Netzwerkverwaltung: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 28: | Zeile 28: | ||
* '''Switch''' Switche im Netz. | * '''Switch''' Switche im Netz. | ||
* '''ThinClient''' Thinclients im Netz. | * '''ThinClient''' Thinclients im Netz. | ||
+ | * '''cloneProxy''' Für das Klonen für WLAN Geräten | ||
Zu den Gerätekonfigurationen werden durch das Klonen, während des Erstellen des Masterimages Partitionen zugewiesen. Die Partitionen haben folgende Parameter | Zu den Gerätekonfigurationen werden durch das Klonen, während des Erstellen des Masterimages Partitionen zugewiesen. Die Partitionen haben folgende Parameter | ||
Zeile 55: | Zeile 56: | ||
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden. | *'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden. | ||
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet. | *'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet. | ||
+ | *'''cloneProxy''' Für das Klonen für WLAN Geräten | ||
== Räume == | == Räume == |
Version vom 3. November 2020, 15:55 Uhr
Inhaltsverzeichnis
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Schulräumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen. Die Netzwerkverwaltung erfolgt anhand folgende Objekten:
- Gerätekonfigurationen
- Räume
- Geräte
- DNS-Einträge
1 Hardwarekonfigurationen
Die an CRANIX registrierten Geräte müssen in sog Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parameter erstellt.
Parametername | Beschreibung | Syntax |
---|---|---|
name | Der Name der Gerätekonfiguration | Max 32 Zeichen |
description | Ausführliche Beschreibung der Gerätekonfiguration | Max 64 Zeichen, kann leer sein |
deviceType | Die Art der Geräte | Nur vorhandene Werte können verwendet werden |
Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:
- FatClient Normale stationäre oder mobile Rechner, die in Schuleigentum sind. Nur für Rechner die in solchen Gerätenkonfiguration sind, wird SALT-Konfiguration und Workstationsbenutzer erstellt.
- BYOD Private Geräte von den Benutzern.
- Printer Netzwerkdrucker.
- Server Zusätzliche Server im Netz.
- Switch Switche im Netz.
- ThinClient Thinclients im Netz.
- cloneProxy Für das Klonen für WLAN Geräten
Zu den Gerätekonfigurationen werden durch das Klonen, während des Erstellen des Masterimages Partitionen zugewiesen. Die Partitionen haben folgende Parameter
Parametername | Beschreibung | Syntax | Bemerkung |
---|---|---|---|
name | Der Kerneldevicename der Partition | Wird vom CloneTool ermittelt. (sda1, sda2 ...) | |
description | Ausführliche Beschreibung der Partition | Max 64 Zeichen. Boot, System ... | |
OS | Operationssystem auf der Partition | Nur vorhandene Werte können verwendet werden: Win10, Win8, Win7, WinBoot, Linux, Data | |
joinType | Windows Domainjoin | Nur vorhandene Werte können verwendet werden: no, Domain | Wird nur bei OS==Win10, Win8, Win7 verwendet |
tool | Das verwendete Imagingtool | Nur vorhandene Werte können verwendet werden: partclone, partimage, dd, dd_rescue | |
format | Filesystem auf der Partition | Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no | Wird nur bei OS==Data verwendet |
Beim CRANIX erfolgt die automatische Umbenennung von Rechner und ggf die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner in einer Gerätekonfigurationen mit FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert. Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.
Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
- Win10-64-Domain Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
- Win10-64-no-Domain Rechner die vom CRANIX per SaltStack verwaltet werden, sind aber nicht AD-Domänen-Mitglied.
- Server Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
- BYOD Bring Your Own Device Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
- cloneProxy Für das Klonen für WLAN Geräten
2 Räume
Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden. Beim anlegen können/müssen folgende Angaben gemacht werden:
Parametername | Syntax | Verfügbare Werte | obligatorisch | änderbar | Verweis |
---|---|---|---|---|---|
Name | max 32 Zeichen. Nur DNS-konforme Zeichen | alles außer vorhandene Namen | Ja | Nein | Namenskonventionen |
Beschreibung | max. 64 Zeichen. | alles außer vorhandene Namen | Ja | Ja | |
Raumtyp | ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom | Ja | Ja | Hat nur informelle Bedeutung | |
HWConfig | Müssen vorher definiert sein | Ja | Ja | Default in diesem Raum. Wichtig für die Erstellung von Softwaresets. | |
Raumkontrolle | no, inRoom, allTeachers, sysadminsOnly | Ja | Ja | ||
Anzahl der Geräte | 4,8,16,32,64,128,512,1024,2048,4096 | Ja | Nein | ||
Reihen | 1-30 | Ja | Ja | ||
Plätze | 1-30 | Ja | Ja | ||
Netzwerk | Ist vordefiniert | Ja | Nein |
2.1 Raumkontrolle
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
- inRoom Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
- no In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzten, um den Zugriff auf das Internet aus diesen Räumen aus zu steuern.
- allTeachers Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkotrolle no sind.
- sysadminsOnly Diese Räume können nur durch Systemadministartoren kontrolliert werden.
Systemadministratoren können für Räume mit Raumkontrolle inRoom, allTeachers und sysadminsOnly einen Zugriffzeiplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Akrionenen an den Klients werden ausgeführt.
3 Geräte
Klickt man unter Netzwerk -> Räume auf dem Namen eines Raumes enthält man eine Liste der in diesem Raum registrierten Geräten. Man kann alle oder einzelnen Geräte markieren und unter Aktionen folgende Funktionen mit den gewählten Rechern ausführen:
- Eine CSV Liste der gewählten Geräten herunterladen.
- Die gewählten Geräte löschen.
- Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Für einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
- Das Gerät über WOL einschalten
- Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden musste. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inverntarnummer sowie die Platzierung des Rechners im Raum anpassen.
- Den Rechner als Klonemaster markieren. Da es in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
- DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. Wichtig: Setzt man hier ein Parameter falsch, führt das ggf dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.
- Das Gerät löschen
3.1 Geräte manuell registrieren
Klickt man unter Netzwerk -> Räume beim entsprechendem Raum auf das + Zeichen, kann ein Gerät dem Raum hinfügt werde.
Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die MAC-Adresse des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die MAC-Adresse manuell eingetragen werden. Das Feld MAC-Adresseist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der reihe nach die nächste freie IP-Adresse im Raum zugewiesen.
Man muss eine freie IP-Adresse wählen. Dadurch wird auch der dazugehörigen vordefinierten Namen gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: Namenskonventionen in Active Directory für Computer Wichtig Wurden mehre MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.
Standardmäßig wird als Hardwarekonfiguration die des Raumes gesetzt, diese kann jedoch geändert werden.
Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld WLAN-MAC-Adresse eingetragen werden. Wurde eine WLAN-MAC-Adresse eingetragen, kann auch nur eine MAC-Adresse angegeben werden.
Die Felder Seriennummer und Invertarnummer können bei Bedarf ausgefüllt werden.
3.2 Geräte importieren
Geräte können von der Kommandozeile als als Benutzer root mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgende Format:
- In der ersten Zeile muss ein Header stehen.
- Feldseparator ist ";" (Semikolon).
- Groß/Klein-Schreibung ist irrelevant.
- Reihenfolge ist irrelevant.
- Folgende Felder müssen vorhanden sein:
- room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
- mac MAC-Adresses des Gerätes.
Weitere mögliche Felder.:
- ip
- name
- hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
- raw
- place
- wlanmac
- wlanip
- serial
- inventary
- owner -> hier muss der Benutzername (uid) des Eigentümers stehen
Hier ist eine ganz einfache Beispieldatei:
room;mac edv1;AA:BB:CC:DD:EE:01 edv1;AA:BB:CC:DD:EE:02 edv1;AA:BB:CC:DD:EE:03 edv1;AA:BB:CC:DD:EE:04
3.3 Hardwarekonfigurationen von Geräten ändern
- Wenn nötig neue Hardwarekonfigurationen anlegen
- Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen
Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
- Wenn nötig neue Hardwarekonfigurationen anlegen
- Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
- Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten
3.4 Salt-Minion Konfiguration manuell bearbeiten
- Dienst salt-minion auf dem betroffenen Client anhalten.
- c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass der id: eines Klients der FQHN also Rechnername.DNS-Domainname ist.
- Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
- Auf dem Server mit dem Befehl salt-key -d "minion.name" den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
- Dienst salt-minion auf dem Client starten.
4 CloneTool
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab CRANIX 4-3 keine Materrechner mehr. Das heißt von allen Rechner können Images gezogen werden.
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner in den selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:
4.1 Windowsrechner für Klonen vorbereiten
- Den lokalen Administrator aktivieren!
net user administrator * /active:yes
- Melden Sie sich als lokaler Administrator an!
- Hybernatemodus abschalten:
powercfg /h off
- Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über Räume oder Geräte.
- Alle Updates installieren.
- Das CRANIX Client Setupprogram herunterladen.
- Rechner vom Netzwerk trennen, sonst wird der Rechner ggf. in die Domäne aufgenommen.
- ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren:
ClientSetup.exe /i /passive MinionName=<Hostname>.<DNS-Domainname>. Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld Minionname eintragen. WICHTIG man muss den DNS-Domainnamen angeben!!!! WICHTIG rechner- und domainnamen IMMER klein schreiben!!!
Rechner auschalten.
- Rechner mit Netzwerk verbinden.
- Neustart über das Netzwerk ins CloneTool.
- Starten Sie nun "Rechner klonen".
- Als erstes müssen Sie die zu klonenden Partitionen auswählen
- Geben Sie den zu klonenden Partitionen eine Beschreibung.
- Anschliessend müssen zu den Partitionen verschiedene Angaben gemacht werden:
- Betriebsystem: Win10, WinBoot, Linux, Data
- Bei Win10 müssen Sie weiterhin angeben ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
- Anschließend muss ein Imagingtool ausgewählt werden. Zpartclone bieten den besten Durchsatz und Komprimierung. Welches Tool mit Ihrem Hardware bzw Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. dd und dd_rescue erstellen ein 1 zu 1 Kopie der Partitionen. dd_rescue kann auch beschädigte Partitionen auch lesen.
- Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechner anfangen.
4.2 Rechner wiederherstellen
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
4.2.1 Manuelle Wiederherstellung
- Rechner über Netzwerk starten.
- CloneTool auswählen.
- Melden Sie sich als Administrator an.
- Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start in CloneTool am Server registrieren.
- Wählen Sie Restore
- Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Images bespielt.
4.2.2 Automatische Wiederherstellung
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in CloneTool und starten das Restore. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter Räume oder Geräte erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie Klonen starten aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie Klonen starten aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden. Tritt ein Fehler während des Klonvorgangs, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in CloneTool gestartet werden. Das macht man wieder im Kontextmenü mit dem Menüpunkt Klonen anhalten.
4.2.3 Multicast Klonen
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehreren Geräten gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Da bei Multicast Klonen es sehr wichtig ist, dass die zu wiederherstellende Rechner selbe Gerätekonfiugration haben, wird Multicast Klonen über den Menüpunkt Gerätekonfiugrationen in folgenden Schritten gestartet:
- Gerätekonfiugrationen
- Betroffene Gerätekonfiugration bearbeiten.
- Untere Menütab Mitglieder wählen
- Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
- Die zu klonende Rechner auswählen.
- Rechts oben mit dem grünen Ikon Multicast Klonen starten werden die benötigte Bootkonfigurationen erstellt.
- Rechts oben mit dem roten Ikon Multicast Klonen anhalten können die Bootkonfigurationen bei Bedarf gelöscht werden.
4.3 Klonen von Laptops
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANXI-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die permanente MAC-Adresse verwendet.
4.4 Klonen von Tablets über die cloneProxy
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen. Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.
Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "cloneProxy" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet MAC-Adresse mit der der WLAN-Karte identifiziert werden soll.
Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in SERVER_NET machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration cloneProxy zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration cloneProxy erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.
- Raum 'usb-adapter' mit Gerätekonfiguration cloneProxy für den entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
- Eine neue Gerätekonfiguration für die Tablets erstellen.
- Einen Raum oder mehrere Räume für die Tablets anlegen.
- Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
- Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
- Als Administrator in CloneTool anmleden.
- USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
- Tablet in einem, für die Tablets angelegten Raum registrieren.
- Rechner klonen.
WICHTIG Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.
Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einer nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei eins oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!
4.4.1 Surface klonen
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
- Laut Microsoft unterstützt zwar Surface auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
- Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber dann war es auch Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das CRANIX Installations-CD beinhaltet auch einen Menüpunkt CloneTool. Dies wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
- BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
- Die üblichen Einstellungen vornehmen:
- Den lokalen Administrator aktivieren!
- net user administrator * /active:yes
- Melden Sie sich als lokaler Administrator an!
- Hybernatemodus abschalten: powercfg /h off
- Tablet herunterfahren.
- USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
- Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
- Halten Sie die Lauter-Taste gedrückt.
- Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
- Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
- Security -> Secure boot -> Change Configuration -> none
- Security -> Trusted Plattform -> off
- Boot order -> USB an erste Stelle setzten.
- Die Firmware verlassen.
- Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.
5 Drucker
Der CRANIX bietet die Möglichkeit Netzwerkdrucker in System zu registrieren, die Drucker Räumen bzw. Rechner als Standard oder als sonstiger Drucker zu zuweisen. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü Geräte -> Drucker. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein. Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zBp. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren. Im ersten Reiter des Menüs Drucker erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
- Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
- Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
- Druckerwarteschlange deaktivieren. Will man zBp. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange, kann man die Annahme von Druckaufträgen deaktivieren.
- Druckerwarteschlange zurücksetzten.
- Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
5.1 Drucker anlegen
Im zweiten Reiter des Menüs Drucker kann man ein Druckergerät anlegen. Beim Anlegen eines Druckergerätes wird eine Druckerwarteschlange mit dem selben Namen zum Gerät angelegt. Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
- Name
- MAC-Adresse
- Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
- Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller Generic und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich Generic PCL 5e Printer und für die Farbdrucker Generic PCL 6/PCL XL Printer
- Will man Windos-Clients den Drucktreiber bereitstellen muss Treiberverteilung aktivieren aktiviert sein.
Beim Anlegen eines Druckers wird ein Gerät mit der Gerätekonfiguration Printer im gewählten Raum und eine Druckerwarteschlange in CUPS angelegt. Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
- Papiergröße A4
- Fehlerbehandlung: Druckerauftrag löschen
- Druckerwarteschlange ist aktiv und nimmt Aufträge an.
5.2 Druckerwarteschlange anlegen
Im dritten Reiter des Menüs Drucker kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät anlegen. Sonst gilt gilt das Selbe wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS angelegt.
5.3 Druckerwarteschlange zu Räumen oder Rechner zuweisen
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt Netzwerk -> Räumen. Hier klickt man auf den Namen des Raumes. Will man einem Raum den Standarddrucker oder die Sonstige Drucker festlegen muss man auf den zweiten Reiter Drucker klicken. Nun gelten diese Einstellungen allen Windows-Clients in diesem Raum. Will man einem Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstige Drucker festlegen.
Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden. Auf Windows-Clients können sie mit unter der URL \\printserver\<Druckerwarteschlangename> verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert. Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgender maßen gesetzt werden:
CUPS_SERVER=printserver
5.4 Druckertreiber auf dem Server hinterlegen
Man kann beim einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
- Sich als root anmelden.
- Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
- Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
- Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl
6 Softwareverteilung
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen Installationszielen können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
- Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: Administration -> Software -> Pakete herunterladen. Abwarten bis die Pakete geladen sind.
- Anschließend kann man unter Installationsset erstellen aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
- Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/oss_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also die Rechner müssen in einer Hardwarekonfiguration sein, in der die Gerätetype als FatClient definiert wurde.
7 AdHocLan
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Schulnetz selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der Geräte kümmern muss. Die Benutzer können ihre eigene Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht. Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese an Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
- Name Der Name des Raumes
- Beschreibung Eine kurze Beschreibung des Raumes
- Gerät pro Benutzer Wie viele Geräte dürfen einzelne Benutzer in diesem Raum registrieren.
- Anzahl der Geräte Wie viele Geräte können im Raum insgesamt Registriert werden. Diese Zahl sollte Größer sein als "Gerät pro Benutzer" * "Anzahl der Benutzer in der Gruppe".
- Raumkontrolle Wie soll der Zugang im Raum kontrolliert.
Nach dem der Raum angelegt wurde, muss dem Raum mindestens eine Benutzergruppe zugewiesen werden. Das erfolgt in dem man den Raum im Übersicht bearbeitet.
Anschließend hat man einen Übersicht aller AdHocLan-Räume. Klickt man auf den Namen eines Raumes, werden die im Raum registrierten Geräte inklusiv Eigentümer aufgelistet. Hier hat der Systemadministrator die Möglichkeit einzelne Geräte zu löschen. Wir möchten Ihnen nun einige gängige Beispiele nennen, wie man AdHocLan-Räume verwenden kann.
7.1 AdHocLan Raum für Lehrer
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
- Name lehrer-lan
- Beschreibung Raum für private Geräte der Lehrkraft
- Gerät pro Benutzer 4
- Anzahl der Geräte 512
- Raumkontrolle no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen. Anschließend muss man in Firewall den entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ausgehende Firewallregel erstellt werden:
- Art Room
- Quelle Raum auswählen
- Protokoll all
- Ziel 0/0
Will man nur Web-Zugang erlauben, müssen 2 ausgehende Firewallregeln erstellt werden: Regel für http-Zugriffe:
- Art Room
- Quelle Raum auswählen
- Protokoll TCP
- Port 80
- Ziel 0/0
Regel für https-Zugriffe:
- Art Room
- Quelle Raum auswählen
- Protokoll TCP
- Port 443
- Ziel 0/0
Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räume den Schulproxy-Nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:
- Automatische Internet-Proxyerkennung
- Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
- Proxy-Server: proxy Proxy-Server-Port: 8080
Bitte beachten Sie, dass ein Zugriff von Mailclients nur auf externe Mailserver nur mit direkten Internetzugang möglich ist.