Wir haben bei uns eine Arbeitsgruppe Tablets, die die verschiedenen Aspekte einer 1:1 Ausstattung der Schüler/-innen ausleuchten und bis 2015 (Budget 2016) eine Empfehlung zu Handen des Schulrates machen soll (vgl. auch diesen Beitrag).
An einer weiteren Sitzung ging es darum, aufzuzeigen, was aus technischer Sicht zu beachten ist. Eine grössere Einführung hat Auswirkungen auf Netzwerk, Support etc. Die folgenden Gedanken haben keinen Anspruch auf Vollständigkeit, sondern sind das, was ich mir als Input für diese Sitzung für eine Schule unserer Grösse zurechtgelegt habe…
3 Strategien
Meiner Meinung gibt es 3 Strategien für eine 1:1 Ausstattung mit Tablets oder ähnlichen Geräten:
BYOD
- BYOD steht für Bring your own device, Schüler/-innen bringen also ihr eigenes Gerät von zuhause mit in die Schule.
- Die Schule stellt Geräte für Schüler/-innen, die keines zur Verfügung haben. Hier stellt sich die Frage, für wie viele Prozent der Schüler/-innen dies der Fall ist. Es ist schwierig, hier eine Schätzung zu machen, ich würde mal von 25% ausgehen.
Schule: iOS, Android, Win RT
- Diese Geräte wurden entwickelt für den Privatgebrauch.
- Mit den bei uns vorhandenen Möglichkeiten lassen sie sich NICHT zentral verwalten.
- Die Geräte sind aber eingeschränkt verwaltbar mit zusätzlich zu kaufenden MDM (Mobile Device Management) Lösungen.
Schule: Win Pro
- Solche Geräte sind durch bei uns vorhandene Lösungen wie SCCM und Gruppenrichtlinien verwaltbar.
Netzwerk
Es gibt grundsätzliche Auswirkungen auf unser Netzwerk, unabhängig von der eingesetzten Technik. Es ist zum Beispiel absehbar, dass der Internetzugang nicht genügen wird. Aber auch die Verbindungen zwischen den Schulhäusern kommen natürlich verstärkt unter Last.
Wir haben 11 angemietete Glasfaserleitungen zwischen den einzelnen Standorten, zwei weitere Standorte sind über eine Funkbrücke angebunden und zusätzlich 3 Kindergärten mit eigenem Internetzugang, die per VPN angebunden sind. Total stehen in diesem Netzwerk jetzt schon etwas über 350 Geräte.
Der Internetzugang steht beim Serverstandort und läuft im Moment mit 20Mbit/s up and down über Glas, was jetzt schon sehr wenig ist. Im Moment warten wir aber noch ab, was die Swisscom mit ihrem Gratisanschluss für die Schulen plant. Wahrscheinlich müssen wir in Zukunft für den Internetanschluss wieder bezahlen um eine genügend grosse Bandbreite zu erhalten.
Die Glasfaserleitungen funktionieren mit 1Gbit/s und kommen natürlich auch verstärkt unter Last, wenn weitere Geräte ins Netz kommen. Zum Teil sind noch Switches im Einsatz, die älter als 10 Jahre sind.
BYOD
- Muss über ein Netzwerk laufen, dass vom internen Servernetz getrennt ist. Die internen Dienste wie Noten, Mail, Fileserver müssen funktionieren. Ungewartete Geräte haben in so einem grossen Netzwerk nichts verloren.
Schule: iOs, Android, WinRT
- Auch diese Geräte lassen sich nicht vollständig zentral verwalten und gehören daher auch nicht ins interne Netzwerk, sondern müssen von diesem getrennt werden. Dies ist aber, wie auch bei BYOD, kein Problem. Wir haben die Möglichkeit, ein Wlan Netzwerk unabhängig vom internen Netzwerk anzubieten. Unter Umständen kann es für die Schüler ein Nachteil sein, nicht auf den Server zugreifen zu können um beispielsweise Dateien auszutauschen oder auch für die Lehrperson, die keinen Zugang zum internen Netzwerk (Lehreroffice, Userhome,…) hat. Dateien können aber über z.B. über einen Cloudspeicher ausgetauscht werden, dazu später aber noch mehr.
Schule: Win Pro
- Windows Pro Tablets haben das gleiche Betriebssystem wie unsere Feststationen und Laptops (sobald wir auf Windows 8.1 gewechselt sind). Damit lassen sie sich auch genau gleich wie die bisherigen Geräte mit bereits vorhandenen Möglichkeiten zentral verwalten und können daher wie die bisherigen Geräte im internen Netzwerk betrieben werden. Damit besteht auch ein Zugang zu internen Ressourcen wie Dateien (oder Lehreroffice für die Lehrpersonen) oder auch Druckern. Trotzdem müsste wohl zusätzlich eine Möglichkeit geschaffen werden, von ausserhalb auf die Daten zugreifen zu können, wie oben erwähnt z.B. über einen Cloudspeicher.
Netzwerklast
Bei einer 1:1 Ausstattung werden wir deutlich mehr Netzwerklast haben. Wenn z.B. also eine ganze Klasse eine Audiodatei vom Internet herunterlädt, um sie im eigenen Tempo anzuhören oder wenn alle einen Youtubeclip ansehen, um z.B. Hörverständnisfragen im Englisch zu beantworten, bedeutet das auch mehr Bandbreite als wenn nur die Lehrperson diese Datei herunterlädt oder streamt. Einen Teil davon kann unser Proxy durch Zwischenspeicherung abdecken, aber es gibt auch Dateien, bei denen das nicht funktioniert oder die jeder einzelne in einen Cloudspeicher speichert oder herunterlädt.
Im Moment haben wir noch einen unterdimensionierten Internetzugang von der Swisscom, der dafür gratis ist. Voraussichtlich werden wir so oder so einen schnelleren benötigen. Der nächste Flaschenhals könnte dann irgendwann auch das interne Netzwerk sein. Die Schulhäuser sind mit Glasfaserleitungen verbunden, die maximal 1Gbit/s übertragen können. Je mehr Geräte im Netzwerk sind, desto mehr Geräte teilen sich auch diese Bandbreite. Über das gleiche Netzwerk läuft interner Netzwerkverkehr (Zugang zum Dateiserver, Zugang zum Mailserver, Zugang zu Lehreroffice, Verteilung von Software, …) und externer Verkehr zu Onlinespeicher etc.
BYOD
und
Schule: iOS, Android, Win RT
- Jedes Update wird von jedem Gerät einzeln angefordert. 100 Geräte brauchen für ein Update also 100 mal so viel Daten wie ein Gerät.
Win Pro
- Mit WSUS resp. SCCM hat Microsoft eine Möglichkeit implementiert, mit der Updates nur einmal auf einen Updateserver heruntergeladen werden müssen und von dort dann auf die einzelnen Geräte gelangen. Mit BITS werden Updates so verteilt, dass in Abhängigkeit von vorhandener Bandbreite das Tempo bestimmt wird.
Da wir unser WLAN mit einer Sophos UTM beim Internetzugang verwalten, können wir dort auch Quality of Services Regeln bestimmen, um auszuschliessen, dass z.B. keine Stellwerktests mehr funktionieren, weil alle iOS oder Android Geräte ein Update gleichzeitig herunterladen.
Laptops
BYOD
- Wenn alle Schüler/-innen ein eigenes Gerät mitbringen, haben wir keine gemeinsame Grundausstattung. Dies bedeutet, dass wir weiterhin Laptops im Netzwerk benötigen, auf denen z.B. der Stellwerk-Test oder andere Seiten, die nicht auf allen Geräten laufen, funktioniert. Ausserdem setzen wir diverse Software ein, die nicht auf allen mobilen Geräten lauffähig ist, wie Logisch, envol und vieles mehr. Auch die PISA Tests in diesem Jahr laufen auf den vorhandenen Laptops, weil die Informatikzimmer zu wenig gleichzeitige Arbeitsplätze bieten. Andere Software wie das Tastaturschreiben scheitert dann allenfalls an der fehlenden Tastatur, auch wenn man noch eine passende App für alle verschiedenen Systeme finden würde. Im Moment könnte also auf die vorhandenen Laptops kaum verzichtet werden.
Schule: iOs, Android, WinRT
- Auch bei diesen Geräten könnte aus den oben genannten Gründen im Moment noch nicht auf die Laptops verzichtet werden.
Schule: Win Pro
- Auf Win Pro Geräten läuft neben den Apps aus dem Store auch alle andere Software, die wir bis jetzt einsetzen. Diese könnte durch die vorhandenen Abläufe auch auf diese neuen Geräte installiert werden. Allenfalls kommen aber noch Lizenzkosten hinzu, wenn Software auf so vielen weiteren Geräten installiert wird. Zumindest bei den Microsoft Programmen inkl. Office ist das aber nicht der Fall, weil da nicht mehr pro Gerät lizenziert wird, sondern pro «Vollzeitäquivalent» der Lehrkräfte.
Noch ein Gedanke zu den Officeprodukten: Es wird zwar immer wieder betont, dass man nicht Produkte üben soll, sondern Strategien. Dies ist grundsätzlich auch richtig. Trotzdem ist es im Moment halt auch eine Tatsache, dass die Lehrbetriebe von unseren Schülerinnen und Schüler Grundkenntnisse in den Officeprodukten erwarten.
Im Moment ist es so, dass nur mit einem vollwertigen Laptopbetriebssystem auf die bestehenden Laptops verzichtet werden kann, bei unserem Windowsnetzwerk macht MacOS keinen Sinn, daher kommt nur Windows Pro in Frage. Bei Geräten mit iOS, Android oder auch Windows RT würden die bestehenden Laptops auch in Zukunft gebraucht.
Support
BYOD
- Die meisten Geräte gehören den Schüler/-innen, somit wären sie auch für diese zuständig. Die Frage ist, wie viel Support zusätzlich überhaupt noch geleistet werden muss. Dann bleibt auch noch die Frage, wer diesen Support leistet. Grundsätzlich lassen sich die Geräte nur bedingt zentral managen, daher müsste wohl auch der Support dezentral ausgelegt werden (wenn es denn diesen überhaupt braucht).
Schule: iOs, Android, WinRT
- Auch hier ist es so, dass man die Geräte nur bedingt zentral verwalten kann, sich also ein dezentraler Support anbieten würde.
Bei beiden Strategien könnte man allenfalls mit Mobile Device Management Lösungen wie AirWatch, MobileIron, Sophos Mobile Control oder Microsoft Intune bestimmte Dinge automatisieren, aber auf den ersten Blick scheint es eher um Dinge zu gehen, die bei uns nicht gleich stark von Bedeutung sind wie bei Firmen. Gleichzeitig kommen noch hohe Kosten hinzu, so dass man sich fragen muss, ob man nicht besser ganz darauf verzichtet. Diese und ähnliche Lösungen müsste man aber auf jeden Fall noch genauer ansehen.
Schule: Win Pro
- Diese Geräte lassen sich mit Gruppenrichtlinien und SCCM vollständig verwalten. Damit verwalten wir im Moment 350 Geräte zentral. Sobald wir auch die Feststationen auf Windows 8.1 migriert haben, ist die Vorgehensweise die gleiche wie mit zusätzlichen Tablets, Convertibles oder…. unter Windows 8.1. Mit den gleichen Servern könnten, ohne zusätzliche Lizenzkosten, auch noch ein paar hundert weitere Geräte verwaltet werden.
Pädagogischer Support
Unabhängig vom Betriebssystem ist es sehr wichtig, pädagogischen Support zu leisten. Kurse, die Beispiele von Anwendungen etc. aufzeigen, können weiterhin auch zentral angeboten werden. Anwendersupport bei auftretenden Fragen muss aber vor Ort gelöst werden. Ob dann die Entlastung für die Supporter in den einzelnen Schulhäusern ausreicht, ist fraglich. Allenfalls müsste dieser zumindest in einer Einführungsphase ausgedehnt werden.
Apps / Software
BYOD
- Die Schüler/-innen haben einen eigenen Account im entsprechenden Store. Bei kostenpflichtiger Software müsste ein Gutschein oder eine Gutschrift für die Software zur Verfügung gestellt werden.
Mit einer Mobile Device Management Lösung könnte es allenfalls möglich sein, Software auch zentral zu kaufen und dann auf die Geräte zu verteilen (und dann nach Austritt auch wieder zu löschen um sie für einen anderen Account freizustellen). Wie teuer solche Lösungen sind, wie komfortabel die Bedienung ist und viele ähnliche Fragen, müssten zuerst geklärt und getestet werden. Erste kleinere Recherchen deuten auf hohe Kosten bei beschränktem Funktionsumfang hin.
Schule: iOS, Android, WinRT
- Hier stellt sich die Frage, ob die Geräte durch die Schüler/-innen gewartet werden oder durch die Lehrperson oder durch einen Supporter vor Ort.
Wie bei BYOD stellt sich auch hier die Frage nach einer MDM Lösung und deren Kosten und Möglichkeiten. So weit ich weiss, bietet z.B. Apple noch keine Volumenlizenzen in der Schweiz an. Ausserdem bietet der Apple eigene Konfigurator nur die Möglichkeit 30 Geräte zu verwalten, ausser es hätte sich in letzter Zeit da etwas geändert. Auch hier stellen sich also noch viele Fragen, die geklärt werden müssten. In unserem Pilotprojekt mit iPads wird alles von der Lehrkraft bewältigt.
Schule: Win Pro
- Die Verwaltung ist die gleiche, wie bei den bereits vorhandenen Geräten.
Es bleiben aber noch offene Fragen bezüglich Windows Store Apps, die sich nicht gleich verteilen lassen, wie andere Windows Anwendungen. Diese offenen Fragen müssen aber auch beim Upgrade der vorhandenen 350 Clients geklärt werden.
Bei diesen Geräten kann auch alle andere Software verwendet werden, für die wir im Moment noch die Laptops einsetzen. Lernsoftware, Programmiersoftware z.B. für den Robotikkurs mit Lego Mindstorms, Officeanwendungen, Bildbearbeitung, Internetseiten mit Flash oder Java, Tastatursoftware, …. Es kann jederzeit ein USB Stick eingesteckt werden oder eine Filmkamera im Lager oder eine USB Tastatur fürs Tastaturschreiben oder…
Beamer
Um das Bild der mobilen Geräte auf den Beamer zu bringen, sollte dieser nach Möglichkeit einen zweiten Anschluss haben, am besten einen HDMI Anschluss. Ansonsten müsste man Umstecken oder nach einer technischen Lösung suchen, die zwischen zwei Eingängen umschalten kann.
BYOD
- Um die Inhalte der Geräte auf einen Beamer zu bekommen, benötigt man sowohl ein Miracast fähiges Gerät als auch einen Apple TV. Diese erstellen ein neues Wlan, mit dem sich die Geräte verbinden können und über das der Bildschirminhalt dann übertragen wird.
Schule: iOs, Android, WinRT
- Hier kann man sich auf eines der beiden Geräte beschränken
Schule: Win Pro
- Hier kann man sich auf eines der beiden Geräte beschränken
Stift
Sollen die Schüler/-innen auf dem Tablet auch von Hand schreiben (nicht nur mit der eingeblendeten Tastatur) oder zeichnen, gibt es grosse Unterschiede in der Bedienung. Bei manchen Tablets muss man einen Stift verwenden, der einen Finger nachahmt (kapazitiv), bei anderen ist eine Stifterkennung z.B. über eine Lösung von Wacom (Digitizer) eingebaut. Diese sind genauer, können Druckstufen erkennen und man kann die Handballen auflegen. Das Schreiben ist viel ähnlicher zum «analogen Schreiben» als mit kapazitiven Stiften. Es gibt Android Tablets und Windows Tablets mit Digitizern, aber keine iOS Geräte.
Verwaltung
BYOD
- Wenn ein Exchange Konto eingerichtet wird, können z.B. Kennwortrichtlinien durchgesetzt werden, was für Firmen wichtig sein könnte, bei uns aber nicht wirklich.
Mit zusätzlichen MDM Lösungen ist weiteres möglich, müsste aber noch genauer abgeklärt werden. Die Frage ist, ob das überhaupt notwendig ist.
Schule: iOs, Android, WinRT
- Bei iOS gibt’s den Konfigurator (max. 30 Clients), oder die Server App von MacOS. Ansonsten müsste wie oben auch auf externe Lösungen (MDM) zurückgegriffen werden. Auch hier stellt sich die Frage, ob die Schüler/-innen ihr Gerät nicht besser selber verwalten sollten.
Schule: Win Pro
- Mit SCCM verwalten wir unsere Windows Clients bisher. Mit dem gleichen Produkt werden andernorts erfolgreich tausende bis zehntausende Clients verwaltet. Die Apps aus dem AppStore werden aber anders verwaltet. Dazu kann man z.B. Windows Intune verwenden. Hier habe ich noch keine Erfahrung, da wir immer noch Windows 7 auf unseren Clients einsetzen. Dieses Problem müssen wir aber auch für die bestehenden 350 Clients angehen.
Die Frage ist also auch, wie weit die Geräte verwaltet werden müssen. Wenn jeder Schüler und jede Schülerin sein Gerät selber verwaltet und das Netzwerk von den internen Ressourcen getrennt ist, könnte man wahrscheinlich ganz auf eine Verwaltung verzichten. Es bleiben dann aber immer noch Fragen. Wer verwaltet (wie) die Geräte der Schüler/-innen, die kein eigenes Gerät mitbringen? Wlan Passwörter, Mail Einrichtung, Apps installieren etc. müsste durch die Schüler/-innen erledigt werden. Dies sollte aber eigentlich kein Problem darstellen, auch hier wird gelernt.
Cloud
Diese Überlegungen treffen auf alle Lösungen zu. Um auch ausserhalb des Netzwerks auf Daten zuzugreifen, muss eine Dateiablage von ausserhalb zugänglich sein. Die Datenschützer der Schweiz empfehlen Schulen aus datenschutzrechtlichen Gründen auf Dienste wie Dropbox zu verzichten. Es gibt mehrere Möglichkeiten.
- Wir setzen uns über diese Empfehlung hinweg, wie das im Moment viele andere Schulen und unser Pilotprojekt auch machen.
- Wir evaluieren einen Cloudanbieter, der den empfohlenen Datenschutzansprüchen genügt. Hier kann es wieder Probleme geben, dass dieser Anbieter nicht einfach über Apps erreicht werden kann. Dropbox wird von den meisten Apps als Speicherort angeboten.
- Wir setzen den Schweizer Bildungsserver Educanet2 ein. Da gibt es im Moment eine kostenpflichtige App für iOS und sonst den Zugang über die Weboberfläche oder Webweaver für Windows (nicht touchoptimiert).
- Wir setzen selber einen Speicherplatz auf, der von aussen erreicht werden kann. Entweder bei uns vor Ort, oder bei einem Hosting Provider. Dazu könnte man z.B. OwnCloud verwenden, allenfalls auch Sharepoint.
- Wir arbeiten mit einer Remotedesktoplösung. Die Schülerinnen und Schüler verbinden sich über ein Remotedesktopgateway mit dem Server und haben so von überall her Zugriff auf ihre Dateien im internen Netzwerk. So würden die Daten unser Netzwerk auch nicht verlassen. Es gibt neben Windows sowohl für Android als auch für iOS einen Remotedesktopclient der auch eine Verbindung von aussen über ein Remotedesktopgateway herstellen kann.
BYOD
- Es ist darauf zu achten, dass für alle Plattformen ein Weg zum Onlinespeicher vorhanden ist. Im internen Netzwerk kann nicht auf die Dateifreigaben der Schulserver zugegriffen werden (vgl. Netzwerk).
Schule: iOs, Android, WinRT
- Es muss nur darauf geachtet werden, dass für die gewählte Plattform ein Weg zum Onlinespeicher vorhanden ist. Im internen Netzwerk kann nicht auf die Dateifreigaben der Schulserver zugegriffen werden (vgl. Netzwerk).
Schule: Win Pro
- Im internen Netzwerk können die normalen Dateifreigaben verwendet werden. Durch das vorhandene Dateisystem können Dateien auch lokal gespeichert werden, damit man diese zuhause bearbeiten kann. Für Zugang von zuhause könnte trotzdem ein Clouddienst oder Remotedesktop eingesetzt werden.
Rechtliches
Auch rechtlich gibt es noch einige offene Fragen. Dies sind nur ein paar wenige Gedanken:
- Wer haftet, wenn das Gerät kaputt geht. Diese Frage stellt sich bei den privaten Geräten, als auch bei denjenigen, die die Schule zusätzlich oder ausschliesslich zur Verfügung stellt.
- Wer haftet, wenn durch das schulische Netzwerk private Geräte mit Malware infiziert werden?
- Ist die Schule verantwortlich für die Inhalte auf den Geräten? In der Schule betreiben wir einen Contentfilter, zuhause ist das schwieriger. Können solche Fragen durch Benutzerreglemente gelöst werden?
- ……….
Fazit
Wie oben erwähnt sind diese Gedanken ohne Anspruch auf Vollständigkeit. Ich meine aber, es sei mir an unserer Arbeitsgruppensitzung gelungen, mit diesen Punkten aufzuzeigen, dass es nicht damit getan ist, einfach ein paar Geräte zu kaufen, sondern dass bei einer grösseren Einführung vieles beachtet werden muss.
Es gibt verschiedene Hürden (Lehrpersonen, Finanzen, Schulrat, Eltern,…), unter diesen eben auch die Technik. Im Moment haben wir 350 Geräte im Netzwerk, wenn wir mit 1:1 Ausstattung arbeiten würden, kämen doch ein paar dazu (je nachdem, ab welcher Stufe man beginnen möchte – wir haben im Moment nur schon knapp 450 Oberstufenschüler/-innen).
Nichts ist schwerer vorauszusagen als die Zukunft. Aber im Moment sieht es so aus, als ob 1:1 Ausstattung die Zukunft sein wird – früher oder später. Eine gute Planung kann helfen, auftretende Probleme vorherzusehen, aber im Moment ändert sich alles so schnell, dass es sogar schwierig ist, gut zu planen…
ictschule 
Interessante Überlegungen! ich empfehle euch auf alle Fälle auch noch etwas über den Aufbau einer virtuellen Desktopinfrastruktur nachzudenken. Aus meiner Erfahrung lassen sich damit viele der aufgeworfenen Fragen und Herausforderungen angehen. Bei näherem Interesse bin ich auch gerne bereit einen Einblick in „meine“ Schule zu ermöglichen.
Vielen Dank für den Hinweis und das Angebot. Komme gerne darauf zurück, melde mich auf einem anderen Kanal.
Hoffentlich passt das hier rein.
Die Schultablets sind ja bestimmt in einem eigenen VLan auf der Sophos.
Funktioniert dort wake on lan per WLAN. Also gibt die Sophos diesen Broadcast weiter?
Unsere Schultablets sind vollwertige Windows 10 Geräte, die sich gleich verwalten lassen wie die Feststationen. Sie sind daher im VLAN des Schulhauses. Die verschiedenen VLANs sind bei uns auf dem Hauptswitch und nicht der Sophos verbunden. Damit ein Switch WOL in verschiedene Subnetze zulässt, muss man das erlauben. Bei dem von uns eingesetzten ProCurve Switch erreicht man das mit dem Befehl „ip forward-protocol udp ip-address port-number“ (vgl. https://ictschule.com/2013/04/19/cli-befehle-fr-procurve-switch/ ganz unten). WOL funktioniert aber nicht über die WLAN Schnittstelle. Die Surfaces ohne Dockingstation lassen sich so also nicht aufwecken.