Dokumentation für die
Realschule Vogelsang Solingen
über die Einrichtung eines
pädagogischen Netzwerkes
erstellt von Fa.
Inhaltsverzeichnis
Inhaltsverzeichnis
Inhaltsverzeichnis 2
1.
Einleitung 3
2. Die
Ausgangs- und Endsituation 3
2.1 Ist-Situation 3
2.1Soll-Zustand 4
2.3 Vorgaben für das Netzwerk 5
3.
Grafische Übersicht 6
4.
Administrationshilfen 6
5. Die
Clients 7
5.1 Hardware Clients 7
5.2 Software Clients 7
6. Die
Server 7
6.1 Hardware Server 7
6.2 Software Server 8
7. Die
Drucker 9
8
Passwörter 9
9.
Sicherheit 9
9.1 Konfigurationssicherheit /Investitionsschutz 9
9.2 Sicherungsmaßnamen / Backups 10
9.3 Datenschutz 10
9.4 Jugendschutz 11
10.
Ausblick 11
A.
Anhänge 11
1. Einleitung
Diese Dokumentation soll nachhaltig
aufzeigen, wie das Netzwerk, die angeschlossenen PCs, sowie die
Benutzergruppen strukturiert sind.
Insbesondere soll sie helfen, bei
Erweiterungen oder Instandsetzungen die Übersicht zu behalten
und auf die bestehende Umgebung hinsichtlich der verwendeten
Richtlinien aufzubauen.
In den folgenden Abschnitten werden
die Strukturen des Netzwerkes, die Vergabe der Rechnernamen und deren
IP-Adressen, sowie auch die Rechte der Benutzer und Gruppen
beschrieben. Hierbei halten wir uns, sofern realisierbar, an die
Vorgaben der Realschule Vogelsang.
Um ein späteres Um- oder
Aufrüsten zu vereinfachen, sollte sich nach Möglichkeit an
diese Vorgaben gehalten werden. Dies erhöht die
Übersichtlichkeit des Netzwerkes und es ermöglicht den
Technikern und Administratoren ein effizienteres Arbeiten.
2. Die Ausgangs- und Endsituation
Die Situation des Netzwerkes stellte
sich zu Beginn der Arbeiten folgendermaßen dar.
2.1 Ist-Situation
Das
komplette Gebäude ist vernetzt.
Alle Klassen und Fachräume
wurden redundant vernetzt über TP-Kabel auf Ethernet-Basis
vorgefunden.
An 7 Stellen im Gebäude sind
Netzwerkschränke montiert.
Dort läuft die
Sekundärverkabelung zusammen. In den
Schränken sind Patch-Panels und
Switches montiert.
Die 24Port Switches sind zusätzlich
mit LWL (Lichtwellenleiter)Modulen
ausgestattet. Über diese Module sind die Switches miteinander
verbunden.
Bis auf 7 Klassenräume sind in
allen Fach-und Klassenräumen Doppelnetzwerkdosen
der Kategorie 5 montiert.
Die Verkabelung eines „Clusters“läuft
immer an einem Netzschrank zusammen. Dort
können die Kabel über das Patchpanel
auf den Switch gepatcht
werden.
Außer eines Gebäudeplanes,
welcher die Standorte der Netzwerkschränke anzeigt, ist keine
Dokumentation vorhanden.
Es sind keine Messungen der
Verbindungen durchgeführt worden, zumindest liegen keine
Messprotokolle vor.
Auf dem Hauptserver, welcher in einem
der Informatikräume steht, läuft
das Netzwerkbetriebssystem Linux“ARKTUR“
mit dem Protokoll TCP/IP für den Netzwerkzugriff.
Auf dem Server befinden sich
Homeverzeichnisse für die
eingerichteten User.
Außerdem ist dieser Server noch
für folgende Serverfunktionen
zuständig:
Proxyserver
Fileserver
Printserver
Webserver
und außerdem für folgende
Dienste:
DNS für die
Namensauflösung
DHCP für die automatische
IP Vergabe
Insgesamt 34 Clients befinden sich in
den zwei Informatikräumen.
Auf den Clients ist das
Betriebssystem Windows 98 SE installiert.
Die Clients beziehen ihre IP Adresse
von Arktur. Dort sind die MAC Adressen hinterlegt, so das jeder
Client immer die gleiche IP zugewiesen bekommt.
Dieses wurde so eingerichtet, da
sonst Schwierigkeiten mit dem Programm INIS SMILE auftraten. Dieses
Programm ist in beiden Computerräumen installiert. Es erlaubt
dem Lehrer, die Schülerarbeitsplätze
einzusehen und fern zu steuern.
Eine Anmeldung in das Netz erfolgt
mit dem eingerichteten Usernamen oder als
gast mit Passwort gast.
(wir verweisen an dieser Stelle auf
weitere Dokumentationen, die von der Firma Sternverteiler erstellt
wurden und zur Verfügung stehen, daher wird hier nicht weiter
ins Detail gegangen)
Soll-Zustand
Aus dieser Situation wurde folgender
Soll-Zustand definiert, der dann im Verlauf der Arbeiten umgesetzt
wurde.
Die Verkabelung des Netzwerkes wird
beibehalten und auf dieser Basis wird das neue Netzwerk aufgebaut.
Die fehlenden Netzwerkkomponenten werden
montiert und das gesamte Netzwerk wird getestet und dokumentiert.
Es wird ein Kabeltester
eingesetzt, der anzeigt, ob alle (8) Leitungen in Ordnung sind.
Außerdem zeigt dieses Gerät an , ob die Abschirmung in
Ordnung ist.
Sollten Geschwindigkeitsprobleme
auftreten oder keine Verbindungen zustande kommen, werden die Dosen
und das Patchpanel gesichtet und bei erkennbaren Mängeln werden
diese behoben.
Als Netzprotokoll
wird TCP/IP eingesetzt.
Da in einem der Computerräume
relativ alte, sehr reparaturanfällige
Workstations im Einsatz waren, wurden hier neue Workstations
eingekauft.
Diese Workstations werden mit dem
Win98 Betriebssytem und zusätzlich mit
einem Linux Betriebssystem konfiguriert. So ergeben sich so
genannte Multibootsysteme, bei denen
der Benutzer beim starten entscheidet, welches System verwendet
werden soll.
Die Konfiguration des Win98er
Betriebssystems richtet sich nach den schon vorhandenen Rechnern im
zweiten Computerraum der Schule. Es werden
an allen Rechnern in der Schule gleiche Konfigurationen angestrebt.
Zusätzliche Software wird im Laufe des Projektes nach Bedarf
eingespielt.
Die ältere Hardware soll
weiterhin als „Thinclient“ in
den Klassenräumen zum Einsatz kommen.
Es wird weiter ein Linux Server als
Domänencontroller mit DHCP-, DNS-,
File- und Printserver Funktionen eingesetzt.
Da das eingesetzte System (Arktur)
nach mehrjähriger Laufzeit mit einigem Aufwand angepasst werden
müsste(an die Terminalserver-Lösung),wurde im laufe des
Projektes der Entschluss gefasst, auf dem Hauptserver auch das
Betriebssystem zu tauschen.
Die Entscheidung entfiel auf das
Linux-Projekt „Skolelinux“.
Dieses Projekt ist im Internet
beschrieben und die Dokumentationen werden laufend erweitert. Da die
Firma Sternverteiler bei der Entwicklung des Skole
Projektes für Deutschland sich auch beteiligt, wird an dieser
Stelle noch einmal ausdrücklich auf die Doku im Internet
verwiesen. Es handelt sich um ein laufendes Projekt, welches
International zum Einsatz kommt. siehe auch
—-www.skolelinux.de
Es kommen folgende Server zum
Einsatz, die im weiteren Verlauf noch näher beschrieben werden:
IPCOP Server – Firewall,
Proxyserver inkl.Jugendschutzfilter, VPN Server
Hauptserver –
File,-Print,-Web,-und Anmeldeserver.
Terminalserver – für
Thinclients, Backupserver,Imageserver
Windows-Terminalserver –
Aplikationsserver
2.3 Vorgaben für das Netzwerk
Um eine Vereinfachung der
Konfiguration und der späteren Administration des Netzwerkes zu
erreichen, wurde beim Aufbau des Netzwerkes strukturiert vorgegangen.
An diese Kriterien sollte sich auch für spätere
Erweiterungen oder Änderungen des Netzwerkes gehalten werden.
Vorgaben für das Netzwerk:
Die Domäne heißt tjener.intern
Die Rechnernamen bestehen aus der Raumnummer
(mit einem voran-
gestelltem r), den Buchstaben pc und einer
fortlaufenden zweistelligen Nummer
Bsp.: r3108pc01 Erster Rechner im Raum 3108
r3108pc02 Zweiter Rechner im Raum 3108
Die Servernamen :
Proxyserver – IPCOP
Hauptserver = Tjener
Terminalserver = LTSP
Windowsterminalserver = W2TS
Der IP Bereich des Netzwerks ist ein Klasse B
Netz mit dem IP Bereich10.0.2.0 -10.0.3.254 und der Subnetzmaske
255.255.254.0
Die Server bekommen feste IP Adressen
Die IP Bereich für die Server :
10.0.2.1-20
Ipcop = 10.0.2.1
Tjener = 10.0.2.2
Linux-Terminal-Server = 10.0.2.10
Windows- Terminal-Server = 10.0.2.15
Die Drucker bekommen vom Anmeldeserver via DHCP
immer gleiche IP
Die Clients bekommen vom Anmeldeserver via DHCP
immer gleiche IP
Für die Schülernamen wird folgende
Namenskonvention angewendet:
Benutzername = 1Buchstabe Vorname + bis zu 7
Buchstaben Nachname, alles in Kleinschreibung.
Keine Umlaute
Die Lehrer können ihren Benutzernamen
selber bestimmen.
Alle Benutzer dürfen sich auf allen PCs
(im pädagogischen Bereich)anmelden
Jeder Benutzer bekommt ein persönliches
Verzeichnis auf dem Server (Gleiche Bezeichnung wie der
Benutzername), auf das nur er Zugriff hat
Die Anmeldeprofile werden auf dem Server
gespeichert und liegen in einem Verzeichnis, das dem Benutzernamen
entspricht. (Home-Verzeichnis)
Netzlaufwerke werden
zur Verfügung gestellt.
3. Grafische Übersicht
Die
grafische Übersicht der Schule finden Sie im Anhang. Diese
Übersicht ist nicht maßstabsgetreu und soll Ihnen nur eine
logische Übersicht über die Verteilung des Inventars in der
Schule geben.
4. Administrationshilfen
Die
Administrationshilfen finden Sie im Anhang.
5. Die Clients
5.1 Hardware Clients
Die
Hardware ist in der angefügten Datenbank erfasst.
5.2 Software Clients
Die
Clients, welche über ausreichend Systemressourcen
verfügen, wurden als Multibootsysteme eingerichtet.
Als
Betriebssysteme kommen Windows98SE und Linux-Debian zum Einsatz.
Die
eingesetzte Anwendungssoftware ist in der angefügten Datenbank
erfasst.
Als
Besonderheit ist an dieser Stelle auf die Thin-Clients
hinzuweisen.
Diese
erhalten ihre notwendigen Daten zum Starten und für den
laufenden Betrieb durch einen Terminalserver.
So können
auch Rechner weiterhin verwendet werden, die wegen ihrer nicht
ausreichenden Hardwareausstattung nicht
unter den oben genannten Betriebssystemen betrieben werden können.
Der
Einsatz der Thin Clients hat aber auch noch andere Aspekte.
Die
Thin-Clients laufen ausschließlich unter dem Linux
Betriebssystem, welches kostenlos zur Verfügung steht und daher
keine Lizenzbeschaffungen notwendig macht.
Ein
weiterer großer Vorteil ist in der zentralen Pflege der Systeme
zu sehen.
Da die
ausrangierten Rechner der P1 Baureihe zur Verfügung stehen, und
diese mit Festplatten ausgestattet sind, werden diese noch von der
Festplatte gebootet.
Auf der
Festplatte sind aber nur die Startdateien
und „Swap–Space“
( Virtueller Arbeitsspeicher).
Alles
andere läuft über den Terminalserver.
Sollten
weitere Thin Clients zum Einsatz kommen, können diese auch ohne
Festplatte betrieben werden.
Es genügt
eine entsprechende Netzwerkkarte bzw. die Startdateien können
auch auf Diskette liegen und von dort gebootet werden.
6. Die Server
6.1 Hardware Server
Die
Hardware ist in der angefügten Datenbank erfasst.
Die Daten
werden so vorgehalten werden, das bei Ausfall einer Festplatte die
andere verbleibende die defekte Platte ersetzen kann und so eine
redundante Datenhaltung garantiert ist.
Hardwaredefekte
werden via E-Mail an den Administrator des Systems gemeldet, der dann
bei seiner nächsten Vor-Ort Tätigkeit die defekte Platte
tauschen kann.
Auch die
Spezifikationen der Terminalserver sowie
des Proxyservers sind in der angefügten
Datenbank erfasst.
6.2 Software Server
Es werden vier Server im Netzwerk
betrieben, die unterschiedliche Funktionen für das Netzwerk
bereitstellen. Drei Server laufen mit dem Netzwerkbetriebssystem
Linux.
Der erste Server mit der Bezeichnung
IPCOP fungiert als Firewall und Proxyserver.
Der Server mit der Bezeichnung Tjener
hat die Funktionen des Domänencontrollers, DHCP-, DNS-, File und
Printservers.
Der dritte Server hat die
Bezeichnung LTSP und
fungiert als Terminalserver für die Clients, die wegen ihrer
Hardwarebeschaffenheit kein eigenes
Betriebssystem haben.
Außerdem läuft auf diesem
Server eine sogenannter Imageserver. Dieser hält die Images der
Wokstations vor und bietet dadurch die Möglichkeit, innerhalb
kurzer Zeit die Systeme wieder herzustellen.
Für die Microsoft Clients:
Auf dem Server ist ein Script
hinterlegt , welche die Mappings der
Laufwerke übernimmt.
Dieses Script liegt unter /etc/samba
und heißt login.bat
Das Script ist so aufgebaut, das die
Benutzer die Laufwerke M, P, T,Y und U als Netzlaufwerke zur
Verfügung haben (unter Windows).
M steht für Multimedia
P steht für Public
T steht für TMP (temporär)
U steht für User
(Heimatverzeichnis).
Das Netzlaufwerk Y ist für
Software reserviert, welche Netzwerkfähig ist und entsprechend
ein Netzlaufwerk benötigt. Momentan liegen dort die
Userdatenbanken der EC2000 Software
(Englisch für Klassen 5,6,7).
Die Berechtigungen für diese
Verzeichnisse wurden folgendermaßen gesetzt:
R = lesender Zugriff
W = schreibender Zugriff X = Vollzugriff
Gruppe/Benutzer | Laufwerk T | Laufwerk P | Laufwerk M | Laufwerk U | Laufwerk |
|---|---|---|---|---|---|
teachers | R W X | R W X | R |
| R W X |
students | R W X | R | R |
| R W X |
admins | R W X | R W X | R W X |
| R W X |
user | Gruppenrecht | Gruppenrecht | Gruppenrecht | R W X | Gruppenrecht |
Für die Linux Clients
Für die Linux Clients werden die
Verzeichnisse über NFS Freigaben verwaltet.
Hier werden keine Buchstaben
verwendet, so das die Freigaben unter Linux auf einem anderen Weg
erreichbar gemacht werden.
Die geforderten Verzeichnisse werden
über ldap–automounts
zur Verfügung gestellt und der Zugriff wird über
Desktopverknüpfungen erleichtert.
Die Rechtestruktur ist gleich dem
oben beschriebenen.
7. Die Drucker
Spezifikationen
in der Datenbank.
Es sind
zwei Netzwerkdrucker im Einsatz, welche von
den Microsoft Clients direkt und durch die Linux Clients über
einen Druckserver (CUPS) benutzt werden
können.
Auf die
Computerräume bezogen bedeutet dies, das jeweils ein Drucker im
Raum vorhanden ist und dieser auch für die dort aufgestellten
Clients der Standarddrucker ist.
Für
die Klassenräume wird momentan noch nach einer praktikablen
Lösung gesucht, da die Schule aber von ihrer baulichen
Gegebenheit immer die Klassen rund um den Computerraum haben, bietet
sich ein Druck auch auf den oben erwähnten Druckern an.
So können
50% der Klassenräume schon versorgt werden, für die anderen
sollte über die Anschaffung weiterer Netzwerkdrucker nachgedacht
werden.
8 Passwörter
Für
die Server sind verschiedene Passwörter vergeben.
Diese
werden ihnen gesondert übergeben und sollten sicher verwahrt
werden.
Die
Benutzer können eigenständig die vorgegebenen Passwörter
ändern.
Alle
Passwörter werden verschlüsselt in einer Datenbank
vorgehalten.
Diese
können nicht ausgelesen werden.
Bei
Verlust eines Passwortes muss entsprechend ein neues Passwort
generiert werden.
9. Sicherheit
9.1 Konfigurationssicherheit
/Investitionsschutz
Zur Absicherung der Windows Rechner
kommt eine Zusatzsoftware zum Einsatz, die
sicherstellt, das die Benutzer keine Systemeinstellungen
ändern können. Hier wurde der Weg gewählt, den
Benutzer nicht zu restriktiv einzuschränken, sondern alle
während einer Sitzung anfallenden Zugriffe werden auf eine
versteckte Systempartition umgeleitet.
Sobald der Rechner neu gestartet wird, ist die erwünschte
Konfiguration verfügbar.
Zusätzlich wurde der Zugriff auf
die Bios Einstellungen mit einem Passwort
geschützt.
Außerdem wurden über die
Registrierung der Windows Rechner die Startoptionen
eingeschränkt, so das hier ein höchstmöglicher Schutz
erreicht wird.
Die Linux Konfigurationen bedürfen
keinen besonderen Schutzes, da hier durch „normale“ User
keine Konfigurationsänderungen
vorgenommen werden können die eine Instabilität des Systems
herbei führen könnte.
Benutzereinstellungen
werden auf dem Server abgelegt und stehen so dem Benutzer nach
Anmeldung zur Verfügung.
Vor physikalischem
Schutz des Zugriffs auf die Datenträger wurde abgesehen,
da hier noch keine schlechten Erfahrungen gemacht wurden. Außerdem
enthalten die lokalen Festplatten der Rechner keine
Sicherheitsrelevanten Daten.
Die Räumlichkeiten werden immer
verschlossen.
Die Server sind in einem
Serverschrank verschlossen. Dieser
Serverschrank befindet sich in einem extra Raum ist ist so vor
direktem Zugriff geschützt.
9.2 Sicherungsmaßnamen
/ Backups
Alle Daten werden auf dem Hauptserver
gespeichert, der in sich schon eine redundante Datenhaltung
garantiert. Die wichtigsten Systemeinstellungen werden regelmäßig
nach Veränderungen am Gesamtsystem neu gesichert.
So ist bei Gesamtausfall
garantiert, das das System in kurzer zeit wieder lauffähig
gemacht werden kann. Die variablen Daten werden in regelmäßigen
Abständen gesichert. Insbesondere handelt es sich hierbei um die
Heimatverzeichnisse der User sowie die Daten der eingerichteten
Freigaben. Die Datensicherung kann von jedem beliebigen Rechner via
Webbrowser vorgenommen werden.
Die Backups werden an einen
leistungsfähigen Rechner übergeben, der über einen DVD
Brenner verfügt.
Hier werden dann die Daten auf DVD
gebrannt, beschriftet und in der Verwaltung der Schule archiviert.
Die Datensicherung kann auch
automatisiert ablaufen, momentan werden aber erst einmal Erkenntnisse
gesammelt, in welchen Abständen eine Sicherung notwendig sein
sollte.
Die Erfahrungen werden dann
ausgewertet und es wird ein Backupplan
erstellt, in dem auch die Zuständigkeiten genauer definiert
werden.
9.3 Datenschutz
Bezüglich
des Datenschutzes wird an dieser Stelle darauf hingewiesen, das die
Server der Realschule Vogelsang mit den zur Verfügung stehenden
technologischen Möglichkeiten abgesichert wurden.
Selbstverständlich
kann eine Garantie auf diese Absicherung nicht gegeben werden.
Die
einzelnen Methoden werden an dieser Stelle nicht gesondert
aufgeführt, es soll nur ein grober Überblick gegeben
werden.
Die
interne Zugriffssicherheit wird mit der zu
administrierenden Rechteverwaltung
gewährleistet.
Hier wurde
auf eine der positivsten Eigenschaften des Betriebssystems Linux
aufgebaut: Zu Beginn ist alles unzugänglich.
Es werden
daher nur Dateien und Verzeichnisse freigegeben, welche für die
entsprechenden User erreichbar sein sollen. Die einzelnen Freigaben
sind wie weiter oben schon einmal beschrieben in ihren Rechten
unterteilt.
Ein
Zugriff auf andere Dateien ist nur mit einem „Einbruch“
in das System möglich.
Administrative
Eingriffe in das System sind nur dem Superuser
„root“ erlaubt.
In
Teilbereichen können diese Aufgaben auch auf andere User
verteilt werden, hierfür werden die Zugriffsrechte explizit
gesetzt.
Momentan
werden auf dem Hauptserver in einer Datenbank die Userdaten
vorgehalten. Hier handelt es sich lediglich um den Namen, den
Nachnamen sowie eines Anmeldenamens.
Alle
Passwörter werden verschlüsselt gespeichert.
Anmerkung:
Auf Zukunft sollte über die Möglichkeiten nachgedacht
werden, die Userdaten von der Verwaltung zu pflegen..
Auf dem
Hauptserver werden die Userdaten in einer LDAP-Datenbank gepflegt.
Dies
bietet die Möglichkeit der Auslagerung .
Die LDAP
Datenbank muss nicht zwingend auf dem Hauptserver gepflegt werden. Es
könnte auch mit einem LDAP Verzeichnis in der Verwaltung eine
Replikation eingerichtet werden. Auf diesen
Punkt gehe ich aber an dieser Stelle nicht weiter ein, wichtig war es
mir nur darauf hinzuweisen, wie auf Zukunft die Administration
vereinfacht werden könnte.
9.4 Jugendschutz
An dieser
Stelle wird ausdrücklich auf die Aufsichtspflicht des
Lehrpersonals verwiesen.
Jugendgefährdende
Inhalte werden auf dem oben beschriebenen Proxyserver geblockt.
Zu diesem Zweck wurde der Server so konfiguriert, das die Liste der
nicht anzuzeigenden Seiten ständig aktualisiert wird. Es handelt
sich hier um so genannte „Blacklists“, die im Internet
durch nicht kommerzielle Einrichtungen zur Verfügung gestellt
werden.
Es können
auch lokal weitere Adressen der Blacklist hinzugefügt werden.
Auch
einzelne Wörter werden gefiltert.
So ist
beispielsweise die Suche über Suchmaschinen eingeschränkt
worden.
Da im
Internet täglich neue Seiten hinzukommen und es einen „vollen“
Schutz nicht geben kann, verweisen wir noch einmal auf die
Eigenverantwortung.
Dieses
Thema ist natürlich niemals abschließend zu bearbeiten.
Solange man das Internet zu schulischen Zwecken einsetzt, besteht die
Gefahr, auch einmal auf Seiten zu landen, die nicht dem
unterrichtlichen Zweck dienlich sein mögen.
Hier
sollte aber auch immer wieder abgewogen werden, wie groß die
Gefahr der Jugendgefährdung ist.
Im
erstellten Gesamtsystem werden die Inhalte wie oben beschrieben
gefiltert, es sollte aber auch keine Gesamtzensur
stattfinden .
10. Ausblick
Mit dem
Aufbau des Server-(Thin)Client Netzwerkes und der Installation der
Multiboot Clients steht Ihnen jetzt ein auf
die nächsten Jahre leistungsfähiges und erweiterbares
System zur Verfügung.
Auf den
Servern befinden sich genügend Reserven für eine
Erweiterung des Netzwerkes und den weiteren Einsatz von
Netzwerksoftware.
Für
weitere Arbeiten steht Ihnen das Team der Fa. Sternverteiler
natürlich gerne zur Verfügung.
A. Anhänge
Im Anhang finden Sie folgende
Dokumente:
Die
grafische Übersicht
Administrationshilfen
Hardware-Datenbank
Wartungsprozessdiagnose
Anmerkung
:
Bei
dieser Dokumentation handelt es sich um eine stark verkürzte
Darstellung der Onlinedokumentationen.
Diese
Onlinedokumentationen stehen ihnen auf unserem Server unter
http://sternverteiler.dyndns.org
zur Verfügung .
Das Team
der Fa. Sternverteiler wünscht Ihnen weiterhin viel Erfolg mit
den von uns eingerichtetem Netzwerk und PC-Systemen.
Erstellt
von:
Fa.
Sternverteiler
Bonner
Str. 48
42699
Solingen
Solingen,
im Januar 2005