Freitag, 31. März 2006

Proxy-Server mit Filterfunktion

Ausgangslage:

Auf einem schwächlichen alten PC lief bei uns bisher Windows XP mit dem Jana-Proxy. Über einige wenige Sperrbegriffe konnten wir zumindest das vormals recht beliebte Chatten auf kwick.de in der Schule unterbinden. Es ist unserer Meinung nach nicht Aufgabe der Schule, den Schülern die Infrastruktur zum privaten Chat zur Verfügung zu stellen.
Über Eintragungen in den entsprechenden Konfigurationsdateien von Firefox und dem Sperren der Konfigurationsseite sowie eine Policy für den IE zwingen wir den Browsern den Proxy auf.

Problem:
Unser alter Content-Filter entspricht nicht wirklich den Vorgaben des Jugendschutzes, wir haben zwar ein paar einschlägige Begriffe gesperrt, die im schulischen Bereich nichts zu suchen haben, hier gibt es aber deutlich effektivere Methoden als unsere.
Eine Positivliste kommt nicht in Frage, das würde den Sinn einer Internetrecherche konterkarieren.
Also muss ein besserer Filter her. Unser Arktur hat den mit Squid und SquidGuard bereits eingebaut. Aber unser Versuch, den Arktur-Proxy auf unserem Server zu aktivieren, hat dazu geführt, dass sich nach einiger Zeit niemand mehr auf Arktur einloggen konnte und sogar das DHCP der Clients fehlschlug.

Lösungsansatz:
Ein eigenständiger Arktur-Rechner, der nur die Proxy-Funktion übernimmt, sonst nichts.
Anmerkung: Es gibt zwar die Zwei-Server-Lösung von Arktur, diese hat aber aus unserer Sicht zwei gravierende Probleme.
Sie ist so gut wie überhaupt nicht dokumentiert. Wie arbeiten die beiden Server zusammen? Auf welchem Rechner muss die Internetverbindung aktiviert werden, wie kann ich die Benutzerkennungen zwischen den Servern abgleichen...? Hilfe zu diesen Fragen war auch über die Liste nicht zu bekommen.
Der bisherige Arktur muss umbenannt werden, da der neue Kommunikationsserver zwingend Arktur heißt. Da hängt aber ein ganzer Pferdeschwanz weiterer Probleme dran.
Der neue Arktur (nennen wir ihn Lauraproxy) war schnell aufgesetzt (auf einem etwas moderneren Rechner als der alte Jana-Proxy) und umbenannt, die erste Netzwerkkarte erhielt die gleiche IP wie der alte Proxy, die zweite Netzwerkkarte wurde an ein anderes VLAN gehängt (aber nur, weil fürs erste VLAN gerade keine Buchse frei war) und bekam dort eine freie IP.
Als DNS-Server wurde beim Erstellen des Internetzugangs (Option "Router") der DNS-Server des Berufsschulnetzes eingetragen, als Adresse des Routers das zuständige Gateway des VLANS.

1. Folgeproblem
Leider war der Server danach noch nicht aus anderen VLANs erreichbar, weder per Ping noch per http.
Hier half das Überarbeiten der /etc/route.conf, die genauso wie der Haupt-Arktur auf unser VLAN eingestellt werden musste, damit der Lauraproxy weiß, dass er alle Anfragen an die unterschiedlichen VLANs an das Gateway des ersten VLANs schicken muss.

2. Folgeproblem
Nun war der Lauraproxy per Ping und http von überall aus erreichbar. Allerdings führten Webseitenaufrufe für das Internet über den Lauraproxy ins Leere, er konnte keine DNS-Namensauflösung durchführen.
Die Lösung kam am nächsten Tag über die Liste:
Die Datei /etc/resolv.conf braucht noch den Eintrag des DNS-Servers hinter dem Punkt nameserver. Warum das nicht zusammen mit den Einstellungen für den Internetzugang erledigt wird, bleibt mir rätselhaft.

Erfolg und Finetuning
Nun klappt es auch mit dem Lauraproxy, sogar spürbar schneller als mit dem alten Proxy, die Filterlisten von Squidguard funktionieren ebenfalls gut - zumindest bei einschlägigen Suchbegriffen in Google.
Allerdings blendet Firefox keine Fehlerseite a la "Böse Anfrage!!!" ein, sondern meldet nur, dass der Server (Lauraproxy) einen Loop verursacht - das sagt den Schülern wenig. Aber sie können die gesperrte Seite nicht aufrufen, und darum ging es ja schließlich. Daran gilt es aber noch zu feilen.

Labels: ,

Freitag, 17. März 2006

Computer zeitgesteuert herunterfahren

Problem:

Unsere lieben Schüler - aber durchaus auch die Kollegen im Lehrerzimmer - lassen häufig die Computer nach der Benutzung weiterlaufen. Natürlich ist dies sinnvoll, wenn der nächste Anwender schon auf einen freiwerdenden Platz wartet. Ist dem aber nicht so, kann der Rechner doch ruhig runtergefahren werden, sooo lang dauert ein Neustart doch auch wieder nicht...
Nun ja, das Hauptproblem dabei ist: Wenn ich in den Schulferien erstmals in die Computerräume komme, um dort etwas zu richten, kann ich mir sicher sein, dass vom letzten Schultag her in jedem Raum noch 2-3 Rechner an sind, von den Monitoren und Druckern ganz zu schweigen. Wie kann ich erstere automatisch herunterfahren?

Lösungsansatz 1:

Ich aktiviere im Administrator-Account die Bildschirmschonerfunktion und darin die Energiesparfunktion von XP. Nachteil: das Herunterfahren funktioniert nur unzuverlässig, vor allem, wenn sich die Schüler/Kollegen nicht ausloggen.

Lösungsansatz 2:

Der XP-Befehl shutdown.exe

In der schan-user-Liste für Arktur kam ein Hinweis, dass die Datei shutdown.exe aus dem Ressource-Kit für Win2k von MS das Problem beheben könnte. Tut sie auch, allerdings ist der Befehl in WinXP bereits eingebaut, das Ressource-Kit also überflüssig.
Achtung! Die Parameter für den Befehlszeilenaufruf der Datei haben sich bei WinXP geändert! Außerdem ist jetzt die GUI in shutdown.exe eingebaut (Aufruf über shutdown /i), die alte Datei shutgui.exe ist damit obsolet.
Damit ist jetzt das Herunterfahren des Rechners gelöst:
shutdown /s /f /t 300 /c "Die Schule wird um 18 Uhr abgeschlossen. Bitte beenden Sie Ihre Arbeit!"
Erklärung:
  • /s: der Rechner wird Heruntergefahren (/r steht dann für Neustart/reboot).
  • /f: eventuell geöffnete Programme werden radikal gekillt.
  • /t 300: der Anwender erhält eine "Vorwarnzeit" von 300 Sekunden. In dieser Zeit liegt ein Fenster mit einer fest vorgegebenen und einer frei konfigurierbaren Meldung sowie einem Countdown im Vordergrund, der Anwender hat die Möglichkeit, seine Daten in dieser Zeit zu sichern.
  • /c "....": zwischen den Anführungszeichen steht die später im Fenster angezeigte frei konfigurierbare Meldung.

Aber wie steuere ich die Zeit, zu der das Herunterfahren erfolgen soll?

Lösungsansatz 2a:

Der XP-Befehl at

XP kennt den Kommandozeilen-Befehl at (genausogut kann man auf GUI-Ebene natürlich gleich den Taskplaner verwenden, at füttert diesen einfach mit Befehlen). Mit diesem lassen sich recht differenziert Tasks auf dem Rechner planen.

Ein konkretes Beispiel:
Ich möchte an jedem Tag um 17:45 Uhr, eine Viertelstunde von Schließung der Schule, den shutdown-Vorgang einleiten:
at 17:45 /interactive /every Mo,Di,Mi,Do,Fr,Sa,So shutdown /s /f /t 300 /c "Die Schule wird um 18 Uhr abgeschlossen. Bitte beenden Sie Ihre Arbeit!"
Erklärung:
  • 17:45 : zu dieser Zeit soll das shutdown-Task beginnen.
  • /interactive: Das Task soll mit dem momentan aktiven Benutzer kommunizieren. Hab nicht ausprobiert, ab das in unserem Fall von Belang ist, schadet aber auch nichts.
  • /every Mo,Di,...: Das Task wird an jedem Wochentag gestartet. Hier kann ich natürlich auch nur bestimmte Wochentage auswählen, ein bestimmtes Datum nehmen usw. Alternativ gibt es noch den Schalter /next zur einmaligen Ausführung des Tasks an einem bestimten Tag.
  • shutdown...: an dieser Stelle beginnt der eigentliche Befehl, wieder mit einer ganzen Reihe von Schaltern am Ende - Erklärung s.o.
Jetzt bleibt noch das Problem: wie bekomme ich diesen Befehl auf meine 60 XP-Rechner? Hier wurde ich enttäuscht. Sowohl bei shutdown wie bei at gibt es die Möglichkeit, einen remote-Computer als Ziel des Befehls anzugeben.
Zum Herunterfahren eines remote-Computers muss der "Auftraggeber" an diesem Rechner lokal das Recht zum Herunterfahren besitzen (einstellbar über die Anwenderrechte in der gpedit.msc). Das funktioniert unter Arktur mit dem User adm dann auch, sobald dieser in der gpedit die Rechte bekommen hat.
Aber es funktionierte bei meinen Versuchen nicht beim Befehl at, ich konnte mir nie die benötigten Rechte verschaffen (und wusste auch nicht, wo danach suchen).

Lösungsansatz 2b:

Eine kleine Batch-Datei

Wenn der Admin keinen Bock mehr hat, nach einer "eleganten" Lösung zu suchen, schraubt er sich eine Batch-Datei mit obigem Befehl zusammen, geht an seine 60 Rechner, loggt sich jeweils als Administrator ein, führt die Batch-Datei aus - und fertig.

Fortan sollten mich in den Ferien keine laut surrenden Computerräume an unserer Schule mehr empfangen.


Labels:

Definition: Thema dieses Blogs

Bisher wusste ich mit diesem Blog noch nicht richtig was anzufangen, dementsprechend war der Inhalt auch vollständig trivial. Wer liest denn schon das Tagebuch von jemand anderem, außer er erwartet sich Erkenntnisse aus dem Geschriebenen. Da es hier keine sensationellen Enthüllungen aus meinem Privatleben geben wird, muss ich mir also ein sinnvolles Thema aussuchen, ansonsten kann ich dieses Blog auch wieder einstampfen.

Also, ab dem nächsten Eintrag hat dieses Blog zwei Themen:

Computer
(nähere Einzelheiten siehe unten)

Chorgesang


Was fällt bei mir unter diese Themen:

Thema Computer:
Ich bin an der Laura-Schradin-Schule Reutlingen u.a. als Systemadministrator für das pädagogische Netz tätig, hierbei fallen sowohl bei der Administration des Schulservers (Arktur 4.0, also Linux als Basis) wie bei der Arbeit mit den Workstations (zumeist WinXP) immer mal wieder Probleme an. Die Probleme sind für andere unwichtig, die Lösungen könnten aber auch für andere von Interesse sein, die ähnliche Probleme haben.
Deshalb werde ich in diesem Blog immer mal wieder über Problemlösungen berichten, die bei mir gerade angelaufen sind. Ich bin kein Entwickler, ich greife natürlich immer auf Lösungen zurück, die auch anderswo im Web dokumentiert sind. Aber je mehr Lösungen im Web existieren, um so größer ist die Chance, bei der Suche auf eine passende zu stoßen.

Thema Chorgesang:
Ich singe derzeit nur in einem Chor, im Pauluschor Stuttgart (http://www.pauluschor-stuttgart.de) unter der Leitung von Dieter Kurz, ich werde in lockerer Folge über den Chor und seine Konzerte hier berichten.

Ach ja, und gelungene Fotos aus meiner Fotosammlung werde ich auch weiterhin hier verlinken, die volle Auswahl gibt es auf meiner Flickr-Seite!

So, und jetzt geht's los.

Donnerstag, 9. März 2006

Der Schnee


So schön sah es am letzten Wochenende bei uns aus, richtig viel Schnee (und sofort gibts im Fernsehen Sondersendungen zum "Schneechaos" im Süden...), richtig schön!
Und wenn man halbwegs vorsichtig fährt und Winterreifen drauf hat, dann gibts auch kein Problem mit dem Schnee (zumindest sofern der Hausmeister seine Arbeit macht...).

Und jetzt? Petrus schickt warmes Wetter, es taut (wo bleibt die Sondersendung über das Hochwasser im Süden?), alles ist grau und schmutzig... Bäh.

Mittwoch, 8. März 2006

Mein Gott, ist das öde! Die Installation des neuen Proxy-Servers zuckelt vor sich hin, der Techniker für den defekten Beamer sollte auch schon lange da sein, draußen schneits und alle neuen Mails hab ich schon abgearbeitet - also gut, dann halt etwas Futter fürs Blog. Liest das eigentlich irgendjemand?
OK, der Techniker war jetzt da, der Server ist fertig und will konfiguriert werden, keine Zeit mehr fürs Blog, ein andermal vielleicht...