8
Konzept für Schulnetzwerk
Konzeption des Netzwerkes für ca. 400 Nodes und 1200 Schüleraccounts.
Hallo liebe Administrator.de Members,
ich lese schon geraume Zeit in diesem sehr interessanten Forum mit. Nun habe ich mich entschlossen, hier eine Frage zu stellen, die mich seit vielen Wochen beschäftigt. Seit ca. 4 Wochen arbeite ich als Systemadministrator an einer großen Schule (400 PCs, 1200 Schüler). Wir betreiben derzeit einen Server, der mit der sogenannten Linux Musterlösung betrieben wird (Infos: http://www.lehrerfortbildung-bw.de/netz/muster/linux/).
Ich bin mit dem bestehenden System, basierend auf SuSE Professional, nicht zufrieden. Viele Eingriffe in die Dienste verhindert ein stetiges Updaten dieser. Auch erscheint mir das System generell instabil. Auf einem Server sollte meiner Meinung nach auch kein KDE laufen.
Die Musterlösung verwendet für die Windows-Clients (250 WINXP & 150 WIN98) eine Selbstheilungssoftware namens MySHN (www.myshn.de), die wiederum auf Rembo (www.rembo.com) aufbaut. Dieses System bootet per Bootrom auf den Netzwerkkarten in ein sogenanntes PreOS, in dem Images mit Betriebssystemen und Programmen vom Server geholt wird und lokal gecacht und gestartet wird.
Werden nun Änderungen an den lokalen Festplatten beim nächsten Reboot gefunden, so werden diese rückgängig gemacht und das jeweils aktuelle Image wieder installiert.
Das Problem bei dieser Lösung ist meiner Meinung nach, dass es (nachgewiesener Weise) nicht (praktikabel) möglich ist, alle Clients im Netzwerk beispielsweise mit Updates zu versorgen. Ich muss als Admin immer noch in jeden Sall gehen und sowohl für die Schülerrechner, als auch für die Lehrerrechner (enthalten ein paar Unterschiede, wie beispielsweise MasterEye) jeweils ein Update der Images vornehmen. Das macht 2 Updates pro Raum, was bei 10 Räumen durchaus mal einen ganzen Tag für ein paar Updates in Anspruch nehmen kann.
Wir hatten versucht mit 2 Images auszukommen und raum- und benutzerabhängig per Logonscript einzelne Programme (msi-Dateien) aufzuspielen oder zu löschen, da wir nicht für jede Software Campuslizenzen besitzen.
Diese Lösung funktioniert zwar, verbraucht aber dermaßen viel Traffic, dass das Netzwerk zu Stoßzeiten nicht mehr verwendbar ist. Diesen Umstand wollen wir in den nächsten Wochen angehen (Glasfaser und Gigabit), was aber das Problem nicht bei der Wurzel packt.
Meine Idee wäre, in den kommenden Herbstferien alle Server und Clients zu backuppen und Testläufe mit komplett neuen Konzepten zu machen.
Die Anforderungen an das Netzwerk sind ca. folgendes:
1. Linuxserver (nach Möglichkeit Debian, da ich damit viel Erfahrung habe und von Anfang an Überblick über das System habe).
2. Möglichkeit, die Clients vor Manipulation zu schützen.
3. Der Anmeldevorgang muss am Linuxserver erfolgen und sollte nach Möglichkeit das Profil und persönliche Dateien auf diesem ablegen.
4. Jeder Raum oder jeder User muss eigene Programmsets haben können (Nur 2 Klassen sollten noch MS Office verwenden, da diese für die IHK-Prüfung büffeln. Alle anderen sollten Open Office verwenden.)
5. Der Internetzugang soll raumweise aus- und eingeschaltet werden. IPTables oder DansGuardian/Squid?)
Ich würde mich freuen, wenn mir jemand Tipps zur Konzeption geben könnte. Gerne würde ich von Rembo/mySHN Abstand nehmen, da wir regelmäßig Probleme mit unvollständig geladenen Images, etc. haben, was aber mit dem Netzwerkflaschenhals zusammen hängen könnte.
Im Voraus schon einmal vielen Dank
Mit freundlichem Gruß
Johannes Fritsch
BBS Rodalben
ich lese schon geraume Zeit in diesem sehr interessanten Forum mit. Nun habe ich mich entschlossen, hier eine Frage zu stellen, die mich seit vielen Wochen beschäftigt. Seit ca. 4 Wochen arbeite ich als Systemadministrator an einer großen Schule (400 PCs, 1200 Schüler). Wir betreiben derzeit einen Server, der mit der sogenannten Linux Musterlösung betrieben wird (Infos: http://www.lehrerfortbildung-bw.de/netz/muster/linux/).
Ich bin mit dem bestehenden System, basierend auf SuSE Professional, nicht zufrieden. Viele Eingriffe in die Dienste verhindert ein stetiges Updaten dieser. Auch erscheint mir das System generell instabil. Auf einem Server sollte meiner Meinung nach auch kein KDE laufen.
Die Musterlösung verwendet für die Windows-Clients (250 WINXP & 150 WIN98) eine Selbstheilungssoftware namens MySHN (www.myshn.de), die wiederum auf Rembo (www.rembo.com) aufbaut. Dieses System bootet per Bootrom auf den Netzwerkkarten in ein sogenanntes PreOS, in dem Images mit Betriebssystemen und Programmen vom Server geholt wird und lokal gecacht und gestartet wird.
Werden nun Änderungen an den lokalen Festplatten beim nächsten Reboot gefunden, so werden diese rückgängig gemacht und das jeweils aktuelle Image wieder installiert.
Das Problem bei dieser Lösung ist meiner Meinung nach, dass es (nachgewiesener Weise) nicht (praktikabel) möglich ist, alle Clients im Netzwerk beispielsweise mit Updates zu versorgen. Ich muss als Admin immer noch in jeden Sall gehen und sowohl für die Schülerrechner, als auch für die Lehrerrechner (enthalten ein paar Unterschiede, wie beispielsweise MasterEye) jeweils ein Update der Images vornehmen. Das macht 2 Updates pro Raum, was bei 10 Räumen durchaus mal einen ganzen Tag für ein paar Updates in Anspruch nehmen kann.
Wir hatten versucht mit 2 Images auszukommen und raum- und benutzerabhängig per Logonscript einzelne Programme (msi-Dateien) aufzuspielen oder zu löschen, da wir nicht für jede Software Campuslizenzen besitzen.
Diese Lösung funktioniert zwar, verbraucht aber dermaßen viel Traffic, dass das Netzwerk zu Stoßzeiten nicht mehr verwendbar ist. Diesen Umstand wollen wir in den nächsten Wochen angehen (Glasfaser und Gigabit), was aber das Problem nicht bei der Wurzel packt.
Meine Idee wäre, in den kommenden Herbstferien alle Server und Clients zu backuppen und Testläufe mit komplett neuen Konzepten zu machen.
Die Anforderungen an das Netzwerk sind ca. folgendes:
1. Linuxserver (nach Möglichkeit Debian, da ich damit viel Erfahrung habe und von Anfang an Überblick über das System habe).
2. Möglichkeit, die Clients vor Manipulation zu schützen.
3. Der Anmeldevorgang muss am Linuxserver erfolgen und sollte nach Möglichkeit das Profil und persönliche Dateien auf diesem ablegen.
4. Jeder Raum oder jeder User muss eigene Programmsets haben können (Nur 2 Klassen sollten noch MS Office verwenden, da diese für die IHK-Prüfung büffeln. Alle anderen sollten Open Office verwenden.)
5. Der Internetzugang soll raumweise aus- und eingeschaltet werden. IPTables oder DansGuardian/Squid?)
Ich würde mich freuen, wenn mir jemand Tipps zur Konzeption geben könnte. Gerne würde ich von Rembo/mySHN Abstand nehmen, da wir regelmäßig Probleme mit unvollständig geladenen Images, etc. haben, was aber mit dem Netzwerkflaschenhals zusammen hängen könnte.
Im Voraus schon einmal vielen Dank
Mit freundlichem Gruß
Johannes Fritsch
BBS Rodalben
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 17740
Url: https://administrator.de/contentid/17740
Printed on: April 25, 2024 at 11:04 o'clock
8 Comments
Latest comment
Hallo Johannes,
Das sehe ich auch so. Wenn man den Server in init 3 schickt ist KDE erstmal nicht mehr aktiv. Wenn man eine X11 Windows System benötig kann man KDE deinstall. und z.B. ICEWM http://www.icewm.org/ install. Wird von SuSE unterstützt.
Ich verwende in unserem Schulnetz (Grundschulen sowie Mittelschulen) ein Hardware Lösung zum Schutz "Dr.Kaiser PC-Wächter" http://www.dr-kaiser2.de/pc-waechter.0.html der sich über Remote ein und ausschalten läst. Er hat den Streßtest durch Mittelschüler mit 1 bestanden.
Auch da hat der PC Wächter eine Lösung siehe: LehrerConsole http://www.dr-kaiser2.de/lehrerconsole.0.html
Bei den anderen Fragen bin ich nicht ganz so kompetent da ich Windows 2000/2003 Server mit ADS am Start habe und Linux SuSE 9.3 Server mit Squid als Proxyserver mit Kinder- und Jugendschutzfilter einsetze.
Gruß Erik
Auf einem Server sollte meiner Meinung nach
auch kein KDE laufen.
auch kein KDE laufen.
Das sehe ich auch so. Wenn man den Server in init 3 schickt ist KDE erstmal nicht mehr aktiv. Wenn man eine X11 Windows System benötig kann man KDE deinstall. und z.B. ICEWM http://www.icewm.org/ install. Wird von SuSE unterstützt.
2. Möglichkeit, die Clients vor
Manipulation zu schützen.
Manipulation zu schützen.
Ich verwende in unserem Schulnetz (Grundschulen sowie Mittelschulen) ein Hardware Lösung zum Schutz "Dr.Kaiser PC-Wächter" http://www.dr-kaiser2.de/pc-waechter.0.html der sich über Remote ein und ausschalten läst. Er hat den Streßtest durch Mittelschüler mit 1 bestanden.
5. Der Internetzugang soll raumweise aus-
und eingeschaltet werden. IPTables oder
DansGuardian/Squid?)
und eingeschaltet werden. IPTables oder
DansGuardian/Squid?)
Auch da hat der PC Wächter eine Lösung siehe: LehrerConsole http://www.dr-kaiser2.de/lehrerconsole.0.html
Bei den anderen Fragen bin ich nicht ganz so kompetent da ich Windows 2000/2003 Server mit ADS am Start habe und Linux SuSE 9.3 Server mit Squid als Proxyserver mit Kinder- und Jugendschutzfilter einsetze.
Gruß Erik
Danke für deine Antwort,
zu 1.
Dass man KDE/X mit init 3 abschalten kann, war mir natürlich bewußt. Generell bin ich von SuSE nicht sehr begeistert *g* Ist vielleicht subjektiv, aber SuSE wirkt auf mich von Beginn an sehr zugemüllt.
zu 2.
Wächterkarten und Software zum Sperren des Schreibzugriffs auf die C:-Partition besitzen wir in großen Mengen. Interessant wird es aber, wenn man massenweise Updates einspielen will, etc. Eine interessante Alternative habe ich von M$ gefunden. Deren Lösung für Schulen und Internetcafes heißt "Shared Computer Toolkit". Es bietet die Möglichkeit, Updates in bestimmten Intervallen einzuspielen und schützt ebenfalls das C:-Laufwerk vor unbefugtem Zugang. Die Frage ist, wie es mit der Unterstützung von Samba steht. Generell lässt sich ein solcher PC wohl immer noch problemlos in ein Netzwerk integrieren. Ich lese mich gerade in das Handbuch ein. Hat jemand Erfahrungen damit?
zu 3.
Ich würde gerne ein Webinterface schreiben, um IPTables-Rules zu setzen. Damit wäre auch der unauthorisierte Gebrauch des Netzwerkes mit Laptops/PDAs gesichert. Ich glaube, damit fährt man besser, als mit einer Clientlösung. Meinungen?
Was ich noch vergaß. Wichtig ist eine zentrale Dateiverwaltung und eine Möglichkeit, Dateien an Schüler einer Klasse auszuteilen. Ich würde hier vorschlagen, die Dateien per Webskript hochzuladen und jeweils in ein Verzeichnis /home/schueler/hbfdob/schuelername zu verschieben. Ideen?
Mit freundlichem Gruß
Johannes Fritsch
BBS Rodalben
zu 1.
Dass man KDE/X mit init 3 abschalten kann, war mir natürlich bewußt. Generell bin ich von SuSE nicht sehr begeistert *g* Ist vielleicht subjektiv, aber SuSE wirkt auf mich von Beginn an sehr zugemüllt.
zu 2.
Wächterkarten und Software zum Sperren des Schreibzugriffs auf die C:-Partition besitzen wir in großen Mengen. Interessant wird es aber, wenn man massenweise Updates einspielen will, etc. Eine interessante Alternative habe ich von M$ gefunden. Deren Lösung für Schulen und Internetcafes heißt "Shared Computer Toolkit". Es bietet die Möglichkeit, Updates in bestimmten Intervallen einzuspielen und schützt ebenfalls das C:-Laufwerk vor unbefugtem Zugang. Die Frage ist, wie es mit der Unterstützung von Samba steht. Generell lässt sich ein solcher PC wohl immer noch problemlos in ein Netzwerk integrieren. Ich lese mich gerade in das Handbuch ein. Hat jemand Erfahrungen damit?
zu 3.
Ich würde gerne ein Webinterface schreiben, um IPTables-Rules zu setzen. Damit wäre auch der unauthorisierte Gebrauch des Netzwerkes mit Laptops/PDAs gesichert. Ich glaube, damit fährt man besser, als mit einer Clientlösung. Meinungen?
Was ich noch vergaß. Wichtig ist eine zentrale Dateiverwaltung und eine Möglichkeit, Dateien an Schüler einer Klasse auszuteilen. Ich würde hier vorschlagen, die Dateien per Webskript hochzuladen und jeweils in ein Verzeichnis /home/schueler/hbfdob/schuelername zu verschieben. Ideen?
Mit freundlichem Gruß
Johannes Fritsch
BBS Rodalben
Hallo,
Auch ein Mitleidener. Wir haben als EDV-Dienstleister auch an einer Schule mit der Windowsmusterloesung (aber auf besonderen Wunsch) mit MySHN gearbeitet.
Nach viel, viel aerger mit der Software funktioniert diese nun ohne erkennbaren grund auf einmal - ohne aendernungen durch uns.
Da die mySHN eine Selbstheilung bietet ist es moeglich (sofern sie funktioniert - bei uns zunaechst nicht der Fall, sondern erst durch Gesiterhand und wieder ohne Grund). Nachdem ein Image erstellt wurde ziehen es sich die clients per Selbstheilung automatisch.
Wie aber erwaehnt eine heikle Sache die funktioniert oder auch nicht.
Raumweise den Internetzugang zu sprren sollte mit IP-Tables kein Problem sein. Squid koennte man als Ergaenzug einsetzten, wenn man die Inhalte Filtern moechte (Jugendschutz)
Ich kenne die Linux Musterloesung nicht, in der Windows-Loesung gibt es aber die Sog. Raumkonsole welche ueber ein Webinterface das Einstellungen wie Internet und Drucken ermoeglicht.
Mit ein bischen Aufwand und Ergeiz laesst sich das relativ einfach unter Linux (z.b in Kombination mit CGI oder PHP) machen. Selbst hab ich sowas noch nicht getan aber duerfte da jeder PC einen Maschienenaccount hat, der seinem Rechnernamen entspricht nicht unmoeglich sein (wenn dann entsprechende PCs Raumweise in einer Raumgruppe sind etc.).
Ich hoffe geholfen zu haben. Ins Detail kann ich da leider auch nicht all zu weit gehen. Aber unter PHP gibt es eine funktion exec() (der so aenlich) die Shell befehele auf dem Server ausfuehrt.
Gruß,
Markus
Auch ein Mitleidener. Wir haben als EDV-Dienstleister auch an einer Schule mit der Windowsmusterloesung (aber auf besonderen Wunsch) mit MySHN gearbeitet.
Nach viel, viel aerger mit der Software funktioniert diese nun ohne erkennbaren grund auf einmal - ohne aendernungen durch uns.
Da die mySHN eine Selbstheilung bietet ist es moeglich (sofern sie funktioniert - bei uns zunaechst nicht der Fall, sondern erst durch Gesiterhand und wieder ohne Grund). Nachdem ein Image erstellt wurde ziehen es sich die clients per Selbstheilung automatisch.
Wie aber erwaehnt eine heikle Sache die funktioniert oder auch nicht.
Raumweise den Internetzugang zu sprren sollte mit IP-Tables kein Problem sein. Squid koennte man als Ergaenzug einsetzten, wenn man die Inhalte Filtern moechte (Jugendschutz)
Ich kenne die Linux Musterloesung nicht, in der Windows-Loesung gibt es aber die Sog. Raumkonsole welche ueber ein Webinterface das Einstellungen wie Internet und Drucken ermoeglicht.
Mit ein bischen Aufwand und Ergeiz laesst sich das relativ einfach unter Linux (z.b in Kombination mit CGI oder PHP) machen. Selbst hab ich sowas noch nicht getan aber duerfte da jeder PC einen Maschienenaccount hat, der seinem Rechnernamen entspricht nicht unmoeglich sein (wenn dann entsprechende PCs Raumweise in einer Raumgruppe sind etc.).
Ich hoffe geholfen zu haben. Ins Detail kann ich da leider auch nicht all zu weit gehen. Aber unter PHP gibt es eine funktion exec() (der so aenlich) die Shell befehele auf dem Server ausfuehrt.
Gruß,
Markus
Mit PHP kenne ich mich sehr gut aus. Ich programmiere bereits 7 Jahre in dieser Skriptsprache. Ich suche ehrlich gesagt ja auch keine Ratschläge zur Umsetzung, sondern viel mehr Ideen 
Also ich würde das mySHN gerne vollkommen aus dem Konzept nehmen. Alle Computer sind in ein paar Monaten auf Windows XP betrieben. Üblicherweise sollte man doch auch ohne Selbstheilung unter Windows XP einen Benutzer so einschränken können, dass er keinen Schaden an der Einheit anrichten kann. Ich denke da mal spontan an die oben erwähnte Microsoftlösung "Shared Computer Toolkit".
Die Idee wäre ein Linuxserver, betrieben unter Debian, mit Samba und einer ausgereiften Konfiguration in Kombination mit ein paar PHP-Skripten, die Aufgaben wie das Verteilen von Dateien und Klassen, die Internet- und Druckfreigabe, etc. übernehmen.
Generell tendiere ich auch zu Dansguardian, Squid und Iptables zum Einschränken von Services
Nochmals: Ich bitte nur um Kommentare zur Umsetzbarkeit, evtl. Erfahrungen mit "Windows XP im Schulnetz ohne Selbstheilung" (Jeder Schüler sollte ein serverseitig-gespeichertes Benutzerprofil besitzen und nimmt seine Arbeitsoberfläche mit von Platz zu Platz).
MfG
Johannes
Also ich würde das mySHN gerne vollkommen aus dem Konzept nehmen. Alle Computer sind in ein paar Monaten auf Windows XP betrieben. Üblicherweise sollte man doch auch ohne Selbstheilung unter Windows XP einen Benutzer so einschränken können, dass er keinen Schaden an der Einheit anrichten kann. Ich denke da mal spontan an die oben erwähnte Microsoftlösung "Shared Computer Toolkit".
Die Idee wäre ein Linuxserver, betrieben unter Debian, mit Samba und einer ausgereiften Konfiguration in Kombination mit ein paar PHP-Skripten, die Aufgaben wie das Verteilen von Dateien und Klassen, die Internet- und Druckfreigabe, etc. übernehmen.
Generell tendiere ich auch zu Dansguardian, Squid und Iptables zum Einschränken von Services
Nochmals: Ich bitte nur um Kommentare zur Umsetzbarkeit, evtl. Erfahrungen mit "Windows XP im Schulnetz ohne Selbstheilung" (Jeder Schüler sollte ein serverseitig-gespeichertes Benutzerprofil besitzen und nimmt seine Arbeitsoberfläche mit von Platz zu Platz).
MfG
Johannes
Zur umsetzung:
Nimm zwei server statt einen. Bei der Schule von der ich sprach ist ein server absolut ueberfordert.
Daher meine empfehlung.
Windows 2003 Server mit dem du dann auch die Sog. Gruppen- und Sicherheits- Richlinien verwenden kanst (Was genau darf der Nutzer) durch die du sehr genau festlegen kannst was er darf und nicht. Samba beherrscht dieese Windows eigenen Richtlinien (noch) nicht. Den Windows 2003 wuerd ich als Domaenenkontroller nehmen.
Einen Debian Linux Server fuer Internet, Mail, blablabla
Das ist meines erachtens die einzige wirklich funktionierende loesung ohne fragwuerdige Zusatzprogramme auf den Clients zu installieren. Ueber Gruppenrichtlinien lassen sich auch Programme freischalten und sperren.
Nimm zwei server statt einen. Bei der Schule von der ich sprach ist ein server absolut ueberfordert.
Daher meine empfehlung.
Windows 2003 Server mit dem du dann auch die Sog. Gruppen- und Sicherheits- Richlinien verwenden kanst (Was genau darf der Nutzer) durch die du sehr genau festlegen kannst was er darf und nicht. Samba beherrscht dieese Windows eigenen Richtlinien (noch) nicht. Den Windows 2003 wuerd ich als Domaenenkontroller nehmen.
Einen Debian Linux Server fuer Internet, Mail, blablabla
Das ist meines erachtens die einzige wirklich funktionierende loesung ohne fragwuerdige Zusatzprogramme auf den Clients zu installieren. Ueber Gruppenrichtlinien lassen sich auch Programme freischalten und sperren.
Windows 2k3 kostet für ein 400-Knoten-Netzwerk ein Vermögen, wenn ich mich nicht täusche, oder?
Klar. Win2k3 kostet auch fuer Schulen die das Billiger bekommen immer noch ein Vermögen. Allerdings muss man bedenken, dass die Rechtevergabe wie sie du dir wuenschst anders nur mit vielen zusatztool verschiedenster Hersteller realisieren laesst. Die Komplikationen der gegenseitigen stoerungen werden dich dann noch lange beschaeftigen.
Klar auch der wirklich nicht billige Win2k3 Server hat so seine Macken - gerade im Internetbereich - welche mit einem Debianserver aber ganz gut ausgeglichen werden koennen.
Ich bin wirklich ein Freund von Linux muss aber zugeben, dass Linux in einem Misch-Masch Netzwerk leider doch nicht alle moeglichkeiten von Windows bietet.
P.S. Die naechste Samba Version (5.0 wenn ich mich nicht irre) soll ueber die kompletten moeglichkeiten eines Win. Domaenenkontrollers verfuegen. Nur wann die raus kommt weiß ich nicht.
Klar auch der wirklich nicht billige Win2k3 Server hat so seine Macken - gerade im Internetbereich - welche mit einem Debianserver aber ganz gut ausgeglichen werden koennen.
Ich bin wirklich ein Freund von Linux muss aber zugeben, dass Linux in einem Misch-Masch Netzwerk leider doch nicht alle moeglichkeiten von Windows bietet.
P.S. Die naechste Samba Version (5.0 wenn ich mich nicht irre) soll ueber die kompletten moeglichkeiten eines Win. Domaenenkontrollers verfuegen. Nur wann die raus kommt weiß ich nicht.
Sorry, aber soviel Budget ist einfach nicht da Ich hätte auch gerne ein richtiges Windows-Netzwerk, aber das ist einfach nicht machbar. Daher würde ich vorschlagen, wir bleiben einfach bei Samba, bis die Schule merkt, dass Sie auf einer Goldader gebaut wurde *g*
MfG
JF
Ich hätte auch gerne ein richtiges Windows-Netzwerk, aber das ist einfach nicht machbar. Daher würde ich vorschlagen, wir bleiben einfach bei Samba, bis die Schule merkt, dass Sie auf einer Goldader gebaut wurde *g*MfG
JF
