Leitfaden LAN Konfiguration für die E-Government-Projekte des Landes Hessen 28. Februar 2006 DOKUMENTINFORMATIONEN E-GOVERNMENT Dokumentinformationen Sperrvermerk - Redaktion Matthias Eberle Klasse Ergebnisdokument Infrastruktur Dateiname Leitfaden LAN Konfiguration 00.01.00.doc Letzte Bearbeitung (Speicherdatum) 14.05.2016 17:54 Aktuelles Datum 14. Mai 2016 Letztes Druckdatum 14.05.2016 17:54 Seitenzahl 47 Dokument-Status und –Freigabe Erstellt Status Datum Name und Abteilung/Firma Draft 4.01.06 Matthias Eberle, CSC Ploenzke AG Revision Freigabe Änderungsnachweis Versions-Nr. Status Bearbeiter Datum Änderung / Bemerkung 00.00.01 in Arbeit Matthias Eberle 4.01.2006 Erster Entwurf 00.00.02 In Arbeit Matthias Eberle 7.02.2006 Ergänzung Kapitel 4.3 und Anhang 00.00.03 In Arbeit Matthias Eberle 14.02.2006 Screenshots eingefügt 00.00.06 In Arbeit Matthias Eberle 28.02.2006 Redaktionelle Überarbeitung 00.01.00 In Arbeit Matthias Eberle 13.03.2006 Einarbeitung der Anmerkungen von HZD, HKM, Support 68624085; 14/05/2016 17:54 Seite I INHALTSVERZEICHNIS E-GOVERNMENT Inhaltsverzeichnis 1 Übersicht ............................................................................................................................... 5 2 Aufbau eines Verwaltungsnetzes ....................................................................................... 8 2.1 2.2 3 4 Installation des Verwaltungsnetzes ........................................................................... 8 2.1.1 Netzknoten (Switch) ................................................................................... 8 2.1.2 Verkabelung ............................................................................................... 9 2.1.3 Verwaltungsrechner ................................................................................. 10 2.1.4 IT-Sicherheit ............................................................................................. 10 Konfiguration des Verwaltungsnetzes ..................................................................... 10 2.2.1 IP-Adressen ............................................................................................. 10 2.2.2 Standardgateway ..................................................................................... 12 2.2.3 DNS .......................................................................................................... 12 2.2.4 DHCP ....................................................................................................... 13 2.2.5 IT-Sicherheit ............................................................................................. 14 Anbindung an das landesweite Hessische Schulverwaltungsnetz .............................. 16 3.1 Anschluss des WAN-Routers .................................................................................. 16 3.2 Konfiguration vorhandener Router .......................................................................... 18 3.3 Konfiguration vorhandener Switches / Hubs ........................................................... 20 3.4 Konfiguration vorhandener Server .......................................................................... 20 3.5 Konfiguration einer vorhandenen Firewall ............................................................... 21 Konfiguration der Verwaltungsrechner ........................................................................... 22 4.1 IP-Adresse und DNS ............................................................................................... 22 4.2 DHCP ...................................................................................................................... 23 4.3 Datei „hosts“ ............................................................................................................ 23 4.4 Web-Browser ........................................................................................................... 25 4.5 4.4.1 Proxy-Server für zentralen Internetzugang .............................................. 25 4.4.2 Sicherheitseinstellungen .......................................................................... 27 4.4.3 Datenschutz ............................................................................................. 30 4.4.4 Popupblocker ........................................................................................... 32 Konfiguration E-Mail-Dienst..................................................................................... 33 4.5.1 Outlook Web Access ................................................................................ 33 68624085; 14/05/2016 17:54 Seite II INHALTSVERZEICHNIS 4.5.2 4.6 5 E-GOVERNMENT Outlook 2003 Client (RPC über HTTPS) ................................................. 34 IT-Sicherheit ............................................................................................................ 40 4.6.1 Benutzerkonten ........................................................................................ 40 4.6.2 Desktop-Firewall ...................................................................................... 40 4.6.3 Bildschirmschoner mit Passwortschutz ................................................... 40 Anhang ................................................................................................................................ 42 5.1 Checkliste LAN ........................................................................................................ 42 5.2 Checkliste Verwaltungsrechner ............................................................................... 42 5.3 Überprüfung der Konnektivität (Test-Webseite) ...................................................... 43 5.4 Überprüfung des E-Mail-Zugriffs mit RPC über HTTPS ......................................... 45 5.5 Software-Empfehlungen für die Verwaltungsrechner ............................................. 46 Verwendete Begriffe / Abkürzungen Hessisches Schulverwaltungsnetz Das Hessische Schulverwaltungsnetz ist das geplante Weitverkehrsnetz, welches einzelne Schulen oder ganze Schulträgernetze sternförmig an ein zentrales Rechenzentrum anbindet. HZD Hessische Zentrale für Datenverarbeitung Internet-Router Mit dem Begriff Internet-Router wird in diesem Dokument ein eventuell vorhandener Router im Verwaltungsnetz einer Schule bezeichnet, der für die Verwaltungsrechner eine Verbindung zum Internet herstellt. LAN Local Area Network (hier: Verwaltungsnetz in der Schule) LUSD Mit LUSD ist in diesem Dokument die neue zentrale WebAnwendung „Lehrer und Schüler Datenbank“ gemeint, die die bestehende lokale LUSD (auf MS Access-Basis) ablösen wird. Schulträgernetz Unter einem Schulträgernetz wird in diesem Dokument ein Netzwerk verstanden, über das die Schulen eines Schulträgers an den Schulträger angebunden sind. WAN Wide Area Network (hier: Hessisches Schulverwaltungsnetz) WAN-Router Als WAN-Router wird in diesem Dokument der Router bezeichnet, der für die Anbindung an das Hessische Schulver- 68624085; 14/05/2016 17:54 Seite III INHALTSVERZEICHNIS E-GOVERNMENT waltungsnetz in den Schulen durch die Telekom installiert wird. 68624085; 14/05/2016 17:54 Seite IV ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 1 E-GOVERNMENT Übersicht Dieser Leitfaden beschreibt die Maßnahmen, die in der Regel notwendig sind, um von den Verwaltungsrechnern in den hessischen Schulen nach der Anbindung an das landesweite Hessische Schulverwaltungsnetz auf die zentralen Anwendungen wie zum Beispiel die neue Lehrer und Schüler Datenbank (LUSD) zuzugreifen. Auf Grund der Vielfalt der in den einzelnen Schulen vorhandenen IT-Strukturen können in diesem Leitfaden nicht alle potenziell möglichen Ausgangssituationen berücksichtigt werden. Daher werden Annahmen zu Grunde gelegt, die für eine Vielzahl der Schulen zutreffen sollten (z.B. Ethernet-Netzwerk, Windows-Rechner). In den Fällen, wo diese Grundlagen nicht gegeben sind, müssen ggf. individuelle Anpassungen vorgenommen werden. Alle Abbildungen von Eingabemasken in diesem Dokument wurden unter dem Betriebssystem Windows XP mit Service Pack 2 in der deutschen Version angefertigt. Die Eingabemasken in anderen Windows-Versionen (z.B. Windows 2000 oder Windows XP englisch) können im Aussehen und einzelnen Menüpunkten abweichen. Ziel dieses Dokuments ist es, den Verantwortlichen für die IT im Verwaltungsbereich der Schulen eine Hilfestellung zu geben, die bei der Umsetzung der notwendigen Anpassungsmaßnahmen unterstützen kann. Es wird versucht, diesen Leitfaden so zu gestalten, dass auch Personen, die sich nicht täglich mit der Administration von IT-Systemen beschäftigen, die beschriebenen Maßnahmen umsetzen können. Ein gewisses Maß an Grundverständnis für die IT und Erfahrung mit Windows-Betriebssystemen sollte aber vorhanden sein. Für einige der dargestellten Konfigurationen sind Administrator-Rechte auf dem System erforderlich. Sind keine ausreichenden Administrationsberechtigungen vorhanden, muss der verantwortliche Administrator der IT-Systeme informiert werden. In Kapitel 2 wird zunächst der Aufbau eines lokalen Verwaltungsnetzes beschrieben. Die „Installation des Verwaltungsnetzes“ (Kapitel 2.1) und die „Konfiguration des Verwaltungsnetzes“ (Kapitel 2.2) ist natürlich nur notwendig, wenn mehr als ein Verwaltungsrechner, von dem auf die zentralen Anwendungen zugegriffen werden soll, vorhanden ist und wenn die Verwaltungsrechner nicht bereits vernetzt sind. Ist bereits ein Verwaltungsnetz vorhanden, kann das Kapitel 2 übersprungen werden. In Kapitel 3 wird die Vorgehensweise für die Anbindung des lokalen Verwaltungsnetzes an das landesweite Hessische Schulverwaltungsnetz dargestellt. Dies beinhaltet neben dem physikalischen Anschluss des WAN-Routers an das LAN auch die Schritte zur Anpassung der Konfiguration eines bereits vorhandenen lokalen Verwaltungsnetzes, die unter Umständen durchgeführt werden müssen. Die im Kapitel 4 beschriebenen Konfigurationsänderungen für die einzelnen Verwaltungsrechner werden nach Inbetriebnahme des landesweiten Hessischen Schulverwaltungsnetzes erforderlich, damit ein Zugriff auf die zentralen Anwendungen erfolgen kann. 68624085; 14/05/2016 17:54 Seite 5 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Im Anhang befinden sich einige Checklisten, mit deren Hilfe die Voraussetzungen für einen Zugriff auf die zentralen Anwendungen überprüft werden können. Außerdem wird ein Testverfahren beschrieben, mit dem der Zugriff von Verwaltungsrechnern auf die zentralen Anwendungen aus Netzwerksicht überprüft werden kann. Die nachfolgende Tabelle veranschaulicht, welche Abschnitte in diesem Dokument für welchen Fall relevant sind. Zeitpunkt/ Bedingung Schule MIT Anbindung an ein Schulträgernetz Schule OHNE Anbindung an ein Schulträgernetz Mehrere Verwaltungsrechner, aber keine lokale Vernetzung Kapitel 2 Aufbau eines Verwaltungsnetzes Kapitel 2 Aufbau eines Verwaltungsnetzes Kapitel 3 Anbindung an das Hessische Schulverwaltungsnetz Nach der Installation des WAN-Routers in der Schule Kapitel 5.3 Überprüfung der Konnektivität Nach der Installation des WAN-Routers beim Schulträger Kapitel 3.4 + 3.5 Konfiguration des Schulträgernetzwerks (durch den Schulträger) Kapitel 5.3 Überprüfung der Konnektivität Nach der Produktivsetzung der zentralen Anwendungen LUSD, Internet, E-Mail (Oktober 2006) 68624085; 14/05/2016 17:54 Kapitel 4 Konfiguration der Verwaltungsrechner Kapitel 5.3 Überprüfung der Konnektivität Kapitel 5.3 (+ ggf. 5.4) Überprüfung der Konnektivität Überprüfung des Zugriffs auf die zentralen Anwendungen Überprüfung des Zugriffs auf die zentralen Anwendungen Seite 6 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 68624085; 14/05/2016 17:54 E-GOVERNMENT Seite 7 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 2 E-GOVERNMENT Aufbau eines Verwaltungsnetzes Dieses Kapitel ist nur relevant, wenn an einem Schulstandort noch kein lokales Schulverwaltungsnetzwerk vorhanden ist. Existiert bereits ein Verwaltungsnetz, kann direkt mit Kapitel 3 fortgefahren werden. 2.1 Installation des Verwaltungsnetzes Falls in einer Schule mehrere Verwaltungsrechner vorhanden sind, die noch nicht miteinander vernetzt sind, aber dennoch alle auf die zentralen Anwendungen zugreifen können sollen, muss zunächst ein lokales Verwaltungsnetz aufgebaut werden. Empfehlung: Die in der Regel am besten geeignete Technologie für den Aufbau eines lokalen Netzes ist Ethernet mit einer Bandbreite von 100 Mbit/s. Als Topologie empfiehlt sich eine Sternstruktur mit einem zentralen Netzknoten. Bei der Installation von größeren und komplexeren Netzwerkinfrastrukturen sollte auf professionelle Unterstützung durch externe Dienstleister zurückgegriffen werden. 2.1.1 Netzknoten (Switch) Um mehrere Verwaltungsrechner sternförmig miteinander zu verbinden, wird ein geeigneter Netzwerkknoten benötigt. Empfehlung: Hierfür empfiehlt sich der Einsatz eines Ethernet-Netzwerk-Switch mit entsprechender Anzahl an Netzwerkanschlüssen (Port-Anzahl). Der Switch sollte an einem sicheren, nicht öffentlich zugänglichen Ort installiert werden, der sich in der Nähe aller oder zumindest der meisten Verwaltungsrechner befindet. Außerdem wird eine permanente 220V-Stromversorgung für den Switch benötigt, da der Switch immer angeschaltet sein muss, wenn ein Verwaltungsrechner auf das Netz zugreifen will. Für eine mögliche zukünftige Anschaffung weiterer Verwaltungsrechner sollte eine ausreichende Anzahl zusätzlicher freier Ports am Switch vorhanden sein. Mindestens ein freier Port wird für den Anschluss des WAN-Routers benötigt (siehe Kapitel 3.1), der bei der Anbindung an das landesweite Hessische Schulverwaltungsnetz durch die Telekom installiert wird. Gibt es eine große Anzahl von Verwaltungsrechnern in verschiedenen Gebäudeteilen eines Standorts, macht eventuell auch eine Kaskadierung von Switches Sinn, bei der mehrere Switches mit einem Haupt-Switch verbunden werden. 68624085; 14/05/2016 17:54 Seite 8 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Falls ein so genannter Netzwerk-Hub mit ausreichender Portanzahl bereits vorhanden ist und die Anschaffung eines Ethernet-Netzwerk-Switches vermieden werden soll, kann auch dieser Netzwerk-Hub weiterverwendet werden. Oftmals ist auch in einem Router (z.B. Internet-Router) ein Switch integriert, so dass mehrere Rechner direkt an den Router angeschlossen werden können. Der für die Anbindung an das Hessische Schulverwaltungsnetz vorgesehene WANRouter hat z.B. vier Ethernet-LAN-Ports. Dieser sollte für größere Netze jedoch nicht als Switch-Ersatz verwendet werden. Wenn auf Grund einer im Gebäude vorhandenen Netzwerkverkabelung, die für Ethernet (100Base-T) nicht geeignet ist, eine andere Technologie verwendet werden soll (z.B. 10Base-2, 10Base-5, Token Ring, …), muss ein zu dieser Technologie passender Netzwerkknoten an Stelle des Ethernet-Netzwerk-Switch verwendet werden. Falls nur ein einzelner Verwaltungsrechner in einer Schule vorhanden ist, ist kein zusätzlicher Netzknoten erforderlich. Der Rechner kann direkt an den WAN-Router angeschlossen werden. 2.1.2 Verkabelung Für die sternförmige Topologie des lokalen Netzwerks muss von jedem Rechner ein geeignetes Netzwerkkabel zum Switch verlegt werden. Empfehlung: Sofern neue Kabel zu den einzelnen Verwaltungsrechnern verlegt werden müssen, empfiehlt sich mindestens eine so genannte Cat.5e-Verkabelung. Um eine höhere Flexibilität und Investitionssicherheit sicherzustellen, sollten zumindest bei einer raumübergreifenden Verkabelung die Kabel nicht direkt an die Verwaltungsrechner angeschlossen werden, sondern es sollten Netzwerkanschlussdosen installiert werden, in die dann wiederum die Netzwerkkabel von den Verwaltungsrechnern eingesteckt werden können. Falls keine Unterputz-Verlegung der Kabel realisiert wird, sollten außerdem nach Möglichkeit Kabelkanäle verwendet werden. Bei einer raumübergreifenden Verkabelung ist darauf zu achten, dass die Kabel nicht ungesichert durch öffentlich zugängliche Räume (z.B. Klassenzimmer) geführt werden. Falls im Gebäude bereits eine andere Netzwerkverkabelung (z.B. Koaxial-Kabel) vorhanden ist und eine neue Verkabelung mit Cat.5-Kabeln nicht realisiert werden soll, kann die vorhandene Verkabelung weitergenutzt werden. Allerdings ist dann darauf zu achten, dass sowohl die Netzwerkanschlüsse in den Verwaltungsrechnern als auch der zentrale Netzknoten diese Technologie unterstützen. Für den Anschluss des WAN-Routers, der im Rahmen der Anbindung an das Hessische Schulverwaltungsnetz installiert wird (siehe Kapitel 3.1), ist dann ein Konverter von der eingesetzten Technologie auf Ethernet (10/100Base-T) zu verwenden. 68624085; 14/05/2016 17:54 Seite 9 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 2.1.3 E-GOVERNMENT Verwaltungsrechner Alle Verwaltungsrechner, die auf zentrale Anwendungen zugreifen können sollen, müssen an den Netzknoten (Switch, Hub, WAN-Router) angeschlossen werden. Dazu muss in jedem Verwaltungsrechner ein passender Netzwerkanschluss (z.B. Ethernet-Karte) vorhanden sein. Bei modernen Rechnern ist ein EthernetAnschluss in der Regel bereits integriert. Viele ältere Modelle haben eine zusätzliche Ethernet-Einsteckkarte. Ein Ethernet-Anschluss sieht so aus wie eine ISDN-Anschlussbuchse (RJ45), hat aber meistens noch ein oder mehrere kleine Lämpchen (LEDs) neben der Buchse, welche den Status der Netzverbindung anzeigen. Abbildung 1: Netzwerkanschluss (Ethernet) 2.1.4 IT-Sicherheit Bei der Standortauswahl für die einzelnen Komponenten der Netzinfrastruktur (Switch, WAN-Router, etc.) sollten aus Gründen der IT-Sicherheit folgende Punkte in angemessener Weise berücksichtigt werden. Schutz vor klimatischer Beeinträchtigung (z.B. Überhitzung, Wasser) Schutz vor mechanischer Beeinträchtigung (z.B. Stöße, Herunterfallen) Zugangsschutz (z.B. Diebstahl, vorsätzlicher Beschädigung) Zugriffsschutz (z.B. unberechtigtes Anschließen weiterer Rechner) 2.2 Konfiguration des Verwaltungsnetzes Nach der physikalischen Installation eines Verwaltungsnetzes müssen die einzelnen Komponenten noch konfiguriert werden. 2.2.1 IP-Adressen Für die IP-Adressen der Rechner des Verwaltungsnetzwerks sollten private IPAdressen verwendet werden. Hierzu stehen die Bereiche 68624085; 14/05/2016 17:54 Seite 10 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT 192.168.0.0 – 192.168.255.255 (Klasse C, bis zu 254 Rechner pro Netz) 172.16.0.0 – 172.31.255.255 (Klasse B, bis zu 65.535 Rechner pro Netz) 10.0.0.0 – 10.255.255.255 (Klasse A, bis zu 16,7 Mio Rechner pro Netz) zur Verfügung. Die Bereiche 10.9.131.x und 10.198.x.x dürfen dabei allerdings nicht verwendet werden, da diese Bereiche für das Hessische Schulverwaltungsnetz und das zentrale Rechenzentrum reserviert wurden. Empfehlung: In Anbetracht der eher geringen Anzahl an Verwaltungsrechnern in einer Schule empfehlen sich private IP-Adressen aus dem privaten Klasse C Bereich, z.B. 192.168.1.2 – 192.168.1.253. (Die erste und die letzte Adresse, .1 und .254, sind für spezielle Geräte vorgesehen, siehe unten) Die IP-Adressen der einzelnen Rechner können auf jedem Verwaltungsrechner fest eingestellt werden. Hierfür muss z.B. unter Windows 2000/XP in der Systemsteuerung unter Netzwerkverbindungen bei den Eigenschaften der lokalen Netzwerkverbindung (Rechtsklick Eigenschaften) der Punkt Internetprotokoll (TCP/IP) markiert werden und anschließend auf „Eigenschaften“ geklickt werden. In der Eingabemaske ist dann „Folgende IP-Adresse verwenden“ zu aktivieren und darunter die IP-Adresse für den Rechner (z.B. 192.168.1.2) und die Subnetzmaske (z.B. 255.255.255.0) einzutragen. Die in Abbildung 2 eingetragenen Werte sind als Beispiele zu verstehen. Wichtig ist, dass jeder Verwaltungsrechner eine andere IP-Adresse erhält. Als Subnetzmaske ist hingegen bei allen Rechnern der gleiche Wert einzutragen. Abbildung 2: Einstellung von IP-Adresse, Standardgateway und DNS-Server 68624085; 14/05/2016 17:54 Seite 11 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 2.2.2 E-GOVERNMENT Standardgateway Wenn die Verwaltungsrechner des lokalen Netzwerks auch mit IT-Systemen in anderen Netzwerken kommunizieren sollen (z.B. Server im Internet), muss in jedem Verwaltungsrechner ein so genanntes Standardgateway angegeben werden, an welches die Anfragen gesendet werden, wenn deren Empfänger sich nicht innerhalb des lokalen Netzwerks befindet. Dieses Standardgateway leitet dann die Anfrage an den tatsächlichen Empfänger im Zielnetz weiter. In der Regel wird ein Router, der einen Übergang zu anderen Netzen für mehrere Rechner zur Verfügung stellt (z.B. den Zugang zum Internet), als Standardgateway eingesetzt. Empfehlung: Wenn ein Standardgateway (z.B. ein Internet-Router) eingerichtet wird, sollte diesem die IP-Adresse 192.168.1.1 gegeben werden. Die Details der Einrichtung der IP-Adresse auf einem Standardgateway können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Systeme nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung des Systems entnommen werden. Die Angabe eines Standardgateways auf den Verwaltungsrechnern wird in der gleichen Eingabemaske wie die IP-Adresse vorgenommen (siehe Abbildung 2). Wenn kein Übergang zu anderen Netzen eingerichtet werden soll, kann auf den Einsatz eines Routers verzichtet werden. Ein Standardgateway muss bei den Verwaltungsrechnern dann nicht eingetragen werden. Die Konfiguration für den Übergang zum hessischen Schulverwaltungsnetz wird in Kapitel 3 beschrieben und ist daher an dieser Stelle noch nicht berücksichtigt. 2.2.3 DNS Wenn ein Zugang zum Internet besteht, muss in jedem Verwaltungsrechner ein so genannter DNS-Server angegeben werden, der Internet-Adressen (URLs) wie zum Beispiel „www.hessen.de“ in IP-Adressen umwandeln kann. Die Angabe eines DNS-Servers auf den Verwaltungsrechnern wird in der gleichen Eingabemaske wie die IP-Adresse vorgenommen (siehe Abbildung 2). Wenn ein Internet-Router eingesetzt wird, der bei Bedarf automatisch eine Verbindung zum Internet herstellt, wird dieser in der Regel auch als DNS-Server (Proxy) eingerichtet. Er nimmt dann DNS-Anfragen von den Verwaltungsrechnern entgegen und leitet diese automatisch an einen DNS-Server im Internet weiter. 68624085; 14/05/2016 17:54 Seite 12 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Empfehlung: Wenn ein Router (z.B. ein Internet-Router) im Netzwerk vorhanden ist, sollte dieser als DNS-Server (Proxy) eingerichtet werden, sofern der Router eine DNS-Weiterleitung unterstützt. Die Details der Einrichtung eines Routers als DNS-Server können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Systeme nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung des Systems entnommen werden. Die Konfiguration für den Übergang zum hessischen Schulverwaltungsnetz wird in Kapitel 3 beschrieben und ist daher an dieser Stelle noch nicht berücksichtigt. 2.2.4 DHCP Alternativ können die zuvor genannten Informationen (IP-Adresse, Subnetzmaske, Standardgateway, DNS-Server) auch beim Start eines Rechners automatisch vom Netzwerk angefordert werden. Hierfür muss im Netzwerk ein so genannter DHCPDienst vorhanden sein. An dieser Stelle werden dann die benötigten Informationen hinterlegt und auf Anfrage durch einen Rechner automatisch an diesen weitergegeben. Ein solcher DHCP-Dienst kann in der Regel auf einem vorhandenen Router (z.B. Internet-Router) eingerichtet und gepflegt werden. Die Einstellungen für IP-Adressen, Subnetzmaske, Standardgateway und DNSServer werden dann nur auf diesem DHCP-Server, z.B. dem Internet-Router eingetragen und gepflegt. In den Verwaltungsrechnern müssen bei den Einstellungen dann „IP-Adresse automatisch beziehen“ bzw. „DNS-Serveradresse automatisch beziehen“ aktiviert werden (siehe Abbildung 3). 68624085; 14/05/2016 17:54 Seite 13 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 3: Einstellungen für Nutzung von DHCP Der Einsatz von DHCP setzt aber voraus, dass der DHCP-Server immer verfügbar ist, wenn ein Verwaltungsrechner gestartet wird. Wird ein Router als DHCP-Server verwendet, sollte dieser daher nicht ausgeschaltet werden oder muss zumindest vor dem Start des ersten Verwaltungsrechners wieder angeschaltet werden. Die Details der Einrichtung eines DHCP-Dienstes können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Router und Serversysteme nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung des Routers oder des Serversystems entnommen werden. 2.2.5 IT-Sicherheit Um ungewollte Manipulationen an der Netzkonfiguration zu verhindern, sollten die Konfigurationszugänge für alle Netzwerkkomponenten (z.B. Internet-Router) mit einem Passwort gesichert werden. Dieses Passwort ist geheim zu halten und sollte so komplex gewählt werden, dass es nicht durch automatisiertes Ausprobieren herausgefunden werden kann oder leicht erraten werden kann. Um einen erweiterten Schutz vor unberechtigtem Zugriff auf das Netzwerk zu gewährleisten, können zusätzlich z.B. folgende Sicherheitsmaßnahmen implementiert werden. Sperren nicht benutzter Ports am Router oder Switch Authentifizierung angeschlossener IT-Systeme an Hand ihrer MAC-Adresse 68624085; 14/05/2016 17:54 Seite 14 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Einrichten von Paketfiltern bei Übergang zu anderen Netzen (z.B. Internet) Einrichten einer so genannten Desktop-Firewall auf den Verwaltungsrechnern (in Windows XP bereits integriert) Die Details für die Einrichtung dieser Sicherheitseinstellungen können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Netzwerkkomponenten nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung des Routers oder Switches entnommen werden. 68624085; 14/05/2016 17:54 Seite 15 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 3 E-GOVERNMENT Anbindung an das landesweite Hessische Schulverwaltungsnetz Die nachfolgenden Abschnitte beschreiben die Maßnahmen, die für eine Anbindung des Verwaltungsnetzes einer Schule oder eines einzelnen Verwaltungsrechners in einer Schule an das Hessische Schulverwaltungsnetz notwendig sind. Neben dem Anschluss des WAN-Routers, der im Rahmen der Netzanbindung durch die Telekom installiert wird, müssen unter Umständen auch noch einige Konfigurationsänderungen im lokalen Netzwerk vorgenommen werden. Diese Anpassungen können in der Regel zu einem beliebigen Zeitpunkt nach der Installation des WAN-Routers vorgenommen werden, ohne dass vorhandene Funktionen des Netzwerks (z.B. lokaler Internetzugang) beeinträchtigt werden. Die in diesem Kapitel beschriebenen Maßnahmen sind nicht notwendig, wenn das Verwaltungsnetz der Schule bereits an ein Netzwerk des Schulträgers angebunden ist. In diesem Fall erfolgt der Zugriff auf das Hessische Schulverwaltungsnetz über die Anbindung an das Schulträgernetz. Änderungen an der Netzkonfiguration müssen dann nur im Netzwerk des Schulträgers vorgenommen werden (siehe Kapitel 3.4 und Kapitel 3.5). 3.1 Anschluss des WAN-Routers Für den Anschluss des WAN-Routers an den Hausübergabepunkt der Telekom (Anschlusspunkt Linientechnik, APL) ist mindestens ein Cat.3-Kabel (Kupferdoppelader) zwischen dem Standort des APL und dem geplanten Routeraufstellungsort notwendig. Der APL befindet sich häufig im Keller, der Routeraufstellungsort kann z.B. im Sekretariat sein. In nachfolgender Abbildung ist diese Verkabelung durch den roten Pfeil markiert. Die beiden dargestellten TAE-Dosen müssen nicht zwangsläufig vorhanden sein. Für den Anschluss an das Hessische Schulverwaltungsnetz wird ein neuer ISDN-/ DSL-Anschluss installiert. Bereits vorhandene ISDN- oder DSL-Anschlüsse werden nicht verwendet. Die Kosten für den Betrieb des neuen ISDN-/DSL-Anschlusses sind im Betrieb des Hessischen Schulverwaltungsnetzes bereits enthalten, so dass den Schulen hierfür keine zusätzlichen Kosten entstehen. Der neu installierte ISDNAnschluss ist allerdings für Sprachdienste (Telefon) nicht nutzbar, sondern ausschließlich für das Hessische Schulverwaltungsnetz zu verwenden. Abbildung 4: Verkabelung innerhalb des Schulgebäudes 68624085; 14/05/2016 17:54 Seite 16 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Ist eine solche Verkabelung (roter Pfeil) beim Installationstermin des WAN-Routers verfügbar, wird die Installation bis einschließlich zum WAN-Router durch die Telekom durchgeführt und der Netzanschluss in Betrieb genommen. Steht keine geeignete Verkabelung zur Verfügung wird lediglich der WAN-Router inkl. Splitter und NTBA installiert. Eine endgültige Inbetriebnahme der Netzanbindung muss dann nach Verlegung eines entsprechenden Kabels durch die Schule bzw. den Schulträger erfolgen (Abbildung 5). Abbildung 5: Fehlende Verkabelung innerhalb des Schulgebäudes Wenn beim Installationstermin der Aufstellungsort für den Router nicht bekannt ist, wird der Router direkt in der Nähe des APL installiert (Abbildung 6). Für die Anbindung des lokalen Verwaltungsnetzes ist dann eine Cat.5-Verkabelung zwischen dem WAN-Router und dem lokalen Verwaltungsnetz (z.B. Switch) notwendig. Abbildung 6: Installation in der Nähe des APL Ein nachträgliches Umsetzen des Routers kann durch die Schule bzw. den Schulträger selbst erfolgen. Vor dem Abklemmen und dem Umsetzen des Routers an einen neuen Standort ist aber unbedingt der zentrale LUSD-Support davon in Kenntnis zu setzen, da ansonsten eine Störungsmeldung an zentraler Stelle aufläuft und bearbeitet werden muss. Aus dem gleichen Grund darf der WAN-Router im Normalbetrieb auch niemals ausgeschaltet werden, auch nachts und an den Wochenenden nicht. Empfehlung: Schließen Sie den Router sowie die zugehörigen Komponenten (z.B. Splitter, ISDN-NTBA) an eine Steckdose an, die nicht für andere Zwecke benötigt wird. Verwenden Sie keine Steckdosenleiste, an der auch noch andere Elektrogeräte angeschlossen sind. 68624085; 14/05/2016 17:54 Seite 17 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Für die Verbindung zwischen dem WAN-Router und dem lokalen Netzwerk (z.B. einem Switch, einem anderen Router oder einzelnen Verwaltungsrechnern) wird ein Ethernetkabel (mindestens Cat.5) benötigt, das auf der Seite des WAN-Routers einen so genannten RJ45-Stecker hat. 3.2 Konfiguration vorhandener Router Unter Umständen ist in einem Verwaltungsnetz bereits ein Router (z.B. InternetRouter) vorhanden, der auch nach der Anbindung an das Hessische Schulverwaltungsnetz weiterbetrieben werden soll. Gründe hierfür können zum Beispiel sein: Verwendung als DHCP-Server im Verwaltungsnetz der Schule Verwendung als Switch zum Anschluss mehrerer Verwaltungsrechner Kontrolle über das Routing innerhalb des lokalen Verwaltungsnetzes Gesicherte Übergänge zu anderen Netzen, die auch nach der Anbindung an das Hessische Schulverwaltungsnetz beibehalten werden sollen In einem solchen Fall muss im vorhandenen Router (z.B. Internet-Router) eine statische Route zu dem Netzbereich des Hessischen Schulverwaltungsnetzes (10.9.131.0 mit der Netzmaske 255.255.255.0) eingetragen werden, in dem die zentralen Anwendungen betrieben werden, damit alle Anfragen an die zentralen Anwendungen (LUSD) automatisch über den WAN-Router geleitet werden. Abbildung 7: Einrichten einer statische Route im vorhandenen Router 68624085; 14/05/2016 17:54 Seite 18 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Wenn der zugehörige Schulträger ebenfalls Dienste für die Schulen über das Hessische Schulverwaltungsnetz anbieten will, muss zusätzlich auch eine statische Route für den Netzbereich des Schulträgers (10.198.x.0 mit der Netzmaske 255.255.255.0) eingetragen werden (x steht hierbei für den Netzbereich des Schulträgers). Wenn keine anderen Netzübergänge im lokalen Netzwerk vorhanden sind, der vorhandene Router aber dennoch aus einem der oben genannten Gründen verwendet werden soll, empfiehlt es sich, alle Anfragen im lokalen Netz vom vorhandenen Router generell auf den WAN-Router zu lenken. Hierfür muss eine so genannte Default-Route (0.0.0.0 mit der Netzmaske 0.0.0.0) im Router eingerichtet werden. Die Details für die Einrichtung einer statischen Route oder einer Default-Route können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Netzwerkkomponenten nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung des Routers entnommen werden. Als Beispiel ist nachfolgend eine entsprechende Konfiguration für einen NetgearRouter über eine so genannte Web-Schnittstelle dargestellt, die mittlerweile bei vielen Router-Modellen aus dem Niedrigpreis-Segment üblich ist. Abbildung 8: Konfiguration einer statischen Route mit einem Web-Browser Die gleiche Konfiguration würde man bei einem Cisco-Router mit den nachfolgenden Konfigurationsbefehlen erreichen. Router#> ip route 10.9.131.0 255.255.255.0 192.168.1.254 Die Konfiguration einer Default-Route für alle Anfragen sähe folgendermaßen aus: Router#> ip route 0.0.0.0 0.0.0.0 192.168.1.254 Hinweis: Als LAN-IP-Adresse des WAN-Routers wurde in allen vorstehenden Beispielen jeweils die Adresse 192.168.1.254 angenommen. 68624085; 14/05/2016 17:54 Seite 19 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Ist kein anderer Router vorhanden oder soll ein vorhandener Router nach der Anbindung an das Hessische Schulverwaltungsnetz nicht weiter verwendet werden, so müssen lediglich die Verwaltungsrechner angepasst werden (siehe Kapitel 4). 3.3 Konfiguration vorhandener Switches / Hubs Vorhandene Switches und Hubs müssen in der Regel nicht umkonfiguriert werden. 3.4 Konfiguration vorhandener Server Wenn im lokalen Verwaltungsnetz einer Schule ein Server vorhanden ist, der Netzwerkdienste wie zum Beispiel DHCP, DNS, Internet-Proxy oder Routing zur Verfügung stellt, dann müssen unter Umständen auch hier Anpassungen vorgenommen werden. Diese Anpassungen sollten aber nur von einem Fachmann und nur nach Rücksprache mit dem IT-Verantwortlichen beim Schulträger vorgenommen werden. Die gleichen Anpassungen müssen übrigens auch für DNS- oder Proxy-Server vorgenommen werden, wenn diese im Schulträgernetz vom Schulträger für die Schulen betrieben werden. Diese Anpassungen werden aber durch den Schulträger vorgenommen. Auch falls ein Verwaltungsrechner innerhalb des lokalen Netzes diese Serveraufgaben für andere Verwaltungsrechner zur Verfügung stellt (z.B. mit Hilfe der Software Janaserver oder AVM KEN!) müssen einige Einstellungen angepasst werden. Agiert der Server als Router, so ist analog zu den Ausführungen in Kapitel 3.2 eine statische Route für das Hessische Schulverwaltungsnetz zu konfigurieren. Ist der Server als DNS-Server eingerichtet, so muss dort eine Weiterleitung für die Zone "lusd.hessen.de" und „schulverwaltung.hessen.de“ an den DNS-Server der LUSD (10.9.131.31) eingetragen werden oder es müssen alle Server-Adressen im Hessischen Schulverwaltungsnetz einzeln im DNS-Server eingetragen werden. Derzeit sind dies: Server IP-Adresse www.lusd.hessen.de 10.9.131.21 test.lusd.hessen.de 10.9.131.190 uebung.lusd.hessen.de 10.9.131.142 mail.schulverwaltung.hessen.de 10.9.131.51 Proxy für zentralen Internetzugang 10.9.131.101 Tabelle 1: LUSD-Serveradressen 68624085; 14/05/2016 17:54 Seite 20 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Wenn der Server auch die Funktion eines Proxy-Servers übernimmt, ist darauf zu achten, dass der Proxy einen HTTPS-Tunnel ermöglicht, der sämtliche HTTPMethoden erlaubt. Die Details für die Konfiguration eines Servers können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Komponenten nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Hilfe des ServerBetriebssystems entnommen werden. 3.5 Konfiguration einer vorhandenen Firewall Falls an einem Standort vor dem Übergang zum Hessischen Schulverwaltungsnetz (WAN-Router) eine Firewall installiert ist, muss diese so konfiguriert werden, dass mindestens die Protokolle DNS (Port 53), HTTP (Port 80) und HTTPS (Port 443) zu den Zieladressen (siehe Tabelle 1) durchgelassen werden. Diese Anpassungen sollten aber nur von einem Fachmann und nur nach Rücksprache mit dem ITVerantwortlichen beim Schulträger vorgenommen werden. Die gleichen Anpassungen müssen übrigens auch für eine Firewall im Schulträgernetz vorgenommen werden, wenn die Schulen darüber auf die zentralen Anwendungen zugreifen können sollen. Diese Anpassungen werden aber durch den Schulträger selbst vorgenommen. Die Details für die Konfiguration einer Firewall können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Komponenten nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung der Firewall entnommen werden. 68624085; 14/05/2016 17:54 Seite 21 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 4 E-GOVERNMENT Konfiguration der Verwaltungsrechner In diesem Kapitel werden die Konfigurationsanpassungen beschrieben, die bei jedem einzelnen Verwaltungsrechner, der auf die zentralen Anwendungen im Hessischen Schulverwaltungsnetz zugreifen können soll, durchgeführt werden müssen. Dies gilt nicht, wenn das Verwaltungsnetz einer Schule über ein Schulträgernetz an das Hessische Schulverwaltungsnetz angebunden ist. In diesem Fall sind in den Verwaltungsrechnern keine Anpassungen vorzunehmen. Da diese Änderungen auch Auswirkungen auf die Funktionalität bestehender Netzfunktionen haben können, sollten diese Änderungen erst dann durchgeführt werden, wenn die zentralen Anwendungen (z.B. E-Mail, Internet) auch wirklich genutzt werden können (ab Oktober 2006). Zu Testzwecken (z.B. Aufruf der Test-Webseite, siehe Kapitel 5.3) können die nachfolgenden Konfigurationsschritte bereits früher durchgeführt werden. Nach dem Test müssen die Einstellungen dann aber wieder auf die ursprünglichen Werte zurückgestellt werden. 4.1 IP-Adresse und DNS Die IP-Adressen der einzelnen Verwaltungsrechner müssen in der Regel nicht geändert werden, sofern bei der Beauftragung der Netzanbindung der IPAdressbereich korrekt angegeben wurde. Bleibt ein bereits vorhandenes Standardgateway (z.B. Internet-Router) auch nach der Anbindung an das Hessische Schulverwaltungsnetz bestehen, so kann auch das eingetragene Standardgateway unverändert bleiben. Wird ein bereits vorhandenes Standardgateway (z.B. Internet-Router) dagegen nach der Anbindung an das Hessische Schulverwaltungsnetz außer Betrieb genommen oder war bisher kein Standardgateway bei den Verwaltungsrechnern eingetragen, so ist in den Verwaltungsrechnern der neue WAN-Router als Standardgateway einzutragen. Die IPAdresse des WAN-Routers wurde bei der Installation des WAN-Routers durch die Telekom auf dem Etikett am Router notiert. Soll zukünftig ausschließlich der zentrale Internetzugang verwendet werden, so ist in den IP-Einstellungen im Feld „Bevorzugter DNS-Server“ der zentrale DNS-Server der LUSD (10.9.131.31) einzutragen (siehe Abbildung 9). 68624085; 14/05/2016 17:54 Seite 22 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 9: Beispiel für die Einstellung des zentralen DNS-Servers 4.2 DHCP Ist im Netz ein DHCP-Dienst vorhanden (z.B. auf einem Internet-Router), so müssen all die zuvor genannten Einstellungen beim DHCP-Dienst vorgenommen werden und nicht auf den einzelnen Verwaltungsrechnern. Außerdem ist darauf zu achten, dass die IP-Adresse des WAN-Routers aus dem DHCP-Bereich herausgenommen wird, so dass sie nicht einem Verwaltungsrechner zugewiesen wird. Die Details für die Konfiguration des DHCP-Dienstes können in diesem Leitfaden auf Grund der Vielfalt der am Markt verfügbaren Router und Serversysteme nicht dargestellt werden. Die genaue Vorgehensweise kann in der Regel der Bedienungsanleitung des Routers oder des Serversystems entnommen werden. 4.3 Datei „hosts“ Um die Zugriffszeiten – insbesondere bei Einwahlverbindungen – zu verbessern, kann der LUSD-Server und der E-Mail-Server auch in der so genannten hosts-Datei eintragen werden. Das Feld „Bevorzugter DNS-Server“ bei den IP-Einstellungen (siehe Abbildung 9) kann dann leer bleiben, sofern ausschließlich der zentrale Internetzugang benutzt wird. 68624085; 14/05/2016 17:54 Seite 23 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Dazu starten Sie den Editor (Notepad) und wählen im Menü „Datei“ den Punkt „Öffnen“ aus. Abbildung 10: Öffnen der hosts-Datei im Editor Geben Sie den Dateinamen C:\Windows\System32\drivers\etc\hosts ein und öffnen Sie diese. Je nach Version des Betriebssystems kann das Windows-Verzeichnis auch „WinXP“ oder „WinNT“ heißen. Ergänzen Sie am Ende der Datei folgende Zeilen: 10.9.131.21 10.9.131.51 10.9.131.142 10.9.131.190 www.lusd.hessen.de mail.schulverwaltung.hessen.de uebung.lusd.hessen.de test.lusd.hessen.de Abbildung 11: Anpassung der hosts-Datei Anschließend schließen Sie den Editor wieder und beantworten die Frage, ob die Änderungen gespeichert werden sollen mit „Ja“. 68624085; 14/05/2016 17:54 Seite 24 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 4.4 Web-Browser 4.4.1 Proxy-Server für zentralen Internetzugang E-GOVERNMENT Wenn bisher über einen lokalen Internetzugang in der Schule auf das Internet zugegriffen wurde, und zukünftig über den zentralen Internetzugang im Hessischen Schulverwaltungsnetz zugegriffen werden soll, muss im Web-Browser der zentrale Internet-Proxy eingetragen werden. Beim Internet-Explorer muss hierfür im Menü unter „Extras“ der Punkt „Internet Optionen“ ausgewählt werden. Abbildung 12: Internetoptionen Auf der Karteikarte „Verbindungen“ muss dann auf „Einstellungen“ geklickt werden. Abbildung 13: Internetoptionen - Verbindungen 68624085; 14/05/2016 17:54 Seite 25 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT In der folgenden Eingabemaske ist dann ein Haken bei „Proxy Server verwenden“ zu setzen, als Adresse „10.9.131.101“ und als Port „80“ einzutragen. Abbildung 14: Internetoptionen - LAN-Einstellungen Falls an dieser Stelle bereits die Adresse eines anderen Proxy-Servers eingetragen war, lassen Sie diese Adresse bitte bestehen und klären Sie zunächst mit dem zuständigen Administrator, ob für Ihren Verwaltungsrechner ggf. ein anderer ProxyServer-Dienst verwendet werden soll. Ein solcher Proxy-Server ist dann ggf. vom Schulträger entsprechend zu konfigurieren. Nach einem Klick auf „Erweitert“ sind die folgenden Eintragungen als Ausnahmen vorzunehmen (10.9.131.*;10.198.*). Abbildung 15: Internetoptionen - Proxyeinstellungen 68624085; 14/05/2016 17:54 Seite 26 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 4.4.2 E-GOVERNMENT Sicherheitseinstellungen Für die Verwendung der LUSD müssen möglicherweise einige Sicherheitseinstellungen im Web-Browser angepasst werden. Beim Internet-Explorer muss hierfür im Menü unter „Extras“ der Punkt „Internet Optionen“ ausgewählt werden (siehe Abbildung 12). Auf der Karteikarte „Sicherheit“ muss dann das „Lokales Intranet“-Symbol markiert werden und „Sites“ ausgewählt werden. Abbildung 16: Internetoptionen - Sicherheit In der folgenden Eingabemaske muss das Kästchen „Alle Sites, die den Proxyserver umgehen, einbeziehen“ aktiviert werden. Abbildung 17: Internetoptionen – Sicherheit – Lokales Intranet 68624085; 14/05/2016 17:54 Seite 27 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Falls diese Einstellungen (aus welchen Gründen auch immer) nicht gewünscht sind oder falls kein Proxy-Server eingetragen wird, weil der zentrale Internetzugang nicht verwendet wird, können nach einem Klick auf „Erweitert…“ in der Eingabemaske von Abbildung 17 auch manuell einzelne Server zu der lokalen Intranet-Zone hinzugefügt werden, indem nacheinander die gewünschten Servernamen im Feld „Diese Website zur Zone hinzufügen“ eingetragen werden und anschließend jeweils „Hinzufügen“ ausgewählt wird. Abbildung 18: Internetoptionen – Sicherheit – Lokales Intranet – Erweitert Wichtig ist auch, dass die Sicherheitsstufe der lokalen Intranetzone auf „Sehr Niedrig“, „Niedrig“ (Standard) oder „Mittel“ steht, nicht auf „Hoch“. Steht die Stufe auf „Benutzerdefiniert“ so muss nach einem Klick auf „Stufe anpassen…“ in Abbildung 16 zumindest kontrolliert werden, dass die folgenden Einstellungen aktiviert sind. ActiveX-Steuerelemente und Plugins ausführen (Abbildung 19) Binär- und Skriptverhalten (Abbildung 20) Active Scripting (Abbildung 21) 68624085; 14/05/2016 17:54 Seite 28 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 19: Sicherheitseinstellungen – Benutzerdefiniert Abbildung 20: Sicherheitseinstellungen – Benutzerdefiniert 68624085; 14/05/2016 17:54 Seite 29 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 21: Sicherheitseinstellungen – Benutzerdefiniert 4.4.3 Datenschutz Für die Verwendung der LUSD müssen so genannte Cookies der LUSDAnwendung vom Web-Browser akzeptiert werden. Beim Internet-Explorer muss hierfür im Menü unter „Extras“ der Punkt „Internet Optionen“ ausgewählt werden (siehe Abbildung 12). Steht auf der Karteikarte „Datenschutz“ der Schieberegler auf einer der Stufen Alle Cookies annehmen Niedrig Mittel (empfohlen) oder Mittelhoch so sind keine weitere Maßnahmen notwendig und es kann auf „Abbrechen“ geklickt werden (siehe Abbildung 22). 68624085; 14/05/2016 17:54 Seite 30 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 22: Internetoptionen - Datenschutz Steht der Schieberegler dagegen auf „Hoch“ oder „Alle Cookies sperren“, so muss nach einem Klick auf „Sites…“ in der folgenden Eingabemaske unter „Adresse der Website“ die Domäne „hessen.de“ eingetragen und anschließend auf „Zulassen“ geklickt werden. Die Domäne „hessen.de“ erscheint daraufhin im Feld „Verwaltete Websites“ mit der Einstellung „Immer zulassen“. Abbildung 23: Internetoptionen – Datenschutzaktionen pro Site 68624085; 14/05/2016 17:54 Seite 31 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 4.4.4 E-GOVERNMENT Popupblocker Da einige Masken der LUSD aus Sicht des Browsers als so genannte PopupFenster erscheinen, muss ein ggf. im Web-Browser integrierter Popup-Blocker deaktiviert werden oder zumindest so eingestellt werden, dass er Popup-Fenster von der Seite www.lusd.hessen.de zulässt. Für den im Internet Explorer integrierten Popupblocker (ab Version 6.0.2900) ist hierfür im Menü „Extras“ der Punkt „Popupblocker“ und anschließend „Popupblockereinstellungen…“ auszuwählen. Abbildung 24: Popupblockereinstellungen im Internet-Explorer In der folgenden Eingabemaske ist dann „www.lusd.hessen.de“ in der oberen Zeile einzutragen und anschließend „Hinzufügen“ zu klicken. Abbildung 25: Popubblockereinstellungen 68624085; 14/05/2016 17:54 Seite 32 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Der Eintrag „www.lusd.hessen.de“ erscheint dann im Bereich „Zugelassene Sites“. Abbildung 26: Popupblockereinstellungen Für die Nutzung des zentralen E-Mail-Dienstes ist mit den gleichen Schritten auch die Website „mail.schulverwaltung.hessen.de“ zu den zugelassenen Sites hinzuzufügen. Die anderen Einstellungen in dieser Eingabemaske müssen nicht geändert werden. Anschließend kann das Fenster wieder geschlossen werden. 4.5 Konfiguration E-Mail-Dienst 4.5.1 Outlook Web Access Für die Verwendung von Outlook Web Access (OWA) ist keine Client-Installation erforderlich. Für die Nutzung des E-Mail-Dienstes muss lediglich der Web-Browser gestartet werden und http://mail.schulverwaltung.hessen.de aufgerufen werden. Prinzipiell sollte Outlook Web Access mit allen standardkonformen Web-Browsern funktionieren. Für eine uneingeschränkte Nutzung aller Leistungsmerkmale von Outlook Web Access wird jedoch der Internet Explorer in der Version 6.0 empfohlen. 68624085; 14/05/2016 17:54 Seite 33 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 4.5.2 E-GOVERNMENT Outlook 2003 Client (RPC über HTTPS) Alternativ kann auch ein auf dem Verwaltungsrechner installiertes Microsoft Outlook verwendet werden, um den E-Mail-Dienst zu nutzen. Hierfür gelten jedoch die folgenden Voraussetzungen: Betriebssystem Windows XP - mit Service Pack 1 und Patch KB331320 oder - mit Service Pack 2 Microsoft Outlook 2003 Die Version des Betriebssystems erfahren Sie durch einen Klick mit der rechten Maustaste auf das Arbeitsplatz-Symbol und anschließender Auswahl des Menüpunkts Eigenschaften. Die Version von Microsoft Outlook erfahren Sie nach dem Starten von Outlook durch Auswahl des Menüpunkts „?“ und anschließender Auswahl von „Info“. Die Lizenz für die Nutzung von Outlook 2003 ist bereits in den Serverlizenzen für den E-Mail-Dienst enthalten und muss daher in den einzelnen Schulen nicht beschafft werden. Wenn Sie Microsoft Outlook 2003 neu auf einem Verwaltungsrechner installieren, werden Sie beim ersten Start des Programms automatisch aufgefordert eine Verbindung zu einem E-Mail-Server einzurichten. Sie können dann direkt bei Abbildung 31 auf Seite 37 in die Konfiguration einsteigen. Falls Microsoft Outlook 2003 bereits auf einem Verwaltungsrechner installiert ist und auch bereits verwendet wurde, muss zunächst ein neues Profil für den Zugriff auf den zentralen E-Mail-Server eingerichtet werden. Für die Konfiguration eines solchen E-Mail-Profils öffnen Sie die Systemsteuerung und doppelklicken Sie auf „Mail“. Falls in der Systemsteuerung die Kategorieansicht aktiviert ist, klicken Sie zunächst auf „Zur klassischen Ansicht wechseln“. Klicken Sie dann auf „Profile anzeigen“. 68624085; 14/05/2016 17:54 Seite 34 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 27: Systemsteuerung - Mail Klicken Sie in der folgenden Eingabemaske auf „Hinzufügen…“. Abbildung 28: Profil hinzufügen Geben Sie einen beschreibenden Namen für das Profil ein (z.B. LUSD). Anschließend klicken Sie auf „OK“. 68624085; 14/05/2016 17:54 Seite 35 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 29: Profilname Wählen Sie „Ein neues E-Mail-Konto hinzufügen“ und klicken Sie auf weiter. Abbildung 30: Neues E-Mail-Konto erstellen Wählen Sie „Microsoft Exchange Server“ und klicken Sie weiter. 68624085; 14/05/2016 17:54 Seite 36 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 31: Servertyp auswählen Tragen Sie im Feld „Microsoft Exchange Server“ den Servernamen „mail.schulverwaltung.hessen.de“ ein und deaktivieren Sie das Kontrollkästchen „Exchange-Cache-Modus verwenden“. Tragen sie im Feld „Benutzername“ Ihren Benutzernamen bzw. den Postfachnamen ein. Klicken Sie anschließend auf „Weitere Einstellungen“. Klicken Sie nicht auf „Namen prüfen“. Abbildung 32: Exchange-Server und Benutzername (Postfach) eintragen 68624085; 14/05/2016 17:54 Seite 37 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT [Hinweis: Deaktivieren Sie vorübergehend den Exchange-Cache-Modus, um die Konfiguration zu testen. Microsoft empfiehlt, den Exchange-Cache-Modus nach dem Überprüfen der RPC über HTTP Konfiguration wieder zu aktivieren, um eine bessere Performance zu erreichen.] Outlook versucht möglicherweise, den Benutzernamen und den Hostnamen des Exchange-Computers aufzulösen. Dies kann einige Zeit in Anspruch nehmen. Falls eine Fehlermeldung angezeigt wird oder falls das Dialogfeld „Namen überprüfen“ angezeigt wird, klicken Sie auf „OK“ bzw. auf „Abbrechen“. Abbildung 33: Mögliche Fehlermeldung bei der Konfiguration Klicken Sie im Dialogfeld Microsoft Exchange Server auf die Registerkarte „Verbindung“. Klicken Sie auf „Über das lokale Netzwerk verbinden (LAN)“ und aktivieren Sie das Kontrollkästchen „Exchange-Verbindung mit HTTP herstellen“. Abbildung 34: Verbindungseinstellungen Klicken Sie anschließend auf „Exchange-Proxyeinstellungen…“ und geben Sie nachfolgende Daten ein. 68624085; 14/05/2016 17:54 Seite 38 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 35: Exchange-Proxy-Einstellungen Klicken Sie auf „OK“ und anschließend erneut auf „OK“ und danach auf „Weiter“. Klicken Sie im nachfolgenden Fenster auf Fertig stellen. Abbildung 36: Kontoeinrichtung abschließen Schließen Sie alle Fenster. Damit ist die Konfiguration abgeschlossen. Outlook ist für die Verwendung von RPC über HTTP konfiguriert. 68624085; 14/05/2016 17:54 Seite 39 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 4.6 IT-Sicherheit 4.6.1 Benutzerkonten E-GOVERNMENT Aus Sicherheitsgründen sollte für jeden berechtigten Nutzer eines Verwaltungsrechner ein eigenes Benutzerkonto eingerichtet werden. Der Benutzer meldet sich bei Bedarf mit seinem Benutzernamen und seinem persönlichen Passwort an, um Verwaltungstätigkeiten am Rechner durchzuführen. Nach Beendigung dieser Tätigkeiten meldet sich der Benutzer wieder ab. Das Passwort des Benutzers ist geheim zu halten und sollte so komplex gewählt werden, dass es nicht durch automatisiertes Ausprobieren herausgefunden werden kann oder leicht erraten werden kann. Den Benutzerkonten sollten keine generellen Administratorrechte sondern lediglich die für seine Verwaltungsaufgaben notwendigen Berechtigungen eingeräumt werden. Lediglich der für die Administration des Verwaltungsrechners verantwortliche Benutzer sollte Administratorrechte erhalten. Die Verwaltung von Benutzerkonten kann durch einen Benutzer mit Administratorrechten über den Menüpunkt Benutzerkonten in der Systemsteuerung erfolgen. 4.6.2 Desktop-Firewall Bei Verwaltungsrechnern mit dem Betriebssystem Microsoft Windows XP Professional sollte die integrierte Desktop-Firewall aktiviert werden (Systemsteuerung Windows-Firewall), sofern nicht bereits eine Desktop-Firewall von anderen Herstellern auf dem Verwaltungsrechner eingesetzt wird. Dadurch werden ungewollte Zugriffe aus dem Netz auf den Verwaltungsrechner geblockt. Wenn Zugriffe auf den Verwaltungsrechner bewusst zugelassen werden sollen, z.B. für eine Fernwartung durch den Schulträger, können diese Zugriffe als Ausnahmen in der Desktop-Firewall eingetragen werden. 4.6.3 Bildschirmschoner mit Passwortschutz Um einen unberechtigten Zugriff auf die Verwaltungsrechner zu verhindern, sollte ein Bildschirmschoner eingerichtet werden, der spätestens nach 15 Minuten Inaktivität automatisch gestartet wird und nur durch Eingabe des Passworts des angemeldeten Benutzers wieder abgeschaltet werden kann (siehe Abbildung 37). 68624085; 14/05/2016 17:54 Seite 40 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 37: Konfiguration des Bildschirmschoners 68624085; 14/05/2016 17:54 Seite 41 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 5 Anhang 5.1 Checkliste LAN E-GOVERNMENT WAN-Router installiert (inkl. Strom + Verbindung zum APL) Lokales Verwaltungsnetz (LAN) mit Router verbunden (bei Einzelrechnern: Rechner mit Router verbunden) Statische Route im bisherigen Default-Gateway eingetragen (falls bisheriges Default-Gateway beibehalten werden soll) Vorhandene Server konfiguriert (z.B. DNS) Vorhandene Firewall konfiguriert 5.2 Checkliste Verwaltungsrechner IP-Einstellungen auf allen Verwaltungsrechnern eingerichtet (IP-Adresse, Subnetzmaske, Default-Gateway) (Alternativ: DHCP konfiguriert) DNS-Server auf allen Verwaltungsrechnern eingerichtet (Alternativ: DHCP oder hosts-Datei konfiguriert) Proxy-Server im Web-Browser eingerichtet (Umgehung für zentrale Dienste eingerichtet) Popupblocker für www.lusd.hessen.de und ggf. mail.schulverwaltung.hessen.de konfiguriert LUSD-Server und Mail-Server in hosts-Datei eingetragen (insbesondere bei Dial-In Verbindungen empfehlenswert) Optional: Zugriff auf E-Mail-Dienst über RPC über HTTPS eingerichtet Benutzerkonten für alle berechtigten Benutzer eingerichtet Bildschirmschoner mit Passwortsperre eingerichtet 68624085; 14/05/2016 17:54 Seite 42 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. 5.3 E-GOVERNMENT Überprüfung der Konnektivität (Test-Webseite) Nach der physikalischen Anbindung an das landesweite Hessische Schulverwaltungsnetz und erfolgreicher Konfiguration des lokalen Verwaltungsnetzwerks hinsichtlich Routing (Kapitel 3) und der Verwaltungsrechner hinsichtlich DNS (Kapitel 4) kann der Zugriff auf die zentralen Anwendungen überprüft werden. Hierzu wird unter der Adresse „http://test.lusd.hessen.de“ ab sofort eine Test-Webseite zur Verfügung stehen. Abbildung 38: Test-Webseite Wenn diese Seite im Web-Browser des Verwaltungsrechners fehlerfrei angezeigt wird, ist eine Verbindung zu den zentralen Anwendungen aus Netzwerksicht prinzipiell möglich. Bei erfolgreichem Aufruf der Test-Webseite sollten in dem auf der Webseite angezeigten Online-Formular dann die Eingabefelder ausgefüllt und an den Server gesendet werden, damit an zentraler Stelle ein Überblick besteht, welche Schulen bereits Zugriff auf die zentralen Anwendungen haben (siehe Abbildung 39). Der Aufruf der Test-Webseite und das Übermitteln des Online-Formulars sollte möglichst von alle Verwaltungsrechnern einer Schule durchgeführt werden, von denen aus auf die zentralen Dienste zugegriffen werden können soll, damit ein realistischer Überblick über die Softwareausstattung der in den Schulen vorhandenen Verwaltungsrechner ermittelt werden kann. 68624085; 14/05/2016 17:54 Seite 43 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 39: Eingabeformular Wenn beim Aufruf der Test-Webseite eine Fehlermeldung an Stelle der Webseite angezeigt wird, sollte zunächst versucht werden, die Test-Webseite durch Eingabe der IP-Adresse „http://10.9.131.190“ in der Adresszeile des Web-Browsers aufzurufen. Wenn dies funktioniert, sollten die DNS- und Proxy-Einstellungen des Verwaltungsrechners überprüft werden (siehe Kapitel 4). Funktioniert auch dieser Test nicht, versuchen Sie bitte die gleichen Schritte von anderen Verwaltungsrechnern der gleichen Schule, sofern weitere vorhanden sind. Funktioniert der Aufruf der Test-Webseite auch von anderen Verwaltungsrechnern nicht, informieren Sie bitte den zentralen LUSD-Support (01805-5873 2255). Erfahrene Administratoren können im Fehlerfall auch noch die Konnektivität eines Verwaltungsrechners zum WAN-Router überprüfen, indem sie versuchen, die IPAdresse des WAN-Routers anzupingen. Dazu ist in einem Fenster der Eingabeaufforderung (Start Programme Zubehör Eingabeaufforderung) der Befehl „ping <IP-Adresse des WAN-Routers>“ einzugeben. Antwortet der WAN-Router („Antwort von …..“) nach der Eingabe des Befehls, so ist die Verbindung zwischen dem Verwaltungsrechner und dem WAN-Router aus Netzwerksicht in Ordnung. Antwortet der WAN-Router nicht, liegt wahrscheinlich ein Problem im lokalen Verwaltungsnetz vor. 68624085; 14/05/2016 17:54 Seite 44 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Abbildung 40: Überprüfung der Verbindung zum WAN-Router mit ping Im Beispiel in Abbildung 40 besitzt der WAN-Router die IP-Adresse 192.168.1.254. [Hinweis: Ab dem Zeitpunkt der Produktivsetzung der zentralen Anwendungen im Oktober 2006 werden die Server der zentralen Anwendungen, z.B. 10.9.131.31 (DNS), nicht mehr auf den ping-Befehl antworten, da die Firewall diese Anfragen dann nicht mehr durchlässt.] 5.4 Überprüfung des E-Mail-Zugriffs mit RPC über HTTPS Falls auf den zentralen E-Mail-Dienst mit Outlook 2003 mittels RPC über HTTPS zugegriffen werden soll (siehe Kapitel 4.5.2), kann die Konfiguration nach der Produktivsetzung des zentralen E-Mail-Dienstes (ab Oktober 2006) folgendermaßen überprüft werden. Starten Sie Outlook über die Kommandozeile (Start Ausführen) mit dem Parameter „outlook /RPCDIAG“. Abbildung 41: Aufruf von Outlook zur Kontrolle der Konfiguration Wenn Sie zur Angabe von Anmeldeinformationen aufgefordert werden, geben Sie in die Felder „Benutzername“ und „Kennwort“ Ihre Anmeldedaten ein und klicken Sie auf „OK“. 68624085; 14/05/2016 17:54 Seite 45 ERROR! USE THE HOME TAB TO APPLY ÜBERSCHRIFT 1 TO THE TEXT THAT YOU WANT TO APPEAR HERE. E-GOVERNMENT Im folgenden Fenster können Sie dann den Verbindungsstatus ablesen. Abbildung 42: Kontrolle der Verbindung zum E-Mail-Server Falls in der Spalte „Verbindung“ die Zeichenfolge HTTPS angezeigt wird, besteht eine Dienstverbindung mit RPC über HTTPS. 5.5 Software-Empfehlungen für die Verwaltungsrechner Für die Arbeit mit der zentralen LUSD werden folgende Software-Programme und Versionen empfohlen. Davon abweichende Software-Programme können ebenfalls funktionieren, werden aber bei der Entwicklung der LUSD nicht getestet und vom zentralen LUSD-Support nicht unterstützt. Programm Software Betriebssystem Microsoft Windows 2000 oder höher Web-Browser Microsoft Internet-Explorer 6.0 Office-Programm Microsoft Office 2000 oder höher PDF-Reader Adobe Acrobat Reader 5.0 oder höher 68624085; 14/05/2016 17:54 Seite 46