UCS@school und Open-Xchange für die Schulen in Basel

Ausgangslage

Als Fachstelle ICT Medien des Pädagogischen Zentrums (PZ.BS) betreuen wir die gesamte IT-Infrastruktur der rund 60 Volksschulen des Kantons Basel-Stadt. Für die Bildungsarbeit benötigten Dienste, wie E-Mail, Lernplattform oder Webseiten, stellen wir auch den Gymnasien und Berufsschulen zur Verfügung. Für das zentrale Identitäts- und Berechtigungs-Management setzen wir seit mehreren Jahren auf UCS@school (Univention Corporate Server für Schulen), was auch die Anbindung an den Windows-Verzeichnisdienst Active Directory und das Anmelden bei verschiedenen Diensten und virtuellen Desktops ermöglicht.
Die etwa 32.000 Benutzeraccounts werden automatisch per Skript zwischen den Adfinis-Servern und der Schulverwaltungssoftware abgeglichen. Eine Herausforderung stellt die hohe Fluktuationsrate dar: Pro Schuljahr gibt es circa 10% neue Benutzer*innen, und genauso viele Accounts werden nicht mehr benötigt.
Alle Lehrpersonen sowie die Schülerinnen und Schüler ab der dritten Primarklasse verfügen über persönliche E-Mail-Accounts, die wir ebenfalls über UCS@school verwalten. Für alle Benutzer*innen generieren wir automatisch Adressbücher für die jeweiligen Klassen und Schulen. Im Jahr 2017 wurden rund 2,2 Millionen Mails verschickt und etwa 7,4 Millionen Mails empfangen. Die vorhandene E-Mail-Lösung lief zwar stabil, wurde unseren Anforderungen aber nicht länger gerecht.

Mail-Accounts für 32.000 Nutzer dank Multi-Server-Infrastruktur, Clustering und Load Balancer

Alle Komponenten sind komfortabel aus dem Univention App Center installierbar. In der Voreinstellung laufen alle Dienste jedoch zusammen auf einem einzigen Host: IMAP, MySQL/MariaDB, LDAP und OX-Middleware. Das ist nur sinnvoll, wenn wenige tausend Benutzer damit arbeiten – für die Baseler Umgebung mit über 32.000 Accounts mussten wir daher eine neue Lösung finden, die auch unsere Forderung nach Hochverfügbarkeit erfüllt und in der alle wesentlichen Funktionen entweder als Cluster ausgeführt oder über einen Load Balancer/HA-Proxy konfiguriert sind.
In enger Zusammenarbeit mit Univention konnten wir die Standardinstallation von Open-Xchange unter UCS@school so erweitern, dass sie auch für eine Multi-Server-Infrastruktur leicht konfigurierbar ist. Die OX-App bietet nun an, OX-Komponenten auf mehrere Server(Cluster) zu verteilen. Unser Setup besteht aus den folgenden Komponenten:

• Load Balancing Reverse Proxy für HTTPS- und IMAP-4-Zugang von außen
• OX-Cluster
• MariaDB-Cluster
• HA-Proxy-Cluster
• Mutationsserver
• Dovecot-Cluster (IMAP-Mailspeicher)

XenServerCluster und Full-Flash Storage sorgen für Hochverfügbarkeit und Performance

Der Dovecot-Cluster ist nicht Teil des OX-Projekts; die Mailfunktionalität ist unabhängig vom Produkt Open-Xchange. Dovecot wird aber gemeinsam installiert und in die Umgebung integriert.

Automatische Synchronisation zwischen Schulverwaltungssoftware und UCS-Benutzeraccounts

Die UCS-Benutzeraccounts werden automatisch befüllt. Dazu exportiert ein Skript täglich Daten aus der Schulverwaltungssoftware ESCADA2. Eine Mailbox besteht grundsätzlich so lange, wie ein entsprechender Datensatz bei der Verwaltung und damit auch im LDAP-Verzeichnisdienst existiert. Erscheint ein Datensatz erstmalig in den exportierten Daten, wird für den jeweiligen Benutzer eine Mailbox im entsprechenden Kontext der Schule angelegt. Ein Kontext ist bei Open-Xchange eine geschlossene Benutzergruppe mit einem eigenen, eindeutigen Domainnamen. Wird ein Datensatz nicht mehr exportiert, so wird der Benutzer darüber informiert und der zugehörige Mailaccount nach acht Wochen deaktiviert.
Wegen der OX-seitigen Restriktionen (z. B. maximal 8.000 Accounts pro Kontext) hat es sich als performanter erwiesen, die Benutzer auf mehrere Kontexte zu verteilen. Wir haben dazu Kontexte für Lehrpersonen, Schüler*innen der Primarstufe und Schüler*innen der Sekundarstufe angelegt. Bei jedem Datenabgleich muss geprüft werden, ob der Account im selben Kontext bleibt, denn im Bildungsbereich gibt es eine hohe Fluktuation: Jedes Jahr werden neue Benutzer*innen eingeschult, wechseln oder verlassen die Lehranstalt. Das betrifft etwa 30 % der Schüler*innen bei jedem Schuljahreswechsel. Um die daraus resultierenden Kontextwechsel zu realisieren, haben wir einen Automatismus implementiert, der die Daten überträgt. Die Komplexität und der Aufwand haben sich dadurch leider erhöht.

Erstellung individueller Adressbücher über Skripte ermöglicht effiziente Kommunikation

Das OX-eigene Adressbuch deckt die speziellen Bedürfnisse des Schulalltags nur unzureichend ab. Daher haben wir uns dazu entschieden, individuelle Adressbücher per Skript zu generieren. Die Benutzer*innen sollen ohne großen Aufwand das ganze Kollegium, eine Fachschaft oder ihre Klasse anschreiben können.

Das Skript erzeugt jeweils mehrere Adressbuch-Instanzen eines bestimmten Typs (Lehrpersonen, Klassen usw.). Für jede Schule stellen LDAP-Abfragen den Inhalt des Adressbuchs zusammen und speichern ihn in einer CSV-Datei. Dann loggt sich das Skript mit eigens dafür angelegten Serviceaccounts in jeden Kontext ein. Gegebenenfalls legt es fehlende OX-Folder (z. B. neue Klassen) an. Die Daten aus den CSV-Dateien werden in die OX-Folder hochgeladen. In einer Konfigurationsdatei sind die Berechtigungen der Benutzer*innen für das jeweilige Adressbuch hinterlegt.

Der ursprüngliche Plan, die Adressbücher für alle 32.000 Benutzer*innen immer tagesaktuell zu halten, ließ sich wegen Laufzeitproblemen nicht umsetzen. Diese Tagesaktualität ist nun ausschließlich für Lehrpersonen und Mitarbeitende gewährleistet.

Die GAL (Globale Adressliste) stellt eine zentrale Liste der Kontakte aller Benutzer*innen in einem Kontext dar. Die Liste ist erforderlich, um die Groupware-Features zu nutzen (Free-Busy, Freigaben usw.). Aus Datenschutzgründen darf die GAL in Open-Xchange weder lesbar noch exportierbar sein. Aus diesem Grund hat die Adfinis SyGroup ein hochkomplexes Plugin entwickelt, das diese Listenfunktion abschaltet.

Migration von Pilotschulen, Lehrpersonen und Schüler*innen

Die eigentliche Migration des alten Mailsystems nach Open-Xchange hat ebenfalls die Adfinis SyGroup durchgeführt – eine organisatorische und technische Herausforderung. Der Umzug war in drei Schritten geplant:

1. Migration von Pilotschulen (Wochenende im Mai 2017)
2. Migration von Lehrpersonen und Mitarbeitenden (Pfingstwochenende Juni 2017)
3. Migration aller Schülerinnen und Schüler (Sommerferien 2017)

Datenkonvertierung mit Cyrus2Dovecot und IMAP-Protokoll

Zuerst wurden die Daten mit Cyrus2Dovecot (einem rsync-basierten Kommandozeilentool zum Konvertieren aus dem Cyrus-Format in Dovecot-Maildir-Ordner) konvertiert. Dieser Befehl vergleicht keine Datenbestände, was eine schnelle Migration erlaubt. Voraussetzung ist allerdings, dass er nur einmal ausgeführt wird, da sonst Dubletten entstehen. Diesen ersten Schritt konnten wir durchführen, während die Benutzer*innen noch auf dem alten System arbeiteten.
Danach wurden die Benutzer im LDAP als OX-Benutzer angelegt und in die OX-Benutzerverwaltung integriert. Anschließend haben wir in Schritt drei die beiden Mailboxen (alt in Cyrus, neu in OX) mit imapsync synchronisiert. Da der Abgleich über das IMAP-Protokoll stattfindet, ist das nicht besonders schnell, sorgt aber dafür, dass nur noch der Delta-Sync (Differenzbereinigung der seit Schritt 1 veränderten Daten) im Rahmen der Benutzermigration durchgeführt werden muss. Die gesamte Migration beanspruchte so weniger Zeit.
Die Migrationen der Pilotschulen sowie der Lehrpersonen und Mitarbeitenden liefen sehr gut. Es gab nur kleinere Probleme, wie etwa die unterschiedlichen Bezeichnungen der Mailclients für die Postfächer: Im Webmailer heißt der Ordner Gesendet und in Thunderbird Sent. Das sorgt dafür, dass die beiden Programme die gesendeten Nachrichten in unterschiedlichen Ordnern speichern. Die Folge war ein leicht erhöhtes Supportaufkommen in den darauffolgenden Tagen.
Die Migration der Schülerinnen und Schüler musste relativ kurzfristig verschoben werden, da sich herausstellte, dass die Laufzeit der Migrationsskripte für das vorgesehene Zeitfenster zu hoch war. Insbesondere die Benutzersynchronisierung zwischen LDAP und OX war davon betroffen und benötigte Optimierung.
Während des Projektverlaufs haben wir es strikt vermieden, Unannehmlichkeiten wie Downtimes für die Benutzer zu verursachen. Das Timing war stets maßgeblich: Die Arbeiten auf dem alten System durften nicht unterbrochen werden und außerhalb der Urlaubszeiten konnten wir nicht auf der Produktivumgebung testen. Wir haben darauf geachtet, alle Schulen frühzeitig in die Organisation mit einzubeziehen. Alle Termine haben wir weit im Voraus kommuniziert und wir sind auf Änderungswünsche eingegangen. Durch die Zusammenarbeit mit der Adfinis SyGroup stellten diese Hürden jedoch kein Problem dar und der plangemäßen Durchführung stand nichts im Wege. Im Januar 2018 haben wir die komplette Migration erfolgreich abgeschlossen.

Fazit – mehr Funktionen bei gleichem Betriebs- und Supportaufwand

Betriebs- und Supportaufwand sind im Vergleich zur alten Mailplattform in etwa gleich geblieben. Gleichzeitig ist der Funktionsumfang von einem einfachen Mailsystem mit Adressverwaltung auf eine professionelle Groupware mit E-Mail, Adressbuch, Kalender, Aufgaben, Cloud-Storage und Interoperabilitäts-Fähigkeiten angewachsen. Die zugrundeliegende Architektur wurde sorgfältig und unter Einbezug der Hersteller entwickelt und getestet. Die Benutzer*innen finden es hilfreich, dass die OX-Oberfläche der von bekannten Webmail-Anbietern sehr ähnlich ist und dass OX ein aktuelles Handbuch mitliefert.
Ein Vorteil für uns ist, dass Open-Xchange ein deutscher Hersteller ist, der allen EU-Richtlinien unterliegt. Die Fachstelle ICT Medien stellt ein hochverfügbares Mailsystem für die 32.000 Benutzer*innen bereit und genießt den angenehmen Nebeneffekt, dass Mails, die innerhalb von @edubs.ch verschickt werden, „im Hause“ bleiben – so werden wir allen Datenschutzrichtlinien gerecht.
Das Multi-Kontext-System von OX und die oben genannten Kontextwechsel zu Beginn eines neuen Schuljahrs waren für die Techniker eine harte Nuss, die sie nur mit einigem Aufwand knacken konnten. So haben sie beispielsweise ein recht komplexes Programm für das erweiterte Adressbuch entwickelt. Alles in allem war die Einführung des neuen Systems deutlich aufwändiger als gedacht, doch es hat sich gelohnt: Nach einigen Monaten im Vollbetrieb zeigt sich, dass das umfangreiche System stabil und zuverlässig funktioniert, von den Benutzer*innen geschätzt wird und alle für das Schulumfeld wichtigen Funktionen bietet.