Archiv der Kategorie: Netzwerk

WhatsApp über Contentfilter

6 Antworten

Der Kanton St. Gallen verlangt von den Schulen, dass sie für Internetzugänge “Web Content Screening” einsetzen. In diesem Beitrag wird beschrieben, wie man das mit einer Sophos UTM Firewall umsetzt. Da das Aufbrechen von SSL Verbindungen ein Eingriff in die Privatsphäre der Benutzer ist, haben wir auf unserer Schulhomepage neben Anleitungen zur Installation unseres Zertifikats auch ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was da passiert. Nun funktionierte WhatsApp, wahrscheinlich seit der Umstellung auf Ende zu Ende verschlüsselten Verbindungen, nicht mehr aus unserem Netzwerk.

Weiterlesen

Schulnetzwerk vor Malware schützen

Kommentar verfassen

Ich möchte hier mal exemplarisch aufzeigen, wie ich versuche, unser Netzwerk zu schützen.

Bemerkung am Rande: Nach dem Ruag Hack hat Melanie einen Bericht mit Best Practices veröffentlicht. Die lassen sich leider aber nicht alle in einem Schulnetzwerk umsetzen, da ansonsten Lehrpersonen und Schüler/-innen viel zu stark eingeschränkt sind (z.B. AppLocker). Wir „leben“ also damit, nicht die besten Schutzmassnahmen umzusetzen, damit wir arbeiten können (es ist was anderes in einer Firma mit wenigen Applikationen und wenig „Freiheit“ für den Benutzer). Daher bleibt in so einem Fall nur auf den gesunden Menschenverstand der Benutzer zu setzen und wenigstens alle möglichen anderen Sicherheitsmassnahmen umzusetzen, die aber die Benutzer nicht zu stark einschränken.

Weiterlesen

WLAN Accesspoints nicht ausschalten

Kommentar verfassen

Wir sind daran, flächendeckendes WLAN umzusetzen. Leider werden die Accesspoints immer wieder von den Lehrpersonen ausgeschaltet. Dies aus nachvollziehbaren Gründen wie Stromverbrauch oder Strahlenbelastung. Ich habe nun gebeten, diese immer laufen zu lassen und die interne Dokumentation mit dem unten stehenden Text entsprechend angepasst. Vielleicht gibt es ja andere Schulen, die an einem ähnlichen Punkt stehen und froh darum sind, daher der Text auch hier: Weiterlesen

Windows 10 fast startup

Kommentar verfassen

Windows 10 kennt wie Windows 8 einen sogenannten “fast startup”. Dabei wird Windows nicht vollständig heruntergefahren, sondern ein Teil des Systems wird ähnlich wie beim Ruhezustand in eine Datei ausgelagert, die schneller wieder eingelesen ist als bei einem Kaltstart (Cold Boot). Mit diesem “Trick” startet Windows 10 mit aktiviertem “fast startup” schneller als ohne und damit auch schneller als z.B. Windows 7, das den “fast startup” noch gar nicht kannte. Weiterlesen

Windows 10 Probleme mit Startmenü, Edge,…

2 Antworten

Folgende Probleme sind bei uns im Zusammenhang mit Windows 10 schon aufgetreten:

  • Das Startmenü funktioniert überhaupt nicht mehr. Bei einem Klick auf das Startmenü oder die Suche passiert überhaupt nichts. Der Rechtsklick funktioniert weiterhin.
  • Wenn man Edge (oder eine andere Modern App) starten möchte, öffnet sich das Fenster und schliesst sich gleich wieder.

Im Internet finden sich viele ähnliche Fälle, scheinbar passieren diese Dinge nur im Zusammenhang mit wandernden Profilen (roaming profiles) und/oder angepassten Betriebssystemimages.

In diesem Beitrag wird das Problem mit dem nicht funktionierenden Startmenü beschrieben. Hier wurde das Betriebssystemimage mit copyprofile angepasst, was bei uns nicht der Fall ist. Der letzte Eintrag meldet, dass ein Microsoft Techniker das Verhalten als Bug bestätigt hat und im November ein Update folgen soll, dass das Problem behebe.

Auch in diesem Beitrag wird ein mit copyprofile angepasstes Betriebssystemimage als Ursache für den Bug (oder die Bugs) vermutet. Scheinbar hängt es auch mit der Reihenfolge von bestimmten Updates zusammen. Auch hier fehlt eine abschliessende Antwort.

In diesem Beitrag wird das Problem mit dem sofort wieder schliessenden Edge erwähnt und von vielen bestätigt. Mit Windows 10 Threshold 2 (auch Version 1511 genannt) scheint das ganze reproduzierbar mit wandernden Profilen immer aufzutreten. Es scheint unabhängig davon zu sein, ob die Profile auf einem DFS Share liegen oder nicht. Aus diesem Grund habe ich noch nicht auf 1511 gewechselt. Hier wird aber ein Workaround angeboten, der bei mir auch hilft. Dazu muss man folgenden Powershellbefehl mit erhöhten Rechten ausführen.

Remove-Item C:\Users\$($Env:Username)\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe -Recurse -Force
Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml" -Verbose}

Danach startet Edge wieder, es sind aber alle Einstellungen zurückgesetzt und so wie es aussieht, nützt es nur bis zur nächsten Anmeldung. Die letzten Beiträge von dieser Nacht deuten darauf hin, dass nach dem Update 3116869 das Problem nun auch im Build 10240 reproduzierbar vorhanden ist. Hoffe nicht.

Momentane Zusammenfassung: Das Problem (resp. die Probleme) tritt bei mir bisher nur selten auf. In einzelnen Fällen genügt ein Neustart (Herunterfahren und neu starten ist bei Windows 10 nicht mehr das gleiche wie Neustart, ausser man deaktiviert den Schnellstart). Das Edgeproblem lässt sich mit oben erwähntem Powershellbefehl lösen, aber nicht nachhaltig. Wenn das Startmenü gar nicht mehr funktioniert, hilft bis jetzt nur, das wandernde Profil sowohl auf dem Server wie auch auf dem Client zu löschen. Eigentlich habe ich gehofft, dass ein Dezemberupdate das Problem behebt, was nicht der Fall zu sein scheint. Sowohl der Powershellbefehl als auch das Profil zu löschen ist aufwendig und unmöglich, wenn es plötzlich viele Benutzer betreffen sollte…

Nachtrag
Ein Workaround für das Problem mit dem sich schliessenden Edge ist hier beschrieben.

Nachtrag 2
Scheinbar lässt sich das Problem mit dem nicht mehr funktionierenden Startknopf lösen, indem man alle Apps zurücksetzt.

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

Backup Config von ProCurve Switch

Kommentar verfassen

Bei mir funktioniert der Download der Konfiguration des Switches über das Webinterface nicht mehr.

image

Man kann dies aber auch über SSH mit SCP erreichen. Dies ist aber standardmässig nicht aktiviert.

image

Dies muss also zuerst mit folgendem Kommando auf dem Switch aktiviert werden:

(config)# ip ssh filetransfer

Danach kann man pscp beim gleichen Hersteller wie putty herunterladen. Auf der Kommandozeile wechselt man zum Verzeichnis mit der pscp.exe (oder fügt das Verzeichnis zur Path Variablen hinzu). Nun kann man die Konfigurationsdatei mit folgendem Befehl herunterladen.

pscp -scp -l USERNAME -pw PASSWORD –2 SWITCH-IP:cfg/running-config c:\switch.cfg

User State Virtualization

2 Antworten

Da UE-V nach diversen Tests für uns doch nicht in Frage kommt, habe ich mich nun entschieden User State Virtualization umzusetzen. Microsoft bezeichnet so die Kombination aus “roaming profiles” (wandernden Profilen) und “folder redirection” (Ordnerumleitung).

Freigabe Ordnerumleitung
Gemäss diesem Technet-Artikel erstellt man eine Freigabe.

image

Im nächsten Schritt wählt man den Speicherort (in meinem Fall den DFS Unterordner und nicht einfach ein Laufwerk).

image

Die optionalen anderen Einstellungen habe ich nicht verwendet. Ich meine, gelesen zu haben, dass die “Zugriffsbasierte Aufzählung” ressourcenintensiv ist.

image

Nun vergibt man die entsprechenden Berechtigungen für die Freigabe. Unter anderem für die Benutzer, die die Freigabe benutzen. Ich habe zwei Freigaben mit entsprechenden Berechtigungen eingerichtet. Eine für die Lehrpersonen und eine davon unabhängige für die Schüler/-innen.

image

Um diesen Ordner später einmal problemlos zu migrieren habe ich ihn auch noch in den DFS Namespace aufgenommen.

Gruppenrichtlinie Ordnerumleitung
Nachdem die Freigabe eingerichtet ist, kann man die entsprechende Gruppenrichtlinie erstellen.

image

Unter Einstellungen habe ich das Häklein bei “Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen” entfernt. Im Moment habe ich diese Einstellung für alle Ordner eingetragen, mal schauen, ob das so bleibt. Falls ich das ändere, werde ich es hier anpassen.

Freigabe wanderndes Profil
Die Freigaben für die wandernden Profile werden gemäss diesem Technet Artikel analog zu der Ordnerumleitung oben erstellt.

Einrichtung wanderndes Profil
Es gibt zwei Varianten, das wandernde Profil einzurichten. Zum einen kann man den Profilpfad im Active Directory angeben.

image

Oder man verwendet die entsprechende Gruppenrichtlinie unter “Computerkonfiguration” –> “Richtlinien” –> “Administrative Vorlagen” –> “System” –> “Benutzerprofile”: “Pfad des servergespeicherten Profils für alle Benutzer festlegen”.

image

Da ich getrennte Freigaben für Lehrkräfte und Schüler/-innen eingerichtet habe, kann der Weg über die Gruppenrichtlinie nicht genommen werden, da dort nur eine Freigabe benutzt werden kann. Die erste Einstellung “Sicherheitsgruppe “Administratoren” zu servergespeicherten Profilen hinzufügen” habe ich aber gesetzt. So können z.B. auch die Profilordner gelöscht werden, wenn Schüler/-innen austreten.

Den Profilpfad im AD kann man für viele Benutzer gleichzeitig setzen. Dazu kann man einfach mehrere Benutzer markieren und über einen Rechtsklick “Eigenschaften” auswählen. Im Register “Profil” kann der Profilpfad mit der Variablen %username% eingetragen werden.

image

Für neue Benutzer kann man das PowerShell Skript um diese Zeile ergänzen:

-ProfilePath („\\netzwerkpfad\schuelerprofile\“+$_.username) `

Anmeldegeschwindigkeit
Wie bei den Abklärungen zu UE-V beschrieben, soll eine Anmeldung möglichst schnell erfolgen. Ein Szenario speziell in Schulen ist, dass sich über 20 Schüler/-innen gleichzeitig in einem Raum mit nur einem Accesspoint über WLAN anmelden. Bei diesen Tests ist das noch nicht berücksichtigt, die Profildaten sind aber dank der Ordnerumleitung sehr klein und sollten nicht einen allzu grossen Einfluss haben. Die Messwerte entstanden auf virtuellen Windows 10 Maschinen und dürfen nicht absolut genommen werden, mehrere Versuche haben nicht immer die gleiche Zeit ergeben. Ausserdem waren die Testuserprofile sehr klein. Trotzdem gibt es einen Anhaltspunkt.

erste Anmeldung mit nur lokalem Profil 24 Sekunden
weitere Anmeldungen mit lokalem Profil 2 Sekunden
erste Anmeldung mit wandernden Profilen und Ordnerumleitung erstellen 95 Sekunden
erste Anmeldung an einem Computer mit vorhandenem Profil auf Server 12 Sekunden
weitere Anmeldung mit wandernden Profilen und Ordnerumleitung 3 Sekunden

Die erste Anmeldung im Netzwerk dauert extrem lange, dies ist aber nur einmal nötig. Danach ist die Anmeldung auf einem Computer, an dem man sich noch nie angemeldet hat, etwa doppelt so schnell, wie wenn ein lokales Profil eingerichtet werden muss. Wir werden also mit Windows 10 wieder wandernde Profile einführen – im Gegensatz zu damals unterstützt durch die Ordnerumleitung.

Gruppenrichtlinien für Windows 10

Kommentar verfassen

Um die neuesten Gruppenrichtlinien für Windows 10 zu verwalten, muss man die entsprechenden admx Vorlagen herunterladen und am besten in den Central Store kopieren.

Dummerweise hat sich da ein Fehler bei der Lokalisation eingeschlichen. Wenn man eine Gruppenrichtlinie bearbeiten möchte, kommt immer dieser Fehler:

“Die in der Eigenschaft “$(string.SUPPORTED_Vista_through_Win7)” aufgeführte Ressource displayName konnte nicht gefunden werden. Datei \\domain\SysVol\domain\Policies\PolicyDefinitions\PreviousVersions.admx, Zeile 11, Spalte 111”

image

Gemäss Technet-Forum fehlt in der deutschen adml Datei eine Zeile. Wenn man wie dort empfohlen diese in Zeile 57 hinzufügt, kommt die Fehlermeldung nicht mehr.

image

Wahrscheinlich werden die Vorlagen demnächst mal angepasst, damit dieser Workaround nicht mehr benötigt wird.