ich gebe dir absolut Recht, dass man um Imaging (wie auch immer man es gestaltet) nicht drum rum kommt, wenn die Benutzer, für was auch immer, administrative Rechte brauchen.
Was den Netzwerkunterricht angeht: Klar kann man mit Hardware die Effekte von Loop, eines defekten Kabels, Trunks, Spanning Tree, Loop Protection, Routing und fehlende Routen von Netz A nach Netz B über Netz C etc. direkt zeigen.
Nutzt aber nix, wenn die Schüler das Prinzip dahinter nicht verstehen.
Der Unterschied auf dem cli zwischen einem virtuellen managed-Switch und einem physikalischen managed-Switch ist genau welcher? Sind virtuelle Switche in der Praxis irrelevant? Welchen Mehrwert hat es, zukünftigen Administratoren, Routing anhand physikalischer Router in physikalisch verbundenen Netzen beizubringen? Damit sie lernen “Du solltest auch das Kabel einstecken”…?
In der Schule kommt man da nie drumrum, aus meiner Sicht. Ich habe schon so oft in zugenagelten Windows Umgebungen arbeiten müssen, die natürlich aus administrativer Sicht funktioniert haben, aber eigentlich produktiv schlicht unbenutzbar waren. (Bildschirmauflösungen zugenagelt, Beamer Bild unlesbar und dergleichen, Dateien von Sticks nicht zu öfnen/auszuführen u.ä.)
Das ist aber eben viel schlechter als bei Linbo, wo das jeder direkt am Rechner machen kann. Dazu kommt die Geschwindigkeit: Ich rolle ein 16GB großes Windows Image vom leeren Rechner bis zum Boot-Prompt in 8 Minuten aus, ein Linux Image in 3 Minuten. Ich kann beliebig viele BS parallel haben, Win7, Win10, Linux. Sag mal mit Opsi an
Aber es kommt sicherlich auf den Einsatzzweck vor Ort und die dort herrschenden Rahmenbedingungen an, was am geschicktesten ist, und dazu gehört (leider) eben auch der „Dienstleister“.
Mein Hauptkritikpunkt an die „Dienstleister“ , die ich häufig antreffe ist eben der, dass die letztlich gar kein echtes KnowHow haben, das über ein bissle Windows Gruppenrichtliniengeklicke und ein paar OPSI Einstellungen hinaus geht. Das sind teilweise bloße Produktwiederverkäufer, die ohne Hotline hinter sich einfach zu wenig können – und dafür trotzdem 120EUR/h aufrufen.
Hier brauchen Dienstleister 5 Stunden, um zwei Switches mit VLans dazu zu bewegen, miteinander zu sprechen, dort rechnet einer für die Grundinstallation des linuxmuster.net 6.2 Servers sechs Zeitstunden ab - WTF?
Dokumentation bekommt der Kunde keine, er ist gezwungen, wegen jedem Mist den Dienstleister zu rufen, bezahltes „Lernen beim Kunden“ ist eher die Regel als die Ausnahme. Aber für 120EUR/h erwarte ich, dass der, der da kommt weiß, was er tut, und nicht „Vlan learning by doing“ betreibt. Wenn ich für das Geld das Netz segmentieren lasse, muss der Mensch der das macht verstanden haben, was er da macht und nicht einfach eine Anleitung abarbeiten. Das beinhaltet dann auch, dass er bei Problemen selber weiß, wie er das debuggt - ohne Hotline. Sonst müssen die Preise runter, oder man muss die Zeit abziehen, die man gebraucht hat um Routing und VLans zu verstehen.
ja da gebe ich Dir leider recht das es viele Dienstleister gibt die vor Ort lernen.
Aber ganz ehrlich auch ein Dienstleister kann nicht alles können, das Thema IT ist inzwischen so komplex das das einfach nicht geht. Wir z.B Betreuen Schulen, Öffentliche und Industrie. Und es gibt bei uns keinen Kollegen der sich in der Tiefe mit allem auskennt, das geht schlicht und einfach nicht. Wenn Du dich im Moment mal auf den Arbeitsmarkt umschaust dann gibt es einfach niemanden den man Einstellen kann mit hoher Qualifiaktion.
Bei uns wird immer Versucht jemanden zum Kunden zu schicken der sich auch mit dem jeweiligen Fachgebiet auskennt, so das dem Kunden immer bestmöglich geholfen wird. Wenn ich was vor Ort nicht hinbekomme weil ich Basics wie VLANs nicht drauf habe dann kann ich das dem Kunden auch nicht abrechnen aus meiner Sicht, und das passiert dann auch nicht.
Und ich gebe Dir auch recht wenn ich das Konzept von VLANs nicht verstanden habe dann kann ich das auch nicht nach einer Anleitung machen. Und das wohl kaum dem Kunden berechnen. Übrigens die Netzerweiterung wird auch nicht vom LMZ Supportet das kann ich nur machen wenn ich das selber Supporten kann als Dienstleister.
Daraus resultiert aber eben auch unmittelbar, dass ein Dienstleister nicht unbedingt ein guter Berater ist, weil er letztlich nur das beraten kann, was er weiß und kann (und womit er Geld verdient). Da lassen sich aber z.B. viele Schulträger in die Irre führen. So stehen hier in Grundschulen mit 3 Mitarbeitern im Verwaltungsnetz Exchange Server für die 10 Mails am Tag, mit den entsprechenden Kosten für Lizenzen und Support. Man braucht halt erst nen Plan und muss dem Dienstleister sagen: Das machst du jetzt bitte.
Das passt für mich auch, ich akzeptiere ohne Probleme, dass mir einer sagt: das mach ich zum ersten Mal, ich bekomme das hin, über den Preis müssen wir dann sprechen. ch bin z.B. mit Windows nicht so fit und mache auch Dienstleistungen bei uns im Verwaltungsnetz. Da überlege ich vor der Rechungsstellung jedes Mal, ob die Zeit die ich gebraucht habe gerechtfertigt war, oder ob ich länger gebraucht habe, weil ich keine Übung habe.
Aber wenn einer eben wie oben beschrieben kommt, und dem drei Personen Büro in der Grundschule einen Server für 6k€ hinstellt „weil das der Standard ist“, dann ist das für mich eigentlich ein Kündigungsgrund.
Im übrigen teile ich deine prinzipielle Meinung: Wenn man eine „dumme“ unflexible Lösung für Windows Only Clients braucht und das LMZ noch als Geschäftpartner in Frage kommt, muss man die PaedML Linux nehmen.
Damit kann ich diese Lösung eigentlich gar nicht installieren, sobald ein Rechner im Lehrerzimmer steht, denn die Verwaltungsvorschrift ist da ja sehr eindeutig: „keine personenbezogenen Daten im Schulnetz ohne Segmentierung“. Bei PMLWindows ist es ja glaub ich noch schlimmer, haben die nicht zu wenig IPs für ne gescheite Segmentierung?
Ja da hast du recht ich kann nur das verkaufen was ich auch kenne. Aber ob ich in nem Verwaltungsnetz nen Exchange Server aufstellen muss für 3 Rechner?. Zumindest in BW kann man das ja über das BelWue machen.
Aber mal anderst gerechnet, unsere Standardschule hat eh einen VMWare Server für die paedMl. Wenn jetzt also im VW Netz ein Exchange Server gewollt ist dann kostet das eigentlich fast nichts (F+L Lizenz Exchange liegt glaube ich bei 200€) man kann dann ja zum Beispiel allen Lehrer ne Mailadresse machen dan rentiert sich das ganz auf jedenfall und ich habe das weiterleiten an private Mailadressen nicht mehr.
das Moodle liegt bei Belwü, also ganz extern. Die Nextcloud läuft in einer eigenen VM auf dem ESXi. auf dem auch die pädML Linux läuft, hat also das gleiche „rote“ Netz.
Laut Dienstleister ist der Zugriff per ldaps mit Port 636. Aber wie gesagt, da kriege ich mit ldap-search keine Kommunikation / Antwort vom LDAP bzw. sogar, dass er nicht erreichbar sei.
Auch aus den LDAP-Modulen von Moodle / Nextcloud raus klappt das nicht, wobei da natürlich noch was falsch eingetragen sein kann. Daher danke für deine Hinweise zu Moodle.
Zum einen will ich ja erst mal eine Nextcloud und Moodle anbinden, zum anderen ist das wg. pädML 6 natürlich auch schon veraltet. Da wird z.B: von der Gruppe „lehrer-schule“ gesprochen, du hast die Gruppe nur als „lehrer“ benannt.
Also prinzipiell ist das so das das UCS folgende Ports benutzt
7389 -> LDAP
7636 -> LDAPS
kann man hier nachlesen
Meiner Erfahrung nach ist nach extern aber eher nicht die Firewall der paedMl das Problem sonder (wen vorhanden) der BelWue Router auf dem man auch noch einer Freigabe machen lassen muß.
Bei Diensten wie WebUntis hatte ich in der Vergangenheit Probleme wenn man extern andere Ports als 389/636 benutzt.
Übrigens steht in den Dokument was du verlinkt hast auch der Port 7389 drin.
Viele Dienste die per Java Authentifizieren funktionieren mit LDAPS (7636) nur wenn man ein richtiges Zertifikat einrichtet.
Ist hier beschrieben habe ich aber selber noch nie gemacht
Übrigens genauso nur ohne das ganze SSL gedöns binde ich immer das WebUntis an.
Kleiner Tip noch zu LDAP Anbindungen ich mache das immer als erster mit einem Apache Studio da kann man dann schon sehen ob es prinzipiell klappt.
Man kann dort auch schön die Suchen zusammenbauen und Testen.
wir haben keine Belwü-Router, nur eine normale Fritzbox mit DynDNS für eine „feste IP“. Letzteres klappt auch, per ssh und https komme ich schon von Anfang an auf die VM mit der Nextcloud. Ich gehe mal davon aus, dass dann schon auch eine Portweiterleitung für ldaps eingerichtet sein wird.
Aber vielleicht stimmt halt doch die Firewallregel nicht, oder whatever - ich kann ja nicht selbts nachsehen. Vor der Umstellung hatte ich Zugriff auf alles, weil ich es auch selbst administriert habe - und da hat das auch alles - jahrelang - funktioniert
Ja, der Händler schrieb aber 636, und es ist ja nicht schwer, 636 auf 7636 weiterzuleiten. Von daher ging ich davon aus, dass das schon stimmt, denn auch bei der LMN habe ich immer 636 verwendet, wobei das da natürlich auch auf dem Port liegt.
Ist mir auch klar. Wir hatten aber auch früher nur ein SSL-Zertifikat für den Apache. Auf dem Cloudserver kommt das auch noch immer zum Einsatz.
Vermutlich liegt aber dennoch hier irgendwo der oder zumindest ein Hund begraben, und solche Probleme sollten einem vernünftigen Dienstleister auch bekannt, bewusst und lösbar sein.
Verstehe ich nicht ne NextCloud ist doch erst dann interresant wenn die auf die SMB Shares der paedML zugreifen kann. Wie soll das denn performant gehen wenn Du die NextCloud in einem anderen Netz hast?
Na ja, netzwerktechnisch ist das alles 1GBit
Und ob eine Cloud erst interessant wird, wenn man darin die Shares der pädagogischen Netzwerklösung einbindet, darüber kann man sich streiten
Ich persönlich finde es viel smarter, nicht die Netzwerklösung ins Zentrum zu rücken, sondern die Cloud. Sprich, wenn, dann die Cloud an den Rechnern der Netzwerklösung einbinden. Ok, das Performance-Problem (wenn es denn eines gibt) wäre dann genauso da.
Imho ist der große Vorteil einer Cloud doch, sie von überall aus einfach und bequem erreichen zu können, was bei den Daten, die in der Schulnetzlösung gespeichert sind, von außen allenfalls mit Aufwand geht.
Früher in der LMN-Umgebung war die Cloud in der DMZ. Das wollte ich aber bewusst nicht mehr, nachdem ich keinerlei administrativen Zugang zur pädML habe. So ist die Cloud zumindest administrativ unabhängig von der pädML auch ohne den Weg über die ESXi-Konsole erreichbar.
Trotzdem macht es natürlich wenig Sinn, nicht den LDAP der pädML für die Benutzerverwaltung zu nutzen
ich finde die Idee spannend, anstelle der Homes und Tauschs, auf einen Cloudserver zurück zu greifen.
Gerade wenn man nicht mehr nur “den Computerraum” mit klassischen Desktops hat, sondern auch viele Tablets.
Erleichtert auch BYOD.
Erfahrungen mit einer Standalone Could-Lösung im Schulbetrieb, also ohne den sonst üblichen Fileserver, habe ich leider da noch keine machen können.
I.d.R. hat man den Cloudserver, egal ob das nun Pydio, Seafile, Nextcloud oder Filr etc. ist, immer als Frontend der eingebunden Shares für den externen Dateizugriff genutzt.
Hat jemand schon Erfahrungen gemacht, auf den lokalen Fileserver zu verzichten und statt dessen alles in der Cloud zu speichern? Wenn ja, klappt das mit dem Filesharing reibungslos?
Hat jemand schon Erfahrungen gemacht, auf den lokalen Fileserver zu
verzichten und statt dessen alles in der Cloud zu speichern? Wenn ja,
klappt das mit dem Filesharing reibungslos?
ein paar hier im Forum haben das anders gelößt: sozusagen beides:
Fileserver und Cloud, indem sie automatisch den Nextcloud Client starten
und das home hoch syncen oder indem sie das Home per WebDAV von der
Cloud beim Einloggen einbinden.
Vielleicht schreibt ja einer, der das hat, mal seine Erfahrungen hier hin.
Hallo Thomas,
ich kann nur für Linux-Clients sprechen, aber über nemo per webdav Dateien anzuzeigen ist (mit Cloud-Server in der Schule) von der Geschwindigkeit her nicht von cifs zu unterscheiden. Nur schaffe ich keinen SSO per pam o.ä.
Benutzt man allerdings den mount.davfs2-Befehl (hier geht pam), geht das unsäglich langsam, da stimmt irgendwas mit den Einstellungen nicht, wenn das mal jemand zum Laufen gekriegt hat, wär das super, er tät sagen, wie
Ich finde zwei Homes gar nicht so unpraktisch. In der Schule liegen die Dateien, die ich mit Schülern für den Unterricht brauche, in der Cloud der Rest (also fast alles).
Schüler haben bei uns (noch) keinen Cloud-Zugriff. Mal sehen, wann ich das freischalte…
das Problem mit dem davfs dürfte das Caching sein. Lässt man Caching an, erzeugt davfs riesige lokale Backup tarballs. Schaltet man Caching ab, ist die Datenübertragung träge.
