wir sogar noch unseren alten Server zur Verfügung. Bei der Umsetzung sehe ich auch keine großen Probleme. Die Synchronisierung müsste allerdings immer direkt und in beide Richtungen erfolgen. Das belastet natürlich auch wieder das Netzwerk. Kennst du gute Synchronisierungstools, die sich hier eignen würden?
Tom
Das was du ansprichts ist alles schon richtig, aber was will man machen? Weiterhin Steinzeit in den Schulen betreiben oder doch lieber das Beste versuchen herauszuholen? Gelder für Bildung sind sowieso nicht vorhanden. Daher kann man nicht immer alles so umsetzen, wie man es eigentlich machen müsste. Daher bin ich mit der Ausstattung, die wir derzeit haben, schon sehr glücklich. Das was wir trennen konnten, läuft auf unterschiedlichen Instanzen und das sensible Netz ist physikalisch getrennt. Ich denke aber kaum, dass das Ministerium hier mehr Geld investieren würde, wenn die fertigen Schulserverlösungen am Markt alles in einem System vereinen. Sicherheitsaspekte hin oder her, für die zählt doch nur das Geld.
Jetzt wo ich darüber Nachdenke, ist dein Vorschlag mit der Auslagerung vielleicht sogar umsetzbar. Für eine DMZ hätten wir sogar noch unseren alten Server zur Verfügung. Bei der Umsetzung sehe ich auch keine großen Probleme. Die Synchronisierung müsste allerdings immer direkt und in beide Richtungen erfolgen. Das belastet natürlich auch wieder das Netzwerk. Kennst du gute Synchronisierungstools, die sich hier eignen würden?
Tom
Guten Abend,
Ich würde die Datenablage auf einem seperaten Server umziehen, in die DMZ einen Reverse Proxy stellen und somit den Zugriff realisieren. Bezüglich der Authentifzierung im IIS gibt es seitens BSI ein paar Ideen. Der Rest drum rum ist alt...
Gruß,
Dani
Wie der Tites es schon verrät, möchte ich die Netzwerklaufwerke, die die User zugewiesen bekommen, über das Internet verfügbar machen.
Macht das auch die Internetverbindung mit der Brandbereite mit?Ich würde die Datenablage auf einem seperaten Server umziehen, in die DMZ einen Reverse Proxy stellen und somit den Zugriff realisieren. Bezüglich der Authentifzierung im IIS gibt es seitens BSI ein paar Ideen. Der Rest drum rum ist alt...
Gruß,
Dani
Hallo zusammen,
mein Vorschlag wäre entweder ein virtueller Essentials (oder ein Std. Mit Essentials Rolle). Da gibts auch nen Webaccess. Wenn du dir das mal anschauen möchtest, kannst du dich gerne per PN bei mir melden.
Und zur allgemeinen Situation: an meiner (Aushilfs) Schule läuft seit 10 Jahren ein Fujitsu Server mit 2k3...
Clients alle XP, und das noch bis 2017 weil: die haben zwar irgendwie jetzt teuere i7 Rechner mit 8GB RAM in den Räumen (natürlich mit XP) weil vergessen wurde einen neuen Server mit zu bestellen... Und der Server macht ALLES (AD, DNS, DHCP, WSUS, Print, WDS, Terminaldienste und was weiß ich noch alles)...
Zum Glück ist das nicht meiner
Grüße,
tomolpi
mein Vorschlag wäre entweder ein virtueller Essentials (oder ein Std. Mit Essentials Rolle). Da gibts auch nen Webaccess. Wenn du dir das mal anschauen möchtest, kannst du dich gerne per PN bei mir melden.
Und zur allgemeinen Situation: an meiner (Aushilfs) Schule läuft seit 10 Jahren ein Fujitsu Server mit 2k3...
Clients alle XP, und das noch bis 2017 weil: die haben zwar irgendwie jetzt teuere i7 Rechner mit 8GB RAM in den Räumen (natürlich mit XP) weil vergessen wurde einen neuen Server mit zu bestellen... Und der Server macht ALLES (AD, DNS, DHCP, WSUS, Print, WDS, Terminaldienste und was weiß ich noch alles)...
Zum Glück ist das nicht meiner
Grüße,
tomolpi
Hallo,
OwnCloud mit Plugin auf eigener Hardware wäre in der DMZ wäre meine Idee, dann müssen die
Eltern eben für das alle zusammen aufkommen und bei 1.000 Usern sollte das auch nicht zu viel
sein, nur ob die dann da alle am Wochenende rauf können, ist so eine Sache, da würde ich denn
Zeiten vorgeben wollen, denn so können am Wochenende dann pro Tag immer 250 User rauf
und man hat den Rest des ganzen Betriebs nicht auf der "Leitung". Freitag auf Samstag einfach
synchronisieren lassen und dann Samstag Vormittags 250 Leute und ab 12:00 Uhr wieder 250
Leute und das ganze am Samstag noch einmal! Das frisst dann nicht die gesamte Bandbreite
auf.
und dann versuchen eventuell eine oder mehrere Direktverbindungen aufzubauen, das spart Geld
und ist auch noch im Rahmen eines Schulbudgets. Auch zwei gebrauchte Mellanox PCIe Karten
und ein gebrauchter Switch dazu sollte bei der Synchronisation eine erhebliche Beschleunigung
herbeiführen, die Karten sind bei eBay für ~70 € zu haben und der Switch auch zu ~300 €.
Also mein Tipp wäre OwnCloud auf eigenem Blech in der DMZ und dann eine schnelle
Synchronisation von Freitag auf Samstag.
Gruß
Dobby
Deshalb die Empfehlung, die Internetfreigaben auf einem getrennten System in einer DMZ zu
realisieren.
Dann aber bitte so wie @Dani es vorgeschlagen hat, mit einem Proxy davor.realisieren.
OwnCloud mit Plugin auf eigener Hardware wäre in der DMZ wäre meine Idee, dann müssen die
Eltern eben für das alle zusammen aufkommen und bei 1.000 Usern sollte das auch nicht zu viel
sein, nur ob die dann da alle am Wochenende rauf können, ist so eine Sache, da würde ich denn
Zeiten vorgeben wollen, denn so können am Wochenende dann pro Tag immer 250 User rauf
und man hat den Rest des ganzen Betriebs nicht auf der "Leitung". Freitag auf Samstag einfach
synchronisieren lassen und dann Samstag Vormittags 250 Leute und ab 12:00 Uhr wieder 250
Leute und das ganze am Samstag noch einmal! Das frisst dann nicht die gesamte Bandbreite
auf.
Über eine Synchronisierungsfunktion kann man dann ja die Daten aus den Home-Laufwerken
auf die Freigaben kopieren.
Man kann sicherlich auch versuchen ein paar gebrauchte (eBay) 10 GBit/s Adapter zu besorgenauf die Freigaben kopieren.
und dann versuchen eventuell eine oder mehrere Direktverbindungen aufzubauen, das spart Geld
und ist auch noch im Rahmen eines Schulbudgets. Auch zwei gebrauchte Mellanox PCIe Karten
und ein gebrauchter Switch dazu sollte bei der Synchronisation eine erhebliche Beschleunigung
herbeiführen, die Karten sind bei eBay für ~70 € zu haben und der Switch auch zu ~300 €.
Also mein Tipp wäre OwnCloud auf eigenem Blech in der DMZ und dann eine schnelle
Synchronisation von Freitag auf Samstag.
Gruß
Dobby
mein Vorschlag wäre entweder ein virtueller Essentials (oder ein Std. Mit Essentials Rolle). Da gibts
auch nen Webaccess. Wenn du dir das mal anschauen möchtest, kannst du dich gerne per PN bei
mir melden.
Ohne Proxy davor?auch nen Webaccess. Wenn du dir das mal anschauen möchtest, kannst du dich gerne per PN bei
mir melden.
Und der Server macht ALLES (AD, DNS, DHCP, WSUS, Print, WDS, Terminaldienste und was
weiß ich noch alles)...
Aber deswegen sollen doch jetzt andere nicht auch so ein Monster aufstellen oder?weiß ich noch alles)...
Gruß
Dobby
Zitat von @108012:
> mein Vorschlag wäre entweder ein virtueller Essentials (oder ein Std. Mit Essentials Rolle). Da gibts
> auch nen Webaccess. Wenn du dir das mal anschauen möchtest, kannst du dich gerne per PN bei
> mir melden.
Ohne Proxy davor?
> mein Vorschlag wäre entweder ein virtueller Essentials (oder ein Std. Mit Essentials Rolle). Da gibts
> auch nen Webaccess. Wenn du dir das mal anschauen möchtest, kannst du dich gerne per PN bei
> mir melden.
Ohne Proxy davor?
Ich hab auch noch einen privat hier rumstehen, nicht der im Betrieb.
> Und der Server macht ALLES (AD, DNS, DHCP, WSUS, Print, WDS, Terminaldienste und was
> weiß ich noch alles)...
Aber deswegen sollen doch jetzt andere nicht auch so ein Monster aufstellen oder?
> weiß ich noch alles)...
Aber deswegen sollen doch jetzt andere nicht auch so ein Monster aufstellen oder?
Nein bloß nicht, hatte doch zum Thema "PCs in Schulen" gepasst...
Gruß
Dobby
Dobby
Ebenso
