Schon länger haben wir uns in Basel eine einheitliche Schulmail-Lösung gewünscht, über die alle Lehrenden und Lernenden miteinander kommunizieren. Uns war wichtig, dass es sich um eine sichere Umgebung handelt, die zudem leicht administrierbar ist. Wir von der ICT Medien haben zusammen mit der Adfinis SyGroup, einem großen Schweizer Systemhaus, das existierende Mailsystem der Schulen mit rund 32.000 Accounts umgezogen. Das bereits eingesetzte Identitätsmanagement UCS@school haben wir dazu mit der E-Mail- und Groupware-Lösung Open-Xchange verbunden.
In diesem Anwenderbericht erzählen wir von der Ausgangslage, von unseren Überlegungen und Planungen im Vorfeld. Wir beschreiben unsere Anforderungen an die neue Mail- und Groupware-Lösung, geben einen Einblick in die zugrundeliegende Serverlandschaft und erklären die Systemarchitektur. Wir berichten auch von der Migration selbst und schildern, welche Probleme es auf dem Weg zu lösen galt. Bevor es technischer wird, lassen Sie uns vorwegnehmen, dass wir sehr zufrieden mit der neuen Open-Source-Lösung sind: Wir haben jetzt ein hochverfügbares und sicheres Mailsystem, das auch aktuellen Datenschutzrichtlinien gerecht wird.
AusgangslageAls Fachstelle ICT Medien des Pädagogischen Zentrums (PZ.BS) betreuen wir die gesamte IT-Infrastruktur der rund 60 Volksschulen des Kantons Basel-Stadt. Für die Bildungsarbeit benötigten Dienste, wie E-Mail, Lernplattform oder Webseiten, stellen wir auch den Gymnasien und Berufsschulen zur Verfügung. Für das zentrale Identitäts- und Berechtigungs-Management setzen wir seit mehreren Jahren auf UCS@school (Univention Corporate Server für Schulen), was auch die Anbindung an den Windows-Verzeichnisdienst Active Directory und das Anmelden bei verschiedenen Diensten und virtuellen Desktops ermöglicht.
Die etwa 32.000 Benutzeraccounts werden automatisch per Skript zwischen den Adfinis-Servern und der Schulverwaltungssoftware abgeglichen. Eine Herausforderung stellt die hohe Fluktuationsrate dar: Pro Schuljahr gibt es circa 10% neue Benutzer*innen, und genauso viele Accounts werden nicht mehr benötigt.
Alle Lehrpersonen sowie die Schülerinnen und Schüler ab der dritten Primarklasse verfügen über persönliche E-Mail-Accounts, die wir ebenfalls über UCS@school verwalten. Für alle Benutzer*innen generieren wir automatisch Adressbücher für die jeweiligen Klassen und Schulen. Im Jahr 2017 wurden rund 2,2 Millionen Mails verschickt und etwa 7,4 Millionen Mails empfangen. Die vorhandene E-Mail-Lösung lief zwar stabil, wurde unseren Anforderungen aber nicht länger gerecht.
Gesucht war eine moderne, zeitgemäße Lösung mit einer Schnittstelle zu UCS, die nicht nur E-Mail und Adressbücher anbietet, sondern über erweiterte Groupware-Funktionalitäten verfügt, wie Kalender, Aufgaben, gemeinsame Dateiablage usw. Gemäß der Strategie von ICT Medien, wenn möglich Open Source-Produkte für die Schule einzusetzen, haben wir außer dem Standardprodukt Microsoft Exchange verschiedene Open Source-Lösungen geprüft.
In die engere Wahl kamen SOGo und Open-Xchange; allerdings erfüllten nur Open-Xchange und Microsoft Exchange alle Muss-Kriterien:
Nach einer Testinstallation und einem Usability-Test mit Lehrpersonen hat sich Open-Xchange (OX) durchgesetzt – auch wegen der vorhandenen Schnittstelle zu UCS. Ein weiteres Argument für die Open Source-Lösung war die optionale Integration von OX Drive (Onlinespeicher für Fotos, Dateien, Dokumente und Videos). Im Rahmen unserer Testläufe stellten wir außerdem sicher, dass die Inhalte der bestehenden Maillösung (Mails, Kontakte, Adressbücher) migriert werden konnten.
Alle Komponenten sind komfortabel aus dem Univention App Center installierbar. In der Voreinstellung laufen alle Dienste jedoch zusammen auf einem einzigen Host: IMAP, MySQL/MariaDB, LDAP und OX-Middleware. Das ist nur sinnvoll, wenn wenige tausend Benutzer damit arbeiten – für die Baseler Umgebung mit über 32.000 Accounts mussten wir daher eine neue Lösung finden, die auch unsere Forderung nach Hochverfügbarkeit erfüllt und in der alle wesentlichen Funktionen entweder als Cluster ausgeführt oder über einen Load Balancer/HA-Proxy konfiguriert sind.
In enger Zusammenarbeit mit Univention konnten wir die Standardinstallation von Open-Xchange unter UCS@school so erweitern, dass sie auch für eine Multi-Server-Infrastruktur leicht konfigurierbar ist. Die OX-App bietet nun an, OX-Komponenten auf mehrere Server(Cluster) zu verteilen. Unser Setup besteht aus den folgenden Komponenten:
Der Dovecot-Cluster ist nicht Teil des OX-Projekts; die Mailfunktionalität ist unabhängig vom Produkt Open-Xchange. Dovecot wird aber gemeinsam installiert und in die Umgebung integriert.
Die bestehende SMTP-Infrastruktur hat sich bewährt und wurde in diesem Projekt nicht verändert. Als Folgeprojekt wurde jedoch auch hier eine durchgängige Hochverfügbarkeit implementiert. Sämtliche Server sind in einem XenServer-Cluster; die Umgebung ist ebenfalls hochverfügbar ausgestaltet.
Gemeinsam genutzter Speicher für IMAP und OX-Daten (nur Filestorage, nicht Datenbank) ist per NFS-Export von der Storage-Lösung (NetApp) angebunden. Alle weiteren Daten (z. B. die Datenbanken) sind in lokalen Volumes des jeweiligen virtuellen Servers gespeichert. Aus Performance-Gründen ist der gesamte Storage als Full-Flash implementiert.
Mehrere OX-Nodes, die unter UCS@school laufen, lassen eine schnelle horizontale Skalierung zu. Wenn die Last erheblich wächst, werden weitere Server bereitgestellt. Die als Proxy fungierenden Dovecot-Director-Instanzen leiten die IMAP-Anfragen der Clients an die verschiedenen IMAP-Server (ebenfalls Dovecot) weiter, was ein sauberes Session-Handling ermöglicht. Der per NFS angebundene Speicher dient für die Dovecot-Backend-Server als gemeinsame zentrale Ablagestelle.
Die MariaDB-Datenbankserver laufen unter Debian GNU/Linux; sie sind als Galera Cluster realisiert.
Für die höchstmögliche Sicherheit haben wir eine mehrstufige Netzwerk-Architektur eingerichtet. Dadurch sind die öffentlich zugänglichen Applikationsserver von den internen Servern mit den Daten abgegrenzt. Für Mutationen wird ein eigens dafür eingesetzter UCS-Server verwendet. Der eventbasierte Listener-/Notifier-Mechanismus von UCS sorgt für den Austausch und die Synchronisation zwischen mehreren UCS-Servern.
Die UCS-Benutzeraccounts werden automatisch befüllt. Dazu exportiert ein Skript täglich Daten aus der Schulverwaltungssoftware ESCADA2. Eine Mailbox besteht grundsätzlich so lange, wie ein entsprechender Datensatz bei der Verwaltung und damit auch im LDAP-Verzeichnisdienst existiert. Erscheint ein Datensatz erstmalig in den exportierten Daten, wird für den jeweiligen Benutzer eine Mailbox im entsprechenden Kontext der Schule angelegt. Ein Kontext ist bei Open-Xchange eine geschlossene Benutzergruppe mit einem eigenen, eindeutigen Domainnamen. Wird ein Datensatz nicht mehr exportiert, so wird der Benutzer darüber informiert und der zugehörige Mailaccount nach acht Wochen deaktiviert.
Wegen der OX-seitigen Restriktionen (z. B. maximal 8.000 Accounts pro Kontext) hat es sich als performanter erwiesen, die Benutzer auf mehrere Kontexte zu verteilen. Wir haben dazu Kontexte für Lehrpersonen, Schüler*innen der Primarstufe und Schüler*innen der Sekundarstufe angelegt. Bei jedem Datenabgleich muss geprüft werden, ob der Account im selben Kontext bleibt, denn im Bildungsbereich gibt es eine hohe Fluktuation: Jedes Jahr werden neue Schüler und Schülerinnen eingeschult, wechseln oder verlassen die Lehranstalt. Das betrifft etwa 30 % der Schülerschaft bei jedem Schuljahreswechsel. Um die daraus resultierenden Kontextwechsel zu realisieren, haben wir einen Automatismus implementiert, der die Daten überträgt. Die Komplexität und der Aufwand haben sich dadurch leider erhöht.
Das OX-eigene Adressbuch deckt die speziellen Bedürfnisse des Schulalltags nur unzureichend ab. Daher haben wir uns dazu entschieden, individuelle Adressbücher per Skript zu generieren. Ohne großen Aufwand soll bspw. das ganze Kollegium, eine Fachschaft oder eine Klasse angeschrieben werden können.
Das Skript erzeugt jeweils mehrere Adressbuch-Instanzen eines bestimmten Typs (Lehrpersonen, Klassen usw.). Für jede Schule stellen LDAP-Abfragen den Inhalt des Adressbuchs zusammen und speichern ihn in einer CSV-Datei. Dann loggt sich das Skript mit eigens dafür angelegten Serviceaccounts in jeden Kontext ein. Gegebenenfalls legt es fehlende OX-Folder (z. B. neue Klassen) an. Die Daten aus den CSV-Dateien werden in die OX-Folder hochgeladen. In einer Konfigurationsdatei sind die Berechtigungen der Benutzer*innen für das jeweilige Adressbuch hinterlegt.
Der ursprüngliche Plan, die Adressbücher für alle 32.000 Benutzer immer tagesaktuell zu halten, ließ sich wegen Laufzeitproblemen nicht umsetzen. Diese Tagesaktualität ist nun ausschließlich für Lehrpersonen und Mitarbeitende gewährleistet.
Die GAL (Globale Adressliste) stellt eine zentrale Liste der Kontakte aller Benutzer in einem Kontext dar. Die Liste ist erforderlich, um die Groupware-Features zu nutzen (Free-Busy, Freigaben usw.). Aus Datenschutzgründen darf die GAL in Open-Xchange weder lesbar noch exportierbar sein. Aus diesem Grund hat die Adfinis SyGroup ein hochkomplexes Plugin entwickelt, das diese Listenfunktion abschaltet.
Die eigentliche Migration des alten Mailsystems nach Open-Xchange hat ebenfalls die Adfinis SyGroup durchgeführt – eine organisatorische und technische Herausforderung. Der Umzug war in drei Schritten geplant:
Zuerst wurden die Daten mit Cyrus2Dovecot (einem rsync-basierten Kommandozeilentool zum Konvertieren aus dem Cyrus-Format in Dovecot-Maildir-Ordner) konvertiert. Dieser Befehl vergleicht keine Datenbestände, was eine schnelle Migration erlaubt. Voraussetzung ist allerdings, dass er nur einmal ausgeführt wird, da sonst Dubletten entstehen. Diesen ersten Schritt konnten wir durchführen, während die Benutzer*innen noch auf dem alten System arbeiteten.
Danach wurden die Benutzer im LDAP als OX-Benutzer angelegt und in die OX-Benutzerverwaltung integriert. Anschließend haben wir in Schritt drei die beiden Mailboxen (alt in Cyrus, neu in OX) mit imapsync synchronisiert. Da der Abgleich über das IMAP-Protokoll stattfindet, ist das nicht besonders schnell, sorgt aber dafür, dass nur noch der Delta-Sync (Differenzbereinigung der seit Schritt 1 veränderten Daten) im Rahmen der Benutzermigration durchgeführt werden muss. Die gesamte Migration beanspruchte so weniger Zeit.
Die Migrationen der Pilotschulen sowie der Lehrpersonen und Mitarbeitenden liefen sehr gut. Es gab nur kleinere Probleme, wie etwa die unterschiedlichen Bezeichnungen der Mailclients für die Postfächer: Im Webmailer heißt der Ordner Gesendet und in Thunderbird Sent. Das sorgt dafür, dass die beiden Programme die gesendeten Nachrichten in unterschiedlichen Ordnern speichern. Die Folge war ein leicht erhöhtes Supportaufkommen in den darauffolgenden Tagen.
Die Migration der Schülerinnen und Schüler musste relativ kurzfristig verschoben werden, da sich herausstellte, dass die Laufzeit der Migrationsskripte für das vorgesehene Zeitfenster zu hoch war. Insbesondere die Benutzersynchronisierung zwischen LDAP und OX war davon betroffen und benötigte Optimierung.
Während des Projektverlaufs haben wir es strikt vermieden, Unannehmlichkeiten wie Downtimes für die Nutzer*innen zu verursachen. Das Timing war stets maßgeblich: Die Arbeiten auf dem alten System durften nicht unterbrochen werden und außerhalb der Urlaubszeiten konnten wir nicht auf der Produktivumgebung testen. Wir haben darauf geachtet, alle Schulen frühzeitig in die Organisation mit einzubeziehen. Alle Termine haben wir weit im Voraus kommuniziert und wir sind auf Änderungswünsche eingegangen. Durch die Zusammenarbeit mit der Adfinis SyGroup stellten diese Hürden jedoch kein Problem dar und der plangemäßen Durchführung stand nichts im Wege. Im Januar 2018 haben wir die komplette Migration erfolgreich abgeschlossen.
Betriebs- und Supportaufwand sind im Vergleich zur alten Mailplattform in etwa gleich geblieben. Gleichzeitig ist der Funktionsumfang von einem einfachen Mailsystem mit Adressverwaltung auf eine professionelle Groupware mit E-Mail, Adressbuch, Kalender, Aufgaben, Cloud-Storage und Interoperabilitäts-Fähigkeiten angewachsen. Die zugrundeliegende Architektur wurde sorgfältig und unter Einbezug der Hersteller entwickelt und getestet. Die Benutzer*innen finden es hilfreich, dass die OX-Oberfläche der von bekannten Webmail-Anbietern sehr ähnlich ist und dass OX ein aktuelles Handbuch mitliefert.
Ein Vorteil für uns ist, dass Open-Xchange ein deutscher Hersteller ist, der allen EU-Richtlinien unterliegt. Die Fachstelle ICT Medien stellt ein hochverfügbares Mailsystem für die 32.000 Nutzer*innen bereit und genießt den angenehmen Nebeneffekt, dass Mails, die innerhalb von @edubs.ch verschickt werden, „im Hause“ bleiben – so werden wir allen Datenschutzrichtlinien gerecht.
Das Multi-Kontext-System von OX und die oben genannten Kontextwechsel zu Beginn eines neuen Schuljahrs waren für die Techniker eine harte Nuss, die sie nur mit einigem Aufwand knacken konnten. So haben sie beispielsweise ein recht komplexes Programm für das erweiterte Adressbuch entwickelt. Alles in allem war die Einführung des neuen Systems deutlich aufwändiger als gedacht, doch es hat sich gelohnt: Nach einigen Monaten im Vollbetrieb zeigt sich, dass das umfangreiche System stabil und zuverlässig funktioniert, von den Benutzer*innen geschätzt wird und alle für das Schulumfeld wichtigen Funktionen bietet.
Eine Frage drängt sich mir auf:
Warum wurde Kopano nicht evaluiert?
Vom Funktionsumfang und der Integration in UCS müsste das ungefähr gleichauf mit Open Xchange liegen, oder? Mich würde interessieren, ob es gute Gründe gab die gegen den Einsatz dieser Software sprachen/sprechen.
Ich stehe gerade vor der Frage, ob ich für den Privatgebraucht eher zu Kopano oder Open-Xchange greifen soll. Es ist sehr schwer für mich Informationen zu den konkreten Unterschieden zu finden.
Hallo Elena,
das Univention App Center ist eine neutrale Plattform, daher nehmen wir keine Bewertung der Apps vor. In unserem Community Form Univention Help tauschen sich jedoch UCS User zu unterschiedlichen Themen aus. Posten Sie gern dort Ihre Frage. Bestimmt teilen die User gern ihre Erfahrungen mit Ihnen.
Beste Grüße
Irina Feller
Spannende Geschichte. Mich würde interessieren, ob der MariaDB-Cluster (Galera?) und der HAProxy-Cluster auch auf UCS-Systemen laufen. Wenn ja, wie wurden sie aufgesetzt?