Zum Inhalt springen

LD4.0: Nacharbeiten nach erfolgreicher Server-Migration

Version 62.2 von Michael Reichenbach am 2023/08/29 13:36

1.Einführung

Nach erfolgreichem Abschluss des Upgradeskripts ist es erforderlich, an diversen Stellen des LD-Systems Anpassungen vorzunehmen, um die Funktionalität und Stabilität der zahlreichen Module von LogoDIDACT sicherzustellen.

Information

Machen Sie sich vor der Umstellung unbedingt Notizen zu den LD Deploy Zuweisungen (Räume, AutoConf-Optionen, Software, Druckerlisten, etc.) im LD Control Center, um diese nach dem Upgrade wieder geeignet zuweisen zu können. Die Anordnung von Räumen wird während des Upgrades aufgelöst, d.h. die Räume müssen nach dem Upgrade wieder richtig angeordnet und ggf. mit den entsprechenden Konfigurationen verknüpft werden. Wir empfehlen, hierbei auf Screenshots / Bildschirmaufnahmen zurückzugreifen!

Zunächst ist eine Einwahl und Anmeldung im neuen LD Control Center nötig. Dieses lässt sich im Browser über die URL https://ctrl aufrufen. Anpassungen sind sowohl im Reiter "Deployment", als auch in der "Benutzerverwaltung" notwendig.

image-20230605153657-1.png

2.Deployment

Beim erstmaligen Öffnen der allgemeinen Geräteübersicht fallen nun mehrere Veränderungen ins Auge:

- an oberster Stelle steht anstatt der üblichen ad.schulname.logodidact.net Domäne der Knotenpunkt "ROOT"

- der Anzeigename der Schule (LongName) ist mit einem _updateSCHULNAME gekennzeichnet

- Räume sind mit einem vorangestellten _conflictRAUMNAME dargestellt

image-20230606094840-2.png

ROOT bezeichnet an dieser Stelle den obersten Eintrag in der Abbildungshierarchie von Mandanten. Unterhalb eines ROOT-Stamms können unter LD4.0 auf lange Sicht mehrere Mandanten (Haussymbol) und sogar Organisationen strukturell abgebildet werden. So lässt sich beispielsweise ein Schulzentrum, bestehend aus Grund-/Realschule und Gymnasium schematisch darstellen.

Aufgrund dieser eingeführten Neustrukturierung wird allerdings die von LD2.0 bekannte Struktur (ad.schulname.logodidact.net) während der Migration zerstört und neu aufgebaut. Von LD Deploy verwaltete Rechner verlieren in diesem Prozess ebenfalls ihre Vertrauensstellung zur Domäne. Einem (neuen) Mandanten wird eine eindeutige Maildomain zugewiesen. Dies kann sowohl die normale "schule.local" Maildomain, als auch eine öffentliche Maildomain der Schule sein.

Zunächst einmal müssen die schuleigene E-Mail-Domäne und der LongName der Schule einmalig aktualisiert werden. Dazu ist in den Konfigurationsoptionen des Mandanten der neue Punkt "Domänen" hinzugekommen. Über das Stiftsymbol kann man dies bearbeiten:
image-20230606134038-3.png

In der Regel ist die lokale Standardmaildomäne "schule.local" als Hauptmaildomäne für den Mandanten zuweisbar. In Sonderfällen kann die Standardmaildomäne von der üblichen Bezeichnung abweichen.

Data URI image

Erst im Anschluss - also nach der Festlegung einer Maildomain - kann der LongName unterhalb des ROOT-Knoten umbenannt und sinnvoll vergeben werden. Hier empfiehlt es sich, mindestens das vorangestellte Schlüsselwort "_update" im Namen zu entfernen. Für die Räume gilt dies genauso, diese sollten umbenannt und wieder in die richtige Struktur gebracht werden. Das Verschachteln der Räume ist über den Menüpunkt "Standort" pro Raum oder auch per Drag-and-Drop möglich.

image-20230606141856-4.png

Ebenfalls empfehlenswert ist die Vollständigkeit der Objektzuweisungen im LD Control Center zu prüfen und die zugehörigen Elementverlinkungen, z.B. kann es vorkommen, dass eine AutoConf-Rolle gar nicht mehr oder dem falschen Raum zugewiesen ist. Gegebenenfalls diese per Drag&Drop oder aber über den Reiter "Standort" im jeweiligen Raum / Mandanten zuweisen. Eine Kontrolle der Konfigurationen muss zwingendermaßen für jeden einzelnen Raum bzw. jedes einzelne Gerät stattfinden!  Die Richtigkeit sollte man mittels Screenshots, welche man vor dem LD4.0 Upgrade erstellt, verifizieren.

Zu Objekt-und Elementverlinkungen gehören:

- AutoConf-Rollen

- Softwarekonfigurationen

- Treiberkonfigurationen

- Druckerkonfigurationen

- Betriebssystemzuweisungen

- "Schutz vor Statusänderungen" an speziellen Clients, wie z.B. die KMS

Manuell in die Domäne aufgenommene Arbeitsstationen muss man nach dem Upgrade möglicherweise mit der neuen Domäne bekanntmachen.

3.Benutzerverwaltung

Wechseln Sie zunächst in die allgemeine Übersicht des LD Control Center, indem Sie auf das Haus-Symbol in der linken oberen Fensterecke klicken und das Feld "Benutzerverwaltung" auswählen. Die allgemeine Übersicht ist auch hier ähnlich aufgebaut, wie im "Deployment".

Es wird der Knoten "ROOT", sowie der Mandant und die darunter liegenden Klassen/-Projekt/-und Sicherheitsgruppen, sowie Rollen (mandantenbezogen) angezeigt.

Die Logodidact Console wird in LD4.0 nicht mehr für die Benutzerverwaltung eingesetzt. Alle benutzerbezogenen Konfigurationen erfolgen über das LD Control Center. In der Lododidact Console ist lediglich lesender Zugriff auf die Benutzerverwaltung möglich.

3.1 Benutzerlistenimport

Im Reiter "Home/Verwaltung/Benutzerimport" müssen die alten Benutzerlisten aus LD2.0 einmalig angelegt und verifiziert werden. Eine automatische Übernahme der Nutzerlisten während der Migration ist aus technischen Gründen nicht möglich. Ein Export der Nutzerlisten ist sowohl über den Server als auch über die LD Console durchführbar.

Die nachfolgenden Schritte unbedingt mit Sorgfalt durchführen und vor dem Import nochmals auf Korrektheit und Vollständigkeit prüfen!

3.1.1 Serverexport

Serverseitig liegen die Benutzerlisten als benutzer.list-Dateien vor und sind im Container logosrv unter folgendem Pfad gespeichert: root@logosrv: cd /etc/logodidact/userlist/
In der Regel sind dies standardmäßig Schüler und Lehrerlisten, sowie "Sonstige Benutzer".

Die Konfigurationsinformationen zu jeder Nutzerliste liegen im selbigen Verzeichnis und sind als benutzer.info gekennzeichnetSie benötigen daher 2 Listen, einmal die reine Nutzerliste und dazu die entsprechende Listenkonfiguration.
logosrv_Nutzerliste.PNG

Mittels eines FTA (FileTransferAgent) wie z.B. WinSCP ist ein Export aller Benutzerlisten aus dem serverseitigen Pfad im logosrv möglich. Wandeln Sie danach die .list-Dateien in CSV-Dateien um. Das geht mittels gängiger Software wie Microsoft Excel, Notepad++ oder der normale Windows Editor.
Aus den zugehörigen .info-Dateien sind für den späteren Import folgende Zeilen nötig:

- CodePage = Codierung bzw. Zeichensatz
- Delimiter = Trennzeichen
- Role = Benutzerrolle
- Column 1,2,3,etc. (Bezeichnung bzw. Anzeigename der Spalten in der ersten Zeile einer Benutzerliste)
- Columns mit dem Schlüsselwort "PKEY" sind Spalten, welche für die Benutzerkennung genutzt werden

logosrv_Nutzerliste_conf.PNG

Nachdem alle notwendigen Informationen notiert sind, bitte mit Schritt 3.2 Import im LD Control Center fortfahren.
 

3.1.2 LD Console Export

Alternativ kann man die Benutzerlisten über die LD Console exportieren. Dazu die LD Console öffnen, beispielweise an einem internen Rechner im Schulnetz und in den Optionen den Reiter "Benutzerverwaltung" auswählen. 

LD_Console_Benutzerverwaltung.PNG

Hier findet sich im oberen Bereich eine tabellenartige Aufzählung aller auf dem Server momentan in Verwendung befindlichen Benutzerlisten. In der Regel sind dies standardmäßig Schüler und Lehrerlisten, sowie "Sonstige Benutzer". Per Maus-Rechtklick auf eine Liste öffnet sich das Options-Menü.

LD_Console_Liste bearbeiten.PNG

Über den Reiter "Benutzerliste bearbeiten" hat man im darauf folgenden Anzeigemenü die Möglichkeit, die entsprechende Nutzerliste auf ein beliebiges Netzlaufwerk (z.B. Home Verzeichnis) oder aber auf anderweitige Ordner und Datenträger zu speichern. Die gespeicherte Liste liegt im CSV-Format vor. Achten Sie darauf, die CSV-Dateien für alle Benutzerlisten zu speichern, die in Verwendung sind.

LD_Console_Listenexport.PNG

Notieren Sie sich ebenfalls die jeweilige Listenkonfiguration zu jeder einzelnen Benutzerliste und die dazugehörigen Benutzerkennungen (Spalten mit markiertem '*')
LD_Console_Benutzerverwaltung_Config.PNGLD_Console_Benutzerkennung.PNG

3.2 Import im LD Control Center

Nach dem Speichern aller Nutzerlisten geht es zurück zum Benutzerimport im neuen LD Control Center. Klicken Sie zum Anlegen einer neuen Listenkonfiguration auf das '+'-Symbol auf der rechten, oberen Seite.

image-20230607140648-1.png

Zunächst wird für jede exportierte Nutzerliste eine Konfiguration erzeugt. Wichtige Angaben sind:

- der Anzeigename der Liste (Bezeichnung)

- der Separator, auch als Trennzeichen zwischen den Spalten einer CSV-Liste bekannt. Zumeist ist der Separator ein Semikolon. 

- die Codierung bzw. Zeichensatz

- "CSV-Header ignorieren" -> zumeist besitzen die CSV-Dateien bereits Spaltennamen in der ersten Zeile. Bei aktivem Schalter werden diese ignoriert und nicht übernommen.

- Rolle (Schüler, Lehrer, Sonstige Benutzer)
 

Anschließend kann man über den Button "Benutzerliste hochladen" in der rechten oberen Optionsleiste eine Benutzerliste zur Listenkonfiguration hinzufügen.

1687340705363-630.png

Wie bereits beim Benutzerimport über die LD Console unter LD2.0 bekannt, erhalten Benutzer zur eindeutigen Zuordnung im System eine eindeutige Kennung, der sich aus verschiedenen Benutzereigenschaften  (Vorname, Nachname, Geburtsdatum, Kürzel, etc.) zusammensetzt. Notwendigerweise muss dies ebenfalls einmalig pro importierte Liste gesetzt werden und ist über die Spaltenzuordnung möglich. Ebenfalls muss das Listen-Schema unbedingt beibehalten werden.

Vergleichen Sie bei Unklarheiten die Einstellungen mit der früheren Listenkonfiguration aus der LogoDIDACT Console. Dort sind alle Spalten mit einem * markiert, die für die Benutzerkennung verwendet wurden. 

1687340859201-381.png

Nachdem alle notwendigen Konfigurationen getätigt sind, verifiziert man die Benutzerliste. Dabei werden die Datensätze aus der Benutzerliste auf Vollständigkeit und Korrektheit geprüft. Die Verifizierung erfolgt in der allgemeinen Benutzerimport-Ansicht.

Mit einem Klick auf die entsprechende Benutzerliste wählen Sie das "Prüfen"-Symbol aus. Über den Status wird der Fortschritt der Verifizierung angezeigt.

ld40_ctrl_Benutzerimport.PNG

Neben dem Status existiert auch eine Log, die bei Verifizierungsfehlern Aufschluss geben kann. Zumeist handelt es sich um doppelte Datensätze, ungültige Zeichen oder fehlende Spaltennamen. Ergänzen und korrigieren Sie dies bei Bedarf, solange bis keiner Fehler mehr bei der Verifizierung auftreten.

1687341536144-291.png

ld40_ctrl_Benutzerimport_Verifizierung-erfolgreich.JPG

Mit erfolgreicher Verifizierung der Benutzerliste ist der Vorgang abgeschlossen.

Das zu erwartende Ergebnis in der Verifizierung ist, dass keine Benutzerkonten gelöscht oder neu erstellt werden. Dies ist der entscheidende Hinweis, dass die Benutzerlisten-Einstellungen mit den früheren Einstellungen übereinstimmen und somit die richtigen Optionen festgelegt wurden.

4.Optional

Die nachfolgenden Konfigurationen sind optional, die Festlegung dieser Einstellungen wird allerdings aus Sicherheitsgründen empfohlen.

4.1 Erstellen einer globalen Benutzerrichtlinie

Eine Benutzerrichtlinie definiert diverse benutzer/-oder gruppenbezogene Eigenschaften, darunter die Passwortrichtlinien, sowie Mail/-Festplatten/-und Druckkontingente. Im Beispiel wird zunächst eine globale Benutzerkonfiguration erstellt und mit dem ROOT-Stamm verknüpft. Aufgrund des Vererbungsprinzips erhalten alle darunter liegenden Objekte dieselbe Konfiguration. Natürlich kann die Vererbung durch Erstellen und Verknüpfen einer weiteren Benutzerkonfiguration zu einem Objekt im Stammverzeichnis überschrieben werden.

Zunächst wird unter "Home/Benutzerverwaltung/Konfigurationen/Benutzerkonfigurationen" eine neue Richtlinie erstellt, indem man auf das '+'-Symbol in der rechten oberen Optionsleiste klickt.

ld40_Benutzerkonfiguration_Generell.PNG

Im darauf erscheinenden Fenster legt man im Reiter "Generell"  zunächst einen aussagekräftigen Namen für die neue Richtlinie fest, sowie allgemeine Passworteigenschaften. Dazu gehören die Gültigkeitsdauer des Kennworts, die Beschaffenheit des Initialkennworts und ob dieses von Nutzern geändert werden muss. Lassen Sie das Feld "Gültigkeitsdauer des Kennworts" leer, haben die Kennwörter keine festgelegte Gültigkeit. Wird das Feld "Initialkennwort" leer gelassen, wird ein globales, zufälliges Standardinitialkennwort generiert. Wenn Sie diese Funktion nutzen, empfehlen wir, dies in Zusammenhang mit der Option "Kennwort" muss geändert werden" zu verwenden. Somit kann sich jeder Benutzer erstmalig mit dem Initialkennwort anmelden und nach der Anmeldung sein eigenes, persönliches Passwort festlegen.

Die explizite Passwortdefinition erfolgt im nächsten Reiter "Generierungsregeln". Hier werden die minimale Kennwortlänge, die Komplexität (Kleinbuchstaben/Großbuchstaben/Sonderzeichen, Zahlen) und auch die verwendbaren Sonderzeichen definiert. Am Besten ist eine minimale Kennwortlänge von mind. 8 Zeichen. Wir empfehlen die Passwort-Vorgaben von Microsoft einzuhalten. Besonders an Schulen, welche den LD-Azure-Sync-Connector zur Benutzerkontensynchronisation vom lokalen LD-Server zu Microsoft 365 nutzen, ist die Vorgabe unerlässlich.

Im nachfolgenden Beispiel ist eine Standard-Kennwortkonfiguration zu sehen. Die minimale Kennwortlänge beträgt 10 Buchstaben, wovon mind. 1 Kleinbuchstabe, 1 Großbuchstabe, 1 Zahl und 1 Sonderzeichen enthalten sein muss. Im Feld "Verwendbare Sonderzeichen" kann man die den Nutzern zur Verfügung stehenden Sonderzeichen definieren. Je nach Schulart können Sie die Passwort-Komplexität somit anpassen.
ld40_Benutzerkonfiguration_Speziell.PNG

Im letzten Reiter "Kontingent" erfolgen die Kontingentbegrenzungen zu Mail/-Festplatten/-und Druckkontingenten. Im nachfolgenden Beispiel erhält jeder Benutzer, welcher von dieser Benutzerrichtlinie verwaltet wird,
- ein Mailkontigent (Postfachgröße im Kopano) von 2GB

- ein Festplattenkontingent (Speichergröße des Homelaufwerkes auf dem LD Server) von 500MB

- Druckkontingent von 0 (Drucken ist verboten). Das Druckkontingent greift lediglich in Verbindung mit konfiguriertem cups/pykota @Jonas Mayer : stimmt das noch? Bin mir da nicht sicher, dann bitte korrigieren.

ld40_Benutzerkonfiguration_Kontingent.png
 

Verknüpfen Sie die Konfiguration im Anschluss in der allgemeinen Übersicht mit einem Objekt (Mandant, Gruppe, Rolle,etc.). Diese Einstellungen gelten global für alle Benutzer-und Gruppenobjekte unterhalb des verknüpften Objektes.  Natürlich können auch weiterhin in den Benutzer-Einstellungen für einzelne Nutzer Quotas angepasst werden. Die vererbte, übergeordnete Benutzerrichtlinie gilt somit für das einzelne Nutzerobjekt nicht mehr.
LD40_Benutzerverwaltung_allgemein.png

4.2 Treiberkonfiguration

In den Optionen einer Treiberkonfiguration können mit LD4.0 nun "Treiber von WinPE Konfiguration übernehmen" aktiviert und deaktiviert werden. Somit verwendet der Client schlussendlich explizit die vom Nexus während der WinPE-Phase bereitgestellten Treiber. Damit soll Treiberproblemen, welche häufig in Bluescreens enden , während der kritischen Erstinitialisierungsphase (selbstständiger Bootvorgang nach durchlaufener Setup-Phase)  in Windows vorgebeugt werden.
https://www.ubackup.com/screenshot/de/others/windows-10-inaccessible-boot-device-after-clone.png

Zu den kritischen Treibern zählen notwendige Festplatten-und Grafiktreiber, sowie Netzwerktreiber.
Treiberkonfigurationen finden sich im Pfad "Home/Deployment/Konfiguration/Treiber".
grafik.png