Empfohlene Konfiguration / Howto für Schulen

UCS - Univention Corporate Server
,
#1

Hallo,

wir würden uns für die kommenden Versionen eine von Univention empfohlene Installationsanleitung wünschen. Evtl. ein Howto, wie man UCS mit UCS@school installiert, konfiguriert und erweitert (Groupware z.B.).
Das könnte innerhalb der aktuellen Dokumentation sein oder auch durch ein BestPractisBeispiel. Wenn jemand dann erstmal ausprobieren möchte, kann er sich an diese Anleitung halten ohne mit gravierenden Schwierigkeiten rechnen zu müssen.
Interessierte Schulen könnte somit eine Testumgebung aufbauen und die Stolperfallen gleich zu Anfang vermeiden.
Ich denke da an die Paketauswahl für die einzelnen Server, empfohlene Hardware (Geschwindigkeit, Speicher), alles, was man vermeiden sollte usw…
In der jetzigen Dokumentation werden da einige Punkte nicht ganz deutlich, wie man vorgehen sollte.

Liebe Grüße, Gerhard Prade

#2

Sehr geehrter Her Prade,

vielen Dank für Ihre Anregungen! Ich habe hierzu einen entsprechenden Feature Request erzeugt.

Könnten Sie Ihre Wünsche an dieser Stelle einmal konkretisieren? Gern werde ich entsprechende Verbesserungsvorschläge an unsere Doku-Maintainer weitergeben.

Mit freundlichen Grüßen,
Tim Petersen

#3

Sehr geehrter Herr Meybohm,

wir sind bei unserer Neuinstallation auf folgende Punkte gestoßen/gestolpert und würden uns hierzu einen Hinweis in der Dokumentation wünschen:

  1. Master/Samba: In einer verteilten Umgebung sollte auf dem Master ausschließlich das UCS@school Pakt nachinstalliert werden. Ein Samba4/3, Cups, etc. wird nicht benötigt. Ein User könnte vermuten, dass diese Pakete wegen irgendwelchen LDAP-Schemata benötigt werden. Wir hätten in unserem Fall Nagios als einziges Paket nachinstallieren sollen, nicht aber Samba.

  2. DC-Backup: Auf ALLEN im Netzwerk befindlichen DC-Backups muss das UCS@school Paket UND die UCS@school Integration installiert werden, auch wenn der Server mit andere Apps genutzt werden soll (in unserem Fall Zarafa). Hier wäre der Hinweis notwendig, dass JEDER Server mit der Domainrolle DC-Backup betroffen ist.

  3. Namensschema: Wie im [bug]21126[/bug] beschrieben sollten zunächst die Netzwerke importiert werden, bevor eine Schule/ou angelegt wird, da sonst ein “dcfoobar-01” angelegt wird. (Ich hoffe hier den Bugreport richtig verstanden zu haben)
    Über das Webinterface kann man den Namen des SchulDCs frei wählen und ist überrascht, wenn “dcfoobar-01” erzeugt wird. Man erwartet dieses Verhalten nicht (impliziert durch das Webinterface).

  4. Join: Es sollte ein Hinweis auf die Joinreihenfolge und Joinhäufigkeit gemacht werden. Obwohl man (auch laut unserem Supporter) erwartet, dass ein “Rejoin” problemlos ist, kann es hier zu Schwierigkeiten kommen. Ebenso sollte es eine Empfehlung der Reihenfolge des Joinens geben und welche Voraussetzungen ein System erfüllen muss, damit es gejoint werden kann. Wir hatten das Problem durch unsere langsame Verbindung zum Master, dass mehrere DCs nicht gleichzeitig gejoint werden konnten.

  5. Leistung: Je nach Userzahlen oder Anzahl an Clients wäre eine Empfehlung, wenn überhaupt möglich, bzgl. der Hardware sinnvoll. Trotz 16 GB RAM, 4Core-CPU und Gigabitnetzwerk haben wir zu Stoßzeiten eine 100% Auslastung und eine load avarege von 2 und mehr. Zu der Zeit sind bis zu 50 Clients gleichzeitig am SchulDC angemeldet. Allerdings haben wir keine Xeon CPU und der DC läuft als VM auf ESXi. Für einen Server schon unterste Grenze.

  6. Importreihenfolge: Da wir User, Clients und Netzwerke über die Importskripte importiert haben, wäre eine Empfehlung der Reihenfolge wünschenswert. Es scheint ein Problem zu sein erst die ou anzulegen und dann erst die Netzwerke zu importieren. (Gibt es eine Möglichkeit die Namen der Netzwerke selbst zu wählen? Wir haben in der externen Firewall Namen, die vom Supporter vorgeschlagen wurden um die Netze besser unterscheiden zu können. Hier wäre es wünschenswert die Namen in UCS anzugleichen. z.B. mgmt-lan, gebi-lan usw.)

  7. Forwarding: Da sicher in einigen Schulen der Zugriff auf das Internet ausschließlich über den Proxy des SchulDCs laufen soll, sollte es keine direkte Verbindung der Clients zur Firewall/Router geben. In dem Fall (wie bei uns) muss der Server über zwei Netzwerkkarten verfügen. Die Firewall kann dann so konfiguriert werden, dass sie nur Verbindungen vom Server erlaubt, benötigt aber das IP Forwarding.

Um das IP Forwarding zu aktivieren ist folgendes notwendig:

  • bearbeiten der Datei /etc/sysctl.conf
  • Kommentarzeichen # der Zeile net.ipv4.ip_forward=1 entfernen
  • da dies erst nach einem Neustart greift entweder neu starten oder in der Kommandozeile “echo 1 > /proc/sys/net/ipv4/ip_forward” ausführen

Ein entsprechender Hinweis sollte mit aufgenommen werden.

  1. Reihenfolge: Da es nicht unwichtig scheint, wann wo was installiert wird, würden wir uns eine Empfehlung der Reihenfolge für eine verteilte Umgebung wünschen (z.B. erst Master, dann UCS@school, dann DCBackup, dann UCS@school, dann SchulDC). Betroffen wären davon die Punkte Server (Master, Backup, DC, DC-V, evtl. Memberserver), die Pakete (Samba, DHCP, CUPS, WebProxy, Nagios), das Importieren (User, Clients, Netzwerke, Drucker) und das Joinen. Wenn eine Schule nun eine UCS-Umgebung aufsetzen wollte (sei’s auch nur zum Testen), dann könnte sie sich daran “entlanghangeln”.

Soweit erst mal die Punkte, die uns bei der Neuinstallation aufgefallen sind.

Mit freundlichen Grüßen, Gerhard Prade

#4

Sehr geehrter Herr Prade,

vielen Dank, dass Sie sich die Zeit genommen haben Ihre Anregungen und Erfahrungen so ausführlich zu schildern!
Ich habe diese Punkte entsprechend weitergegeben.

Mit freundlichen Grüßen,
Tim Petersen

#5

Hi,

gibt es denn schon ein solches Dokument?

Wir sind gerade dabei, UCS zu testen und wollen die ganze Struktur auch vernünftig aufbauen.

So z.B. die Frage, wo ich welche Computer hinzufügen soll bzw. was genau der Unterschied ist zwischen den Computern unterhalb des Schul-Containers und der direkt unterhalb von /. Oder ist das mehr oder weniger nur eine strukturelle Unterscheidung?
Also die VerwaltungsPCs unterhalb von / und die, die die SChüler nutzen unterhalb des Schul-Containers?

Danke!

/knebb

#6

Hallo,

die Verbesserungsvorschläge von Herrn Prade sind in die Wiki Dokumentationen und die Handbücher übernommen worden. Ein Startpunkt sollte hier die Wiki Seite UCS@school sein, dort finden Sie Links zum Quickstart-Guide und der Dokumentation die die grundlegenden Konzepte von UCS@school vermittelt.

[quote=“knebb”]So z.B. die Frage, wo ich welche Computer hinzufügen soll bzw. was genau der Unterschied ist zwischen den Computern unterhalb des Schul-Containers und der direkt unterhalb von /. Oder ist das mehr oder weniger nur eine strukturelle Unterscheidung?
Also die VerwaltungsPCs unterhalb von / und die, die die SChüler nutzen unterhalb des Schul-Containers?[/quote]
Computer und Benutzer werden, wenn diese Teil einer Schule sind, unterhalb der Schul-OU angelegt. Die UCS@school Wizards bzw, die Import Scripte (docs.univention.de/ucsschool-han … tup-school) übernehmen dies entsprechend.

Mit freundlichen Grüßen
Janis Meybohm

#7

[quote]3. Namensschema: Wie im Bug #21126 beschrieben sollten zunächst die Netzwerke importiert werden, bevor eine Schule/ou angelegt wird, da sonst ein “dcfoobar-01” angelegt wird. (Ich hoffe hier den Bugreport richtig verstanden zu haben)
Über das Webinterface kann man den Namen des SchulDCs frei wählen und ist überrascht, wenn “dcfoobar-01” erzeugt wird. Man erwartet dieses Verhalten nicht (impliziert durch das Webinterface).[/quote]
Ergänzend würde ich hierzu gern noch anmerken, dass es schön wäre, wenn beim Aufruf von create_ou eine Meldung ausgegeben wird, falls ein Rechner (dcfoobar-01) hierzu automatisch angelegt wurde.

#8

Hallo,

[quote=“tomerb”]Ergänzend würde ich hierzu gern noch anmerken, dass es schön wäre, wenn beim Aufruf von create_ou eine Meldung ausgegeben wird, falls ein Rechner (dcfoobar-01) hierzu automatisch angelegt wurde.[/quote]dazu habe ich gerne einen neuen Feature-Request aufgenommen.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon