Hi.
Wie war das nochmal: Welche Ports des Servers müssen erreichbar sein, wenn man sich auch vom „blauen“ Netz (WLAN) an der Domäne anmelden können will?
Reicht da 445 oder benötigt man diese ganzen Ports dazu:
http://www.hasslinger.com/microsoft/sites/server/dotnet/grund/active_directory_ports.html
Gibt es irgendwelche (Sicherheits-)Bedenken, wenn man das freigibt?
Viele Grüße,
Michael
Hi Michael,
was hast Du dann noch für Vorteile von einem blauen Netz, warum dann nicht gleich die betreffenden Geräte nach Grün? Ok, außer Port-Isolation vielleicht…
Ich habe ein blaues Netz, weil ich gerade alle Fremdgeräte von meinem Server fernhalten möchte 
und Port-Isolation kann ich da wegen der iPad-Spiegelung nicht mehr einschalten.
LG
Max
Hallo Max.
Ja, um solche Überlegungen geht es bei uns auch gerade: „Kann man evtl. auf ein WLAN im grünen Netz (für fest installierte Hardware) verzichten und das mit ins blaue Netz legen?“
Ein Nachteil an einem grünen Netz ist die kleine Netzmaske. Ich bin nicht sicher, was ich alles tun und umstellen müsste, wenn ich ein grünes Subnetz vergrößern möchte?
Das blaue Netz hat bei uns direkt eine /16er Maske und ist im Vergleich dazu also riesig. Daher könnten die Clients da mit aufgenommen werden – sofern sie sich an der Domäne anmelden können!
Unter’m Strich geht es also tatsächlich um eine „ganz andere“ Frage, und zwar: Wie teilt man die Drahtlosnetze auf und welches Gerät kommt über welchen Zugang wohin? Da unsere APs immer „nur“ 4 Netze abstrahlen können (was ja auch mehr als ausreichend sein sollte), müssen nochmal grundlegende Überlegungen her. Ich weiß, dass einige hier ein WLAN für Geräte (grün?) und eins für User (blau?) verwenden.
In meinem Fall wären Laptops einer Ausleihstation betroffen, die im Moment in einem eigenen WLAN in grün laufen – aber eigentlich viel besser im blauen Netz aufgehoben wären. Für diesen Zweck müsste aber die Anmeldung an der Domäne auch in blau funktionieren…
Was den anderen von Dir angesprochenen Punkt angeht: Client Isolation – gutes Stichwort! Du hast es deaktiviert? Stellst Du seitdem wesentlich mehr Traffic oder Störungen irgendeiner Art fest? Um die Classroom App vernünftig nutzen zu können, MUSS die Client Isolation offenbar immer abgeschaltet sein, richtig 
Das würde in unserem Fall auch für das blaue/große WLAN gelten. Ob man sich damit einen Gefallen tut, weiß ich bisher auch noch nicht…
Viele Grüße,
Michael
Hallo!
Ich habe keine Client-Isolation und bisher stelle ich keine Probleme fest.
Unsere Netzwerkmaske in grün ist 10.16.x bis 10.32.x, das genügt (habe aber kein Subnetting, bisher aber auch kein Problem, trotz 50 Laptops, 100 iPads, 150 PCs, die aber nie alle gleichzeitig drinnen sind).
Wir haben auch Laptops, die man als Lehrer für seine Klasse verwenden kann, die sind aber im WLAN „grün“, weil ich keinen Unterschied zu einem normalen PC in der Funktionalität sehe (außer eben das Kabellose). Sie sollen ja einfach einen Computerraum ersetzen.
Genauso wie die iPads (hüstl), die sind auch in grün, weil ich in der 6.2 dann noch das Internet ausstellen konnte, was ja jetzt nicht mehr geht, da benutzerbezogen. Habs aber noch nicht geändert, ich hab auch noch keine „best-Setting“ Idee.
Es gibt noch ein WLAN „gruen-lehrer“, das ist für die Ubuntu-Lehrerleihgeräte (aka „Dienstlaptops“) und es ist auch in grün, um die iPads auf die Lehrerlaptops mit rpiplay spiegeln zu können. Ich habe es extra benannt, wenn ich die Lehrergeräte doch mal in nem anderen Netz haben will… Hätte ich mit den iPads auch machen sollen.
Dann gibt es noch ein blaues WLAN für BYOD mit WPA Enterprise.
Das vierte ist geplant als Captive-Portal, aber nicht aktiv, weils eh nur sehr selten jemand braucht. Der Wartungsaufwand ist höher, als wenn ich für die seltenen Fortbildungen ein WLAN aufmache, das auch nach blau geht und eben das Passwort dort bekanntgebe. So mach ich das momentan.
LG
Max
Hi.
Ok, dann ist Euer Aufbau ganz ähnlich zu unserem (außer, dass hier VLAN & Subnetting dazu kommt):
1.) WLAN in grün für Geräte der Ausleihstation und fest installierte Hardware (aber beschränkt auf 254 Geräte)
2.) WLAN in grün für Lehrer (ebenfalls beschränkt auf 254 Geräte)
3.) WLAN in blau (schulweit) für BYOD, das gleichzeitig per Voucher ODER per Login über die v7-WebUI funktioniert (viel mehr als 254 Geräte möglich)
Das WLAN in blau hat ein Captive Portal, das immer erscheint – dort meldet man sich also mit seinen Credentials an, sofern man eine Freigabe durch eine Lehrkraft erhalten hat ODER man hat ein gültiges Voucher und kann das verwenden (Gäste, Dozenten, etc.).
Und genau dieses Captive Portal macht natürlich nun Ärger, wenn Geräte „einfach so“ im blauen Netz sein sollen. Das Portal erscheint dann leider trotzdem und mir ist bisher kein Weg bekannt, wie man das umgehen kann. Daher war die Idee, ein weiteres WLAN in blau zu verwenden, um im großen Netz zu sein – aber das ist der Punkt, für den die Domänen-Anmeldung dann auch im blauen Netz funktionieren müsste.
Unsere Schüler-iPads sollen übrigens auch in das blaue Netz – ebenfalls ohne Captive Portal.
Viele Grüße,
Michael