Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schulnetz Administration

Frage Microsoft Windows Server

Mitglied: mateusz1710

mateusz1710 (Level 1) - Jetzt verbinden

21.09.2010, aktualisiert 12:10 Uhr, 3548 Aufrufe, 6 Kommentare, 1 Danke

Liebe Admingemeinde, ich bin ein Netzwerk und Systemadministartor an einem großen Berufskolleg. Ich habe zur Zeit 6 physikalische und 3 virtuelle Server unter mir, sowie knapp 500Clients (XP/WIN7). Da ich dieses Netz ausschließlich alleine betreue habe ich gewisse Anforderungen an das System und nun hab ich mehrere Probleme/Fragen:

Zum Sachverhalt:

Linux Proxy: Dort werden die PC´s Raumweise für das Internet freigeschaltet durch die Lehrer.
Moodle Linux Server
Web Server
2* DC/DNS Windows 2008 Standart R2 64bit

1 * ESXi mit 3 Windows 2008 Standart R2 64bit Servern

500 Clients (ca.50 XP Pro / Rest Windows 7)

Da ich hier in einer Schulnetz Umgebung mich befinde habe ich mehrere Anforderungen an das Netz die alle zusammen wohl kaum bei normalen Firmen zum tragen kommen.



Was bereits funktionsfähig konfiguriert ist:

Login/Logout Protokollierung (An welchem PC, in welchem Raum hat sich der Schüler / Lehrer angemeldet/abgemeldet
Anlegen der kompletten Schule im AD innerhalb von 2 Std ( Selbstgeschriebenes VB Tool, was in 2 Std rund 3000 Schüler mit Profilen/Homeverzeichnissen und Sicherheitsgruppen anlegt )
Druckerprotokollierung (Welcher Benutzer hat wann,wo und was gedruckt?)



Was noch in Planung ist:

Internetprotokollierung, sowie einfache Auswertung (vorzugsweise mit einem Tool)


Zur Zeit arbeite ich mit den 3 Terminalservern im Testmodus um 1. die Belastung der Server zu testen und 2. die genaue Anzahl der CALs berechnen zu können.

Sachverhalt:
Ich habe einen Benutzer "remote" erstellt welcher erstmal von den Schülern genutzt wird um sich automatisch auf den ersten TS zu verbinden. Das klappt soweit. (Gerade getestet)
Drucker die per GPO dem Raumzugewiesen sind werden erfolgreich mitgenommen

Folgende Probleme habe ich dabei:

Die Internetfreischaltung funktioniert nicht so wie ich das möchte. Das bedeutet der TS ist dauerhaft mit dem Internet verbunden und durch die remote Anmeldung am TS können die Schüler dauerhaft surfen.
Serverbasierte Profile bei ganzen Bildungsgängen (.man (Mandatory))
Jetzt zu meiner frage:


Durch den Linux Server (Proxy/Gateway) werden hier bei uns die IP Adressen der Clients explizit freigeschaltet. Wäre es möglich dies mit dem Terminalserver ebenfalls umzusetzen? Ich möchte ungern 1 TS pro Raum installieren müssen. Vielleicht gibts ja die möglichkeit für den Benutzer (Schüler) per GPO den wahlweise gesperrten oder freigeschalteten Client als Proxy zuzuweisen und dadurch sicherzustellen dass die Internetfreischaltung weiter wie gehabt funktioniert? Einziger hacken bei der Geschichte ist wenn die Schüler sich am Client nicht mit Ihrem Anmeldenamen anmelden sondern mit remote!


Vielleicht habt ihr ja Ideen ) Ich freue mich immer über konstruktive Ideen / Kritik


mfg

Mattes
Mitglied: aqui
21.09.2010 um 14:13 Uhr
Was noch in Planung ist: Internetprotokollierung
Was meinst du damit genau ??
  • Traffic also welche IP oder welches Protokoll verursacht welchen Traffic ?
  • Benutzerverhalten, welcher benutzer surft wohin und wieviel ?
  • Allgemeine Auslastung des Internet Router Interfaces
  • usw. usw.
Das Wort Internetprotokollierung ist ein sehr weiter und dehnbarer Begiff wie du vermutlich selber weisst...
Bitte warten ..
Mitglied: mateusz1710
21.09.2010 um 21:52 Uhr
Ich möchte gerne wissen welcher Benutzer des AD, wo und wie lange surft, sowie eine top 20 auflistung besuchter seiten. Am besten wäre eine grafische auswertung, weiss nich was es da so an einfachen progs gibt
Bitte warten ..
Mitglied: dog
21.09.2010 um 23:54 Uhr
500 Clients und dann machst du das wahrscheinlich als Lehrer noch nebenberuflich?
Mal ehrlich: Das sind Zahlen wo jedes Unternehmen 3-4 Admins festeingestellt hätte und selbst für eine Schule ist es bei der Anzahl dreist, das nicht zu haben.

Und zum Thema Proxy: Du kannst keine effiziente Internetsteuerung über IP-Adressen in der Schule machen.
Das ist schlicht nicht möglich, außer du benutzt Domain-Isolation (und das ist so komplex, dass es kaum einer wagt).

Also mach es auf Benutzerebene.
Es ist kein Problem, dass ein Proxy die Benutzerdaten gegen AD prüft und die Freigabe entsprechend an diese Konten zu koppeln.
Allerdings darf es dann keine Gruppenkonten geben, denn Passwörter wandern in der Schule - immer.

Und zum Thema Linux als Proxy: Mach dich über die rechtlichen Vorgaben deines Bundeslandes schlau.
Evtl. seid ihr verpflichtet das BPjM-Modul zu verwenden und das gibt es nur für kommerzielle Software wie Time-for-Kids (leider).

Das Thema Internetprotokollierung in Schulen ist ein Streitpunkt, zu dem jeder Softwarehersteller sofort sagen wird: "Aber klar, das müssen sie sogar machen".
Ich habe dazu eine diametral andere Meinung und zumindest der Elternbeirat sollte unbedingt zustimmen.
Bitte warten ..
Mitglied: mateusz1710
22.09.2010 um 09:10 Uhr
Ne ich bin kein Lehrer, ich mache das komplett als Angestellter der Schule, muss also kein Unterricht geben oder so.

Also den Zugriff an sich steuere ich über eine Selbstentwickelte Linux-Firewall, die Firewall hat eine Weboberfläche wo ich bzw. der anwesende Lehrer einzelne Rechner innerhalb von Sekunden Internetfähig machen kann. Das funktioniert gut, nur halt eben nicht auf dem Terminalserver, er ist geplant für mehrere Räume, somit fällt meine Internetfreischaltung flach, oder ich sperre die entsprechenden Räume quasi alle.

Die Internetprotokollierung will ich nicht machen um die Schüler zu überprüfen sondern um die Leitung schneller zu kriegen, da viele zb. YouTube aufrufen und Videos hier gucken, das zeiht die Leitung zu. Desweiteren unterschreibt jeder Schüler eine Verpflichtungserklärung wo das ganze haargenau dokumentiert wird, was alles protokolliert wird und was für Konsequenzen dem jenigen dann drohen. Zb. bei unsachgemäßer Benutzung der Drucker wird eine kostenbeteiligung in Erwägung gezogen, über eine Spende an den Förderverein.

Wir sind dazu nicht verpflichtet, wir haben uns eine Befreiung der ganzen Time-for-kids Geschichte eingeholt, denn wir fahren kein Schulgerechtes Netzwerk, wir haben spezielle Bildungsgangnezogene Software die vom Schulgerechten Netzwerk nicht supported wird.

dog bist du auch ein Admin an einer Schule oder woher kennste das Program??

Was bedeutet Domain Isolation, komplex ist kein Problem, ich bin jung und traue mir einiges zu, wie geht man da vor und was für Vorraussetzungen muss man da schaffen??

mfg
Bitte warten ..
Mitglied: dog
22.09.2010 um 20:30 Uhr
dog bist du auch ein Admin an einer Schule oder woher kennste das Program??

Eher ein Hobby.

Was bedeutet Domain Isolation,

Domain Isolation bedeutet zertifikatbasiertes IPSec auf jedem Rechner.
Bei Domain Isolation kommuniziert ein Server nur noch mit PCs die ein akzeptiertes IPSec-Zertifikat und eine verschlüsselte Kommunikation vorweisen können.
Das ganze funktioniert nur wenn du VLAN-fähige Switche hast (und somit alle Printserver etc. aus dem Netz ziehen kannst) und dein Netzwerk ein reines Windows-Netzwerk ist.
Außerdem brauchst du eine funktionierende Zertifizierungsstelle, der auch alle Rechner vertrauen.
Dann kannst du Domain Isolation einrichten, aber dazu gibt es praktisch kein brauchbares Dokument von Microsoft für den Aufbau und leicht ist es nicht...
Bitte warten ..
Mitglied: mateusz1710
24.09.2010 um 11:19 Uhr
Also das scheidet bei mir aus, ist viel zu umständlich. Ich brauche was simples was die Internetprotokollierung anbetrifft.

Desweiteren hat jmd. von euch erfahrung mit den neuen Profilen?? Die werden ja mit .V2 abgespeichert.

Was ich bislang testen konnte:
Auf dem Server 2008 R2 habe ich eine Klasse angelegt und allen ein Profil zugewiesen, und es zu mandatory umfunktioniert. Wenn ich einen XP Client innerhalb der Domäne verwende klappt es. Sobald ich Windows 7 als Client nutze klappt die Anmeldung mit der besagten Klasse nicht mehr.

Ich möchte diese ständige Profil -erzeugerei/laderei unterbinden. Habt ihr Ideen??


Ist echt beknackt alles hier.. .
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Router für Schulnetz
gelöst Frage von WaishonLAN, WAN, Wireless15 Kommentare

Hallo, wir planen aktuell unsere WLAN Netzwerkinfrastruktur zu erweitern. Dazu würden wir ganz gerne Accesspoints aus der Ubiquiti Unifi ...

PHP
Bachelorthesis: Administration von PC - Pools
Frage von MARVionPHP4 Kommentare

Hallo zusammen, ich bin froh, dass ich auf euer Forum gestoßen bin. Ich beschäftige mich erst seit kurzem mit ...

Hyper-V
VHost Domänenbeitritt und Administration
Frage von JudgeDreddHyper-V7 Kommentare

Hallo Zusammen, überwiegend zu Lernzwecken, habe ich mich entschlossen, im privaten Umfeld einen vHost aufzusetzen. Aufgrund der besseren Hardwareunterstützung ...

E-Mail
Rechtliche Grundlagen für Mail-Administration
gelöst Frage von TutterE-Mail3 Kommentare

Eigentlich beschäftige ich mich seit Jahren mit der Thematik nur gelegentlich und kenne nur ein paar Rahmenbedingungen. Nun scheint ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 1 StundePerl1 Kommentar

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 2 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 108 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless11 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Wieso kann ich den UPD 7000-9000 nicht freigeben?
Frage von Jayk0bRouter & Routing8 Kommentare

Router: Telekom W 723V Ports: UDP 7000-9000 Können nicht frei gegeben werden. Benutzgrund: Rocket League 7000 – 9000 UDP ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...