Я помогаю местной частной школе с большим количеством технических потребностей. До сих пор это был порядок ремонта / установки офисных компьютеров и помощи в управлении офисной сетью.
Но теперь администратор с нетерпением ждет и хочет, чтобы персонал и студенты были модернизированы и онлайн. Он спросил меня, не буду ли я заинтересован в настройке сервера и его обслуживании (возможно, за небольшое вознаграждение).
Но сейчас я в затруднительном положении - я бы хотел помочь, но у меня мало опыта работы с серверами. У меня есть время, чтобы посвятить себя обучению и поддержанию, но это будет новое предприятие как для школы, так и для меня.
Школе потребуются учетные записи пользователей в течение ок. 50 сотрудников и преподавателей и около 200 студентов. Все это потребует строго фильтрованного доступа к Интернету, хранилища данных, безопасности, доступа к принтеру, резервного копирования, и я уверен, что в конечном итоге они захотят использовать VPN. Им нужны школьные учетные записи электронной почты для всех учащихся и сотрудников, общие календари и т. Д.
Мой первоначальный план заключался в использовании Google Apps (у них уже есть учетная запись Google Apps for Education) в сочетании с фильтрацией OpenDNS. Но теперь я понимаю, что опытному студенту будет довольно просто обойти это.
Кроме того, школа в настоящее время использует старый 24-портовый коммутатор, мешанину беспроводных маршрутизаторов в качестве точек доступа (это длинное двухэтажное кирпичное здание с убежищем от радиоактивных осадков) и «стандартный» DSL (пропускная способность неизвестна). Подключены только офисные компьютеры. Почти все учителя имеют беспроводной доступ к сети. Чтобы учащиеся не узнали пароль и не получили доступ, школа использует фильтрацию MAC-адресов для предотвращения несанкционированного доступа. Очевидно, что если они собираются предоставить студентам доступ, эту систему также необходимо будет переосмыслить.
Итак, учитывая все эти требования, я хотел бы задать следующие вопросы:
Прямо сейчас школа не использует сеть для чего-то большего, чем просто распечатка. Так что для улучшения не потребуется много времени. Тем не менее, мы хотели бы также быть ориентированными на будущее, насколько это разумно. У школы ограниченный бюджет (а кто нет?), Но некоторые из этих вещей могут быть большим подспорьем.
Я работаю в школе такого же размера. Моя рекомендация:
Сосредоточьтесь на сетевой инфраструктуре в качестве первоочередной задачи. Выйдите за пределы коммутаторов потребительского уровня и доступа в Интернет, реализовав, скажем, межсетевой экран Cisco ASA 5505 в сочетании с веб-прокси Squid для выполнения пограничной и HTTP-фильтрации и подключения к VPN.
ASA 5505, вероятно, стоит менее 500 долларов с контрактом на поддержку, а Squid имеет открытый исходный код, вы должны собрать его на приличной машине, но вы можете использовать его с протоколом Cisco wccp, который перенаправляет HTTP-запросы на прокси для утверждения, но если прокси-машина умирает, система «не открывается», то есть доступ по-прежнему разрешен. )
Подключите это к главному коммутатору магистрали. Я рекомендую, скажем, коммутатор Cisco 2960 на 48 портов. Получите любые другие случайные переключатели и снова подключите к нему беспроводной AP. Этот тип управляемого коммутатора предотвращает петли переключения и дает широкие возможности мониторинга в случае возникновения проблем, а также обеспечивает механизмы безопасности.
Да, оборудование Cisco дорогое, и его может быть сложно настроить, когда вы новичок, но оно надежное, многофункциональное и соответствует всем существующим сетевым протоколам. Это может быть основой отказоустойчивой сети.
Я предполагаю, что беспроводная сеть запущена, а производительность - отстой. Побегайте с netstumbler и посмотрите, что мешает и каков радиус действия беспроводной сети. Обязательно настройте радиостанции на использование неперекрывающейся частоты каналов 1, 6 или 11.
Сервер? Скромный стоечный сервер Dell или HP за 4 КБ или 5 КБ с Windows 2008 R2 подойдет. Вы можете использовать его для управления пользователями и группами, групповых политик, обслуживания печати, обслуживания файлов. Получите как можно больше оперативной памяти и самые быстрые жесткие диски, которые вы можете себе позволить. Конечно, системы на базе * nix тоже будут работать. Поддержать его в будущем, если вас нет рядом, может быть сложнее, чем найти администратора MS.
Я бы виртуализировал этот сервер на установке VMWare ESXi и определил размер физического сервера, чтобы я мог добавить еще одну гостевую машину.
Не забудьте спланировать источники питания, ИБП и теплоотвод в зонах оборудования. Оборудование корпоративного уровня быстро нагревается и потребляет много энергии.
Нет причин не использовать и локальное файловое хранилище, и Google Docs, если они хотят. Позвольте потребностям пользователей управлять их конкретной ситуацией.
Антивирус? Возможно, что-то, что управляется в облаке или вообще не управляется, как MSE? Поддержка корпоративной установки Symantec или Sophos - это головная боль, а лицензирование стоит очень дорого. Предоставьте им MSE, отнимите права администратора у их учетных записей на локальном компьютере и назовите это смягченным. Без прав администратора им придется приложить гораздо больше усилий, чтобы заразиться.
Уловка здесь в бюджете, я уверен. Ключевым моментом является убедить руководство в том, что ИТ - это важная инфраструктура, которая выйдет из строя быстро и катастрофически, если все будет сделано неправильно.
Сетевая магистраль может это исправить или сломать, проложить Ethernet во всех комнатах, Wi-Fi будет беспорядочным и практически непригодным для использования с большим трафиком на нем.
Все они нуждаются в строго фильтрованном доступе в Интернет,
Некоторые брандмауэры поставляются с фильтрацией контента, но это стоит $ $$, не имеет большого опыта за пределами этого, но, как правило, ваш лучший выбор (особенно для школы). Вероятно, это последнее, что я бы сократил, учитывая, что школа может столкнуться с большими проблемами, связанными с детьми и доступом к сети (плюс вы не хотите, чтобы дети убивали линию DSL).
хранилище данных,
Подойдет любой компьютер с общим хранилищем, может быть, даже NAS для дешевых ящиков на базе Linux поможет вам далеко.
безопасность,
Для этого в значительной степени требуется AD, опять же, $$$. Я слышал о людях, которые обходятся OpenLDAP, но удачи в реализации необходимой безопасности (GPO), чтобы дети не взломали все.
доступ к принтеру,
Сервер печати с CUPS - дешевый и крутой.
резервные копии,
Съемный жесткий диск - ваш бюджетный вариант, купите несколько, поменяйте их на месте.
и я уверен, что они в конечном итоге захотят использовать VPN.
Если у вас есть сервер AD, это просто, любой брандмауэр, фильтрующий контент, также должен иметь поддержку VPN.
Главное, что вы ищете: сетевая инфраструктура, Active Directory и брандмауэр с фильтрацией содержимого, я бы сказал. Мы используем межсетевой экран Cisco (ASA), они хорошие, но дорогие, может быть, кто-то порекомендует что-нибудь подешевле.
Я бы сказал:
Некоторые идеи, чтобы сдвинуть с мертвой точки, во многом это связано с тем, сколько у вас есть для бюджета, нам нужны цифры, чтобы покупать программное и аппаратное обеспечение.