小型私立学校的服务器和网络设置

Question

我帮助当地的私立学校满足他们的很多技术需求。到目前为止，它一直是维修/安装办公电脑和帮助管理办公网络的顺序。

但现在管理员期待并希望让教职员工和学生实现现代化和在线化。他问我是否有兴趣设置和维护服务器（可能需要一点报酬）。

但是现在我陷入了困境 - 我很乐意提供帮助，但我对服务器的经验很少。我有时间专注于学习和维护，但这对学校和我来说都是一次新的冒险。

学校需要用户登录大约。教职员工50人，学生200人左右。这些都需要经过严格过滤的互联网访问、数据存储、安全性、打印机访问、备份，我相信他们最终会想要 VPN。他们想要所有学生和教职员工的学校电子邮件帐户、共享日历等。

我最初的计划是将 Google Apps（他们已经有一个 Google Apps for Education 帐户）与 OpenDNS 过滤结合使用。但现在我明白，一个知识渊博的学生绕过它会很简单。

此外，学校目前使用旧的 24 端口交换机、无线路由器的大杂烩作为 AP（这是一栋带有防辐射罩的长 2 层实心砖建筑）和“标准”DSL（带宽未知）。只有办公室电脑是有线的。几乎所有的教师都以无线方式接入网络。为了防止学生学习密码并获得访问权限，学校使用 MAC 过滤来防止未经授权的访问。显然，如果他们要允许学生访问，则还需要重新考虑该系统。

因此，鉴于所有这些要求，我想问以下问题：

1. 除了过滤之外，与仅使用 Google Apps 相比，学校还能从自己的服务器获得哪些其他好处？
2. 虚拟专用服务器是否比拥有自己的服务器更便宜地解决这些问题？它会引入其他问题吗？
3. 如果不寻找特定的硬件推荐，我们需要什么样的服务器？初级、中级等？我应该谨慎投资哪些功能？
4. 我非常了解 Windows 操作系统，并且涉足 Ubuntu。鉴于我相对缺乏经验和上述需求，是否有任何服务器软件更适合学校（和我）的需求？
5. 考虑到可能的用户数量、用户系统（Mac、PC、电话等）的组合，以及我确定无法预见的其他事情，我们应该为网络考虑哪些变化？
6. 我应该研究这个项目的另一个可能的解决方案吗？
7. 您看到我们遗漏的任何明显漏洞吗？

目前，学校除了打印共享之外，并没有利用网络进行更多的工作。所以不需要太多的改进。但是，我们也希望尽可能地适应未来。学校的预算很紧（谁不是？），但其中一些事情可能会有很大帮助。

Answer 1

我在类似规模的学校工作。我的建议：

将网络基础设施作为第一要务。通过实施 Cisco ASA 5505 防火墙与 Squid Web 代理相结合来执行边缘和 http 过滤以及 VPN 连接，从而超越消费级交换机和互联网访问。

ASA 5505 的支持合同可能不到 500 美元，而 Squid 是开源的，您必须在一台像样的机器上构建它，但您可以将它与 Cisco 的 wccp 协议一起使用，该协议将 http 请求重定向到代理以进行批准，但是如果代理机器死机，系统“无法打开”，这意味着仍然允许访问。)

将其连接到主骨干交换机。我建议说一个 Cisco 2960 48 端口交换机。获取任何其他随机开关并将无线 ap 重新插入其中。这种类型的管理交换机将防止交换环路，并在出现问题时提供广泛的监控功能，并提供安全机制。

是的，Cisco 设备价格昂贵，并且在您不熟悉它时进行设置可能会令人生畏，但它坚固、功能丰富，并且符合所有网络协议。它可以成为弹性网络的基础。

我猜无线网络很简陋，性能很差。用 netstumbler 跑来跑去看看有什么干扰以及无线范围如何。确保将无线电配置为使用频道 1、6 或 11 的非重叠频率。

服务器？售价 4,000 美元或 5,000 美元的小型戴尔或惠普机架式服务器和 Windows 2008 R2 可以正常工作。您可以将它用于用户和组管理、组策略、打印服务、文件服务。获得尽可能多的 RAM 和最快的硬盘驱动器。当然基于 *nix 的系统也可以工作。如果您不在，将来支持它可能比找到 MS 管理员更棘手。

我会在 VMWare ESXi 安装上虚拟化该服务器，并调整物理服务器的大小，以便我可以添加另一台来宾计算机。

不要忘记为设备区域的电源、UPS 和散热做好计划。企业级设备会很快变热并消耗大量电力。

如果需要，没有理由不同时使用本地文件存储和 Google 文档。让用户的需求驱动他们的特定情况。

杀毒软件？可能是在云中管理的东西，或者根本没有管理的东西，比如 MSE？维护赛门铁克或 Sophos 企业安装是一件很麻烦的事情，而且许可费用非常昂贵。给他们 MSE，从他们本地 PC 上的用户帐户中取消管理员权限，并称其为已缓解。如果没有管理员权限，他们将不得不更加努力地被感染。

我敢肯定，这里的技巧是预算。使管理层相信 IT 是重要的基础设施，如果操作不当，它会迅速崩溃并造成灾难性后果，这一点很关键。

Answer 2

网络主干将决定这一点，将以太网连接到所有房间，wifi 将变得一团糟，并且基本上无法使用，流量很大。

这些都需要经过严格过滤的互联网访问，

一些防火墙带有内容过滤功能，但需要花费 $$$，除此之外没有太多经验，但通常是您最好的选择（尤其是对于学校）。考虑到学校可能会遇到涉及孩子和访问网络的大麻烦（而且您不希望孩子杀死 DSL 线路），这可能是我最不想做的事情。

数据存储，

任何具有共享存储的计算机都可以，甚至是便宜的基于 Linux 的机器的 NAS 也可以让您走得更远。

安全，

广告是非常需要的，再次，$$$。我听说有人使用 OpenLDAP，但祝您好运实施您需要的安全性 (GPO) 以防止孩子破坏一切。

打印机访问，

带有 CUPS 的打印服务器既便宜又很棒。

备份，

可拆卸硬盘驱动器是您的预算选择，买几个，异地轮换。

我相信他们最终会想要 VPN。

如果你有一个简单的 AD 服务器，任何过滤内容的防火墙也应该有 VPN 支持。

您正在寻找的最重要的东西是：网络基础设施、Active Directory 和内容过滤防火墙。我们使用 Cisco 防火墙 (ASA)，它们很好但有点贵，也许有人可以推荐更便宜的东西。

我会说：

1. 从基础设施、以太网骨干网开始，为教室布线（从 Geeks.com 或其他网站获取大容量电缆）。
2. 获取内容过滤防火墙。
3. 孩子们此时可以使用电脑，但要根据当地政策将它们锁定并让幽灵随手可得，您将不得不重新塑造很多形象。
4. 只要您有预算，就可以使用 Active Directory。

一些让球滚动的想法，其中很大一部分与您的预算有关，我们需要数字来购买软件和硬件。