Linux ve škole – Windows jsou zpět – 8. díl

Minulý díl byl napsaný po roce. Tento je napsaný sice hned, ale bude o dalších změnách, které za ten rok proběhly, ale nevešly se do dílu minulého. Přechod zpět na Windows 10 a nadcházející Windows 11, znovunasazení Acitve Directory a propojení s Google Workspace, začlenění Microsoft 365, ponechání linuxu kde je to třeba a rozšíření linuxu kam je to možné.

Něco za něco

Na škole se odsouhlasilo nasazení Windows na desktopových počítačích v učebnách a na notebookách učitelů bylo uvoleno, že si tam každý může vyžádat OS jaký chce, pokud ho IT oddělení schválí. Také bylo vyřčeno, že IT oddělení musí schvalovat Windowsy 😉 Na oplátku nám byla ponechána absolutní volnost ve správě sítě a serverů. To byl, podle mého názoru, velmi dobrý obchod. Nikdo zvenku nám nebude mluvit do toho, jak bude udělána síť ve škole. Velmi dobrým obchodem to nazývám i když by se to dalo vidět také jako prohra v nasazení Linuxu. Mít všude Linux by byla dobrá věc, ještě lepší by však bylo mít všude Linux, se kterým by byli všichni spokojeni a to se nám, bohužel, nepodařilo. Takže lepší variantou je spokojený uživatel. Bude ale opravdu spokojený?

Nasazení Windows

Vytvořili jsme si něco, co by se dalo nazvat kategorie počítačů. Počítače, které byly zakoupené ve stejné době a většinou pod jednou objednávkou jsou téměř vždy hardwarově identické. Proto jsme si je označili, jeden z každé skupiny jsme nainstalovali podle představ našich i učitelů a vytvořili jsme obraz používané části disku (partition). Ten jsme uložili na NASku a následně jsme si na jednom počítači zprovoznili PXE server (postavený na Ubuntu), který byl stvořen pro úžasnou věc – bootování ze sítě. Následně jsme si vždy spustili jednu celou skupinu počítačů a nechali je načíst boot ze sítě. Princip je takový že do takto spuštěného počítače se načte malý operační systém, který je tahaný ze sítě (podobně jako s flashky, ale načte se najednou do všech počítačů). Ten potom najde a „obnoví“ obraz disku z NASky do počítače, ve kterém je zavedený. Než se to vyladí, zabere to nějaký čas, ale po prázdninách nám zabralo jeden den obnovit celou budovu. Všechny počítače byly čisté a aktuální během několika hodin. U Windows byla ještě drobná komplikace (jak jinak) se secure bootem – bylo třeba jej obnovit, protože systém obnovený z obrazu byl, pochopitelně, pro jiný počítač, takže nebyla shoda mezi klíči v BIOSu a na disku. Počítače s Windows 10, zapojené do domény, komunikují s Active Directory a ověřují uživatele. Dále se o ně budeme starat právě ze serveru o kterém se zmíním teď.

Server (nejen) Windows Server

Tím, že jsme dostali volnou ruku v realizaci počítačové sítě, došlo k tomu, že jsme veškeré servery virtualizovali. V serverovně nám hnízdí tři fyzické servery. Jeden „nový“, který držel celou síť a běžely na něm přímé Windows Server. Když tento server nepracoval, byla situace na škole poměrně tragická. Druhý server „starý“ držel nějaké podřadné věci jako VPN, Honeypoty (o těch později). Změna byla taková, že na „novém“ serveru běží Hyper-V hypervizor, který hostuje jeden Windows Server s AD a několik linux serverů na ony další věci. Druhý server zatím čeká na své využití, které bude předmětem dalších článků. Třetí „server“, říkejme mu třeba „novější“ má také Hyper-V technologii a byl vytvořen z jednoho vyřazeného počítače z učebny. Dali jsme mu trochu RAMky, nějaký malý disk a funkci: dohlíží na první server a provádí zálohu na NASku. Jakákoli změna na serveru je zapsána do přírůstkové zálohy na NASku, která má jen tento účel (Synology DS420+). V případě, že by na prvním (novém) serveru nastala chyba, novější server obnoví stav zpět z NASky do prvního serveru. Celý systém je postaven tak, že hlavní server má dvě síťové karty. Jednou je připojen do hlavní sítě a druhou je spojený s NASkou. Ta má také dva síťové porty a ten druhý ji spojuje právě s novějším serverem. Na „novějším“ serveru se zároveň uchovává poslední funkční stav aktuálně běžícího „nového“ serveru. Běží nám tedy jeden aktivní server a jeden zálohovací, který by při pádu převzal funkci hlavního, použil onen poslední stav, který si drží a vyhlásil poplach. Poplach je v podstatě dotaz: „Mám smazat ten spadlý server obnovit do něho poslední zálohu, kterou jsem udělal?“ Pokud toto odsouhlasíme (stačí přes VPN, která je na samotném routeru), tak se spustí obnova hlavního serveru a po jejím dokončení se řízení sítě zase předá a všechno se vrátí do zajetých kolejí. Celý systém má jednu drobnou vadu: běží už tak dlouho, že si nikdo nepamatuje, jak to bylo nastavované, takže jakékoli změny budou předmětem dlouhých analýz. Chtěli jsme při distanční výuce využít toho, že nikdo není ve škole a pokud se něco stane, tak máme prostor to dávat dohromady, protože celá výuka probíhá na Google. Ale zase jsme neměli tolik času (míněno rozumu), abychom si udělali důkladnou dokumentaci. Momentálně je to tedy v režimu „Funguje to, ale nesahej na to, protože nikdo neví jak.“

Další servery spíše hlídkují nad tím, co se na síti děje. Zmínil jsem Honeypot. To je úžasná věc (používám OpenCanary), která při výskytu útočníka na síti (ať už fyzického nebo softwarového) jej naláká na nejrůznější věci jako jsou otevřené porty, snadná hesla, eskalace oprávnění a podobné pamlsky, a zaměstná ho natolik, že neútočí na nic jiného kromě honeypotu. Pak se útočník najde a odstraní, nebo se mu zabrání v pokračování páchání zla a celý honeypot se uvede do původního stavu. Věřím, že se někde v samostatném článku o této kapitole zmíním podrobněji, sem ale nepatří.

Windows a Google

Jak jsem zmínil, spoustu důležitých věcí jsme převedli na Google Workspace, který je pro školy zdarma se vším, co je potřeba. Komu by se ale chtělo přepisovat uživatele z AD do Google Workspace nebo naopak? To už je v dnešní době prakticky nemyslitelné a tak naštěstí existuje program Google Ad Sync, dnes už Google Cloud Directory Sync. Bohužel Google jej evidentně vytvářel pro Microsoft a tak mu chybí preciznost, na kterou jsme u podobných nástrojů této dílny zvyklí, nicméně účel plní velmi dobře. Je třeba si dát pozor na nastavení, které se neukládá celé, takže před každým „ostrým uploadem“ je třeba zkontrolovat opravdu každou položku, jinak se to může velmi nevyplatit.

Učitel a (ne)spokojenost

Jeden by řekl, že když si ti učitelé prosadili Windows, budou spokojení. Prozradím Vám tajemství: uživatel není spokojen téměř nikdy a učitel není spokojen vůbec nikdy. Trochu jsme upgradovali komunikaci mezi učitelem a IT oddělením. Máme na to dalšího člověka. Již jsem tu kdysi možná zmínil tiketovací systém, kterým se k nám dostávají požadavky učitelů. Podrobněji Vám jej popíšu v dalším díle. Zatím můžu jen říci, že se nám požadavky na IT oddělení jen hrnou. Kdybychom nebyli dva, pravděpodobně už bych nebyl ani já.

Uživatel, který má zpět své Windowsy je pro změnu nespokojený s tím, co mu na Linuxu fungovalo bezvadně. Takovým prvním příznakem byl rychlý start a „neobtěžování“ aktualizacemi. V těsném závěsu za těmito Windows příchutěmi je přesvědčení o potřebě antivirového programu, které je tak silné, že si většina z uživatelů na svůj pracovní notebook nějaký ten free-antivirus nainstaluje. Zde přidávám, že prakticky není možné dát učiteli notebook, na kterém by neměl práva lokálního administrátora. To by ti milí tvůrci elity národa strhli nejen IT oddělení, ale i samotný tiketovací systém pro psaní závad a požadavků. Na Linuxu má běžný uživatel taková práva, že ani nepozná, že není admin (navíc je lze přizpůsobit). Na Windows je to možné jen v rámci politiky Active Directory a i tak je to dost zdlouhavé.

Hlavní problém, se kterým se právě potýkáme je, že po aktualizaci Windows (jedno jestli plánované nebo nahodilé) nám někdy tato milá okénka převezmou kontrolu nad tím, co bude „Výchozí tiskárna“ a síťový tisk se klidně zažne posílat přes jiné ovladače (které jsou tam např. z důvodu změny portu, po kterém tisk půjde kvůli oprávnění různých VLAN a které si tam, jen tak mimochodem, Windows doinstalují samy) a tudíž nefunguje dobře nebo vůbec.

Závěr

Tento díl byl poněkud delší a více teoretický a povídavý. V příštím se můžete těšit opět na něco více praktického. Chystám se na rozebrání našeho tiketovacího systému, kterým uživatelé zanáší požadavky na IT oddělení. Děkuji za přečtení i za případné komentáře.

<< Linux ve škole – prohráli jsme, ale nevzdáváme se – 7. díl
Záložka pro permanentní odkaz.

4 reakce na Linux ve škole – Windows jsou zpět – 8. díl

  1. kamowski říká:

    vďaka za článok a seriál,
    a ako to pri seriáloch býva, teším sa na ďalší diel 🙂

  2. vxmery říká:

    Pripájam sa k poďakovaniu za seriál a prezdieľanie postrehov z praxe. Môj názor je, že presadzovať Linux proti vôli potenciálnych užívateľov, je pre Linux medvedia služba.
    Ak si niekto prečíta „Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law“ to úplne stačí aby sa vyplašil a dal od Linuxu ruky preč.
    Linux píšu dobrovoľníci pre dobrovoľných užívateľov, zjednodušene povedané.

  3. blisca říká:

    Vďaka za ďalší diel

  4. vonTrips říká:

    Možná reaguji s určitým zpožděním, dostal jsem se ke čtení až nyní.
    Spíše bych doporučil označt servery čísly/písmeny, např. A (koupený jako první, rok 2015, nejstarší) atd. To je jen taková poznámka
    Druhá věc mě zaujala je to obnovení partition. Já to řeším podobně. Mám vždy jeden počítač z dané „sady“ v pracovně, tam si udělám „čistý OS“, který funguje, z něj udělám obraz pomocí Clonezilly a pak na dané učebně vše přes CL server obnovím. Akorát kvůli vytížení sítě spouštím lite-server v rámci dané učebny. Vaše řešení mě však také zaujalo, ale jestli to chápu správně, využíváte jiný nástroj než CL?
    Nejvíce mě zajímá ten tiketovací systém. Aktuálně se o IT u nás staráme dva, jenže já mám plný úvazek jako učitel, kolega částečný. Zatím se nám podařilo učitele naučit, aby závady hlásili přes Google formulář, namísto toho, aby nás otravovali na chodbě a tak. Ale pořád chodí otravovat s blbostma a zrovna tiketovací systém je to, co bych ještě potřeboval nasadit, abych byl trošku izolovaný a zároveň spokojený (protože pak mi nebudou učitelé lézt do výuky, abych jim něco udělal/nastavil).
    Na druhou stranu jsme učitelům krouhli práva, takže jsou všichni jen Useři a nemůžou si tam instalovat co chtějí. Ostatně je to pracovní stroj, takže tam dostanou veškerý SW, který ve škole používáme a na zbytek mají mít osobní NB. Problém je s jediným specifickým SW pro pneumatiku, to ještě musíme vyřešit. Ale jinak na nic dalšího admin práva nepotřebují a pokud chtějí něco testovat, mají připravený virtuální počítač ve VirtualBoxu.
    Každopádně Vám závidím, jestli jste dva čistokrevní ajiťáci, co nemají na starost nic jiného, než právě správu IT. A samozřejmě se těším na další díl 😉

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *