Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
poolimage [2012/04/25 19:55] – [Aussehen der Beschreibungsdatei] dsuchodpoolimage [2013/05/14 13:23] – [Windows in der virtuellen Maschine] pf1002
Zeile 1: Zeile 1:
 ====== Virtuelle Maschine anlegen / anpassen ====== ====== Virtuelle Maschine anlegen / anpassen ======
  
-Diese Seite erklärt Einzelheiten für das Anlegen von eigenen Virtuellen Maschinen durch Dozenten in der [[kursraumumgebung|RZ-Pool-Umgebung]] bzw. Kursraumumgebung. Dazu müssen spezielle Benutzerrechte ("dozent") vorliegen.+Diese Seite erklärt Einzelheiten für das Anlegen von eigenen Virtuellen Maschinen (VMs) durch Dozenten in der [[kursraumumgebung|RZ-Pool-Umgebung]] bzw. Kursraumumgebung oder für den [[poolextern|Betrieb durch Externe am eigenen Institut]]. Sowohl 32bit als auch 64bit Gastsysteme sind zulässig. Dazu müssen spezielle Benutzerrechte ("dozent") vorliegen, um Images auf dem Bereitstellungsserver ändern zu können.
  
 In den Lehrpools stehen zwei Standardimages zur Verfügung: "Kursraum-Image (Windows XP oder Windows 7)". Beide Kursraum-Images werden vom Rechenzentrum betreut, solange es die Personallage zulässt. Dozenten können sich für ihre eigenen Kurse weitere Images anlegen. Diese sollten ausgehend von den beiden Vorlagen erzeugt werden, da sonst die reibungslose Integration in die Umgebung nicht sichergestellt ist. In den Lehrpools stehen zwei Standardimages zur Verfügung: "Kursraum-Image (Windows XP oder Windows 7)". Beide Kursraum-Images werden vom Rechenzentrum betreut, solange es die Personallage zulässt. Dozenten können sich für ihre eigenen Kurse weitere Images anlegen. Diese sollten ausgehend von den beiden Vorlagen erzeugt werden, da sonst die reibungslose Integration in die Umgebung nicht sichergestellt ist.
  
-Im Augenblick wo ein(e) Dozent/in die Anpassung eines Images übernimmt, geht die Verantwortung für das jeweilige Image über. Es gelten folgende Regeln:+Im Augenblick wo ein(e) Dozent/in (bzw. [[poolextern|externer Betreiber]]) die Anpassung eines Images übernimmt, geht die Verantwortung für das jeweilige Image über. Es gelten folgende Regeln:
   * Regelmäßig Updates (Betriebssystem) einspielen   * Regelmäßig Updates (Betriebssystem) einspielen
   * Anschließend auf Viren überprüfen und diese Überprüfung für den Normalbetrieb deaktivieren   * Anschließend auf Viren überprüfen und diese Überprüfung für den Normalbetrieb deaktivieren
   * Nach erfolgter Aktualisierung die Defragmentierung des Datenträgers durchlaufen lassen und das Image "shrinken"   * Nach erfolgter Aktualisierung die Defragmentierung des Datenträgers durchlaufen lassen und das Image "shrinken"
-  * Anlegen von Backups+  * Anlegen von Backups außerhalb des Image-Servers (Backups auf dem Image-Server werden aus Platzgründen gelöscht)
   * Aktualisierung der Beschreibungsdatei (<image-name>.xml)   * Aktualisierung der Beschreibungsdatei (<image-name>.xml)
   * Bei Bedarf (Ankündigung) das Login-Tool aktualisieren   * Bei Bedarf (Ankündigung) das Login-Tool aktualisieren
-  * Sicherstellen vorhandener und aktueller Lizenzen für alle zusätzlichen Komponenten (freie Software sollte kommerziellen Angeboten mit oftmals hochproblematischen Lizenzen vorgezogen werden)+  * Sicherstellen vorhandener und aktueller Lizenzen für alle zusätzlichen Komponenten (freie Software sollte kommerziellen Angeboten mit oftmals hochproblematischen Lizenzmodellen vorgezogen werden
 +  * Deaktivieren sämtlicher Aktualisierer (System-Tray, diese machen keinen Sinn, da sie bei jedem Nutzer laufen und in normalen Sitzungen nicht dauerhaft erfolgen)
  
 ==== Löschen von Images ==== ==== Löschen von Images ====
Zeile 25: Zeile 26:
 ==== Aktiv werden ==== ==== Aktiv werden ====
  
-Die Vorlagen-Images kann man entweder aus dem Verzeichnis ///var/lib/virt/vmware/// direkt auf einen ausreichend großen, mitgebrachten USB-Stick oder eine externe Festplatte kopieren. Um das Kopieren zu beschleunigen und weniger Platz auf dem Image-Server zu belegen, sind die Vorlagen-Images vom VMDK-Typ 5, welcher besonders für das Streaming, d.h. die Bereitstellung über das Netz optimiert ist. Zum Bearbeiten muss ein komprimiertes Image wieder in einen Normaltyp zurücküberführt werden. Dozenten sollten vor dem Einspielen überprüfen, dass ihr VM-Image in diesem Format vorliegt. Wenn nicht, kann es durch: ''vmware-vdiskmanager -r source-image.vmdk -t 5 compressed-image.vmdk'' in dieses überführt werden. +Die Vorlagen-Images kann man entweder aus dem Verzeichnis ///var/lib/virt/vmware/// direkt auf einen ausreichend großen, mitgebrachten USB-Stick oder eine externe Festplatte kopieren. Um das Kopieren zu beschleunigen und weniger Platz auf dem Image-Server zu belegen, sind die Vorlagen-Images vom VMDK-Typ 5, welcher besonders für das Streaming, d.h. die Bereitstellung über das Netz optimiert ist. Zum Bearbeiten muss ein komprimiertes Image wieder in einen Normaltyp zurücküberführt werden. Dozenten sollten vor dem Einspielen überprüfen, dass ihr VM-Image in diesem Format vorliegt. Wenn nicht, kann es durch: 
  
-Die andere Möglichkeit besteht im Bereich des Campusnetzwerks direkt zuzugreifen: Die Images werden auf dem Image-Server (pool-fs.public.ads.uni-freiburg.de 10.4.6.9) verwaltet. Von zuhause muss der Zugriff via VPN laufen, das ist aber (je nach eigenem Internetanschluss und wegen des VPN) deutlich langsamer. Der Server ist via 10 Gigabit-Ethernet ans Netz angeschlossen, was für zügige Kopiervorgänge sorgen sollte. Die auf dem Server abgelegten Images sollten in einem eigenen Bereich landen: vmware/vmware65 - zur Zeit werden diese NICHT automatisch eingebunden, sondern erfordern noch kleine Adaptionen, damit sie im Auswahlmenu erscheinen. Der Kopiervorgang erfolgt am besten über das Netzwerk mittels SecureCopy (SCP) oder mittels verbundenem Netzlaufwerk. Ein Vorlagenimage erhält man am einfachsten, durch das Mounten von pool-fs.public.ads.uni-freiburg.de/vmwareImages per NFS oder SMB/CIFS. Dann kann man sich ein geeignetes Image herunterkopieren. Per SCP sollte es auch mit der eigenen UserID/PW funktionierenOder man bindet es per+  vmware-vdiskmanager -r source-image.vmdk -t 5 compressed-image.vmdk 
  
-  mount.cifs //pool-fs.public.ads.uni-freiburg.de/vmwareImages zielverzeichnis -o user=<eigenerzid> domain=public+in dieses überführt werdenDes Weiteren ist darauf zu achten, dass das Image in einer vom Lehrpoolsystem lesbaren Hardwareversion gespeichert wird. Verwendet man beispielsweise VMWarePlayer ab Version 5 wird in die vmdk-Datei eine höhere "ddb.virtualHWVersion" geschriebenÄndern Sie diese ggfmit einem Editor (getestet mit vim) auf Version acht.
  
-ein. Entsprechend funktionert das Ganze als Netzwerklaufwerk unter Windows.+   ddb.virtualHWVersion = "8" 
 + 
 +Beachten Sie, dass ein mit "vim" geöffnetes 10GB Image mindestens ~10GB Arbeitspeicher benötigt. 
 + 
 +Die andere Möglichkeit besteht im Bereich des Campusnetzwerks direkt zuzugreifen: Die Images werden auf dem Image-Server (vm-store.public.ads.uni-freiburg.de - derzeit unter der IP 10.4.6.8) verwaltet. Von zuhause muss der Zugriff via VPN laufen, das ist aber (je nach eigenem Internetanschluss und wegen des VPN) deutlich langsamer. Der Server ist via 10 Gigabit-Ethernet ans Netz angeschlossen, was für zügige Kopiervorgänge sorgen sollte. Die auf dem Server abgelegten Images sollten in einem eigenen Bereich landen: vmware/vmware65 - zur Zeit werden diese NICHT automatisch eingebunden, sondern erfordern noch kleine Adaptionen, damit sie im Auswahlmenu erscheinen. Der Kopiervorgang erfolgt am besten über das Netzwerk mittels SecureCopy (SCP) oder mittels verbundenem Netzlaufwerk. Ein Vorlagenimage erhält man am einfachsten, durch das Mounten von vm-store.public.ads.uni-freiburg.de/vmwareImages per NFS oder SMB/CIFS. Dann kann man sich ein geeignetes Image herunterkopieren. Per SCP sollte es auch mit der eigenen UserID/PW funktionieren. Oder man bindet es per 
 + 
 +  sudo mount //vm-store.public.ads.uni-freiburg.de/vmwareImages /mnt -o user=<eigenerzid>,domain=public,uid=<lokaleid>,gid=<lokalegruppe> 
 + 
 +ein (benötigt Root-Rechte auf der Maschine, wo es ausgeführt wird oder entsprechende Einstellungen, die normalen Nutzern erlauben, CIFS-Mounts zu machen). Ein Beispiel mit Benutzer Max Mustermann, der sich mit "max" an seinem Linux-Rechner anmeldet: 
 +   
 +   
 +  sudo mount //vm-store.public.ads.uni-freiburg.de/vmwareImages /mnt -o user=mm123,domain=public,uid=max,gid=max 
 + 
 +Entsprechend funktionert das Ganze als Netzwerklaufwerk unter Windows.
  
 Ebenso können sich Kursleiter überlegen bestimmte Komponenten über das Netzwerk zur Verfügung zu stellen und hierfür beim Start des XP o.ä. im VM ein Laufwerk automatisch verbinden zu lassen. Ebenso können sich Kursleiter überlegen bestimmte Komponenten über das Netzwerk zur Verfügung zu stellen und hierfür beim Start des XP o.ä. im VM ein Laufwerk automatisch verbinden zu lassen.
Zeile 49: Zeile 63:
 Zusätzlich können auch die Kommandos ''nfs4_editfacl'', ''nfs4_getfacl'' oder ''nfs4_setfacl'' genutzt werden, um Rechte feiner einstellen zu können. Alternativ geht man vom eigenen Linux-Rechner auf dem man den Image-Server via CIFS/SMB eingebunden hat, mit "smbcacls" an die betroffenen Dateien, zum Beispiel: Zusätzlich können auch die Kommandos ''nfs4_editfacl'', ''nfs4_getfacl'' oder ''nfs4_setfacl'' genutzt werden, um Rechte feiner einstellen zu können. Alternativ geht man vom eigenen Linux-Rechner auf dem man den Image-Server via CIFS/SMB eingebunden hat, mit "smbcacls" an die betroffenen Dateien, zum Beispiel:
  
-    smbcacls -U<username> //sunfs6.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename>+    smbcacls -U=public/<username> //vm-store.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename>
  
 zum abfragen, oder zum setzen: zum abfragen, oder zum setzen:
  
-    smbcacls -U<username> //sunfs6.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> -a ACL:Everyone:ALLOWED/0x0/READ+    smbcacls -U=public/<username> //vm-store.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> -a ACL:Everyone:ALLOWED/0x0/READ
  
 Das Löschen von Rechten erfolgt via: Das Löschen von Rechten erfolgt via:
  
-    smbcacls -U<username> //sunfs6.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> -D ACL:Everyone:ALLOWED/0x0/READ+    smbcacls -U=public/<username> //vm-store.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> -D ACL:Everyone:ALLOWED/0x0/READ
  
 Leider funktionieren die Kommandos bzw. grafischen Tools ''mount.cifs'', ''dolphin'', ''nautilus'' nicht korrekt und sind offenbar nicht in der Lage, ACLs zu ändern. Leider funktionieren die Kommandos bzw. grafischen Tools ''mount.cifs'', ''dolphin'', ''nautilus'' nicht korrekt und sind offenbar nicht in der Lage, ACLs zu ändern.
  
-{{tag>openssl netz}}+{{tag>openssl netz lehrpool}}
 ==== Aussehen der Beschreibungsdatei ==== ==== Aussehen der Beschreibungsdatei ====
  
Zeile 88: Zeile 102:
     ...     ...
          
-Der "active" Schalter sollte auf "true" stehen, damit die Virtuelle Maschine in der Auswahlliste angezeigt wird. Soll das Image dort nicht auftauchen, weil der Kurs gerade nicht stattfindet, dann dort "false" eintragen. Mit "icon" kann man festlegen, welches Icon in der Auswahlliste angezeigt wird: "win7", "windows" für Windows XP, oder "ubuntu", "suse", "debian" ... für verschiedene Linux-Systeme. Der Parameter "network" sollte auf "nat" belassen werden. Zwar ist der Betrieb der virtuellen Maschinen im "bridge" Modus prinzipiell möglich, kann aber zu Problemen führen, da nur eine (sehr) begrenzte Anzahl freier (öffentlicher) IP Adressen für die virtuellen Maschinen zur Verfügung stehen. Es ist möglich eine 3D-fähige Grafikkarte zu aktivieren ("enable3d"), dieses macht jedoch nur für die aktuellen Maschinen (neue Ausstattung in -100/-101, UB2) Sinn.+Der "active" Schalter sollte auf "true" stehen, damit die Virtuelle Maschine in der Auswahlliste angezeigt wird. Soll das Image dort nicht auftauchen, weil der Kurs gerade nicht stattfindet, dann dort "false" eintragen. Mit "icon" kann man festlegen, welches Icon in der Auswahlliste angezeigt wird: "win7", "windows" für Windows XP, oder "ubuntu", "suse", "debian" ... für verschiedene Linux-Systeme. Der Parameter "network" sollte auf "nat" belassen werden. Zwar ist der Betrieb der virtuellen Maschinen im "bridge" Modus prinzipiell möglich, kann aber zu Problemen führen, da nur eine (sehr) begrenzte Anzahl freier (öffentlicher) IP Adressen für die virtuellen Maschinen zur Verfügung stehen. Es ist möglich eine 3D-fähige Grafikkarte zu aktivieren ("enable3d"), dieses macht generell nur für die aktuellen Maschinen (neue Ausstattung in -100/-101, UB2) Sinn und ist bisher nicht sinnvoll unterstützt.
  
 Die Datei muss unbedingt als UTF8 abgespeichert werden, da sonst Umlaute in der Anzeige nicht korrekt umgesetzt werden, was zumindest nicht sehr elegant aussieht. Die Datei muss unbedingt als UTF8 abgespeichert werden, da sonst Umlaute in der Anzeige nicht korrekt umgesetzt werden, was zumindest nicht sehr elegant aussieht.
Zeile 100: Zeile 114:
   * Virus-Checks machen nur für externe Laufwerke Sinn, nicht für das Basissystem: Ein Virus/Trojaner kann sich nicht dauerhaft festsetzen, da im Standard-Betrieb keine Schreibrechte für die Nutzersitzungen bestehen. Es sollte jedoch ein Check durchgeführt werden, bevor(!) das Image auf dem Server allgemein bereitgestellt wird.   * Virus-Checks machen nur für externe Laufwerke Sinn, nicht für das Basissystem: Ein Virus/Trojaner kann sich nicht dauerhaft festsetzen, da im Standard-Betrieb keine Schreibrechte für die Nutzersitzungen bestehen. Es sollte jedoch ein Check durchgeführt werden, bevor(!) das Image auf dem Server allgemein bereitgestellt wird.
   * Abschalten des Bildschirmschoners - das wird von der Host-Maschine bereits übernommen.   * Abschalten des Bildschirmschoners - das wird von der Host-Maschine bereits übernommen.
 +  * Die Proxy-Einstellungen für den Firefox (ebenso Internet-Explorer) sollten am besten auf "Auto-detect proxy-settings" gestellt werden.
 +
 +=== Liste mit konkreten Maßnahmen ===
 +
 +Betrifft hauptsächlich Windows 7 und Windows XP. Nicht jede Option gilt unbedingt für beides (siehe gpedit.msc).
 +
 +  * Auslagerungsdatei -> deaktivieren
 +  * Systemwiederherstellung -> deaktivieren
 +  * Windows Updates -> ausschließlich manuell
 +  * Wartungscenter -> Meldung zu Virenschutz, Automatischen Updates, Datensicherung etc. deaktivieren
 +  * Benutzer -> 'root' bzw. 'admin' + 'Nutzer'
 +  * Automatische Anmeldung -> Win-Taste+R => "control userpasswords2" => 'Nutzer' automatisch anmelden
 +  * Ruhezustand -> deaktivieren => "powercfg -h off"
 +  * im Startmenü alle Optionen außer Herunterfahren und Neustarten entfernen, das ist weniger verwirrend
 +  * alle Sounds aus (Startsound und Soundschema)
 +  * Bildschirmschoner aus
 +  * Energiesparoptionen aus (Bildschirm, Festplatte)
 +
 +  * **Gruppenrichtlinien** (gpedit.msc)
 +    * Computerkonfiguration -> Administrative Vorlagen -> System -> Geräteinstallation -> Einschränkungen bei der Geräteinstallation -> Installation von Geräten verhindern, die diesen Gerätesetupklassen entsprechen => aktivieren und {50127dc3-0f36-415e-a6cc-4cb3be910b65} eintragen 
 +      * verhindert dass im Lehrpool CPU-Treiber installiert werden, die einen Neustart provozieren
 +    * Computerkonfiguration -> Administrative Vorlagen -> System -> Geräteinstallation -> Sprechblasen mit der Meldung "Neue Hardware gefunden" während der Geräteinstallation deaktivieren => aktivieren
 +      * Treiber werden ohne Rückmeldung im Hintergrund installiert
 +    * Computerkonfiguration -> Administrative Vorlagen -> System -> Anmelden -> Einstiegspunkte für die schnelle Benutzerumschaltung ausblenden => aktivieren
 +    * Benutzerkonfiguration -> Administrative Vorlagen -> Startmenü und Taskleiste -> Option Abmelden aus dem Startmenü entfernen => aktivieren
 +    * Benutzerkonfiguration -> Administrative Vorlagen -> Startmenü und Taskleiste -> Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern => aktivieren
 +    * Benutzerkonfiguration -> Windows-Einstellungen -> Skripts (Anmelden/Abmelden) -> Anmelden -> Skript "Gemeinsames Laufwerk"
 +      * verbindet beim Anmelden das Gemeinsame Laufwerk G:
 +      * Vorteil: das Automatische Wiederverbinden das der Windows-Explorer für Netzlaufwerke anbietet, produziert gerne mal Fehlermeldungen wenn das Netzwerk nicht sofort verfügbar ist
 +    * Benutzerkonfiguration -> Administrative Vorlagen -> System -> Strg+Alt+Entf-Optionen -> Abmeldung entfernen => aktivieren
 +    * Benutzerkonfiguration -> Administrative Vorlagen -> System -> Strg+Alt+Entf-Optionen -> Sperren des Computers entfernen => aktivieren
 +
 +
 +  * **Registry**
 +    * HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> Current Version -> Policies -> System => DisableLockWorkstation = 1 (als DWORD neu erstellen)
 +    * HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer => StartMenuLogoff = 1 (als DWORD neu erstellen)
 +
 +  * **Software**
 +    * Firefox
 +      * als Standardbrowser festlegen
 +      * Addons: HTTPS-Everywhere und Ghostery
 +    * Internet Explorer
 +      * standardmäßig dabei
 +    * LibreOffice
 +      * aktuelle Version gut sichtbar auf Desktop und im Startmenü
 +      * alle Wörterbücher sowie Deutsch und Englisch für die Benutzeroberfläche (sonst Startzeit sehr langsam)
 +      * Schnellstart nicht installieren bzw. aktivieren
 +    * Microsoft Office
 +      * aktuelle Version gut sichtbar auf Desktop und im Startmenü
 +    * Adobe Reader
 +    * Adobe Flash
 +    * 7-Zip
 +    * Notepad++
 +    * GIMP
 +    * Paint.NET
 +    * VLC
 +    * Citavi
 +      * mit allen verfügbaren Pickern
 +
 +  * **Sicherheit**
 +    * **kein** Java falls nicht unbedingt notwendig
 +      * wenn Java sein muss, dann wenigstens die Browser-Plugins deaktivieren
 +    * sicherheitsrelevant sind dabei vor allem (nicht nur) die Browser, Adobe Flash und Adobe Reader und die Windows Updates
 +    * regelmäßige Updates
 +      * einmal monatlich zum Patch-Day (2. Dienstag im Monat): Windows, Office, Adobe etc.
 +      * schwere Lücken bei Bedarf zwischendurch
 +
 +
  
  
Zeile 133: Zeile 215:
  
 Die Gemeinschaftslaufwerke sind keine Daten-Safes. Dozenten sollten immer daran denken, die Daten regelmäßig zu sichern und ein Backup bereitzuhalten, da jede(r) Zugriff auf die Daten anderer hat. Die Gemeinschaftslaufwerke sind keine Daten-Safes. Dozenten sollten immer daran denken, die Daten regelmäßig zu sichern und ein Backup bereitzuhalten, da jede(r) Zugriff auf die Daten anderer hat.
-{{tag>pc-arbeitsplätze software windows lehrpool linux poolraeume poolräume}}+{{tag>pc-arbeitsplaetze software windows lehrpool linux poolraeume}}
  
 ==== Aussehen Konfigurationsdatei für VMware ==== ==== Aussehen Konfigurationsdatei für VMware ====

Zuletzt angesehen:

QR-Code
QR-Code Virtuelle Maschinen im Poolsystem (erstellt für aktuelle Seite)