去年底為學校使用平板教學最密集同時也是校內最高處的欣藝樓五樓設置了獨立的無線網路副控端,由於是新設機櫃且鄰近的教室經常會有破百台平板在使用,所以最後決定這個新設機櫃直接拉一條百米左右的4芯10G光纖過去五樓。
同時在機房新增一個光纖專用線槽為日後其餘副控升級10G做預留,另外機房也新增一個24埠光纖收容箱,由於這次拉到5樓無線網路機櫃的4芯10G光纖全部都熔接,所以未來新增的光纖還剩下20芯的額度可供熔接到此收容箱。
◎筆記-製作DGS1510 28XMP CLI空範本
學校今年會有局端的網路設備更新,目標是換掉既有的DLINK DGS1510 28XMP,獲撥的數量應該是10台,退役後的1510打算當作備品或移轉到別處使用,由於之前都交給局端駐點代管,退役後得自行管理,所以打算做一個空的範本方便日後使用。
一.恢復出廠預設值
DLINK交換器面板前後多半會有reset孔,拿迴紋針壓10秒鐘左右所有燈號都會亮橘燈表示正在初始化,翻一下手冊得知這台預設的連線資訊如下:
The default IP address for VLAN 1 is 10.90.90.90/8.
預設帳密:admin/admin
◎Fortinet資安鐵三角初體驗
學校的FortiGate110C使用至今已12年,在產品生命週期到達後韌體版本停在v5.2就沒機會往上升了,且因無法再購買UTM授權,許多資安防護的功能只好捨棄,剩下的功用大概就僅存針對學校內外網做開門關門的動作、看看流量與行為是否有異狀而已。
不過最近李老師提供機會讓我能體驗到新款的FortiGate防火牆,12年來110C在學校從沒出過問題,操作容易上手之外,Web Filter內容過濾讓我可以專心上課再也不用想方設法去阻擋學生偷玩遊戲與連上不當網頁的問題,IPS入侵偵測在第一時間就能把危機阻斷,AV搭配校內的ApexOne防毒伺服器也讓學校即使之前在自管校網與DNS時期都幾乎沒遇過甚麼資安事件,歷年來的弱點掃描也都是完全pass,在舊版校網時甚至很高比例學校會被掃出的弱點,我們校網弱掃的報告中依舊是連一條資安風險都沒有,這些原因都讓我對Forti的產品印象大大加分,能夠試用當然是求之不得的。
◎重新檢視不斷電系統組態與pcns更新(APC SMART UPS-3000)
昨天課上到一半,前主管小張來訊告知許多學校發生停電,提醒我留意一下設備狀況,學校斷電其實即使我人不在學校,機房也不會有太大問題,斷電有UPS幫忙關機,復電雖然不能自動化開機,但也可以透過iDrac處理,這是使用DELL伺服器的優勢,只要在復電後遠端連入iDrac就能將實體主機打開,虛擬機只要有排程的也會自動啟動。學校的UPS是兩套APC SMART-UPS 3000,十多年前機房設備陸續增加後購置了兩台,當時一台35000左右,兩台含施工7萬多解決。
由於前年底購置了伺服器排程與差異備份的方案,去年底也擴充了大容量儲存設備手動做完虛擬機的離線備份,所以校內伺服器部分其實已具備線上差異備份(異機)以及離線備份這兩種方案,當災難發生時只要硬體沒有損壞,多半都能在短時間內進行復原。
◎Zyxel Nebula 雲端管理初體驗
約莫兩年前局端配發Zyxel XGS1930-28HP交換器時曾經申請了Zyxel帳號一探究竟,當時也嘗試摸索Nebula這套得獎的雲端管理平台,只是當時Nebula一直抓不到學校的設備,我就以為必須給設備一個public ip才能享用Nebula的功能而作罷,但上周Zyxel產品經理Tim告知只要設備對外暢通的話,Nebula就能進行設備管理,當時阿福也補充抓不到的原因可能在於中心端鎖到了…經過Tim sir與阿福開釋,我就知道是自己耍笨了,新北default vlan的10.226對外本來就不通的,我把設備放在vlan1,Nebula當然抓不到阿!!!
一、設備納管與狀態
於是昨天調整了WAX610D的管理IP與上層交換器的vlan,掃描一下AP的QR Code之後,BINGO!下圖紅框處這台測試用的WAX610D上雲了~綠色框仍舊離線的XGS1930交換器就是還在vlan1,所以Nebula抓不到它。
◎透過VMware-converter將班級電腦管理系統虛擬化
去年新增加了Phantosys10來分擔班級電腦的管理工作,同時群準也提供了EVO Cloud升級到5的服務,目前的用途分類為phantosys負責較大宗的班級與科辦,主要型號為N4660G、L4630G、L4620G;EVO暫時僅負責電腦中心與專科教室,型號是N4640G,考量在兩年後4640的電腦教室會退下來兩間電腦教室的機器數量,所以就單純讓EVO負責此一型號,而且新的EVO5較擅長UEFI機種,在處理CSM版本時容易遇到問題,所以仍需延命的4630、4620舊機型就PASS給Phanto處理,兩套都是不錯的管理系統,但也都有各自缺點,EVO在處理CSM機型如L4630、L4620上容易有不支援的狀況,而Phanto雖然可以處理4620但離線開機會失敗,一旦管理系統離線就會造成client停擺開不了機。另外,Phantosys在處理AD環境的電腦還原需較耗時費心反覆處理退網域與加網域的問題,而EVO只要勾選還原狀態即收工,簡單總結,功能與介面EVO完勝,但相容性Phanto略勝一籌。
◎試用ZYXEL WAX610D 802.11(ax)無線AP
過年前經廠商推薦有機會體驗到ZYXEL AP,校內目前有的ZYXEL產品只有交換器XGS 1930-28HP,印象還很深的是ZYXEL有自家一套獨特的Nebula雲端管理平台,以及設定上可以透過ZON輕鬆進行基礎設定。而且官方提供的資訊與資源相當完整與便利能降低接觸門檻。XGS 1930這兩年穩定性很好,有方便的UI進行管理,管理維護需具備的技術門檻也不算高,聽阿福說這兩年在新北的故障率也很低,個人認為對一般國中小而言,是個可以稱職擔任L2 edge的角色。
◎ NX3240透過DFS搬移檔案伺服器
兩周前備妥了NX3240改建Windows Server 2019 AD預備當File Server一事,這兩天也完成了將AD網域等級與樹系功能等級提高至Server 2016,連防毒軟體也都更新到最新版能支援Server2022,表示可以開始搬檔案伺服器的日子已近了。這回同樣打算透過分散式檔案系統(DFS)以及檔案伺服器資源管理員 (FSRM)進行搬移、檔案篩選、磁碟配額(Quota)管理與檔案檢測的工作,之前還未曾在Server 2019 AD上做過這些事,但應該不會有太大改變才是。
因為近期新購的NX3240肚子夠大(50TB),所以可以將原先分散在server1掛接在MD3200與server2透過iSCSI連線NX3240這兩地儲存資料完整的收一份過來,資料內容大致簡單分為行政業務資料、教師個人資料、桌面重新導向(漫遊)、教學光碟、活動照片…等等幾個部分。
◎Apex One升級Patch Build:10048
近期陸續有將AD升級到Server2019之外,辦公電腦也升級到w11,但想到防毒軟體Apex One卻仍維持去年三月新安裝的版本Build:9204,雖然w11經過幾天測試也沒發現防毒有任何不支援的問題,但畢竟時隔將近一年,Patch版本也不知又出了幾版,還是趁放寒假前全校電腦都還開著的情況下先做升級工作吧。
OfficeScan我從6.0在學校自架到現在第14版Apex One得出了一個心得,那就是一般小更新或SP1、SP2就直接上Patch,跳大版則重新安裝並做用戶端搬移,所以這回就是選擇直上Patch。
◎提高網域與樹系功能等級至Windows Server 2016
最近將辦公電腦N4670G升到了win11,雖然也能正常加入2008網域使用,但畢竟之前win10對應的主要DC版本就已經是server 2016。2008網域已停止支援且面對w10、w11會發現漸漸出現不能支援的GP項目,既然目前網域已沒有2008DC,為求心理上更完整的支援性還是趁想起時趕緊把網域和樹系升級吧…
首先確認一下五大角色是誰以及網域控制站的作業系統版本,目前環境有四台DC,分別是Windows Server 2016與2019,因此最高等級只能提高到2016,無法上到2019,要提高功能等級的版本雖然不用所有DC等級一致,但會受到最低版本作業系統的限制,因為打從心裡不喜歡Server2012的介面,所以從沒讓2012擔任過校內DC的角色。
