Die Stadt Zürich startet nach den Sommerferien mit IT-Kurswochen, freiwillig und in Lagerhäusern, von der 4. Primar bis zur 3. Oberstufe. Weitere Informationen im Artikel der NZZ.
IT-Camps für Stadtzürcher Schüler
1 Antwort
Lehreroffice Archivliste anpassen
Wir importieren die Schülerdaten jeweils vom Sekretariat aus dem dort verwendeten VRSG Programm.
Identitätsdiebstahl überprüfen mit BSI Webseite
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Webseite an, bei der man überprüfen kann, ob die eigene Mailadresse vom neuesten Identitätsdiebstahl mit 16 Millionen Opfern auch betroffen ist.
Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt. Online-Kriminelle betreiben Botnetze, den Zusammenschluss unzähliger gekaperter Rechner von Privatanwendern, insbesondere auch mit dem Ziel des Identitätdiebstahls.
Bei den digitalen Identitäten handelt es sich jeweils um E-Mail-Adresse und Passwort. E-Mail-Adresse und Passwort werden als Zugangsdaten für Mail-Accounts, oft aber auch für Online-Shops oder andere Internetdienste genutzt.
Die zugehörigen E-Mail-Adressen wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übergeben. Das BSI kommt damit seiner gesetzlichen Warnpflicht nach und gibt Ihnen die Möglichkeit, zu überprüfen, ob Sie von dem Identitätsdiebstahl betroffen sind. (Quelle: BSI)
Falls die Mailadresse betroffen wäre, erhält man ein Mail mit dem entsprechenden Betreff-Code. Den Code sollte man sich notieren, damit man gefälschte Mails, die nicht vom BSI kommen, erkennen kann. Falls man nicht auf der Liste ist, bekommt man kein Mail.
DHCP Server migrieren
Unser alter DHCP Server läuft auf einem Windows Server 2008. Dieser soll auf einen Windows Server 2012 migriert werden.
Dazu muss auf dem neuen Server zuerst die DHCP Rolle installiert werden.
Nach der Installation kann der DHCP Server im Active Directory autorisiert werden.
Nun kann man die DHCP Einstellungen des alten Servers exportieren. Dazu muss man auf dem neuen Server den folgenden Powershell Befehl verwenden (der alte Server kennt dieses Cmdlet gar nicht).
Export-DhcpServer –ComputerName win2k8-dhcp.corp.contoso.com -Leases -File C:\export\dhcpexp.xml -verbose
Nun habe ich den alten DHCP Server beendet und danach die exportierte XML Datei auf den neuen Server importiert.
Import-DhcpServer –ComputerName DHCP1.corp.contoso.com -Leases –File C:\export\dhcpexp.xml -BackupPath C:\dhcp\backup\ –Verbose
Jetzt sollte man testen, ob alles funktioniert und am Schluss schauen, dass der alte DHCP Server nicht mehr startet. Die temporären Ordner export und dhcp können dann irgendwann auch noch gelöscht werden.
Wichtig: Wenn man mehrere Subnetze hat, muss man die “IP Helper Adress” eintragen, damit der DHCP Server auch in die anderen Subnetze Adressen ausliefern kann.
Server 2012 R2 bietet die Möglichkeit, ein DHCP Failover einzurichten. Wie man das macht, findet man auf dieser Seite, die ich übrigens auch als Grundlage für die Migration auf einen neuen Server genommen habe.
Meine alten DHCP Einstellungen haben immer noch einen Wins Server eingetragen. Voraussichtlich werde ich diese Einstellungen wegnehmen, eine DHCP Lease Länge warten und dann auf den Wins Servern überprüfen, ob sie noch abgefragt werden (es also noch eine Software im Netz gibt, die immer noch Wins benötigt).
Smart Ink verhindert Powerpoint Übergänge
Die Smartboardsoftware bietet verschiedene Programme. Das Programm, mit dem man am besten arbeitet, heisst Notebook. Aber daneben kann man mit Smart Ink über alle Anwendungen schreiben und das Programm trotzdem weiter benutzen.
Konfigurieren von Zeiteinstellungen in einer Windows-Domäne
Innerhalb einer Domäne ist es wichtig, dass alle Computer die gleiche Zeit verwenden. Wenn sich ein Client mit einer mehrere Minuten abweichenden Zeit mit einem Server verbinden möchte, wird die Verbindung aus Sicherheitsgründen abgelehnt. Standardmässig wird daher die Zeit der Clients automatisch mit einem Domänencontroller abgeglichen, bei mehreren Domänencontrollern mit dem PDC (primary domain controller).
Um herauszufinden, welcher DC im Moment der PDC ist, kann man an der Kommandozeile den Befehl Netdom query fsmo eingeben.
Neu kann man auch die Domänencontroller und auch den PDC virtualisieren. Standardmässig wird aber die Zeit eines Hyper-V-Gastes mit dem Hyper-V-Host (also dem physikalischen Server) synchronisiert. Man sollte also nicht den PDC mit einem Zeitserver im Internet synchronisieren und gleichzeitig mit dem Hyper-V-Host, sondern die Zeitsynchronisierung mit dem Host deaktivieren und den PDC konfigurieren, wie wenn er nicht virtualisiert wäre.
Nun muss man auf dem PDC die Kommandozeile als Administrator ausführen. Dafür bin ich der Anleitung auf diesem empfehlenswerten Blog gefolgt.
Alle w32 Einstellungen zurücksetzen
net stop w32time
w32tm /unregister
w32tm /unregister
w32tm /register
net start w32time
W32 konfigurieren, die gewünschten NTP Server zu verwenden. Wenn man mehrere eintragen möchte, muss man sie in Anführungszeichen setzen und mit einem Leerzeichen voneinander trennen.
w32tm /config /syncfromflags:manual /manualpeerlist:”0.ch.pool.ntp.org 1.ch.pool.ntp.org 2.ch.pool.ntp.org 3.ch.pool.ntp.org” /reliable:yes /update
Nachtrag:
Von Vorteil ergänzt man die manualpeerlist mit 0x8, was Probleme mit nicht Microsoft Zeitservern löst. 0x8 bedeutet: „send request as client mode“. Das Problem wird in diesem Microsoft Supportartikel beschrieben. Korrekt würde es also heissen:
w32tm /config /syncfromflags:manual /manualpeerlist:”0.ch.pool.ntp.org,0x8 1.ch.pool.ntp.org,0x8 2.ch.pool.ntp.org,0x8 3.ch.pool.ntp.org,0x8” /reliable:yes /update
Vielen Dank an Jorge (siehe unten bei den Kommentaren) für diesen Hinweis.
Die Konfiguration updaten und den Service neu starten.
w32tm /config /update
net stop w32time
net start w32time
Die Zeit mit den neu eingetragenen NTP Servern synchronisieren
w32tm /resync /rediscover
Die neue Konfiguration überprüfen
w32tm /query /status
w32tm /query /peers
w32tm /query /configuration
Wenn man auf der Firewall auch die ausgehenden Zugriffe detailliert regelt, muss man noch eine Firewallregel für ausgehenden NTP Verkehr vom PDC aus eintragen.
Apple Mail Problem mit Exchange Reverse Proxy
Wir haben unseren ISA Server durch eine Sophos UTM ersetzt. Statt den Exchangeserver über die Firewall direkt ins Internet zu stellen, kann die Sophos UTM als Reverse Proxy auftreten, der die Anfragen aus dem Internet entgegen nimmt und dann an Exchange im internen Netzwerk weitergibt. ISA konnte dies auch und war mit ein Grund, wieso wir vorher ISA eingesetzt haben.
Sophos macht Werbung damit, dass sich die UTM als Ersatz für TMG (Nachfolger von ISA) eignen würde: 
Im Zusammenhang mit Exchange hat auch alles gut ausgesehen, die Einrichtung war einfach, das Forum gibt schnell und kompetent Antwort, Outlook Web Access, Outlook Anywhere und ActiveSync funktionieren ohne Probleme.
Leider gibt es doch ein Problem. Wir haben einige Lehrkräfte, die sich von zuhause mit ihrem Mac auf den Exchangeserver verbinden. Wenn eine Lehrkraft über Apple Mail eine Mail verschickt, kann es vorkommen (nur manchmal), dass die Absenderadresse vertauscht wird. Das grösste Problem dabei ist, dass der vertauschte Absender die Mail unter seinen gesendeten Objekten findet, was natürlich ein absolutes No-Go ist. Wenn plötzlich Mails von anderen gelesen werden können, ist das Vertrauen in das schuleigene Mailsystem schnell dahin.
Ich habe dann recherchiert und eine Anfrage an das Sophos Forum gestellt. Auf den Technet Seiten von Microsoft bin ich dann auf ein ähnliches Problem gestossen. Auch da war das Problem der Reverse Proxy, aber als Reverse Proxy wurde ein Apache Webserver eingesetzt. Daher konnte ich den dort beschriebenen Workaround nicht bei uns einsetzen. Hier muss ich warten, bis Sophos das gelöst hat. Bei einem so grossen Problem kann ich aber nicht einfach abwarten. Also musste ich eine andere “Lösung” des Problems suchen.
Der einzig sinnvolle Weg im Moment war, die Kommunikation mit Apple Mail zu unterbinden. Wir bieten ja auch noch Outlook Web Access und ActiveSync für unsere Lehrpersonen an, um die Mails von zuhause zu bearbeiten. Dazu kommt sogar noch ein Zugang über einen Remotedesktopserver, um von zuhause aus zu arbeiten, was auch mit der neuen MacOS App funktioniert. Apple Mail kommuniziert mit Exchange über EWS und nicht über Mapi wie bei Outlook Anywhere. EWS wird aber auch sonst benötigt und kann nicht einfach deaktiviert werden. Mit set-organizationconfig lässt sich ab Exchange 2010 SP1 der Zugang zu EWS detaillierter konfigurieren. Leider funktioniert das unter Exchange 2007 noch nicht. Da musste ich noch was anderes suchen. Microsoft hat im Technet einen Artikel “Using URL Rewrite to block certain clients from Exchange” veröffentlicht. Damit kann man erreichen, dass der IIS, der die Seiten für den Exchangeserver ausliefert, für gewisse Bedingungen eine Fehlermeldung statt der Seite ausliefert.
Nach der Installation vom URL Rewrite Module 2.0 findet man im IIS Manager einen neuen Eintrag “URL Rewrite”. Weil Apple Mail ja auf EWS zugreift, muss man dieses Verzeichnis auswählen (ansonsten könnte man ja mit einem Mac z.B. auch nicht mehr auf Outlook Web Access kommen) und eine neue Anforderungsblockierungsregel hinzufügen.
Unter Protokollierung findet man den Speicherort der Logfiles vom IIS. Standardmässig ist das %SystemDrive%\inetpub\logs\LogFiles. Dort sieht man, dass sich der User-Agent mal als Mac+OS+X und manchmal als Mac_OS_X zu erkennen gibt. 
Somit kann man in der Anforderungsblockierungsregel den Zugriff aufgrund des Benutzer-Agent-Header blockieren, wenn er dem Muster *Mac* entspricht. Falls sich nun ein Mac mit Apple Mail mit dem Exchange Server verbinden möchte, bekommt er HTTP 403 als Antwort und kann sich somit nicht verbinden.
Im IIS Log findet man weiterhin die Anfragen von Apple Mail Clients, aber neu mit der Antwort 403. 
Trotzdem hoffe ich natürlich, dass Sophos das Problem mit dem Reverse Proxy bald lösen kann.
Nachtrag
Gemäss diesem Forumsbeitrag arbeitet Sophos an einem Fix. “We are working on a fix. Mantis 27287: Outlook anywhere connection with WAF didn’t work for Mac Clients
At the moment, we do not support Outlook Anywhere connections for Mac clients”
Nachtrag 2
In diesem Forumsbeitrag gibt es noch weitere Informationen. Da wird auch bestätigt, dass es im Moment keine WAF Unterstützung für Mac gibt, unabhängig vom Client.
Java für Enlight
Im Moment macht ECDL zünftig Tempo. Für die alten Prüfungen mit Enlight wird Java benötigt, meistens in einer einigermassen aktuellen Version. Gemäss Telefon mit dem Support wurde jetzt aber in der Nacht die GESTERN ausgelieferte neue Version 7 Update 51 als Mindestanforderung definiert. 
Hoffe, dass dies jetzt nicht jedes Mal so ist, dass man über Nacht Java verteilen müsste.
Zum Glück ist Java relativ einfach zu verteilen, man kann mit Orca ein paar nicht zwingende Änderungen vornehmen und das MSI dann auf dem gewohnten Weg über Gruppenrichtlinien oder SCCM oder… verteilen. Somit sollten dann auch die Prüfungen am Nachmittag funktionieren.
Typo3 Seiten aus Backup wieder herstellen
Um die bestehenden Webseiten auf den neuen (virtuellen) Server zu übertragen, muss man gleich vorgehen, wie wenn man die Webseiten aus einem Backup wiederherstellen müsste. (Denjenigen, die diesen Vorgang lieber als Video Anleitung ansehen, kann ich die Anleitung von jweiland.net empfehlen.) Wichtig ist bei einer Wiederherstellung die Version von Typo3. Entweder muss es die gleiche sein, die auch auf dem alten Server installiert war oder man muss nach der Wiederherstellung die gleichen Schritte durchführen, wie nach einem normalen Upgrade von Typo3. Ein Backup aus dem man wiederherstellen kann, sollte die Datenbanken und die Verzeichnisse mit den Daten sichern (oder jetzt neu dann eine virtuelle Maschine, die man als ganzes komfortabel sichern und wiederherstellen kann).
Installation von Typo3
Als erstes habe ich die gleiche Version der Typo3 Source Dateien installiert, die auch auf dem alten Server benutzt wurde. In diesem Beitrag ist beschrieben, wie man Typo3 installiert.
Datenbank importieren
Um die Datenbank importieren zu können, muss man zuerst eine Datenbank mit dem gleichen Namen anlegen und dann den Dump aus dem Backup in diese importieren.
mysql –u root –p db_name < dumpfilename.sql
Die nötigen Befehle sind hier aufgeführt.
Daten kopieren
Nun kann man die Daten in das richtige Verzeichnis verschieben. Am einfachsten geht das mit dem Midnight Commander (geht natürlich auch auf der shell mit cp oder auch mit dem Filemanager von Webmin). Zur Sicherheit sollte man im Stammverzeichnis noch überprüfen, ob der Symlink zu den Typo3 Sources auch ans richtige Ort zeigt. Genaueres zum verschieben findet man hier.
Am Schluss sollte man überprüfen, ob alles richtig funktioniert. Ausserdem macht es vielleicht gerade Sinn, die Typo3 Version mal wieder auf eine neuere Version anzuheben. Auf dem neuen Server sollte natürlich auch wieder ein Backup eingerichtet und getestet werden. Linux auf einem Hyper-V-Host kann gemäss meinen Tests problemlos als ganze virtuelle Maschine über DPM wiederhergestellt werden.
Smartboard Kameras testen
Die neuen Smartboards funktionieren mit Kameras in den Ecken. Wenn man die Funktion dieser Kameras wegen eines Fehlers testen muss, kann man folgendermassen vorgehen.
ictschule 