web-dev-qa-db-ja.com

複数のコンピューターラボを適切に展開し、将来の拡張の余地を残すにはどうすればよいですか?

私は現在、高校で唯一のコンピューターの男です(予算が少ない)。現在、実際のインフラストラクチャはありません。 DSL経由でインターネットにつながる消費者向けルーターに接続されたオフィスコンピューターだけがあります。

学校は、学生が使用するための新しいブロードバンド回線を備えたいくつかの新しいコンピューターラボ(約100台の新しいコンピューター)を設置する予定です。学校は、自分のアカウントを持つ各生徒(数百人)が任意のコンピューターからアクセスできるようにすることを目指しています。彼らは、ラボをファイアウォールで保護し、インターネットコンテンツを不適切な素材でフィルタリングするなど、それに伴うすべてのことを望んでいます。

これは私にとって少し忙しくなる部分です。もともと、私はオフィスのコンピューターとスタッフのラップトップの基本的なトラブルシューティングを行うためにそこにいるだけですが、それは私にとって問題ではありません。ただし、実際のネットワークインフラストラクチャをセットアップして展開することは、私が少し頭を悩ませていると感じるところです。学校はこれを理解しています。ネットワーク化されたWindows環境の展開とセットアップの経験が豊富な人がいるはずですが、あなたは自分の持っているものでやり遂げます。

これは、Windowsサーバーの経験と、おそらくより高度なネットワークハードウェアの経験を得る貴重な機会だと思います。私の最も高度なネットワーク経験は、多数のLinuxコンピューターがネットワーク接続された自宅にあるからです。私には助けを求める年配の人がいないので、私はほとんど一人でいます。

私は何をする必要があるかについての考えを持っていますが、詳細についての助けが必要です。

  1. どのタイプのコンピューターが、悪用に耐えるのに十分な堅牢性を備えていますか?人々がシステムを開いていじくり回すのを防ぐために、ロック可能なシャーシを備えたコンピューターが必要です。また、人々がコンピューターを持って出て行くのを防ぐために、ケンジントンロックも必要です。私はDellOptiflex 360を調べていて、教育機関の割引で手頃な価格を手に入れたいと思っていますが、ロック可能なシャーシに関する具体的な詳細が見つかりません。

  2. 自動化を利用してメンテナンスのオーバーヘッドを削減するには、どのような方法がありますか?オフィスのコンピューターと同じようにやれば、100台までのコンピューターを管理するのは悪夢だと想像できます。 OSのリモートインストール、アプリケーションの配布、コンピューターのいじりやウイルスのロックダウンなどを行い、何かをする必要があるときにすべてのコンピューターに物理的に移動する必要がないようにします。 Windows Serverは、グループポリシーを介してこれの多くを支援できると思いますが、他に不足しているものはありますか?

  3. ラボごとにスイッチが必要であり、ネットワーク全体に何らかのエッジルーターが必要なため、ネットワークハードウェアについてシスコを検討してきました。また、すべてを保護するファイアウォールを設置する必要があります。これについては特に経験がないため、ニーズに合った適切なスイッチ、ルーター、ファイアウォールモデルを選択するのに問題がありますが、ローエンドのスイッチ、ルーター、ファイアウォールが必要になると思います。

  4. サーバーはいくつ必要ですか?私はこれまでのところ推測しています2:ActiveDirectory用のWindowsServerとバックアップサーバー。ユーザードキュメントを提供するファイル用に別のサーバーが必要ですか?

  5. 私の状況で私を助けるために私が見ることができるオンラインのリソースはありますか?フォーラム、記事、同様の状況にある人々、ガイドなど?

  6. また、将来的には、学校が各教師とスタッフにユーザーアカウントを付与して、任意のコンピューターにアクセスしてドキュメントにアクセスできるようにすることを検討している可能性もあります。また、Exchangeサーバーを追加して、全員が学校の電子メールアカウントを持ち、自分のアカウントでOutlookを介して自分の電子メールにアクセスできるようにすることも検討しているでしょう。ネットワークに関して今行っていることは、将来の拡張とオフィスとの統合の余地があることを確認する必要があります。知っておくべき潜在的な落とし穴はありますか?

  7. 他にアドバイスはありますか?

PDATE 1さて、私は最近、私がしなければならないことのすべてのさまざまな側面についてたくさんの情報を研究していて、私は確かにたくさんのことを学んでいます。私の質問への答えは間違いなく私を正しい方向に向けました。適切なハードウェアの選択、リモート管理ソリューション、システムのロックダウンなどを深く掘り下げていくと、後でもっと具体的なことについてもっと質問するようになるでしょうが、今のところは正しい方向に進んでいると思います。 。

ここで複数の投稿が役に立ったと感じたので、「正解」として複数の投稿を選ぶことができれば。

windowsnetworkinginfrastructure
7
techguy

ここで学校の研究室を管理していた日々に戻って、私の提案のいくつかを紹介します。

  1. Oskar Duvebornが言ったように、その時点で利用可能な中間レベルのマシンは何でも入手でき、ロック可能なケージ付きのコンピューターデスクを入手できます。上下を固定するタイプを使用し、次に組み込みのロックを使用してケースをロックし、シャーシとデスクの周りに接着した固定具にシンプルなフレキシブルチェーンを通しました。本当にこれらは抑止力ですが、子供たちがボルトカッターや溶接工具などを利用できる技術学校でも。私がそこにいた3年間で、事件への侵入は2、3回しかなかったと思います。基本的には、リーズナブルなものといくつかのスペアを購入し、何をしてもマシンが壊れることを期待します-しかし、それが抑止力を入れない理由にならないようにしてください(たとえば、CDROMドライブにPB&Jが挟まれているのを見つけましたもの...)

  2. ゴーストブートとPXEブートを使用して、マシンのイメージを再作成しました。マスターイメージを1回作成します。毎年、四半期ごと、または隔年でやり直してください。これで準備完了です。また、グループポリシーはあなたの友達です!複雑なソフトウェアプッシュに入る場合は、MS SCCM(今はそれが名前だと思います)を調べます。)

  3. あなたのサイズでは、ルーターをスキップして、ファイアウォールを「ルーター」として使用します(実際には足を横切っていますが、最終的な効果は同じです)。 Webフィルタリングを行うためにSCSモジュールに投資する学校でも、おそらくASA5520の範囲の何かが必要になるでしょう。また、VLANを実行する方法を学び、各ラボを別のラボの独自のVLAN管理者に配置し、さらに別のサーバーに配置します。

  4. 2番目のサーバーをスイングできる場合は、それを選択します。そうでない場合は、同じマシンでAD、DNS、DHCP、およびファイルをホストしているはずです。 SBSから離れてください... pleeasse。優れたテープバックアップシステムがあることを確認してください。 BackupExecとArcServeは、おそらくこのようなものに不慣れな人にとって最も友好的です。

  5. 正直なところ、グーグルはあなたの親友になります

  6. ここから得たアドバイスに従い、AD、ネットワーキング、Ciscoに関する本をいくつか手に入れれば、最終的には非常にうまく機能し、将来の拡張の余地を残すことができると思います。

  7. 頑張って、たくさん読んで、本を手に入れてください。そして、1つのラボをセットアップして、祝福を与える前に、まず学習してモデル化します。おそらく、学校がセッション中の場合は、教師(comp sci/scienceがほとんど)と話し、信頼できる生徒を何人か入れて、物事を壊そうとすることができるかどうかを確認してください。

ああ、もう1つ。マシンをPXE、次にHDから起動するように設定し、他のすべての起動オプションを無効にしてから、マシンにBIOSパスワードを設定します。これにより、子供はcd/usbから起動できなくなり、システムを保護するためのすべてのハードワークを元に戻すことができます。 !!

4
Zypher

2:コンピューターラボの場合、シンクライアント環境を選択することを強くお勧めします。

サーバーにより多くのお金を費やす必要がありますが、一方で、クライアントコンピューターに費やす費用はおそらくはるかに少なくなります。もちろん、このアプローチが学校にとって便利かどうかを判断するには、ライセンス費用などの他の要素も評価する必要があります。

選択の余地がなく、シンクライアント環境を選択できない場合は、Symantec Ghost SolutionSuiteのような完全に自動化されたクローン作成ソリューションを展開してみてください。また、カイルのアドバイスを受けて、DeepFreezeまたは他の同様の製品をすべてのPCにインストールします(高校のコンピューターラボの場合、これは必須です)。

5:良いインスピレーションを得るために、 SITE/Crerarプロジェクト を見てください。これは確かに別の種類の環境ですが、物理的なレイアウトなど、ラボの他の重要な側面についていくつかの良いアイデアを借りることができます。

6:独自のメールサービスをホストすることは、あなたが説明した文脈では良い考えではないようです。代わりに Google Apps for Education をお勧めします。

3
mfriedman

  1. 頑丈なコンピュータは非常に高価であるか、存在しません。一方、そのためのケージは通常、非常に頑丈で、それほど高価ではありません。ロック付きのケージは、改ざんと盗難の両方を防ぎ、コンピューターを机の上または下にうまく取り付けることができます。ケンジントンワイヤーは悲しいことに、いくつかのまともなツールで切るのは簡単すぎます。

  2. Microsoft Zero Touch -戦略は、多くの製品を通じて自動展開を提供しますが、この場合、ツールとスキルに関しては、Lite-Touchがより現実的な目標になります。それはまだ「マイクロソフトのやり方」であるため、かなり複雑で、時には複雑な(そしてしばしば高価な;)古い学校の(ええと、「伝統的な」)イメージングアプリケーションは、代わりにコンピュータの簡単に近い再イメージングを提供できます。しかし、展開が想定されているのがMicrosoft環境の場合、問題へのアプローチ方法についてパートナーからのコンサルティングに必要な時間を費やします。私が住んでいる場所では、これは通常無料です。

  3. ISA Server/Forefront TMGは、境界を保護し、実際のトラフィックを検査し、ユーザーベースできめ細かいインターネットアクセス制御を実行し、インターネットを提供するために、簡単かつ強力です。コンテンツのキャッシュ。

  4. Active DirectoryをDC、DNS、DHCP(その役割を他のネットワークデバイスに配置しない限り)、認証局などとして提供する2つの基本的なインフラストラクチャサーバーと言えます。次に、ファイル共有用の3番目とプリンター共有用の4番目など、他に必要なものは何でも-またはそれらを単一のサーバーにマージしますが、プリンターは本質的に悪であり、ファイル共有はそれほど多くないため、これはお勧めしません。バックアップサーバーは便利なようですが、その場所やリモートにバックアップを実行できる既存のものは他にありませんか?

マイクロソフトのものに関しては、最新の状態を保つようにしてください。今すぐ、最新のWindows7とServer2008R2を公開します。これにより、将来の拡張とより高度な管理が少し簡単になります。

教室のコンピュータで使用するアプローチを考えてください。学生は管理者になることで、好きなようにいじくり回すことができますか?その場合、すでにインストールされているアプリケーションの使用のみが許可されている場合とはまったく異なるアプローチが必要になります。

中央のポリシーでこのようなコンピューターをロックダウンするには、組み込みのAppLockerを確認します。これは、最新のバージョンでは最終的には実際に役立ち、承認されたアプリケーションの起動のみを許可します。過去に呼び出されたソフトウェア制限ポリシーには、本当に必要な場所での使用を妨げる、いくつかの非常に問題のある制限がありました。

注目すべき他のMicrosoftテクノロジは SteadyState (以前のShared Computer Toolkit)ですが、自分でテストしたことはないので、管理の観点からどれだけスケールアップできるかわかりません-実際には特に学校を対象に、毎晩コンピュータをワイプおよびリロードするためのサードパーティ製品に関する他の回答を探してください。しかし、熟練したマイクロソフトのエバンジェリストとの数時間でそれが変わるかもしれません。

Microsoftを全面的に使用する場合は、ドメイン分離(これも「組み込み」)を調べて、物理ネットワークにアクセスできるユーザーが実際にWindowsホストで多くのことを実行できないようにします。 ipsecを使用し、他のものを無視するノード。たとえば、プリンタと通信するために例外を必要とするプリントサーバーなど、いくつかの特別な考慮が必要です。

2
Oskar Duveborn

質問番号#2の推奨事項
特定の製品の名前を思い出せませんが、私が働いていた学校では、毎晩コンピューターのイメージを再作成というソフトウェアを使用していました。そのため、すべてが画像で上書きされました。次に、ユーザーのドキュメントのネットワーク共有があります。これはあなたの人生をとても楽にします、誰かが何かを台無しにした場合、あなたはそれを強制的に再イメージ化するか、翌朝までそれを故障サインに置くことができます:-)

2
Kyle Brandt

1台のコンピューター

あなたが言及するDellはおそらく良い解決策です。なぜなら、あなたの目標は必ずしも手頃な価格と均質性として並外れたパフォーマンスであるとは限らないからです。このページにシャーシフランジが表示されます- http://www.Dell.com/us/en/enterprise/desktops/desktop-optiplex-360/pd.aspx?refid=desktop-optiplex-360&cs=555&s = biz

2リモートインストールとメンテナンス

Windows Vistaまたは7を使用していると思います。お金がある場合は、Ghostタイプのソリューションを選択してください。そうでない場合は、 CloneZilla をお勧めします。これは、ここのラップトップで使用しています。イメージの作成は簡単で、サーバーエディションは一括ワイプに使用できます。

3スイッチ

Edu割引を受けられない限り、Ciscoは高価です。極端なローエンドの場合は、Netgear GBスイッチをお勧めしますが、48ポートモデルは過熱するため入手できません。 48ポートが必要な場合は、ステップアップして3COM48ポートスイッチを入手してください。基本的に、dot1qvlanタグ付けを実行する機能を備えたスマートスイッチが必要です。今は必要なくても、後で感謝します。

4サーバー

バックアップサーバーがドメインコントローラーとしても機能することをお勧めしますが、2つでうまくいくことができます。 WindowsDCが1つだけ必要になることはありません。さらに、交換メール用のサーバーも1つあります。

5リソース

Googleはあなたの友達です。簡単に検索すると、次のようになりました。 http://www.educause.edu/ これはすばらしいですね。あなたはもっと見つけることができると確信しています、そして私が見つけたら、私は投稿を更新します

6将来の拡張

可能な限りオープンスタンダードを使用し、アップグレード可能なファームウェアを備えたデバイスを購入し、目を開いたままにして、変更について1年ほど前もって警告するようにします。

1
Matt Simmons

私は、この時代にもう実際のコンピューターを与えることを主張することはできません。優れたセルフホストクラウドバックエンドを使用して、ラボをDaaSとして構築します。 -> www.Sun.com/vdi/の驚異を参照してください。結果:+1柔軟性、+ 1非破壊性。乾杯、R。

0
BeenThere DoneThat