Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schulnetz Administration

Frage Microsoft Windows Server

Mitglied: mateusz1710

mateusz1710 (Level 1) - Jetzt verbinden

21.09.2010, aktualisiert 12:10 Uhr, 3486 Aufrufe, 6 Kommentare, 1 Danke

Liebe Admingemeinde, ich bin ein Netzwerk und Systemadministartor an einem großen Berufskolleg. Ich habe zur Zeit 6 physikalische und 3 virtuelle Server unter mir, sowie knapp 500Clients (XP/WIN7). Da ich dieses Netz ausschließlich alleine betreue habe ich gewisse Anforderungen an das System und nun hab ich mehrere Probleme/Fragen:

Zum Sachverhalt:

Linux Proxy: Dort werden die PC´s Raumweise für das Internet freigeschaltet durch die Lehrer.
Moodle Linux Server
Web Server
2* DC/DNS Windows 2008 Standart R2 64bit

1 * ESXi mit 3 Windows 2008 Standart R2 64bit Servern

500 Clients (ca.50 XP Pro / Rest Windows 7)

Da ich hier in einer Schulnetz Umgebung mich befinde habe ich mehrere Anforderungen an das Netz die alle zusammen wohl kaum bei normalen Firmen zum tragen kommen.



Was bereits funktionsfähig konfiguriert ist:

Login/Logout Protokollierung (An welchem PC, in welchem Raum hat sich der Schüler / Lehrer angemeldet/abgemeldet
Anlegen der kompletten Schule im AD innerhalb von 2 Std ( Selbstgeschriebenes VB Tool, was in 2 Std rund 3000 Schüler mit Profilen/Homeverzeichnissen und Sicherheitsgruppen anlegt )
Druckerprotokollierung (Welcher Benutzer hat wann,wo und was gedruckt?)



Was noch in Planung ist:

Internetprotokollierung, sowie einfache Auswertung (vorzugsweise mit einem Tool)


Zur Zeit arbeite ich mit den 3 Terminalservern im Testmodus um 1. die Belastung der Server zu testen und 2. die genaue Anzahl der CALs berechnen zu können.

Sachverhalt:
Ich habe einen Benutzer "remote" erstellt welcher erstmal von den Schülern genutzt wird um sich automatisch auf den ersten TS zu verbinden. Das klappt soweit. (Gerade getestet)
Drucker die per GPO dem Raumzugewiesen sind werden erfolgreich mitgenommen

Folgende Probleme habe ich dabei:

Die Internetfreischaltung funktioniert nicht so wie ich das möchte. Das bedeutet der TS ist dauerhaft mit dem Internet verbunden und durch die remote Anmeldung am TS können die Schüler dauerhaft surfen.
Serverbasierte Profile bei ganzen Bildungsgängen (.man (Mandatory))
Jetzt zu meiner frage:


Durch den Linux Server (Proxy/Gateway) werden hier bei uns die IP Adressen der Clients explizit freigeschaltet. Wäre es möglich dies mit dem Terminalserver ebenfalls umzusetzen? Ich möchte ungern 1 TS pro Raum installieren müssen. Vielleicht gibts ja die möglichkeit für den Benutzer (Schüler) per GPO den wahlweise gesperrten oder freigeschalteten Client als Proxy zuzuweisen und dadurch sicherzustellen dass die Internetfreischaltung weiter wie gehabt funktioniert? Einziger hacken bei der Geschichte ist wenn die Schüler sich am Client nicht mit Ihrem Anmeldenamen anmelden sondern mit remote!


Vielleicht habt ihr ja Ideen ) Ich freue mich immer über konstruktive Ideen / Kritik


mfg

Mattes
Mitglied: aqui
21.09.2010 um 14:13 Uhr
Was noch in Planung ist: Internetprotokollierung
Was meinst du damit genau ??
  • Traffic also welche IP oder welches Protokoll verursacht welchen Traffic ?
  • Benutzerverhalten, welcher benutzer surft wohin und wieviel ?
  • Allgemeine Auslastung des Internet Router Interfaces
  • usw. usw.
Das Wort Internetprotokollierung ist ein sehr weiter und dehnbarer Begiff wie du vermutlich selber weisst...
Bitte warten ..
Mitglied: mateusz1710
21.09.2010 um 21:52 Uhr
Ich möchte gerne wissen welcher Benutzer des AD, wo und wie lange surft, sowie eine top 20 auflistung besuchter seiten. Am besten wäre eine grafische auswertung, weiss nich was es da so an einfachen progs gibt
Bitte warten ..
Mitglied: dog
21.09.2010 um 23:54 Uhr
500 Clients und dann machst du das wahrscheinlich als Lehrer noch nebenberuflich?
Mal ehrlich: Das sind Zahlen wo jedes Unternehmen 3-4 Admins festeingestellt hätte und selbst für eine Schule ist es bei der Anzahl dreist, das nicht zu haben.

Und zum Thema Proxy: Du kannst keine effiziente Internetsteuerung über IP-Adressen in der Schule machen.
Das ist schlicht nicht möglich, außer du benutzt Domain-Isolation (und das ist so komplex, dass es kaum einer wagt).

Also mach es auf Benutzerebene.
Es ist kein Problem, dass ein Proxy die Benutzerdaten gegen AD prüft und die Freigabe entsprechend an diese Konten zu koppeln.
Allerdings darf es dann keine Gruppenkonten geben, denn Passwörter wandern in der Schule - immer.

Und zum Thema Linux als Proxy: Mach dich über die rechtlichen Vorgaben deines Bundeslandes schlau.
Evtl. seid ihr verpflichtet das BPjM-Modul zu verwenden und das gibt es nur für kommerzielle Software wie Time-for-Kids (leider).

Das Thema Internetprotokollierung in Schulen ist ein Streitpunkt, zu dem jeder Softwarehersteller sofort sagen wird: "Aber klar, das müssen sie sogar machen".
Ich habe dazu eine diametral andere Meinung und zumindest der Elternbeirat sollte unbedingt zustimmen.
Bitte warten ..
Mitglied: mateusz1710
22.09.2010 um 09:10 Uhr
Ne ich bin kein Lehrer, ich mache das komplett als Angestellter der Schule, muss also kein Unterricht geben oder so.

Also den Zugriff an sich steuere ich über eine Selbstentwickelte Linux-Firewall, die Firewall hat eine Weboberfläche wo ich bzw. der anwesende Lehrer einzelne Rechner innerhalb von Sekunden Internetfähig machen kann. Das funktioniert gut, nur halt eben nicht auf dem Terminalserver, er ist geplant für mehrere Räume, somit fällt meine Internetfreischaltung flach, oder ich sperre die entsprechenden Räume quasi alle.

Die Internetprotokollierung will ich nicht machen um die Schüler zu überprüfen sondern um die Leitung schneller zu kriegen, da viele zb. YouTube aufrufen und Videos hier gucken, das zeiht die Leitung zu. Desweiteren unterschreibt jeder Schüler eine Verpflichtungserklärung wo das ganze haargenau dokumentiert wird, was alles protokolliert wird und was für Konsequenzen dem jenigen dann drohen. Zb. bei unsachgemäßer Benutzung der Drucker wird eine kostenbeteiligung in Erwägung gezogen, über eine Spende an den Förderverein.

Wir sind dazu nicht verpflichtet, wir haben uns eine Befreiung der ganzen Time-for-kids Geschichte eingeholt, denn wir fahren kein Schulgerechtes Netzwerk, wir haben spezielle Bildungsgangnezogene Software die vom Schulgerechten Netzwerk nicht supported wird.

dog bist du auch ein Admin an einer Schule oder woher kennste das Program??

Was bedeutet Domain Isolation, komplex ist kein Problem, ich bin jung und traue mir einiges zu, wie geht man da vor und was für Vorraussetzungen muss man da schaffen??

mfg
Bitte warten ..
Mitglied: dog
22.09.2010 um 20:30 Uhr
dog bist du auch ein Admin an einer Schule oder woher kennste das Program??

Eher ein Hobby.

Was bedeutet Domain Isolation,

Domain Isolation bedeutet zertifikatbasiertes IPSec auf jedem Rechner.
Bei Domain Isolation kommuniziert ein Server nur noch mit PCs die ein akzeptiertes IPSec-Zertifikat und eine verschlüsselte Kommunikation vorweisen können.
Das ganze funktioniert nur wenn du VLAN-fähige Switche hast (und somit alle Printserver etc. aus dem Netz ziehen kannst) und dein Netzwerk ein reines Windows-Netzwerk ist.
Außerdem brauchst du eine funktionierende Zertifizierungsstelle, der auch alle Rechner vertrauen.
Dann kannst du Domain Isolation einrichten, aber dazu gibt es praktisch kein brauchbares Dokument von Microsoft für den Aufbau und leicht ist es nicht...
Bitte warten ..
Mitglied: mateusz1710
24.09.2010 um 11:19 Uhr
Also das scheidet bei mir aus, ist viel zu umständlich. Ich brauche was simples was die Internetprotokollierung anbetrifft.

Desweiteren hat jmd. von euch erfahrung mit den neuen Profilen?? Die werden ja mit .V2 abgespeichert.

Was ich bislang testen konnte:
Auf dem Server 2008 R2 habe ich eine Klasse angelegt und allen ein Profil zugewiesen, und es zu mandatory umfunktioniert. Wenn ich einen XP Client innerhalb der Domäne verwende klappt es. Sobald ich Windows 7 als Client nutze klappt die Anmeldung mit der besagten Klasse nicht mehr.

Ich möchte diese ständige Profil -erzeugerei/laderei unterbinden. Habt ihr Ideen??


Ist echt beknackt alles hier.. .
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
TK-Netze & Geräte
gelöst Administration Alcatel Telefonanlage (7)

Frage von malungo zum Thema TK-Netze & Geräte ...

Schulung & Training
Wie komme ich in den Bereich Server Administration (4)

Frage von ITsupportguy zum Thema Schulung & Training ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...