Die Schule
Das von-Weizsäcker-Gymnasium in Barmstedt (Schleswig-Holstein/Deutschland) hat ca. 800-900 Schüler. In zwei Computerräumen stehen jeweils ungefähr 30 PCs und ein Netzwerkdrucker zur Verfügung. Weiterhin sind im Lehrerzimmer und in einigen Fachräumen weitere PCs, Laptops und Netzwerkdrucker vorhanden.
Die Ausgangssituation im Frühjahr 2011
Bisher wurde in einem LAN mit zwei Windows-Servern gearbeitet. Aufgrund des Alters der PCs und der Server (jeweils Windows 2000) stand eine grundsätzliche Erneuerung der EDV-Anlage an; es hätten sowohl Server als auch PCs neu angeschafft werden müssen (MS Windows Server 2008 und MS Windows 7). Dieses hätte einen erheblichen Finanzbedarf und umfangreiche Administrator-Arbeiten bedeutet.
Anwender und Administratoren unzufrieden
Am bisherigen System gab es von Seiten der Anwender die Kritik, dass die Startzeiten der PCs sehr lang waren (5-10 Minuten), was u.a. durch die im Server gespeicherten Benutzerprofile bedingt war. Außerdem dauerte das Starten der Applikationen (Browser und MS Word/Excel) viel länger als "von zu Hause gewohnt".
Die Administratoren (= zwei Lehrer) beklagten sich über zunehmenden Administrationsaufwand. Alle 2-3 Jahre mussten die Server komplett neu aufgesetzt werden – dieses konnte nur in den Sommerferien geschehen.
Die Windows-Installationen der PCs in den Computerräumen waren gegen Veränderungen durch die Benutzer geschützt. Sollte eine neue Software installiert werden, mussten die PCs zunächst entsperrt werden, dann erfolgte die Software-Installation, und abschließend wurden die PCs wieder "gesperrt".
Wohlgemerkt : Dieser "Dreisprung" musste an jedem PC durchgeführt werden, also ca. 70 mal.
Die Installation einer neuen Applikation war daher nicht eine Sache von Minuten, sondern von Tagen !
Die Vision
Die Anwender wollten ein schnell startendes System, auf dem hauptsächlich die Applikationen "Browser" und "Office Software" zur Verfügung stehen.
Die Administratoren wünschten sich ein leicht zu wartendes System, möglichst mit einer zentralen Software-Verwaltung (und automatischer Verteilung der Software an die PCs).
Die Idee
Nachdem zunächst der als Fileserver dienende Windows-Server durch einen Linux-Server ersetzt werden sollte, und auch an den PCs ein Linux-Desktop als denkbare Alternative erkannt wurde, lag es nahe, diese beiden Welten zu vereinen und sich das LTSP-System näher anzuschauen ( --> Wikipedia (d)).
Die Theorie
Die PCs sind per LAN mit dem LTSP-Server-Cluster verbunden und werden als "Diskless Workstation" betrieben : Die internen Festplatten werden im BIOS deaktiviert und stattdessen wird "LAN Boot" eingeschaltet.
Das Laden des Betriebssystems erfolgt per PXE-Boot; dabei erhalten alle PCs dieselbe Software vom LTSP-Server-Cluster aus einem zentral gepflegten Image. Änderungen (z.B. Software-Aktualisierungen oder Installation einer weiteren Software) erfolgen nur zentral in diesem "Image" und werden automatisch an die PCs während deren Startphase ausgeliefert.
Im Gegensatz zu anderen Netboot-Verfahren (z.B. Etherboot/gPXE) benötigt PXE keinerlei Startmedien (BootROM, Diskette oder CD).
An den PCs entfällt damit jeglicher Administrationsaufwand.
Defekte PCs lassen sich innerhalb weniger Minuten ersetzen, z.B. auch durch Thin Clients, die man sich "auf Vorrat" ins Regal legen kann.
Die vorhandenen Netzwerkdrucker werden ebenfalls in das neue System eingebunden. Die Netzwerk-Drucker sind bei den in ihrem jeweiligen Raum vorhandenen PCs als "Standard-Drucker" konfiguriert. So kann ein Benutzer immer den "Standarddrucker" verwenden und erhält seinen Ausdruck automatisch auf dem in seinem Raum befindlichen Drucker. Selbstverständlich kann auch jeder andere Drucker angesteuert werden (entsprechende Berechtigung vorausgesetzt).
Der Weg zum Ziel
Unter Mitwirkung eines externen Beraters, der langjährige Erfahrungen mit Linux-Serversystemen hat, wurde von den künftigen Administratoren zunächst ein Demo-System aufgebaut. Auf diesem Demo-System wurde die von den Lehrern gewünschte Software installiert und getestet.
Hinsichtlich der einzusetzenden Server-Hardware entschied man sich für einen LTSP-Server-Cluster (ein Rootserver, zwei Applikationsserver). Die vorhandenen PCs sollten als LTSP-Clients weiter verwendet werden.
Die Inbetriebnahme der drei Server gestaltete sich sehr einfach, da die Server vom Lieferanten bereits vorkonfiguriert und aufeinander abgestimmt waren. "Einschalten und los !"
Die Testphase und ihre Eigendynamik
Zunächst wurden die Schüler- und Lehrer-Daten per CSV-Datei in das System eingespielt; daraus wurden vollautomatisch die Benutzerkonten und deren Zugangsdaten erzeugt.
Am 31.01.2012 begann die Testphase : Einer der beiden PC-Räume wurde an den LTSP-Server-Cluster angeschlossen, und eine 13. Klasse durfte das neue System nach Herzenslust testen. Um einen realistischen Eindruck über die Performance zu gewinnen, wurde dabei nur einer der beiden Applikationsserver aktiviert.
In der Folgezeit existierten das langsame Windows-System und das neue LTSP-System nebeneinander (in jeweils einem PC-Raum). Nachdem die Benutzer das LTSP-System kennen gelernt hatten (u.a. mit Startzeiten der Geräte bei ca. 25 Sekunden, Applikationsstart in einer Sekunde), erwuchs sehr bald der Wunsch, auch den zweiten PC-Raum möglichst schnell an das LTSP-System anzuschließen. Parallel dazu wurde von den PCs im Lehrerzimmer (noch an die Windows-Server angeschlossen) berichtet, dass sich deren Startzeit nun "in Richtung 15 Minuten" bewegen würde.
Diesem "Druck" beugte sich das Projekt-Team. Wegen der überaus positiven Erfahrungen – auch hinsichtlich der Zuverlässigkeit und Sicherheit des Systems – wurde die Testphase verkürzt. Früher als ursprünglich geplant wurden der zweite PC-Raum sowie die anderen PCs an den LTSP-Server-Cluster angeschlossen.
Neben einigen Änderungen in der LAN-Verkabelung erforderte die Umstellung nur wenige Handgriffe : Da die vorhandenen PCs als "Diskless Workstation" betrieben werden, musste im BIOS nur die eingebaute Festplatte deaktiviert werden. Ein PC-Raum war damit in weniger als einer Stunde umgestellt.
Der Regelbetrieb
Eigentlich gibt es über den Regelbetrieb nichts zu berichten. Es läuft einfach.
In regelmäßigen Abständen wird ein Software-Update angestoßen; dieses beschränkt sich wegen der Ubuntu-Abstammung des Systems auf einige "apt-get"-Aufrufe. Diese Arbeiten sind im laufenden Betrieb möglich und dauern nur wenige Minuten.
Auch die Installation neuer Software erfolgt, während an den PCs gearbeitet wird. Technisch bedingt steht die neue Software allerdings erst nach einem Reboot des PC zur Verfügung (inkl. automatisch erweitertem Menü); dieses ist bei einer Ausschaltzeit von 3 Sekunden und den oben genannten Startzeiten akzeptabel.
Test : Wenn ein Applikationsserver ausfällt
Die Administratoren hatten testweise einen Applikationsserver heruntergefahren. Der im LTSP-Server-Cluster integrierte Load Balancer erkannte diese Situation sofort und leitete alle PCs an den verbliebenen Applikationsserver um. Der volle Betrieb ging tagelang ohne Störung/Unterbrechung weiter.
WLAN im gesamtem Schulgebäude
Im Oktober 2013 wurde das flächendeckende WLAN in Betrieb genommen.
Die im Gebäude installierten WLAN Access Points sind mit einem Hotspot-Server verbunden.
Für die Autorisierung am Schul-WLAN wird auf die Benutzerverwaltung des LSTP-Systems zugegriffen. Es müssen also keine zusätzlichen Benutzerdaten administriert werden. Die Benutzer können sich mit den gewohnten Zugangsdaten anmelden und müssen sich keine weiteren Zugangsdaten merken. Neue Benutzer und geänderte Passworte sind sofort auch hier gültig.
Selbstverständlich sorgt das Sicherheitskonzept dafür, dass nur registrierte Benutzer und registrierte Geräte das WLAN verwenden können.
Über das Datenbank-gestützte "Accounting" werden die WLAN-Sessions protokolliert (wer hatte von wann bis wann mit welchem Gerät eine WLAN-Verbindung und hat dabei wieviele Bytes bewegt).
Neue Möglichkeiten
Vorbemerkung : Die bisher verwendeten Windows-Server wurden neben der Benutzerverwaltung lediglich als Fileserver und Printserver sowie als Proxy-Server für den Internetzugang verwendet. Diese Standardaufgaben übernimmt der LTSP-Server-Cluster selbstverständlich auch.
Prinzip "Jeder sieht alles"
Dadurch entfällt die Notwendigkeit, ein Tauschverzeichnis zur Verfügung zu stellen und von den Administratoren zu verwalten.
Natürlich gibt es für jeden Benutzer einen geschützten Datenbereich, den die anderen Benutzer nicht einsehen können (besonders wichtig für die LehrerInnen, deren nächste Klausuraufgaben sonst womöglich vorher in Schülerkreisen kursieren würden).
Zugang von außen
Die Schüler können nun ihre Hausaufgaben (z.B. Erstellen einer Präsentation) von zu Hause hochladen.
Die Lehrer stellen "online" Dokumente zur Verfügung und können Unterrichtsmaterialien und Klausuraufgaben zu Hause erstellen und von dort einstellen; die Verwendung eines USB-Sticks und das nachträgliche Kopieren in der Schule entfallen.
Sehr nett hat uns auch gefallen, als eine sich im Ausland auf Klassenreise befindliche Klasse ihre Fotos von unterwegs eingespielt hat. So hatten wir schon mal einen Eindruck ...
Zentralisierte Resourcenplanung (Räume, Geräte, Klassenarbeiten, Wandertage, ...)
Das MRBS-System wird außerdem dafür verwendet, die Termine der Klassenarbeiten und Wandertage zu verwalten. Terminkollisionen lassen sich damit frühzeitig erkennen und vermeiden.
Zentralisierte Aufgabenverwaltung
Natürlich ist das Ticketsystem auch von außen per Browser zugänglich.
Server-Administration von außen
Die als Administratoren eingesetzten Lehrer haben sich an diese Arbeitsweise gewöhnt und deren Vorteile schätzen gelernt. Die Admin-Arbeiten werden innerhalb der Schule von irgend einem PC per SSH-Session durchgeführt; man geht nun nicht mehr in den Serverraum ...
Alternativ können sich die Administratoren über das Schul-WLAN mit dem LTSP-Server-Cluster verbinden und die Administration mit einem Tablet-PC/iPad oder Laptop vornehmen. Für Smartphone/Tablet PCs mit Android kann z.B. die kostenlose App "Juicy SSH Client" verwendet werden.
Da auf den LTSP-Server-Cluster auch von außen per SSH zugegriffen werden kann, können diese Admin-Aufgaben auch von "zu Hause" erledigt werden. Mit der SSH-Konsole bietet sich dabei das gewohnte Bild, wie man es auch in der Schule vorfindet.
Sicherheitskonzept
Vollautomatische Datensicherung
Die Datensicherung erfolgt in einem separaten Server auf gespiegelten Festplatten (RAID 1).
Täglich wird kurz nach Mitternacht ein Sicherungssatz angelegt, der für ein Jahr aufbewahrt wird. Den Benutzern können daher beliebige Tages-Datenstände geliefert werden.
Zweimal im Monat wird der Datenbestand in ein Langzeitarchiv überführt, dessen Inhalt nie gelöscht wird (zumindest konzeptionell).
Für diese Arbeiten ist keinerlei Admin-Tätigkeit notwendig. Die automatisch durchgeführten Sicherungsläufe werden protokolliert, die Protokolle werden per Mail versendet. Auf diese Weise ist eine lückenlose Überwachung und Dokumentation der Datensicherungsprozesse gewährleistet.
Das ist noch nicht alles
Einmal auf den Geschmack gekommen, sollen in der nächsten Zeit weitere "Features" realisiert werden.
Hausaufgaben-Automatik
Gleiches funktioniert auch für Arbeiten in der Schule (z.B. "Stillarbeit", Projektarbeit usw.).
"Neues-Passwort"-Automatik
Monitoring des LTSP-Server-Clusters
Die Systemparameter sind u.a.:
- Uptime, Temperatur und Auslastung der Server
- Temperatur und Auslastung der Festplatten
- Raumtemperatur
- Anzahl der angemeldeten Benutzer
Wir und das System sind für Erweiterungen offen ...
Barmstedt, im Oktober 2013
Thomas Näfken / sh
Wenn Sie nähere Informationen über diese LTSP-Installation wünschen, senden Sie bitte eine Mail an
Thomas Näfken (tnaefken@tnedv.de)
Einige Links :
Impressum