Samstag, 5. Dezember 2009

Rückblick Modul 4a - Betrieb, Wartung, Installation


Als Einstieg in diese weitgreifende Thematik haben wir Themen gesammelt, die uns im Alltag als Informatikverantwortliche innerhalb dem Rahmen von "Betrieb, Wartung und Installation" beschäftigen. Diese haben wir versucht in Gruppen zusammenzufassen und dann in einer Gruppendiskussion mit wechselnden Teilnehmern mit Inhalt und Erfahrungen auf Plakaten zu sammeln. (die Plakatinhalte werden dann noch von Urs Sonderegger zusammengefasst.)
Nachfolgend sind auf einem Mindmap die Themen zu sehen. Zu den für mich neuen Inhalten habe ich mir Notizen gemacht:





  • Helpdesk- Tool (gratis): OTRS Helpdesk - dieses Tool ist gut dazu, dass Lehrer über eine Maske Probleme schildern können und dann die Probleme an die zuständige Person zugewiesen werden kann. - Das Problem ist, dass die LP dies oft nicht benützen, da sie lieber per Email die Probleme schildern.
  • Sharepoint Services: Dieser Dienst kann auf dem Server aktiviert werden - so kann ein webbasiertes Intranetportal  erstellt werden, wo Termine ausgetauscht, Daten abgelegt werden können - es gibt noch viele weitere Funktionen - es lohnt sich in diese Thematik zu vertiefen!
  • Netzwerkdokumentation: Microsoft Visio als Lösung für eine lückenlose und klare Dokumentation von einem Netzwerk - ist auch zur Fehlersuche eine gute Lösung - so können Fehlerquellen von aussen nach innen eingekreist und lokalisiert werden. Je nachdem kann diese Dokumentation sehr detailliert sein und bis zum letzten Kabel alle Verbindungen registriert werden.
  • WDS-Server: Dies ist ein Dienst des Servers, der eine Softwareverteilung auf die Clients möglich macht. Diese Software kann auch aus Updates, aus MSI-Dateien, usw. bestehen. Der WDS - Server kann auch selber MSI-Dateien erstellen. - Die Verteilung wird über die Gruppenrichtlinien geleitet.
  • Monitoring:  Konfigurierbare Switches können auch mit entsprechenden Tools überwacht werden. Net IO ist eine Gratissoftware, die eine  Überprüfung und Diagnose von Netzwerkproblemen ermöglicht.
  • Switch: Oft bereiten alte Switches Netzwerkprobleme, manchmal beheben Firmware-Updates solche Probleme.
  • Dirman: Software zum Verwalten von Profilen und zur Veränderung derselben.
  • Profile verwalten: Gruppenrichtlinien erstellen, User in Gruppen zusammenfassen, eine Scriptlösung für die Löschung von unnötigen Profildaten beim Login- und Logoutvorgang.
  • Net-Boot: Dies ist eine Software für die standardisierte Installation von Betriebsystemen auf mehreren Clients.
  • NEW-SID: Wenn mit einem Clone-Image-Programm wie Acronis Computer geklont werden ergeben sich im Netzwerk oft SID - Identitätsprobleme, die mit dem kleinen Softwaretool New-sid behoben werden können. Es ist aber wichtig, dass diese Software vor dem Anschliessen des geklonten Computers ans Netzwerk ausgeführt wird.

Am Nachmittag haben wir die Theorie gebüffelt über die Netzwerktechnologie, dazu gab es eine Dokumentation von 81 Seiten. Dieser Umfang macht es offensichtlich, dass es schwierig ist das einfach zusammenzufassen und in eine lesbare Prosaform zu bringen. Zudem gelang es mir nicht, über die ganze Strecken von 81 Seiten aufmerksam zuzuhören, da ich Vieles schon wusste und deshalb Neues herausfilter musste.
Hier aber eine Filmdatei, die wirklich als gute Zusammenfassung dienen kann und in allgemeinverständlicher Sprache die einzelnen Netwerkvorgänge erklärt.




 Quelle: Youtube

Am Samstag haben wir direkt mit Computern ein Netzwerk zusammengebaut und konfiguriert. Hier meine Notizen, die zwar etwas chaotisch wirken, aber mir geholfen haben, neue Inhalte mit meinem Vorwissen zu verknüpfen und einzuordnen. Ich hoffe, dass auch ein anderer Leser irgendwie etwas sinnbringendes aus diesen Wortabfolgen machen kann.

Netzwerkbefehle - Ideen und neue Inhalte:
  • Ipconfig/all : Dieser Befehl  gibt  detaillierte Angaben über meine Netzwerkkarten und Netzwerkadressen   
  • Jede Netzwerkkarte hat eine eigene MAC-Adresse, die gleichzeitig auch die MAC-Adresse des Computers im Netzwerk ist. Falls der Computer also über WLAN am Netz ist, hat er eine andere MAC - Adresse als im LAN. 
  • Die Haupt-DNS-Server von Swisscom sind: 195.186.1.110 /195.186.1.107 - können immer als DNS-Server verwendet werden!Mit F5 kann ein Befehl wiederholt werden - in der Eingabeaufforderung! Mit F3 ebenfalls , mit Pfeiltaste nach oben ebenfalls, mit Control - c kann der Pingversuch abgebrochen werden. 
  • Das ARP-Protokoll ist dazu da, zwischen IP-Adressen und MAC-Adressen zu übersetzen 
  • Nslookup: per nslookup können die Auflösung von IP-Adressen im Netz und der Domäne abgefragt werden. Wenn man nslookup einfach allein eingibt, dann erhält man die Auflösung des lokalen Servers 


 Wireshark - zum Protokollieren des Netzwerkprotokolls: 
  • Zuerst konfigurieren: unter Edit-Preferences-Capture das Häkchen bei Capture "packets in promiscuous mode" deaktivieren, dann unter Capture - Interfaces - die Aufzeichnung starten! 
  • Um zwei PC's über einen Switch zu verbinden, muss nur die gleiche Netzwerk - IP-Adressfarm genommen werden, die beiden Computer mit der gleichen Subnetzmaske bestückt werden und schon läuft die Verbindung! 
  • Wireshark zeichnet genau auf, was abläuft, man kann die ganze Wireaktivität beobachten und allenfalls auswerten! Sämtliche Daten die so aus einem Computer ins Netz und zurück gesendet werden können aufgezeichnet und anschliessend angesehen werden. Oft werden sogar die Passwörter nicht verschlüsselt weitergegeben!
     
Aufbau eines Beispiel-Schulnetzwerkes:
  • DMZ-Zone im Netzwerk: Das ist eine Zone, die von aussen (sprich dem Web) zugänglich ist und deshalb gegen innen durch eine Firewall abgeschirmt ist.


    Quelle: Dokumentation von Urs Sonderegger

    Hier noch die tatsächliche Topographie des Netzwerkes, das wir zusammengestellt haben:


    Quelle: Iphone-Kamera


    1. Layer-3 - Switch konfigurieren: oft werden die Standarteinstellungen nicht verändert und das Passwort einfach belassen (Passwort Beispiel: 1234). Dies ist schon eine erste Sicherheitsschwachstelle. Aufgaben: Login und Passwort festlegen, allenfalls Benutzer, SMTP - Protokoll aktivieren, um Email über Fehlermeldungen zu bekommen, virtuelles Netz für Drucker einrichten, Ports aktivieren und Namen geben und LAN definieren, Funktionen auf verschiedene Geräte verteilen. Durch erstellen von verschiedenen VLANs können die Regeln für den Zugriff von einem virtuellen Netz auf das andere virtuelle Netz festgelegt werden.  Die Metrik auf einem Switch ist im Prinzip immer die Nummer 1 (Static Router - metric immer 1), als Gateway wird jeweils die vordefinierte IP-Adresse des zugewiesenen Ports definiert. GVRP ist das virtuelle Protokoll, RIP ist das Protokoll des Austausches von Routerprotokollen. Das DMZ-Netz nimmt man am besten immer auf eine spezielle IP-Adresse wie zum Bespiel 192.168.99.0! So fällt er auf und es ist dem Administrator bewusst, dass er speziell behandelt werden muss.
    2. LAN Tests (fixe IP):  Die LAN-Tests werden durch Ping-Abfragen zwischen den einzelnen V-LAN- IP-Farmen durchgeführt. Falls die jeweiligen IP-Ping-Abfragen funktionieren, sind die Verbindungen korrekt konfiguriert und alle Switches haben Strom... : )
    3. DHCP-Server: Auf dem DHCP können die vordefinierten IP-Adressbereiche zugewiesen werden, so können für Schüler-PC's zum Beispiel alle IP-Adressen der Farm 192.168.10.0-254 vergeben werden und gehen durch den vordefinierten Port auf dem Layer-3-Switch. Somit können die Adressen auch nur innerhalb einer einzigen Farm automatisch verteilt werden. Es macht sinn immer einen primären und einen sekundären DHCP-Server zu haben, die bei Ausfällen sich ergänzen. Bei jedem Windows - Server ist der DNS-Server und der DHCP-Server schon enthalten. DHCP-Bereiche gibt man immer nur von 1 bis 253 an, wenn noch ein Platz für eine fixe IP (z. Bsp. ein Router) freigehalten werden muss. 
    4. DHCP Test: Durch das Aufstarten eines Computers ohne fixe IP kann kontrolliert werden, ob eine IP zugewiesen wird. 
    5. Firewall: DMZ-Test, www-Test - Variante, der Default Gateway muss immer 0.0.0.0 sein, der Standard Gateway ist dann die Firewall. Drei Möglichkeiten der Filterung in einer Firewall: Content filter, Paketfilter und Protokollfilter. Bei gewissen Firewalls werden RIP-Directions auf beide Seiten weitergeleitet. Das macht Sinn, wenn sie vor ein ganzes Netzwerk geschaltet sind. Durch MAC-Spoofing kann eine falsche MAC-Adresse der Firewall nach aussen angegeben werden, was einen Hackerangriff weniger wahrscheinlich macht. Unter "Static Route" müssen die Pfade der einzelnen Farmen eingetragen werden. So weiss die  Firewall welche Netzwerke hinter dem Switch hangen und welche Inhalte somit dorthin geschickt werden müssen. (Aktivieren nicht vergessen!) Metricangaben sagen, über wieviele Router oder Swiches es geht, bis man im Netz anlangt. So kann das von Metric 1 bis zum Beispiel Metric 3 gehen, wenn drei Switches angehängt sind.
       




    Eingestellt von um 2 Kommentare:
    Abonnieren Posts (Atom)