Archiv der Kategorie: ICT

Office 365 – Teil 5: Benutzer migrieren

Kommentar verfassen

Es gibt verschiedene Wege, die Benutzer auf Office 365 zu migrieren. Mit dem Exchange 2013 Server Deployment Assistant kann man herausfinden, welche Migration für die eigene Umgebung in Frage kommt.

In meinem Fall mit mehr als 1’000 Accounts und einem Exchange 2007 Server wählt man die sogenannte “Staged Exchange Migration”.

Die “Staged Exchange Migration” kann sich über mehrere Wochen oder sogar Monate hinziehen. Wichtig ist, dass bis zum Abschluss der Migration die öffentlichen DNS-Einträge (Autodiscover-  und MX-Einträge) auf den lokalen Exchange Server zeigen. Dies bedeutet zwar, dass im Office 365 Admin Center die Domänen ein rotes Kreuz haben, was aber während der Migration richtig ist.

image

Der lokale Exchangeserver leitet nämlich die an ihn gerichteten Mails der bereits migrierten Benutzer an Office 365 weiter. Erst wenn alle Benutzer migriert sind, kann man die DNS Einträge auf Office 365 umstellen, damit die Mails direkt dorthin geroutet werden.

Wenn alles vorbereitet ist, kann man gemäss diesem Technet Artikel eine CSV-Datei für die Migration bereitstellen. Da das Passwort über DirSync mit dem Active Directory synchronisiert wird, benötigt man nur die Spalte “EmailAddress”. In einer CSV-Datei dürfen maximal 1’000 User vorkommen.

image

Diese CSV-Datei kann man nun im “Exchange Admin Center” vom Office 365 Portal”“ unter “Empfänger” –> “Migration” hinzufügen.

image

Beim Migrationstyp wählt man aus den oben erwähnten Gründen “Mehrstufige Migration”, also eine “staged migration”.

image

Im nächsten Fenster wählt man die vorher erstellte CSV-Datei aus.

image

Als nächstes muss man die Angaben zum Server angeben.

image

Nun muss man dem Migrationsbatch noch einen Namen vergeben.

image

Wenn man möchte, dass man per Mail über die erfolgreiche Abarbeitung des Batches informiert wird, kann man eine Mailadresse eintragen.

image

image

Nachdem der Migrationsbatch durchgelaufen ist, haben die migrierten Benutzer zwei Postfächer, eines auf dem lokalen Exchangeserver und eines in Office 365. Mails werden wegen den noch nicht umgestellten DNS Einträgen weiterhin an den lokalen Exchangeserver geliefert, welcher nun die Mails an Office 365 weiterleitet. Dies wird erreicht, indem im Active Directory die Adresse von Office 365 bei targetAddress eingetragen wird. Man kann dies mit dem ADSI-Editor überprüfen.

image

Ein Problem bleibt nun aber das bestehende Postfach auf dem lokalen Exchangeserver. So verbindet sich z.B. Outlook über den Autodiscover-Eintrag weiterhin mit dem lokalen Exchangeserver. Dieses und weitere Probleme kann man beheben, indem man das Benutzerpostfach auf dem lokalen Exchangeserver zu einem “mail-enabled user” abändert. Microsoft stellt dafür eine Anleitung und Powershellskripts zur Verfügung.

Als erstes lädt man die beiden Powershellskripts in einen Ordner, kopiert die CSV-Datei mit den migrierten Benutzern dazu und ändert den Namen auf migration.csv.

image

Nun kann man in der Exchange Management Shell das erste Skript  .\ExportO365UserInfo.ps1 ausführen lassen.

image

Für die Verbindung mit Office 365 muss man sich mit Benutzernamen und Passwort für Office 365 anmelden.

image

image

Wenn das Skript erfolgreich durchgelaufen ist, wird eine neue Datei cloud.csv erstellt.

image

Mit .\Exchange2007MBtoMEU.ps1 <FQDN von einem Domänencontroller> kann man nun die Umwandlung auslösen.

image

Wenn alles erfolgreich gelaufen ist, haben die Accounts kein Postfach mehr in Exchange, sondern sind nur noch als E-Mail-Kontakt mit der externen Mailadresse von Office 365 aufgeführt.

image

Im Office 365 Portal kann man nun unter “Benutzer” –> “Aktive Benutzer” die migrierten Benutzer auswählen.

Tipp: Ich habe mir eine neue Ansicht erstellt, die die Benutzer mit einem Postfach, aber ohne Lizenz anzeigt. Dies sind dann gerade die noch zu ändernden Benutzer.

image

Diese kann man nun alle auswählen und bearbeiten. So kann man für alle migrierten Benutzer die Standarddomäne auswählen, den Benutzerstandort auf Schweiz setzen und eine Lizenz zuweisen.

image

Wenn alles korrekt funktioniert hat, kann man den Batch im Exchange Admin Center unter “Empfänger” –> “Migration” beenden und löschen

image

Die migrierten Benutzer können sich nun auf verschiedenen Wegen anmelden. An Outlook Web App kann man sich über https://outlook.office365.com und am Portal über https://portal.office365.com anmelden.

image

Bei der ersten Anmeldung muss man noch Sprache und Zeitzone auswählen.

image

image

Über Active Sync kann man wie gewohnt ein neues Exchange Konto hinzufügen und die persönlichen Daten eintragen. Bei mir genügten die Mailadresse und das Passwort nicht. Es wurde auch der Benutzername (gleich wie Mailadresse) und der Server (outlook.office365.com) abgefragt. Ich gehe davon aus, dass dies nicht mehr nötig ist, wenn nach der vollständigen Migration die DNS Einträge angepasst sind.

image

Bei einem bereits eingerichteten Outlook Profil muss man die neue Verbindung herstellen. Beim Starten von Outlook erscheint ein Anmeldefenster. Beim Benutzernamen wird die intern verwendete Domäne vorgeschlagen, welche auf die korrekte öffentliche Mailadresse geändert werden muss.

image

image

Am Schluss kommt eine Meldung, dass Outlook nun neu gestartet werden muss.

image

Danach startet Outlook korrekt mit der neuen Verbindung zu Office 365.

image

Über diese Änderungen sollte man die Benutzer mit einer Anleitung informieren.

Alternativ könnte man mit dem “Office Customization Tool” eine angepasste MSP-Datei erstellen, die sich dann verteilen lässt. Wegen einem Problem mit Benutzern, die Outlook noch nie geöffnet haben, musste ich so eine angepasste MSP-Datei verteilen. Weitere Informationen findet man in diesem Beitrag.

Es bleiben ein paar weitere “Real-World” Probleme.

Public Folders
Microsoft bietet zwar Skripts zum Migrieren der öffentlichen Ordner, aber solange diese Skripts nicht ausgeführt wurden, können die migrierten Benutzer nicht auf die öffentlichen Ordner zugreifen und nachdem sie ausgeführt wurden, können die noch nicht migrierten Benutzer nicht mehr auf sie zugreifen…

Passwort ändern
Bisher konnten Benutzer, die nicht an einem Computer in unserem Netzwerk arbeiten (z.b. Schulräte), ihr Passwort von extern über Outlook Web Access (OWA) zurücksetzen, auch nachdem es abgelaufen ist. Da DirSync aber die lokalen Passwörter nach Office 365 synchronisiert, können die Passwörter nur noch von intern geändert werden. Der beste Weg wird wohl sein, nicht das ganze AD zu synchronisieren und für diese Benutzer nicht synchronisierte “cloud-only” Accounts anzulegen.

zurück zur Übersicht

Schulhauslizenz von Young World 2 installieren

Kommentar verfassen

Die PH Luzern hat eine Lernsoftware zu Young World erarbeitet und stellt diese den Schulen von Luzern kostenlos zur Verfügung. Schulen von anderen Kantonen können das Lehrmittel über diesen Anbieter beziehen.

Wir haben für unsere Primarschule eine Lizenz gekauft und nun sollte ich eine Installation für die entsprechenden Computer erstellen. Auf einem beiliegenden Zettel wird vorgeschlagen, das Programm auf einem Server zu installieren und dann eine entsprechende Verknüpfung zu erstellen, die man dann ja auch irgendwie auf die Clients verteilen müsste. Da keine zentrale Datenbank oder ähnliches gepflegt wird, ist mir eine lokale Installation auf den Clients viel sympathischer, da dann bei der Anwendung keine grossen Datenpakete wie Audiofiles übers Netzwerk fliessen.

image

Das Programm schlägt C:\Program Files (x86)\English_YW2 als Zielverzeichnis vor. Bei einer späteren Verteilung könnte das Probleme mit vorhandenen 32bit Windows 7 Installationen geben, die wir auch immer noch im Einsatz haben.

image

Daher habe ich die Installation auf C:\Lernprogramme\English_YW2 verlegt.

image

Die Installation besteht aus einem reinen Kopiervorgang (und dem Erstellen der dem Installationspfad angepassten Verknüpfungen).

image

Da das Programm nichts anderes benötigt als die Dateien im Ordner, kann man nun diesen Ordner und die Verknüpfung (auf den richtigen Pfad) speichern und die virtuelle Maschine wieder auf den Grundzustand zurücksetzen.

Nun kann man ein Skript zur Installation erstellen, das die Dateien auf den lokalen Client kopiert.

@echo off
REM Ordner English_YW2 auf c:\Lernprogramme\ kopieren
robocopy %~dp0\English_YW2 c:\Lernprogramme\English_YW2 /s
REM Verknuepfung in Startmenue kopieren
robocopy „%~dp0\English Young World 2“ „C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lernprogramme“
REM Return exit code to sccm
exit /B %EXIT_CODE%

image

Nun kann man mit SCCM den ganzen Ordner auf einen Verteilungspunkt verteilen und als Programm das install.cmd Skript ausführen.

image

Wie oben schon angetönt wäre eine andere Möglichkeit, dass man die Software auf einem Server installiert und dann nur die Verknüpfung auf die Clients verteilt. Das könnte man auch mit Robocopy erledigen oder über die Group Policy Preferences. Dies verursacht dann aber mehr Netzwerklast im Einsatz und vor allem installiere ich nicht gerne Clientsoftware auf Servern. Seit der Virtualisierung von Servern ist dies zwar auch etwas entschärft, man kann ja einfach noch einen zusätzlichen Applikationsserver erstellen, auf dem keine wichtigen anderen Dienste laufen.

Man merkt also leider auch dieser neueren Lernsoftware an, dass bei der Erstellung nicht an grössere Netzwerke und automatisierte Verteilung gedacht wurde. Wünschenswert wären Parameter für die automatisierte Installation im Stil von setup.exe /”ich möchte eine automatische Installation” /”ich möchte kein Desktopsymbol” /”Pfad für die Installation” /”Pfad zu einem allfälligen Logfile”.

BITS Problemen nachgehen

Kommentar verfassen

SCCM kann so konfiguriert werden, dass bei Dateiübertragungen BITS (Background Intelligent Transfer Service) verwendet wird.

Bei Problemen mit BITS kann man z.B. einen Download Vorgang auf Fehlermeldungen überprüfen. Auf der Kommandozeile ging das mit “bitsadmin /list /allusers”.

image

Da bekommt man aber eine Fehlermeldung, dass BITSAdmin veraltet sei und man besser die BITS Powershell Cmdlets verwenden würde.

Zuerst muss man die Module importieren:

Import-Module BITSTransfer

image

Danach kann man die Dateiübertragung überprüfen mit:

Get-BitsTransfer –AllUsers

image

systeminfo

Kommentar verfassen

Um die Modellnummer eines Computers herauszufinden, kann man msinfo32 benutzen oder auf der Kommandozeile systeminfo | find “modell” eingeben.

image

Mit systeminfo | find “startzeit” bekommt man die Zeit, zu welcher der Computer gestartet wurde. Über | find “suchtext”  kann man nach allen Angaben suchen, die “systeminfo” liefert. Mit systeminfo /s Computername | find “suchtext” lässt sich auch nach Systeminfos auf entfernten Computern suchen.

erster Austauschnachmittag mobile Geräte

Kommentar verfassen

Wie viele andere Schulgemeinden stellen wir uns auch die Frage, wie in Zukunft mit mobilen Geräten an unserer Schule gearbeitet wird. Für Interessierte hier unser Vorgehen…

  • Aus einem Auftrag unseres Schulrates  wurde eine Arbeitsgruppe „mobile Geräte“ gebildet, die bis zum Budget für das Schuljahr 2016 eine Empfehlung zu Handen des Schulrates zum Thema mobile Geräte erarbeiten soll. Wichtig zu wissen ist, dass das Budget 2016 bereits im Mai/Juni 2015 verabschiedet wird.
  • Um alle Lehrpersonen zu informieren und auf einen gleichen Informationsstand zu heben, haben wir mit Herrn Beat Döbeli einen ausgewiesenen Experten zu dem Thema für ein Referat eingeladen.
  • Danach wurden alle Lehrkräfte befragt. Es gab zwei für die Arbeitsgruppe wichtige Punkte: Es gibt eine grosse Mehrheit der Lehrpersonen, die mobile Geräte einsetzen möchte, es pressiert aber nicht. Ab der 5./6. Klasse wird BYOD deutlich favorisiert. In den unteren Stufen sieht man eher einen Gerätepool, der ausgeliehen werden kann.
  • Die Lehrpersonen wurden danach vom Schulrat ermuntert, Erfahrungen mit BYOD zu sammeln. Die WLAN-Technik ist vorhanden, im Moment muss einfach mit den vorhandenen Geräten gearbeitet werden, da es noch kein Budget für Schulgeräte gibt.
  • Die Arbeitsgruppe hat eine Powerpoint-Präsentation erarbeitet, die Lehrpersonen verwenden können, um die Eltern zum Thema zu informieren. Dies sollte den Lehrpersonen auch helfen, den Eltern aufzuzeigen, dass die Schule hinter dem Einsatz von mobilen Geräten steht und dies nicht eine Idee einer einzelnen Lehrperson ist.
  • Um einen Austausch zwischen den einzelnen Lehrpersonen zu fördern und damit die Arbeitsgruppe erfährt, ob wir auf Kurs sind oder wo allenfalls Probleme auftreten, wurde ein Erfahrungsaustausch organisiert.

An diesem Erfahrungsaustausch meine ich, folgendes beobachtet zu haben:

  • Die Arbeit mit mobilen Geräten findet in diversen Schulzimmern statt und nimmt immer mehr Fahrt auf.
  • Es ist nicht die Idee, plötzlich alles mit mobilen Geräten zu machen. Es geht hauptsächlich um punktuelle Ergänzungen zum „traditionellen“ Unterricht mit Mehrwert.
  • Bei einigen Beispielen spielt es nicht einmal eine Rolle, ob alle Schüler/-innen ein Gerät zur Verfügung haben. Oft kann auch zu zweit oder zu dritt gearbeitet werden.

Neben vielen spannenden Beispielen, die schon in der Schule stattgefunden haben wurden folgende Erfahrungen/Gedanken/Wünsche/Bedenken geäussert (kursiv –> mein Kommentar):

  • Es sollten weitere solche Möglichkeiten für einen Erfahrungsaustausch angeboten werden.
  • Es werden Geräte aus einem Pool benötigt. Auf der Unterstufe grundsätzlich, auf der Mittelstufe und Oberstufe, um Schüler/-innen, die kein eigenes Gerät haben, eines zur Verfügung zu stellen.
  • Es wurden Bedenken geäussert, dass es einen Druck auf Eltern geben wird, den Kindern auch ein Gerät zur Verfügung zu stellen.
    Diese Bedenken müssen ernst genommen werden. Obwohl die Schüler/-innen auch vom Pausenplatz wissen, wer schon ein eigenes Smartphone oder ein Tablet besitzt  (und dies auch bei anderen Dingen passiert: Wer hat die teuerste Jeans? Wer hat die besten Hallenturnschuhe? Wer hat im Skilager gutes Material dabei? …) gibt es natürlich einen zusätzlichen Druck, wenn man in der Schule das eigene Gerät einsetzen kann.
  • Es gibt Klassen, die gemäss Aussagen der Eltern fast keine eigenen Geräte mitbringen können.
    Dies deckt sich nicht mit den statistischen Untersuchungen in der Schweiz. Es ist nun schwierig abzuschätzen, ob diese Aussagen daher kommen, dass es Eltern hat, die gar nicht wollen, dass mobile Geräte in der Schule eingesetzt werden oder sie nicht an alle Möglichkeiten denken. Wichtig ist hier wohl auf jeden Fall eine gute Kommunikation seitens der Lehrpersonen. Auch ich würde meinen Kindern nicht mein privates Handy mitgeben, so wie das Eltern scheinbar auch gesagt haben. Aber Erfahrungen aus anderen Schulen zeigen, dass plötzlich viel mehr Geräte zur Verfügung stehen, wenn man zusammen mit den Eltern nach kreativen Lösungen sucht. So liegen in vielen Haushalten alte Smartphones herum, weil man nach zwei Jahren wieder ein neues ausgewählt hat. Diese Smartphones benötigen keine Sim-Karte, um in der Schule mit WLAN benutzt zu werden.

Daraus ergeben sich weitere Aufgaben für die Arbeitsgruppe:

  • Die Arbeitsgruppe wird erneut zusammen kommen und die gemachten Erfahrungen/Gedanken/Wünsche/Bedenken diskutieren.
  • Es muss geklärt werden, wie wir das mit den Pool-Geräten und den Geräten für Schüler/-innen die kein eigenes Gerät mitbringen können, organisieren und planen können. Auch Fragen über Anzahl, Verwaltung, Support, Plattform, Budgetierung über mehrere Jahre, … müssen allenfalls zusammen mit der EDV-Kommission geklärt werden.
  • Es wird nochmals ein Erfahrungsaustausch organisiert. Neue Erfahrungen sollen auch in die weitere Planung einfliessen.
  • Endziel wird es sein, dem Schulrat einen Vorschlag zu unterbreiten. Dieser wird dann entscheiden.

Viele Wege führen zu einer Schule, die mobile Geräte im Unterricht einsetzt. Im Moment hoffen wir, dass wir auf einem guten Weg sind, der sich dann auch umsetzen lässt. Falls jemand Erfahrungen hat, die uns auf unserem Weg weiterhelfen können, freue ich mich natürlich über Rückmeldungen. Es müssen ja nicht alle die gleichen “Fehler” wiederholen.

UEFI Sicherheitslücke

Kommentar verfassen

Damit ein Computer ein Betriebssystem wie Windows starten kann, müssen zuerst Information erfasst werden wie z.B. “Welche Peripheriegeräte wie Tastaturen sind angeschlossen?” “Ist eine Festplatte vorhanden?” “Existiert auf dieser Festplatte ein Betriebssystem?”…

Erst danach kann das Betriebssystem wie Windows von dieser Festplatte gestartet werden.

Diese Firmware des Computers wird oft auch BIOS oder neuer UEFI genannt.

“Das BIOS [/ˈbaɪ.oʊs/] (von englisch „basic input/output system“) ist die Firmware bei x86-PCs. Es ist in einem nichtflüchtigen Speicher auf der Hauptplatine eines PC abgelegt und wird unmittelbar nach dessen Einschalten ausgeführt. Aufgabe des BIOS ist es unter anderem, den PC zunächst funktionsfähig zu machen und im Anschluss das Starten eines Betriebssystems einzuleiten.” Quelle: http://de.wikipedia.org/wiki/BIOS

“Die Weiterentwicklung der Hardware hat im Laufe der Zeit (Stand 2010 ist das BIOS-Konzept bereits mindestens 35 Jahre alt) zu einer Reihe von iterativen, inkompatiblen Ergänzungen geführt, die zunehmend den Charakter von „Flickschusterei“ tragen und bei 64-Bit-Systemen an ihre Grenzen stoßen. Daher wurde in Form von Extensible Firmware Interface (EFI, bzw. UEFI) ein BIOS-Nachfolger entwickelt.” Quelle: http://de.wikipedia.org/wiki/BIOS

Nun gibt es aber mehrere Sicherheitslücken in der UEFI Referenzimplementierung von Intel. Diese Referenzimplementierung wurde dann von vielen Computerherstellern übernommen und für ihre Zwecke angepasst. Die Sicherheitslücken sind so in die UEFI Firmware von vielen verschiedenen Herstellern gekommen.

Falls ein Angreifer z.B. durch andere Sicherheitslücken Admin-Rechte auf einem Windows Rechner erlangt, kann er von Windows aus die UEFI Firmware verändern und auf diesem Weg z.B. ein Rootkit einschleusen. Da die Firmware vor dem Betriebssystem geladen wird, bieten Sicherheitsmechanismen des Betriebssystems wie Virenscanner keinen Schutz mehr. Im schlimmsten Fall hat man kompromittierte Systeme und kann dies nicht einmal überprüfen. Aus diesem Grund haben die Entdecker von Mitre der Sicherheitslücken von “Extreme Privilege Escalation” gesprochen.

Aus der Präsentation von Mitre:

image

image

Die meisten unserer Systeme kommen von Lenovo. Lenovo hat wie viele der anderen grossen Hersteller auch betroffene Systeme und veröffentlicht diese inkl. der nötigen Firmware Version ab der das Problem behoben ist.

Die Firmware Updates kann man ohne Benutzerinteraktion über SCCM verteilen. In der Datei readme.txt ist jeweils das Vorgehen beschrieben. Bei der Version zum Bild unten würde der Befehl “wflash2.exe IMAGEEFB.ROM /quiet” lauten.

image

Ich weiss aber noch nicht, wie ich die Updates durchführe. Bei uns sind 143 Systeme betroffen. Wenn während eines Firmwareupdates der Computer vom Strom getrennt wird, könnte die Firmware in einem Zustand sein, den man nicht wieder reparieren kann. Die Feststationen lassen sich mal in der Nacht über WOL aufwecken, damit sie das Update durchführen, aber die Laptops nicht. Allenfalls verteile ich da das Update, weise es aber nicht zu, so dass die Schuhaussupporter vor Ort das Update manuell ausführen müssten und sicherstellen können, dass es korrekt durchläuft. Mal sehen…

Nachtrag
Bei einigen Modellen von Lenovo kann die Firmware nach einem fehlerhaften BIOS-Update scheinbar wieder gerettet werden, indem man einen Jumper setzt und dann von CD startet. Dazu sucht man im Manual nach “Recovering from a POST/BIOS update failure”.

image

BYOD Erfahrungen aus Schulen in Deutschland

Kommentar verfassen

Wenn man sich mit BYOD in Schulen auseinandersetzt, können allenfalls ein paar Erkenntnisse aus diesem Artikel der c’t hilfreich sein.

Offene Unterrichtsformen scheinen mehr Möglichkeiten für den Einsatz mobiler Geräte zu bieten.

…dass am Gymnasium bevorzugt traditionelle, lehrerzentrierte Unterrichtsmethoden umgesetzt wurden, während an der Realschule ein schüler- und projektorientiertes Konzept im Vordergrund stand, was generell mehr Möglichkeiten für den Einsatz digitaler Medien bietet.

Der Einsatz von digitalen Medien kann nicht dazu verwendet werden, offenere Unterrichtsformen zu fördern, der Weg müsste umgekehrt gehen (vgl. Punkt oben)

Die Wissenschaftler leiten daraus ab, dass das Vorhandensein digitaler Medien allein nicht zwangsläufig auch zu einer Öffnung und Modernisierung von Unterricht führt. „Eine Schule, die sich um einen offenen Unterricht bemüht, kann digitale Medien einsetzen, um diese Art des Unterrichtens zu fördern und besser umzusetzen“, erklärt Richard Heinen von der Universität Duisburg-Essen. „Wenn eine Schule an traditionelleren Unterrichtsformen festhält, kann auch Technik daran wenig ändern und bringt weniger Vorteile.“

Der Einsatz von mobilen Geräten sollte ein Schulentwicklungsthema sein und damit nicht nur von den ICT-Verantwortlichen an einer Schule, sondern vor allem von der Schulführung (z.B. Schulleitung) getragen werden.

Zudem war das Smartphone-Projekt nur eines von vielen, während der Technikeinsatz an der Realschule gezielt vorangetrieben wurde, um damit auch Schulentwicklungsthemen wie individuelle Förderung, Inklusion und Umgang mit Heterogenität zu unterstützen.

Die Technik resp. der Kauf von Hardware alleine bringt nichts…

„Nur ein Handy-Verbot aufzuheben und Accesspoints aufzuhängen, reicht nicht.“ vielmehr müsse die Schule eine klare und gemeinsam getragene Vision haben, wie und zu welchem Ziel mit digitalen Medien und Endgeräten gearbeitet werden soll.

image