Clients: Alle ab Windows 7
Server: Windows 2022 | Windows 2019 | Windows 2016 | Windows 2012 (R2) | Windows 2008 (R2)
Installation am Domänencontroller erforderlich: Nein

Server: TCP/IP 27921, 27922, 27923 eingehend + ausgehend

Sie sollten die Clientinstallation auf jedem Rechner installieren, auf dem Sie die Net.FX-Funktionen einsetzen möchten.

Überblick der Funktionen:
Web-Modul: Programm-/Internet-/USB-Sperre | Bildschirme überwachen
Log-Modul: Clients hoch-/herunterfahren | Benutzer an-/abmelden | Kennwörter zurücksetzen | Scripts ausführen
Test-Modul: Schularbeitenprojekte mit Angabedateien in sicherer Netzwerkumgebung erstellen (für Schularbeiten/Matura)

Die Clientinstallation von Net.FX kann auch über den Microsoft Endpoint Manager (Intune) vorgenommen werden. Zur Detailanleitung

Für Lehrende eignet sich die Berechtigungsgruppe „Raum-Rechte“. Mit dieser Berechtigung können Lehrende nur die Räume, wo Sie gerade unterrichten, überwachen/verwalten.

Bis Version 3.4: Sie können die Clientinstallation automatisch (silent) installieren lassen, indem Sie das Verzeichnis (vom Server) Installdir\Clientinstall kopieren/bereitstellen und dort die setup.exe mit dem Parameter /s starten. Damit lässt sich die Clientinstallation automatisch ausrollen.

Ab Version 3.5: Sie können die Clientinstallation automatisch (silent) installieren lassen, indem Sie das Verzeichnis (vom Server) Installdir\Clientinstall kopieren/bereitstellen und dort die setup.exe mit dem Parameter /silent starten. Damit lässt sich die Clientinstallation automatisch ausrollen.

Aktuell werden nur Geräte mit einem Windows-Betriebssystem unterstützt.

Bei Bedarf besteht die Möglichkeit Windows virtuell zu installieren (Hinweise Mac | Hinweise Linux)
Dies muss mit der Schule vorab abgeklärt werden, da der Überwachungsschutz in diesem Fall nicht mehr vollständig gegeben ist. Weiters müssen Lehrpersonen diese Option (Client im virtuellen Windows) explizit zulassen.

Alternative: Mit der Schule abklären, ob es Leihgeräte mit Windows für die Dauer der Prüfung gibt.

Falls die BYOD-Geräte in einem eigenen Netzwerk (VLAN) organisiert sind, so ist es notwendig, dass zwischen den Netzwerken (VLANs) eine Portweiterleitung für die Net.FX-Ports 27921 – 27923 (in beide Richtungen) eingerichtet wird, damit die Clients und der Server kommunizieren können. Weitere Informationen finden Sie im Punkt „Firewall-Einstellungen“.

Hier finden Sie die Installationsschritte bei einer BYOD-Installation in der Schülerrolle: Installationsschritte anzeigen

• BYOD-Privatgerät: Auf privaten BYOD-Geräten ist die Aufzeichnung der Bildschirme, Programme und des Internets standardmäßig deaktiviert. Einer Aufzeichnung müssen Sie aktiv zustimmen und können diese auch beenden.
• BYOD-Schulgerät: Auf Schulgeräten ist die Aufzeichnung standardmäßig aktiviert. Eine Zustimmung zur Aufzeichnung ist nicht vorgesehen.

Zwischen den VLANs müssen die Net.FX-Ports (27921 - 27923) geroutet werden. (Abbildung anzeigen)

Es gibt die Möglichkeit ein zentrales Gerät (Router, Firewall, Windows-Server) als Zwischenstelle zu verwenden und hier eine Port-Weiterleitung zum echten Net.FX-Server einzurichten. (Abbildung anzeigen)

Erklärung für die Datenübernahme anzeigen

TightVNC kann hier heruntergeladen werden: https://www.tightvnc.com/download.php

In Net.FX kann TightVNC über die benutzerdefinierten Aktionen im Log-Modul gestartet werden. Im Installationsstand ist dazu bereits ein Eintrag vordefiniert. Sobald Sie TightVNC installiert haben, müssen Sie diesen Eintrag noch für Ihre Situation konfigurieren:

1. Öffnen Sie die Net.FX-Einstellungen und wechseln Sie zum Bereich "Modul: LOG" | "Grundeinstellungen". Hier gibt es im Abschnitt "Benutzerdefinierte Aktionen" den vordefinierten Eintrag Client per TightVNC fernsteuern.
2. Bearbeiten Sie diesen Eintrag (siehe Abbildung) – kontrollieren Sie den Pfad und setzen Sie beim Parameter das eingestellte Passwort ("myPassword" durch das in TightVNC konfigurierte Passwort ersetzen).

Im Anschluss können Sie in der Net.FX-Oberfläche im Log-Modul beim Menüpunkt "Weitere" diese Aktion ausführen (siehe Abbildung).

Der Client und der Serverdienst kommunizieren per TCP/IP. Aus diesem Grund kann eine aktivierte Firewall am Server die Funktionsweise beeinträchtigen.

Kontrollieren Sie Folgendes:

• Client: Aktivieren Sie die Datei- und Druckfreigabe und ICMP-Ausnahme (PING)
• Server: Deaktivieren Sie die Firewall oder schalten Sie folgende Ports frei: 27921 - 27923

Betroffene Programme:

• Client: Installdir\NFXClient.exe
• Server: Installdir\NFXServer.exe, Installdir\system\NFXTasks.exe, Installdir\GUI\NetFXSettings.exe, Installdir\GUI\NetFX.exe

Hinweis: Bitte beachten Sie, dass die Windows-Firewall im Normalfall automatisch aktiviert ist.

Lösung 1:
Eine aktive Windows-Firewall auf den Clients kann entweder den Ping und/oder den Zugriff auf \\Clientname\c$ blockieren.
Deaktivieren Sie bitte entweder die Windows-Firewall (Gruppenrichtlinie) oder fügen Sie die entsprechenden Ausnahmen hinzu (Ports, ICMP, Datei- und Druckfreigabe).

Lösung 2:
Der Ping klappt nicht! Das ist eine Sicherheistabfrage, die lange Wartezeiten vermeiden soll.
Grund warum der Ping nicht klappt: Die Windows-Firewall ist aktiv oder der Name des Clients wird falsch aufgelöst (DNS-Problem). Bitte starten Sie die Eingabe­aufforderung (Windows+R und dann "cmd" eingeben) und führen Sie einen Ping durch ("ping CLIENTNAME" eingeben). Falls der Ping die falsche IP-Adresse liefert, nehmen Sie das Gerät aus der Domäne und fügen Sie es neu hinzu. Prüfen Sie die Netzwerkeinstellungen und die DNS-Server-Einstellungen.

Lösung 3:
Die Freigaben sind auf dem Client nicht aktiv. Prüfen Sie bitte im Netzwerk- und Freigabecenter, ob Freigaben generell zugelassen sind.

Bei aktiver Windows-Firewall werden standardmäßig die Kommunikationsports 27921 - 27923 geblockt.
Deaktivieren Sie entweder die Windows-Firewall am Server oder fügen Sie Port-Ausnahmen hinzu.

Die Gruppenmitgliedschaften werden nur durch die Funktion "Jetzt Synchronisieren" im Hauptmenü "Benutzer/Gruppen aktualisieren" aktualisiert. Rufen Sie diese Funktion neu auf, wenn sich die Gruppenmitgliedschaften geändert haben.

Damit Wake-On-Lan funktioniert, muss sowohl das Motherboard als auch die Netzwerkkarte die Funktion unterstützen und die BIOS-Einstellung Wake-On Lan-aktiviert sein. Außerdem reagiert Wake-On-Lan nur dann, wenn das Gerät ordentlich heruntergefahren wurde.

Port: UDP 9
Typ: Broadcast

Wenn die Clients in verschiedenen Subnetzen liegen und es Probleme mit WOL gibt, so gibt es mehrere Möglichkeiten der Problembehebung:

Einstellungen in Net.FX-Log:

• Versuchen Sie im Aktionsfenster die Einstellung "Wake-On-Lan zum Broadcasten an die folgende Routeradresse senden":
• Wenn sich die Clients in den letzten beiden Stellen der IP-Adresse unterscheiden (z. B. 192.168.0.* und 192.168.1.*), so wählen Sie als Adressbereich 192.168.x.x

Einstellungen für den Router/Switch:

• Stellen Sie sicher, dass der Port UDP 9 nicht gesperrt ist
• Stellen Sie sicher, dass Broadcasts nicht gesperrt sind
• Alternativ ist es auch möglich, dass Sie als Adressbereich (siehe oben) die IP des Routers/Switches wählen und diesen so konfigurieren, dass der UDP Port 2050 an das gesamte Netz weitergebroadcastet wird

Einstellungen unter Windows 8/10

• Stellen Sie sicher, dass der "Schnellstart" deaktiviert ist. ("Energieoptionen", Link: "Auswählen was beim Drücken des Netzschalters geschehen soll")

Einstellungen Lan-Treiber

• Stellen Sie sicher, dass Sie den Netzwerktreiber des Herstellers (nicht den Windows-Standardtreiber!) auf den einzelnen Clients verwenden
• Kontrollieren bzw. aktivieren Sie bei den Eigenschaften des Lan-Treibers im Geräte-Manager eine etwaige Einstellung zu Wake-On-Lan

Bitte gehen Sie folgende Vorschläge durch:

1. Gruppenrichtlinie "Letzten Benutzernamen nicht anzeigen" deaktivieren: https://www.windows-faq.de/2016/11/08/anmeldenamen-auf-windows-logon-screen-nicht-anzeigen/
2. Gruppenrichtlinie "Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten" aktivieren: https://www.windows-faq.de/2017/10/19/beim-neustarten-des-computers-und-bei-der-anmeldung-immer-auf-das-netzwerk-warten
3. Windows "Schnellstart" deaktivieren: https://www.heise.de/tipps-tricks/Windows-10-Schnellstart-deaktivieren-aktivieren-4000088.html
4. Gruppenrichtlinien auf dem betroffenen PC manuell synchronisieren

Richtlinien können Einstellungen bzw. weitere Ein­schränkungen (ähnlich Gruppenricht­linieneinstellungen) je Client setzen. Sie können Ihre eigenen Richtlinien in Net.FX ergänzen und die bestehenden anpassen. Standardmäßig gibt es folgende Richtlinien:

• Standardeinstellungen: Ist diese Richtlinie aktiv, so sind keine Einschränkungen vorhanden.
• Prüfungen:
• Internetdienste in den Office-Programmen
• Zugriff auf OneDrive und SharePoint in den Office-Programmen (Hier finden Sie die Info, wie Sie OneDrive komplett sperren können.)
• Autokorrekturoptionen in Word
• Rechtschreibprüfung in Word
• Grammatikkorrekturoptionen in Word

Ja, beim Einsammeln wird im Root des Projektverzeichnisses eine Textdatei (Format: "DatumUhrzeit.sec.txt") mit einem Hashwert erstellt, wo für alle Lösungsdateien das Bearbeitungsdatum inkl. Dateigröße gespeichert wird.

Ja, wenn der Admin den BYOD-Homepfad bestätigt/eingestellt hat und die Lehrperson für den Test "BYOD-Anmeldungen" aktiviert hat. Nähere Informationen entnehmen Sie bitte der Installationsanleitung und Hilfe.

Bei Problemen bei der Einrichtung eines BYOD-Tests am Client (z. B. Test lässt sich nicht starten, das Home-Laufwerk scheint nicht auf,...) kontrollieren Sie folgendes:

• Stellen Sie sicher, dass der BYOD-Clientdienst installiert ist (per Link oder Intune)
• Stellen Sie sicher, dass der BYOD-Basispfad korrekt in den Net.FX-Einstellungen festgelegt wurde
• Stellen Sie sicher, dass der festgelegte BYOD-Basipfad am Client erreichbar ist. Öffnen Sie dazu am Client die Eingabeaufforderung und geben Sie den Pfad - wie in den Net.FX-Einstellungen sichtbar - ein (z. B. "\\1.2.3.4\nfxtesthomes$")
• Falls die BYOD-Geräte in einem eigenen Netzwerk (VLAN) organisiert sind, so ist es notwendig, dass zwischen den Netzwerken (VLANs) eine Portweiterleitung für die Net.FXPorts 27921 – 27923 (in beide Richtungen) eingerichtet wird, damit die Clients und der Server kommunizieren können.

Die Schülerinnen und Schüler können im Net.FX-Clientmenü über die drei Punkte ihre Daten ändern. (Abbildung anzeigen)

Alternativoption: Sie können in den Net.FX-Einstellungen | Clientliste die BYOD-Clients, welche Sie hochstufen möchten, mit einem Doppelklick auswählen und die Klassenzuordnung ändern.

Diese Meldung deutet darauf hin, dass Sie sich in Windows im S-Modus befinden und Installationen somit nur aus dem App-Store möglich sind. Hier finden Sie eine Anleitung, wie Sie den S-Modus (= abgesicherter Modus, in dem keine Installationen durchgeführt werden können) in Windows beenden können. Nur dann ist eine Installation möglich. Anleitung öffnen

BYOD: Datenschutz/DSGVO Grundsätzliches:
Generell gewährt das Tool keinen vollständigen Zugriff auf das Notebook, sondern es werden die aktiven Programme, Webseiten und der Bildschirmverlauf überwacht und im Verbotsfall werden Programme von Net.FX geschlossen. Dazu ist aber auch immer eine Verbindung zum (Schul-)Server notwendig. Andernfalls gibt es keine Einstellungen, die geladen werden könnten. Für Privatgeräte gibt es zusätzliche Einschränkungen für das Net.FX-System – s. nächster Abschnitt.

Privatgeräte:
Net.FX ist auf Privatgeräten generell inaktiv und erst nach Anmeldung im Testmodus wird die Überwachung und das Schutzsystem automatisch aktiviert:

1. Standardanmeldung: Die Aufzeichnung ist mit der regulären Anmeldung standardmäßig inaktiv. Der Lehrer muss – wenn gewünscht - die Aufzeichnung bewusst aktivieren und der Schüler muss dieser Aufzeichnung im Unterricht zustimmen.
2. Standardanmeldung: Eine aktive Aufzeichnung kann – nach Zustimmung - am Notebook anschließend jederzeit beendet werden.
3. Standardanmeldung: Das Net.FX-System wechselt in einen Inaktivitätsmodus sobald die Verbindung zum Schul-Server für mindestens 5 Minuten unterbrochen wurde. Zu Hause ist das Net.FX-System also vollständig inaktiv.
4. Testmodus: Nachdem sich der Schüler mit dem (extra bereitgestellten) Testkonto am Gerät angemeldet hat, so wird die Aufzeichnung sofort aktiv und eine Unterbrechung der Verbindung führt auch nicht zu Inaktivität.
5. Standardanmeldung: Sobald der Schüler sich am Ende wieder abmeldet, gelten die zuvor genannten Regeln (Aufzeichnung standardmäßig inaktiv, Net.FX-Inaktivitätsmodus nach 5 Minuten ohne Verbindung zum Server)

Wo werden Daten gespeichert:
Da wir auf keine zentralisierte (Cloud-)Lösung oder ähnliches setzen, bleiben alle gesammelten Daten bis zur Löschung am Schul-Server gespeichert. Die Daten werden nicht über das Internet oder in das Internet zu einem externen Server übertragen. Alle Clients (Schulgeräte und Notebooks) kommunizieren ausschließlich mit dem Net.FX-Server, der in der Schule installiert ist.

Was wird gespeichert:
Um auch nachträglich einen Betrugsversuch bei einer Schularbeit nachweisen zu können, ist es wichtig, dass die Daten eine Zeit lang historisch gespeichert bleiben.

1. Am Server gespeicherter Verlauf: Login, PC-Name, Name des Schülers (gibt der Schüler selbst ein), die verwendeten Programme (inkl. Text in der Titelleiste und Prozessname), die besuchten Webseiten (inkl. Webseitenurl und Webseitentitel)
2. Am Server gespeicherte Dateien: Angabe und Lösungsdateien (vom Lehrer bereitgestellt), die für den Test oder die Schularbeit notwendig sind
3. Am Client gespeichert (auf Abruf bzw. am Ende des Tests eingesammelt): Der Bildschirmverlauf (periodische Screenshots alle 3 – 10 Sekunden)

Wie lange werden die Daten gespeichert:
Es gibt serverseitig Einstellungen dafür. Eine Anleitung wie man zu den Einstellungen kommt, finden Sie hier