Schulnetz

Website: Bildungsportal der Stadt Magdeburg
Kurs: Schulserver und Schulnetz
Buch: Schulnetz
Gedruckt von: Gast
Datum: Freitag, 22. November 2024, 10:34

1. Verkabelung


Vom FB 40 wurden Vorgaben in Form einer Orientierungshilfe an den KGM gesendet (6.12.2021). Diese Vorgaben zur Inhouse-Verkabelung benennen, Anschlüsse in Unterrichts-, Vorbereitungsräumen, Verwaltungsbereich als auch Anforderungen an Kabelwege, Anschlüsse und Serverräume. Bezogen auf PC-Kabinette und FabLabs muss hier ggf. nachgesteuert werden.

Orientierungshilfen aktuell in ÜBERARBEITUNG (Verlagerung Brüstungskanäle, Standardisierung der Serverschränke, Anpassung Hausanschlüsse).

Kabelwegepläne sind bei uns dringend für jeden Schulstandort vorzuhalten, inkl. Ansprechpartner_innen (bspw. Objektmanager, umsetzende Elektrofirma). ACHTUNG: Ablage Teamlaufwerk Cloud KGM und FB 40 

2. Hausanschlüsse (Internet)

Der Standardanschluss Fibre4EduLSA wurde 2019 beauftragt vom Ministerium für Finanzen des Landes Sachsen-Anhalt. Die Datenübertragungsraten sind wie folgt benannt:

  • Download max. 1000 MBit/s
  • Upload: max. 200 MBit/s
  • bedeutet: Download: Max. 1000 MBit/s, Normal 850 MBit/s, Min. 700 MBit/s
    Upload: Max. 200 MBit/s, Normal 200 MBit/s, Min. 200 MBit/s
  • Voraussetzung ist ein Glasfaser-Router
  • eine Messung der Datenübertragung kann bspw. über die Bundesnetzagentur erfolgen: https://www.breitbandmessung.de/ ;
  • nach Installation durch die Telekom sollte ein Messprotokoll erstellt werden (was kommt - vertraglich zugesichert und technisch - an?)

Auftrag an die Telekom:

  • landesweit für alle allgemein- und berufsbildenden Schulen ein Glasfaseranschluss mit einer Datenrate je Schule von 1 GBit/s,
  • Bau der Netzebene 3, also das Verlegen der Glasfaser bis ins Schulgebäude, 
  • die Verkabelung im Gebäude vom Hausanschluss bis zum Serverschrank (Netzebene 4) und 
  • eine Sicherheitsarchitektur (Firewall) für die Schulen (Palo Alto über SBSK)

Vertraglich zugesicherte Leistungen

  • Grundschulen haben idR CompanyStart-Vertrag (dynamische IP-Adresse)
  • weiterführende Schulen haben CompanyPro-Vertrag (feste IP-Adresse)

Eine feste IP-Adresse ist wichtig für den Zugriff von außen. Mit einer dynamischen IP-Adresse muss man ein Zusatzprogramm nutzen (idR bringen die meisten Router Workaround bereits mit, DynDNS), um die Fernwartung zu gewährleisten.

! ggf. ist die Bandbreite durch die Palo Alto zwischen Verwaltung und pädagogischen Bereich fest halbiert, bessere wäre dynamische Anpassung an Anforderungen. 

Vereinbarung mit Teamleitung MID ST: Verzicht auf Palo Alto!

3. Glasfaseranschluss mit Palo Alto

Von der Telekom werden seit dem Jahreswechsel 2021 / 2022 keine Digitalisierungsboxen mehr verbaut, es kommt direkt die PaloAlto über SBSK. 


Port 2 – Anschluss der Verwaltungs-IT an das ITNXT

Port 5 – Anschluss der Schul-IT an das Internet

Initialkonfiguration

Die PA-820 terminiert den Glasfaseranschluss und stellt nach innen zwei Ports zur Anbindung der lokalen Netze zur Verfügung:

  • Ethernet1/2: Anbindung des Verwaltungsnetzes - individueller Adressbereich pro Schule, der sich aus der Schulkennzeichnung herleitet.

z.B.

    • Standort 1: 10.0.0.0/24
    • Standort 825: 10.3.56.0/24

  • Ethernet1/5: Anbindung des Schulnetzes
    • Die Vorgabe seitens der Telekom sieht hier für alle Schulen eine einheitliche Konfiguration vor:
      • Adressbereich: 192.168.199.0/24 -> angepasst
      • Default Gateway: 192.168.199.1
      • DHCP: 192.168.199.10 - 192.168.199.240
      • DNS: Zwei Server der Telekom, die per PPPoE zugewiesen werden
    • Diese Konfiguration kommt in dieser Form nur zum Einsatz, wenn der Glasfaseranschluss zum Zeitpunkt der Installation noch nicht in Benutzung ist. Ist bereits eine Digibox angeschlossen, wird deren interner Adressbereich übernommen.
      • Häufig 192.168.2.0/24 oder wie an der GS "Kritzmannstraße" 192.168.0.0/24
    • Die PA-820 hält in jedem Fall immer die .1 und agiert mit dieser Adresse als Default Gateway
ANPASSUNG päd. Netz

  • Security Policies
    • Für beide Netze, Verwaltung und Schule, existiert eine gemeinsame Regel, welche jeglichen ausgehenden Verkehr erlaubt. Es gibt keinerlei Einschränkungen hinsichtlich Portnummern oder Anwendungen.
    • Mit dieser Regel sind die folgenden Security Profiles assoziiert:
      • Antivirus
      • Anti-Spyware
      • Vulnerability Protection
  • NAT Policies
    • Es existiert eine gemeinsame Source NAT Policy, welche für Verbindungen ins Internet die internen Adressbereiche durch die öffentliche IP-Adresse der PA-820 ersetzt.

Sicherheitsregeln sind für das Verwaltungs- und pädagogisches Netz unterschiedlich konfigurierbar. 

ACHTUNG: Abstimmung 05/22 - Verzicht auf Palo Alto, eigener Router vom Träger mit OpenSense aufgrund fehlendem administrativem Zugriff, Kosten ab 2023 und unbeantworteten technischen Fragen zur Konfigurierbarkeit (Feature frühestens Beginn 2023 verfügbar lt. Telekom)

Datenübertragung

Aktuell kommen in den angeschlossenen und freigeschalteten Glasfaserschulen nicht die richtigen Bandbreiten an. Erkenntnisse zu Engpässen, die die Geschwindigkeit der Datenübertragung drosseln:
  • mögliche Ursache: Konfiguration der Palo Alto (technisch mögliche Datenübertragung)
  • mögliche Ursache: vertraglich zugesicherte Datenübertragung


4. Server- und Netzwerkschränke



Abbildung: kein gutes Beispiel für einen Netzwerkschrank aus einer Schule

Übersichtlichkeit

Server- und Netzwerkschränke sollen alle aktiven und passiven Netzwerkkomponenten übersichtlich und für unterschiedliche Dienstleister und Kollegen nachvollziehbar beherbergen. Zudem sollen sie keine unnötig langen Kabel beherbergen und gut strukturiert sein.

Es ist überlegenswert, ein Einrichtungsschema zu besprechen (von oben nach unten).

Mit einem solchen Schema lassen sich bspw. unnötige Kabelwege vermeiden. Dies kann nur schrittweise nach Erfahrungen und über Dokumentationen entwickelt werden. So wäre beispielsweise der Hausanschluss/ Übergabepunkt der Glasfaser im vorhandenen (modularen) Patchpanel sinnvoll.


Zur nachvollziehbaren Anordnung der Komponenten gehört, dass zuverlässig in jedem Netzwerkschrank eine aktuelle!! Dokumentation der Patchfeldbelegung, der Komponenten und der Ansprechpartner liegt. Diese Dokumentation liegt auch digital in einer zwischen 40.22 und 40.02 geteilten Ablage ab. Die Dokumentation der durchgeführten Maßnahmen durch Telekom, SBSK, Dienstleister und Kollegen ist unabdingbar. Zugangsdaten zu WLAN- und Servern können getrennt abgelegt, müssen aber jederzeit tagesaktuell abrufbar sein.

Einrichtung nach Farbschema

Standort

Netzwerkkomponenten als auch Server als Großrechner (Ausnahme Puavo-Server) müssen in abschließbaren Schränken in temperierten Räumen stehen, die mit einer feuerfesten Tür verschlossen sind. Diese Räume sollten baulich und auch bezogen auf den Zugang gesichert sein. Die Netzwerkschränke sind vor Wasser, Staub, Erschütterungen und unbefugtem Zugriff zu schützen, auch indem der Schlüssel im Sekretariat aufbewahrt wird und nicht im Serverschrank steckt.

Größe

Die Größe ist abhängig von jeweilig unterzubringenden Servern. Teilweise passen die Schulserver nicht in die an den Standorten vorfindlichen Schränke. Ein Serverschrank ist tiefer und stabiler gebaut als ein Netzwerkschrank. Somit eignen sie sich zum Einbau von schweren und tieferen Servern. Allerdings werden Server auch leistungsfähiger und kleiner. Serverschränke sollten für das Aufstocken von Kapazitäten geplant sein.

Formular Zugang Netzwerk- und Serverschränke

Angaben für Zugangsbuch vorbereiten: wer, wann, was, wozu (verantwortlich: Schulsekretärin, alt. Koordinator / Schulleiter (Daniela in Abstimmung IuK) - grundsätzlich abgeschlossen


5. Netzkonzept

Das Netzkonzept muss aktuell spezifiziert werden.


ToDo 40.02: Verkabelung - Orientierungshilfe in Bezug auf Amokvorrichtungen und Gebäudeleittechnik mit KGM und IuK absprechen 

6. WLAN



Das WLAN ist ausschließlich für das pädagogische Netz verfügbar und wird aktuell von Telcat als Unify-Netzwerk idR über eine Dreammachine umgesetzt. IP-Adressbereich 10er-Netz. Die WLAN-Verwaltung wird schrittweise durch die Schulserver übernommen.

An einigen Standorten befindet sich noch LANCOM-WLAN-Infrastruktur, welche schrittweise auszubauen bzw. auszutauschen ist (ab 1.10.2022).

Im WLAN wird die AP-Isolation deaktiviert, um Screenmirroring zu realisieren. Es werden schulfremde Geräte zugelassen. Screenmirroring muss sowohl im Unterrichtsnetz der schuleigenen Geräte als auch im BYOD-Netz funktionieren (Bridges).

Die Schulen bekommen die Internetzugänge nach Unterzeichnung einer Vereinbarung zur Überlassung der Zugangsdaten. Schulen erhalten Vorlagen für schulinterne Nutzungsvereinbarungen.

7. Schulserver

Bis 02 / 2023 werden vier Schulserver-Lösungen erprobt:

Linuxmuster

  • A.W. Francke (Migration notwendig)
  • Hegelgymnasium (Migration notwendig)
  • GmS Oskar Linke (Migration notwendig, perspektivisch Musterschule 3)
  • GmS Thomas Mann (Migration notwendig)
  • Edithagymnasium (Migration notwendig, perspektivisch Musterschule 2)
  • BBS OvG (mandantenfähige Lösung, Musterschule 1)

Puavo

  • BBS Beims
  • GmS Leibniz
  • GS Westring

ggf

  • GS Diesdorf
  • GS Kannenstieg

Debian Edu

  • Sportgymnasium

Univention

  • FÖS Kükelhaus


Linuxmuster

https://www.linuxmuster.net/de/dokumentation/

https://chemnitzer.linux-tage.de/2019/de/programm/beitrag/142

Linuxmuster hat viele Möglichkeiten, Anpassungen vorzunehmen, allerdings ist der administrative Aufwand schulseitig höher als bei bspw. Puavo (bspw. Zusammenstellung Image + Aktualisierung mobiler Endgeräte, Unterstützung durch unsere IT-Admins wird erfolgen)

Beispielschulen: Hegelgymnasium, GmS Francke ab 01/2022

DebianEdu

Auch bei DebianEdu gibt es einige Möglichkeiten, Anpassungen vorzunehmen, allerdings ist der administrative Aufwand schulseitig höher als bei Puavo (bspw. Zusammenstellung Image + Aktualsiierung mobiler Endgeräte, Unterstützung durch unsere IT-Admins wird erfolgen), Kopplung mit kostenfreiem Stunden- und Vertretungsplan, digitalem Klassenbuch, Abwesenheitsmanager usw. möglich (Aleksis)

Beispielschule: Sportgymnasium ab 01/2022

Puavo

https://www.amxa.ch/puavo/index-de.html

https://puavo.org/

https://www.amxa.ch/puavo/man/index.html

Puavo ist technisch sehr ausgereift, kein Aufwand schulseitig, dafür sehr eingeschränkte Anpassungsmöglichkeiten durch die jeweilige Schule. Funktionsumfang idR ausreichend.

Alle Schulserver verteilen ein Image, wobei wir das Image im Fall von DebianEdu und Linuxmuster schulformbezogen definieren.

7.1. Linuxmuster



Dokumentation

https://docs.linuxmuster.net/de/latest/classroom/exam-and-transfer.html

Die Berufsbildenden Schulen Otto-von-Guericke sollen zu einer Art Best-Practice-Schule für die Umsetzung der Schulserverlösung Linuxmuster mit virtueller Desktopinfrastruktur für fachspezifische Programme entwickelt werden. Zielstellung zur Umsetzung der Basisinfrastruktur ist 11/2022.


Schulkonsole

Wie ändere ich Passwörter der Schule, teile Dateien aus uns sammle diese wieder ein, wie schreibe ich mich in meine Klassen ein?

 

 


7.2. Debian Edu

Dokumentation

https://wiki.debian.org/de/DebianEdu


Umsetzung

Debian Edu ist am Sportgymnasium in Magdeburg umgesetzt.


7.3. Puavo

Dokumentation

https://github.com/puavo-org/puavo-os

Information

https://machmitnetz.de/mod/page/view.php?id=480

https://puavo.org/

Österreich

https://linux-bildung.at/2021/07/finnland-puavo-os-puavo-web-hinter-der-kulisse-teil-3-5/


Umsetzung

Puavo wird an der BBS Beims, der GS Westring und an der GmS Leibniz in Magdeburg erprobt. Erfahrungen gibt es im Landkreis Harz und an der Netzwerkschule für digitales Lernen in Klein Oschersleben.

7.4. Univention

Univention wird an Schulen erprobt, die lediglich Nutzer- und Wlanverwaltung als auch Verzeichnisdienste benötigen.

8. Nutzermanagement

Die Nutzerverwaltung im pädagogischen Bereich wird schrittweise über Schulserver umgesetzt. Daher ist mit den Dienstleistern eine Auftragsdatenverarbeitung notwendig.

Mittelfristiges Ziel ist es, SSO zu realisieren und die Nutzerverwaltung effizient zu gestalten. Das bedeutet Nutzerverwaltung bspw. via LDAP über Schulserver zu Relution (MDM) zu weiteren Diensten (Moodle, Nextcloud, Medienstelle, lernplattformen der Schulbuchverlage und anderer Anbieter). Aktuelle erprobte Teststellungen:

  • LDAP Puavo & Linuxmuster zu Relution, Nextcloud und Moodle
  • ALEKSIS als Datenerfassung und automatisierter Import / Synchronisation zu Server, Plattformen, Cloud (ggf. Anbindung digitales Klassenbuch, Vertretungspläne)

Mit den entsprechenden Nutzerdaten wird der Zugriff auf Netze, schuleigene (Peripherie-)Geräte als auch Schulserver und Plattformen geregelt. Dies erfolgt in Absprache mit der jeweiligen Schule. Eine Dokumentation liegt im Team 40.02 ab und kann bei Bedarf dem Bereich IuK zur Verfügung gestellt werden.