Aktuelle Empfehlungen zur IT-Ausstattung von Schulen

Alle Jahre wieder kommt die Frage unter den Systembetreuuern auf … “Kennst Du schon die neue Auflage des Votums?”, während die Sachaufwandsträger (gefühlt) leicht zittern ob der Befürchtung neuer Ausstattungsforderungen der Schulen. Letztlich ist es aber alles halb so wild.

Die bay. Schul-IT-Experten (d.h. aus dem Ministerium, aus der Akademie für Lehrerfortbildung, aus den Regierungsbezirken aber auch aus ganz viele einzelne, engagierte und erfahrene Lehrkräfte) veröffentlichen jedes Jahr eine aktualisierte Fassung der “Aktuellen Empfehlungen zur IT-Ausstattung von Schulen” (kurz “das Votum”) – der Download kann am einfachsten via mebis erfolgen (Link). Dort sind auch die Versionen der Vorjahre verfügbar.

Gerade Systemhäuser /-Anbieter und Sachaufwandsträger – kurzum alle “Nicht-Pädagogen” sollten sich mit diesem Dokument eingehender befassen, um Schul-IT überhaupt auch nur ansatzweise verstehen zu können.

Aktuelles PHP unter Debian

Auch wenn das Debian-Team PHP auf einem vergleichsweise aktuellen Stand hält, kann es manchmal notwendig sein, noch aktuellere Versionen zu installieren. Dies geht relativ einfach via sury.org

Einfach eine readme.txt herunterladen, anschließend ausführen (dabei wird sury.org als Paketquelle ergänzt) und dann die gewünschten Pakete installieren:
wget https://packages.sury.org/php/README.txt -O /root/sury.sh
bash /root/sury.sh
apt-get install libapache2-mod-php7.4

DNS-Zonen-Datei vor Reload überprüfen

Wer kennt das Problem nicht? Schnell eine Änderung in die Zonen-Datei eingetragen … und nach einem Reload wird die Zone nicht mehr aufgelöst.

Die Zonen-Datei lässt sich einfach bereits im Vorfeld überprüfen:
named-checkzone wvbg-netzis.de /var/named/zone.wvbg-netzis.de

RRD-Files (z.B. von Smokeping) zwischen verschiedenen Architekturen konvertieren

RRD-Files sind als Binärdateien plattformabhängig. Trotzdem kann man seine historischen Daten mit auf ein neues System nehmen (z.B. vom Raspberry PI auf eine VM).

In Remi Bergsmas hat die einzelnen Schritte in seinem Blog sehr ausführlich beschrieben (Link). Dabei werden die Daten zunächst in eine XML-Datei exportiert und im Anschluss auf dem Zielsystem auf dieser Basis neue (plattformspezifische) RRD-Files erzeugt.

Referenzmessung mit Smokeping

Eine der wohl häufigsten Fehlermeldungen im (Schul-) IT-Tag lautet “das Internet ist langsam”. An dieser Stelle ist guter Rat teuer.

Observium (https://www.wvbg-netzis.de/ueberblick-nicht-nur-im-schul-netz/) kann hier sehr gut Infos zur Auslastung von Netzwerk-Interfaces am Router geben.

Ein weiteres Tool ist an dieser Stelle Smokeping. Dieses sendet im Hintergrund fortlaufend Anfragen (z.B. ping, weitere Möglichkeiten sind aber auch gegeben) zu definierten Zielen und wertet diese grafisch aus. Der Betrieb auf einem Raspberry PI ist ohne Probleme zu realisieren.

Ausreißer können so einen ersten Ansatz zu weiteren Fehleranalyse liefern.

Beispielüberlegungen:

  • Wenn bereits das lokale Gateway Paketverluste hat, ist der Fehler eher im lokalen Netz zusuchen (Empfehlung: nicht nur Router sondern z.B. auch Fileserver oder NAS als Ziel eintragen; gerade ein Router kann bei einer hohen CPU-Last zu verzögerten Antworten führen)
  • Wenn heise.de, der Google DNS und die Uni Erlangen nicht erreichbar sind, ist eine Großstörung beim Anbieter oder (wesentlich wahrscheinlicher) ein Fehler auf dem Ausanschluss (z.B. FTH oder VDSL). Ein Gegencheck auf den DNS-Server des Providers kann hier erste Anhaltspunkte liefern.

Leistungsfähige Firewall für den (Schul-) Alltag

Für viele Anwendungsfälle muss es nicht gleich eine teure Firewall von Sophos, LANCOM, Forcepoint, Checkpoint oder gar Cisco sein.

Bereits seit vielen Jahren prägen die beiden Projekte pfSense und OPNsense die IT-Landschaft. Letzteres ist dabei ein sogenannter Fork (d.h. eine “Ausgründung”) von PFSense. Auf den ersten Blick bietet OPNsense die modernere GUI. Eventuell kann es daher hilfreich sein, sich beide Systeme mal in einer virtuellen Umgebung (z.B. unter VirtualBox) anzuschauen und das für einen selbst optimale System so zu ermitteln.

Die Firewall kann anschließend auf einem alten HW-Server in Betrieb genommen werden oder stromsparend auf einem PC Engines APU.2E4 Board (Link zu einem Augsburger Reseller mit weiteren Infos zur Hardware). Als Datenträger empfiehlt sich dabei eine kleine mSATA-SSD – oder eine SSD aus einem defekten Notebook.

Im Netz gibt es unzählige Anleitungen zur Installation – hilfreich fanden wir die von Computing Competence.

Als VDSL-Modem haben sich die Geräte von Vigor zum Quasi-Standard durchgesetzt und werden auch bei Support-Calls mit dem Provider i.d.R. als “unterstützte Geräte” akzeptiert.

Update 31.10.2021
Inzwischen haben wir alle Firewall-Systeme in unserem Umfeld (3x auf Server-Hardware, 2x auf APU-Basis) auf OPNsense migriert. Das System bietet eine weitaus moderenere GUI und ist von den Features breiter aufgestellt.

Wie sollte ein Schul-Netzwerk aussehen?

Wenn die Erfahrung eines gezeigt hat, dann die Tatsache, dass die meisten Systemhäuser und “EDV-Buden” mit Schul-IT völlig überfordert sind.

Die Nutzer stellen an Schul-IT häufig die Anforderungen wie an ein Banken-Rechenzentrum, die öffentliche Hand hat aber nur Geld für Standard-IT und das Systemhaus hält Schulen für KMU-Kunden.

Aus diesem Grund hat der bay. Staat eine sehr gute Beratungs- und Fortbildungs-Struktur aufgebaut. Empfohlener Einstiegspunkt wäre an dieser Stelle die entsprechende Seite der Akademie für Lehrerfortbildung und Personalführung. Dort unterstützt man auch beratend Schulleitungen, Systembetreuer und Sachaufwandsträger.

Überblick nicht nur im (Schul-) Netz

Selbst günstige smart-managed Netzwerk-Komponenten, die nur eine Web-GUI haben, unterstützen meist ein Auslesen der Werte per SNMP. Somit hat man schon die halbe Miete für ein gutes Monitoring.

Einfach auf den Komponenten den readonly (!!) Zugriff mit einem “kryptischen” String anlegen und es kann losgehen.

Auf einer virtuellen Linux-Maschine (z.B. Debian oder Ubuntu) bzw. einem Raspberry Pi ist Observium schnell installiert. Und mit etwas Einarbeitung gibt es dann auch hilfreiche Einblicke – gerade was hausinterne Datenverkehre angeht.