Die Grundidee

Die Grundidee des Schulnetzkonzepts besteht in einer leicht überschaubaren und umsetzbaren (ein Subnetz, keine VLANs) aber sicheren Netzwerkstruktur ohne dömänengebundene Clients, welche sich optional - mit entsprechenden WLAN-Accespoints - einfach zu einer Bring-Your-Own-Device-Umgebung ausbauen lässt. Ein weiteres Augenmerk des Konzeptes liegt auf zeitgemäßen Anwendungen für Schüler und Lehrer, welche flexibel mit unterschiedlicher Hardware genutzt werden können.

Dabei werden für die Serverinfrastruktur ausschließlich etablierte Open-Source-Produkte und offene Standards verwendet, wodurch Lizenzkosten vermieden und fehlende Informationen über gut organisierte Communities eingeholt werden können. Jegliche Server-Software wird auf einem einzigen Virtualisierungsserver installiert. Sofern dieser gut ausgerüstet ist, leistet er auch hohen Benutzerzahlen Genüge.

Schüler und Lehrer haben einen personalisierten Zugang zum Internet und zum Dateiserver Nextcloud - und dies mit jeglichem denkbaren Endgerät (PC, MAC, Smartphone, Tablet). Auf Wunsch lässt sich die Nextcloud um weiter Funktionalitäten (E-Mail, Kalender, Kontakte, Notizen, Aufgaben) zu einer vollständigen Groupware-Lösung erweitern. Mit einem angeschlossenen Videokonferenz-Server können bei entsprechender Dimensionierung sehr viele Teilnehmer gleichzeitig an datenschutzkonformen Videokonferenzen teilnehmen. Mit der Erweiterung Collabora ist es sogar möglich, Text-, Tabellen- und Präsentationsdokumente direkt in der Nextcloud zu öffnen und zeitgleich gemeinsam daran zu arbeiten!

Über den FOG-Server klonen Systemadministratoren Betriebssystemimages bequem über das Netzwerk auf PCs, fahren diese zu definierten Zeiten herunter oder verteilen Programme oder Systemeinstellungen über Snapins.

Zur Verwaltung der Benutzer und Gruppen verwenden die Systembetreuer eine übersichtliche Weboberfläche (LDAP-Account-Manager). Die angelegten Benutzer und Gruppen erhalten automatisch nach Anlage ein Nextcloud-Konto und personalisierten Zugriff zum WLAN (WPA-Enterprise über Freeradius).

Die technische Organisation des Netzwerks übernimmt die Firewall-Distribution OPNsense. Dabei ist der Proxy mit Inhaltsfilter für alle Teilnehmer im Netzwerk Pflicht, muss aber nur bei mobilen Endgeräten eingestellt werden (Verteilung der Proxy-Info über DHCP). Administratoren haben die Möglichkeit, von zu Hause mit Hilfe eines VPN-Tunnels gesichert auf das Netzwerk zuzugreifen.

Die Nachteile am Schulnetzkonzept

Wahrscheinlich wäre ich nicht der beste Verkäufer auf dem Parkett, und ja: ich bin überzeugt von der Lösung des Schulnetzkonzepts! Wichtiger als meine Überzeugung ist aber, dass Sie einen realistischen Blick auf das Konzept erhalten, und da gibt es nun auch mal Nachteile:

Konsolen-Kenntnisse sind Pflicht

Die Installation der Schulnetzkonzept-Komponenten setzt auf Open-Source-Produkte und hier im Besonderen auf das Betriebssystem Linux. Linux an sich ist in diesem Fall aber nicht die "billigere Lösung" sondern vielmehr die bessere Wahl! Wenn man allerdings mit der Bedienung von Linux über die Konsole nicht vertraut ist, dann ist die anfängliche Lernkurve ziemlich hoch - ich spreche hier aus leidvoller Erfahrung :-). Und nein: die optionale grafische Oberfläche von Linux kann nicht dabei helfen - vielmehr schonen wir im Schulnetzkonzept Ressourcen und verzichten ganz auf sie. Wenn das Schulnetz aber einmal installiert ist, dann erfolgt die weitere "alltägliche" Bedienung durch den Systembetreuer (Benutzer- und Gruppenverwaltung, Dateiverwaltung, Imageverwaltung, Softwareverteilung, Router- und Firewallkonfiguration, ...) sehr wohl anhand grafischer - meist webbasierter Benutzeroberflächen.

Bei Selbstinstallation: keine Garantie und kein Support

Das Amt des Systembetreuers an Schulen ist eigentlich nicht dazu gedacht, vollständige Systeme in Eigenregie zu installieren und am Leben zu erhalten. Vielmehr soll der Systembetreuer Konzepte vergleichen, ausschreiben, auswählen und mit allen Beteiligten kommunizieren. Die Wirklichkeit sieht freilich oft anders aus - an dieser Stelle einmal ein herzliches Dankeschön an die vielen engagierten Systembetreuer da draußen!

Entschließt sich ein Systembetreuer dazu, das hier dargestellte Konzept selbst zu verwirklichen, müssen sich alle Beteiligten darüber im Klaren sein, dass kein Unternehmen hinter der Installation steht, an welches man sich (kurzfristig) wenden kann. Im Übrigen nehme ich mich selbst hiermit auch davon aus, für Probleme und Schäden jeglicher Art durch auf diesen Seiten dargestellte Informationen Haftung zu übernehmen. Ich persönlich bin sehr froh darüber, dass ich an meiner Schule bei einem Problem am System nicht warten muss, bis ein Unternehmen in die Puschen kommt, um den Service-Mitarbeiter für teuer Geld vorbeizuschicken. Das ist aber natürlich eine rein objektive Einschätzung. Und auch mir hat die Eigenverantwortlichkeit bei der ein oder anderen Störung schon zahlreiche Nerven geraubt.

Eine meines Erachtens sehr gut denkbare Alternative zur eigenverantwortlichen Installation ist die Beauftragung eines Linux-Systemhauses mit dem hier gezeigten Konzept. Es gibt in diesem Bereich mittlerweile wirklich zahlreiche gut aufgestellte Unternehmen. Der große Vorteil hierin ist meiner Meinung nach, dass man relativ unabhängig ist. Schließlich gibt es nicht nur ein Systemhaus, welches die hier gezeigten, auf offenen Standards basierten Anleitungen umsetzen kann. Vertrauen Sie hingegen auf eine proprietäre Schulnetz-Lösung, stammt diese meist von einem einzigen Unternehmen mit einer überschaubaren Anzahl an Mitarbeitern - auch eine Form von Abhängigkeit, wenn Sie mich fragen.

Erforderliches Know-How

Alle hier gezeigten Anleitungen sind so gestaltet, dass man sie 1 zu 1 umsetzen kann. Die Erfahrung zeigt aber, dass es während einer Installation oder beim alltäglichen Betrieb immer wieder zu kleineren oder größeren unvorhergesehenen Problemen kommen kann. Deswegen rate ich davon ab, ohne einen gewissen Überblick über folgende Inhalte eine Installation in Eigenregie durchzuführen:

  • Virtualisierung von Betriebssystemen auf Basis von Proxmox
  • Linux-Debian
    • Konsolenbefehle
    • Editor vim
    • Softwareinstallation über die Paketverwaltung apt
  • Dateiserver Nextcloud
    • Webserver (Apache) und Zertifikate (Let’s Encrypt)
    • Datenbankserver (Maria-DB)
    • Cronjobs
    • LDAP
  • Videokonferenz-Server für Nextcloud: Spreed
    • Webserver (NGINX) und Zertifikate (Let's Encrypt)
    • Docker
  • Online-Office für Nextcloud: Collabora
    • Docker
  • Benutzerverwaltung: Samba & FreeRADIUS
    • Webserver (Apache)
    • Samba
    • LDAP und FreeRADIUS
  • OPNsense
    • Firewall
    • Router
    • Proxy/Reverse Proxy
    • DHCP
    • VPN