Bestanden intern netwerk thuis bereikbaar maken

Richt een RRAS server in zou ik zeggen. Scholen krijg software van Microsoft toch voor dump prijzen .

Overgens is het wel fijn als je wat meer informatie geeft. Is het 1 domein? 1 forest? Van waaruit ga je docenten de toegang verschaffen. Klinkt nu nog wel erg vaag namelijk

De oplossing die jij hebt gezien op de hoge school was waarschijnlijk WebDisk, of een variant daarop.
Is op zich een goed bruikbare oplossing Sluit volgens mij wel aan bij wat jij wilt.

Ik weet niet of je er al over nagedacht hebt, maar een simpel uitgeveorde SBC omgeving maakt het voor de leerkrachten misschien makkelijker. Gewoon een terminal server waarop je de leerkrachten middel RDP laat aanmelden. SImpel loginscript wat voor de leerkracht enkele mappings aanmaakt, en klaar.

Printen gaat dan ook erg gemakkelijk. Er wordt immers geprint vanaf de terminal server. Hoeven de leerkrachten thuis ook geen printerdrivers te installeren. Overigens, je wilt niet printen over een VPN verbinding. Een 5MB worddocument wordt dan al snel enkele 10 tallen MB's die over de lijn gaan. En dat is upload, en niet fijn voor de mensen met 512 - 1024kbit/s upload snelheden..

Ik weet niet over hoeveel leerkrachten het gaat, dus exacte getallen kan ik je ook niet noemen. Het RDP verkeer zou ik wel via een VPN laten lopen BTW.

[ Voor 14% gewijzigd door Equator op 11-09-2009 14:14 ]

Ik zou gewoon het verkeer via VPN laten lopen. Upload is niet zo'n groot probleem zolang je maar een degelijk lijntje hebt naar je school (10/10 is niet ongewoon en zal snel 5-15 concurrente verbindingen ondersteunen) en het is niet alsof leerkrachten enorm veel van thuis uit gaan doen.

De meeste VPN verbindingen kun je ook laten comprimeren aan beide kanten dus krijg je al direct veel meer. Een VPN direct op je netwerk zetten is niet aan te raden (laptops verdwijnen en thuiscomputers hebben virussen) dus ga je een tweede kant (softwarematig of hardwarematig) moeten opbouwen voor alle services die je aan de VPN wilt aanbieden.

Printen is nog het minst van je zorgen. Gewoon een printserver neerzetten waar de VPN clients aankunnen aan een kant en aan de andere kant naar de printers wordt geprint. Een word document van 5MB gaat eenmaal geprint niet 5MB aan output leveren, dit wordt allemaal afgehandeld door je printerdrivers (er wordt een soort van PDF gemaakt en verstuurd).

Idem voor je filesharing. Als je speciale software gaat aankopen wordt dit al snel enorm duur en complex (want je moet die software op thuiscomputers instellen) en veel betere performance ga je niet krijgen. Gewoon een Windows share zou enorm goed moeten werken voor het meeste gebruik (behalve full-featured films heen en weer sleuren).

Dit kan allemaal eenvoudig gedaan worden op alle platformen (Mac, Windows, Linux). Als je op zoek bent naar een servertje om voor dit allemaal te zorgen: koop een XServe (Apple heeft enorm mooie Edu kortingen) en dan heb je direct VPN, SMB met print en file resharing (dus een share van een share) zonder al te veel configuratie of licenties te kopen en die kun je direct zowel intern (firewall configuratie paneel is enorm eenvoudig) als extern met een firewall afschermen. Verbindt ook naar Active Directory voor alle authenticatie (VPN, SMB, Printer) of als je wil veranderen van verkoper, gelijk welke LDAP oplossing.

Waar je ook naar kan kijken is een SSL-VPN oplossing. Wij gebruiken de Sonicwall SSL-VPN 2000.
De gebruiker kan mbv de webbrowser inloggen. (plugin wordt geinstalleerd). Dit met de credentials van je domein. Vervolgens wordt er een password verstuurd naar een vooraf opgegeven e-mailadres. (dit kan ook met een token) Met dit wachtwoord verder inloggen. Je komt dan in een portal. Hierin is aan de gebruiker ean aantal bookmarks beschikbar gesteld waarmee ze verder kunnen. Bijvoorbeeld naar een Terminal Server, e-mail etc. Het is vooral een stukje hardware waarmee je inloggen zonder specifieke softeware mogelijk maakt.

Als je de gebruiker van hieruit laat inloggen op een TS en daarbij een printer beschikbaar stelt, dan blijft de data op je LAN en gaat niet over een dun lijntje. Als je de SSL-VPN in een DMZ plaatst kan je mbv je firewall de security heel strak inregelen.

Ik vraag me af waarom iedereen zo graag vpn - rdp adviseert?
Je kunt toch gewoon ssl rdp doen?

Gewoon?

oftewel: motiveer je suggestie ook...

Met Windows server 2008 is heel gemakkelijk een rdp-proxy server te maken. Een server die via een ssl tunnel een rdp sessie aanbiedt naar een punt in je interne netwerk. De authenticatie werkt op basis van AD accounts en de verbinding heeft op de client pc alleen maar de standaard 'Verbinding met extern bureaublad' nodig.

Nadeel hieraan is dat het een enkelvoudige beveiliging is. Zodra één van de leerlingen het wachtwoord van een docent onderschept (wat me niet heel onwaarschijnlijk lijkt) kan die leerling van buitenaf lekker rommelen in je systeem. Door er een extra laag bovenop te gooien (VPN, ssl-tunnel, whatever) krijg je garantie dat een bekend wachtwoord nog geen toegang van buitenaf verschaft.

Maar dit zijn allemaal technische oplossingen. Is het niet beter om eerst te bedenken wat je wilt en daarmee je vraagstuk te begrenzen?

Wat wil je precies aanbieden aan de docenten? In de topicstart heb je het over het aanbieden van printers aan de thuiswerkplekken. Is dit werkelijk alles dat je wilt aanbieden? Zijn het alleen de docenten aan wie je dit wilt aanbieden?
Wat zijn de clients waaraan je dit wilt aanbieden? Zijn er docenten die bijvoorbeeld geen Windows pc thuis hebben? Krijgen ze een laptop mee?
Moet er ondersteuning zijn voor mobiele apparaten of andere afwijkende platformen? (iPhone, Windows Mobile, BlackBerry, Symbian, Android)
Wordt er op dit moment al iets gedaan met thuiswerkplekken? (RSA tokens, 802.1x, persoonlijke/clientside certificaten)

Zou je je vraagstuk wat duidelijker kunnen begrenzen?

Edit: wat je ook doet, gooi FTP alsjeblieft overboord als je met gevoelige data gaat werken. Dit protocol is domweg niet veilig.

[ Voor 4% gewijzigd door hans_lenze op 03-10-2009 21:02 ]