produktive Ergebnisse

In der Schulprojektwoche 2010 der Jenaplanschule Jena wurden die Notebooks zur Produktion einer Dokumentation des Ablaufes dieser Woche durch die Schüler vollkommen eigenständig eingesetzt. Da die Notebooks wirklich üppig  ausgestattet sind, wurde der Gedanke, einen Film zu produzieren, verwirklicht. Der vollständige Film ist 15 Minuten lang – hier können die ersten 10 Minuten des Filmes gesehen werden.

Aus meiner Sicht vermittelt diese Arbeit sehr gut, welche Ergebnisse mit bestens einsetzbarer Technik zu erzielen sind.
Der Film entstand nach x Versuchen mit rendern, anschauen, diskutieren, umstellen, rendern, anschauen, neu mischen – und wäre ohne die Geschwindigkeit dieser Notebooks wohl nie fertig geworden. Für die Schüler ist dieser Prozess des Ausprobierens – und die Möglichkeit, dies auch wiederholt tun zu können, sehr wichtig …

Zwischenzeitlich erhielt ich von Absolute.com Informationen zu den Kosten ihrer Sicherungslösung für Computer. Es gibt Rabattstaffeln für Lizenzen über mehrere Jahre / Anzahl von Geräten. Im Anhang die übermittelten Preise in Euro excl. MwSt.:

Volume Discounts
Years:		1
		1 to 2,499	37.95
		2,500 to 9,999	35.95
		10,000 to 49,999	32.95
		50,000 to 99,999	30.95
		100,000 plus	28.95
Years:		2
		1 to 2,499	67.95
		2,500 to 9,999	63.95
		10,000 to 49,999	58.95
		50,000 to 99,999	54.95
		100,000 plus	49.95
Years:		3
		1 to 2,499	92.95
		2,500 to 9,999	87.95
		10,000 to 49,999	80.95
		50,000 to 99,999	74.95
		100,000 plus	68.95
Years:		4
		1 to 2,499	112.95
		2,500 to 9,999	105.95
		10,000 to 49,999	97.95
		50,000 to 99,999	89.95
		100,000 plus	82.95
Years:		5
		1 to 2,499	132.95
		2,500 to 9,999	123.95
		10,000 to 49,999	113.95
		50,000 to 99,999	104.95
		100,000 plus	96.95

Die Notebooks mit vPro Chipsatz sind schnell und zuverlässig, die Ausstattung ist exzellent und wertig. Damit haben diese Geräte Eigenschaften, die hervorragende Arbeitsergebnisse ermöglichen, aber eben auch schützenswert sind. Idealer Weise erwirbt man für derartige Geräte genauso selbstverständlich, wie eine Betriebssystemlizenz, eine Geräteschutzlizenz und fordert dies bei der Ausschreibung der Technik.

pj

erstes Résumé und ein Ausblick

Natürlich ist der Projektzeitraum bis hier recht kurz. Trotzdem haben sich bereits Erfahrungen und Aussichten ergeben, die es wert sind, diskutiert zu werden.

Dank Intel, haben wir Notebooks zur Verfügung, die einen Business Chipsatz aufweisen. Das heißt, dass alle Komponenten aufeinander abgestimmt sind und die Performance der Geräte schlicht perfekt ist. Das hat sich unmittelbar auf den Unterricht während der Nutzung ausgewirkt. Es wurden kurze  Film gerendern und die Gruppe mit den Notebooks konnte schon mal in die Präsentation starten, während die PC Nutzer noch geduldig auf den Fortschrittsbalken starren mußten …

Stabilität und Geschwindigkeit sind bei den Geräten ein klares Plus.

Die Ausstattung mit Touch-Screens wurde zwar mit einem Hallo bedacht, aber während der Arbeit nicht genutzt. Bei der Präsentation der Arbeitsergebnisse wurde aber dann gern der Bildschirm gedreht, um alle Anteil nehmen zu lassen. Sicher kein must-have, aber nutzbar und vorteilhaft.
Wenn man dann noch bedenkt, dass die neue vPro Serie mit AMT 6 ausgestattet sein wird und damit die Geräte vollkommen Betriebssystemunabhängig mit einer KVM Funktionalität daher kommen, die Reparaturen, Restores und Systemeingriffe zuläßt, bleibt als Gegenargument eigentlich bloß noch die Frage nach dem Preis entsprechend ausgestatteter Notebooks. Schon das hier getestete AMT 4 hat gezeigt, wie viel Potenzial in diesem System steckt.

Gut ausgestattete mobile Geräte werden Begehrlichkeiten wecken, oder auch auf Grund ihres mobilen Einsatzes schlicht einmal verlegt werden. Bei uns ist dieser Fall bisher nicht aufgetreten, man sollte aber gewappnet sein, da auch die beste Versicherung diese Schäden im Wiederholungsfall nicht mehr übernehmen wird. Gegen Begehrlichkeiten kann man durch Information über die Möglichkeiten der Gerätesicherung mit absolute.com vorgehen. Da wir unsere Geräte verleihen, liegt jedem Notebook ein Verleihzettel bei, auf dem diese Funktionalität erläutert wird. Sollte der Fall auftreten, dass ein Gerät abhanden kommt, werde ich über die Vorzüge der Lösung noch intensiver berichten können. Ich denke, man sollte in ein Ausstattungskonzept auch ein Sicherungskonzept einfließen lassen. Bei entsprechender Preisgestaltung durch absolute werden Schulträger dankbar sein, diese Möglichkeit zu nutzen.

Um die Nutzung der Notebooks dauerhaft gewährleisten zu können, müssen diese vor Manipulation geschützt bleiben. Als Supporter weiß man, daß das Problem immer vor dem Gerät sitzt – jedenfalls, wenn das Gerät vernünftig geschützt ist. Seit Jahren setzen wir für alle PC im Schulnetzwerk PC-Wächter von Dr.Kaiser hierfür ein. Das System ist bewährt und funktioniert problemlos. Mit Drive – der Softwarelösung des PC-Wächter, ist die gleiche Funktionalität gegeben. Da mittlerweile sogar noch Softwareverteilungsfunktionalitäten in das Programm intrigiert wurde und zusätzlich eine didaktische Oberfläche für die Grundfunktionen im Schülernetzwerk (Internet sperren, USB sperren, PC sperren, etc.) integriert wurde, kann man mit entsprechend durchdachter Einrichtung ein mobiles Schulnetz aufbauen, das leicht, schlank und einfach ist und zusätzlich sogar Kosten sparen wird. Während meiner Versuche mit den Geräten hatte ich den Eindruck, daß es eigentlich möglich ist, mit solchen Ansätzen ein vollkommen neues Schulnetzwerkmodel zu erarbeiten.

Die Idee ist sicher noch nicht vollkommen rund, trotzdem möchte ich kurz skizzieren, wie ich mir das Netzwerk an Schulen in Zukunft vorstelle.

Bisher hatten wir Netzwerke mit Domänencontroler, Clients mit Professional Betriebssystemen, ISA und Exchange Server und Cal-Zugriffslizenzen für jeden Arbeitsplatz. Alle Clients waren rechtemäßig vollkommen dicht, jede Aktivität wurde protokolliert und eigentlich verboten, es sei denn, sie wäre explizit erlaubt. Für Dr. Kaiser hatte ich bereits vor Jahren einen Ansatz zum LeanLan in Schulnetzwerken erarbeitet – siehe thmz, dessen Ergebnisse jetzt z.B. bereits mit der Integration der Softwareverteilung bearbeitet wurden. Sieht man aber die aktuellen Möglichkeiten, die uns Chipsätze,Preisverfall, Onlineplattformen und verändertes Nutzerverhalten bieten, dann denke ich, die Zeit ist reif, um folgendes zu tun.

Ausblick:
Mir schwebt vor, als einzige Autorität im Schulnetz einen Moodleserver zu betreiben. Solange wir noch asynchrone DSL Leitungen haben, wird ein interner Schulnetz-Moodleserver notwendig sein, ab synchronen DSL reicht ein zentraler im Internet. Für Moodle gibt es unendlich viele Möglichkeiten. Wir in Jena haben als Erweiterung z.B. die Anbindung an gMail oder Microsoft Live, incl. Mailkonten, Dateiablagen, Online-Office, etc., zusätzlich eine Mahara – Erweiterung, die Funktionalitäten zur Dateiablage und zur Portfolio-Erstellung bietet. Grundsätzlich ist Moddle aber eine Online-Lernplattform, mit der man Stoffsammlungen anlegen und Leistungsüberprüfungen erstellen kann. Jeder Schüler/Lehrer erhält einen Account auf dem Moodleserver (der zusätzlich auch noch als Freeware läuft) und hat dort dann Zugriff auf alle traditionellen Dienste und eben auch die Möglichkeit eLearning anzuwenden. Den traditionellen File- und Diensteserver können wir dagegen vollkommen abschaffen. Ohne Server entfallen natürlich auch Ansprüche an die Cliente. Ob Apple, iPhone oder XP-Home Notebook – jeder kann sich an der Onlineplattform anmelden und hat Zugriff auf seine Daten. Die Schüler sind diese Form der Arbeit ohnehin gewöhnt, für die Lehrer wird es ein Umdenken bedeuten, das allerdings in Grundzügen auf eigene Kenntnisse aufbaut. Für den Client brauchen wir nun eigentlich kaum noch etwas zu tun. Die Endgeräte PC / Laptop / Handy starten und laufen ohne Benutzeranmeldung in ihr System. Jeder Nutzer ist Administrator (wie daheim), kann sich Programme installieren – wenn er sie braucht und nach Anmeldung an seinem Moodle Server auf Daten zugreifen – wenn er sie braucht.  Die PC/Laptop sind mit Dr. Kaiser geschützt. Nach einem Systemneustart ist ein definierter Originalzustand wieder hergestellt. Programme auf Dauer werden von einem Supporter verteilt (z.B. über Dr. Kaiser DKS Install) und stehen dann  allen Folgenutzern entsprechend zur Verfügung. Geräte, die nicht mehr starten, werden mittels AMT Funktionalitäten zurück-geimaget (hierfür reicht eine Jukebox mit Festplatten im Schulnetz) – und schon ist jede Funktion wieder gegeben. Die einzigen benötigten Dienste sind eigentlich ein DHCP Server – erledigt jeder Router und ein möglichst breitbandiger Internetzugang (ansonsten halt ein Moodleserver, der sich mit einem Internetmoodleserver synchronisiert).

Mehr wird jetzt aber nicht verraten ….

Peter Jerie,

Notebooks – Datenschutz u. Geräteschutz mit Absolute

Derzeit ziehen  in die Schulen verstärkt Notebooks ein. Es entstehen Notebook-klassen und die Computernutzung wird dadurch auch außerhalb der fest installierten Kabinette möglich. Gründe hierfür gibt es viele:

• Notebooks verlangen keine aufwendigen Montagen – ein Accesspoint reicht …
• Energieverbrauch ist geringer
• die Gerätepreise sind in den letzten Jahren deutlich gefallen
• das Consumerverhalten strahlt auch in die Schulen (Home-PC´s werden durch Notebooks ersetzt)
• Notebooks sind genauso leistungsstark wir PC´s
• geänderte Ausstattungsempfehlungen der Schulträger
• der Arbeitsplatz kann überall entstehen

Gleichzeitig verlangt der Einsatz von Notebooks aber auch neue Konzepte für deren Verwendung, deren Wartung und Schutz.

Bisher bestanden die Schulnetzwerke aus fest installierten Computern – kabinetten, in dem jeder Rechner Domänenmitglied war. Jeder Nutzer hatte einen namentlichen Account, unter dem er dann seine Daten, sowie die für ihn frei gegebenen, abrufen konnte. Der Lehrer und Schüler fand eine zwar beschränkte, aber eben auch verläßliche und abgesicherte Umgebung vor. Gern wurden die Rechte des Nutzers beschränkt, um von vornherein jede Manipulationsmöglichkeit am PC auszuschließen. Das war zwar lauffähig, beschnitt aber die Möglichkeiten und damit die Kreativität des Nutzers. Kurz: eine statische Computereinrichtung zur Absicherung des Erreichens der Ziele der Lehrpläne.

Mit mobilen Geräten in der Schule wird sich auch die Nutzungsweise dieser Geräte ändern müssen. Die Notebooks können keine Domänenmitglieder mehr sein, da nicht an jedem Einsatzort der Geräte auch ein Netzwerkanschluss an die Schuldomäne vorhanden sein wird. Damit entfällt dann natürlich auch die namentliche Anmeldung der Nutzer und der Zugriff auf die persönlichen Homeverzeichnisse. Der USB Stick wird als Datensammler gelten und Onlineplattformen werden Zugriffe auf persönliche Daten und eMail Dienste bieten. Auch die Nutzung der Geräte innerhalb von Schulstunden und unter dem Diktat der Raumbelegung endet. Zusätzlich sollten sich Möglichkeiten zur Nutzung privater Notebooks erschließen. Warum sollte man nicht den Technikbestand an der Schule und die also nutzbaren Geräte um private Schüler- u Lehrernotebooks erweitern ?

Gleichzeitig entstehen Probleme durch die Verwendung der Notebooks von verschiedensten Nutzern. Welche Veränderungen darf der Benutzer am Gerät vornehmen ? Wie sicher sind seine Daten ? Wo sind die Geräte ?

Im Rahmen dieses Projektes wurde uns ein Testaccount von Absolute.com zur Verfügung gestellt. Absolute bietet ein System an, dass es ermöglicht, abhanden gekommene Geräte zu löschen, zu sperren oder auch zu lokalisieren. Für Geräte, die mobil im schulischen (und sicher auch außerschulischen) Einsatz sind, eine beinahe unerläßliche Vorsichtsmaßnahme.

Die normale Geräteabsicherung der Schul-Notebooks erledigt bei uns Dr.Kaiser Drive, wodurch das Systemlaufwerk geschützt ist und alle Änderungen nach einem Neustart beseitigt werden. Die Daten der Nutzer sind auf eine weitere Festplattenpartition umgeleitet und nur dort kann durch den Anwender auch gespeichert werden. Die Diebstahlsicherung für die Geräte erfolgt  über die Software von Absolute.

Die Einrichtung war denkbar einfach. Unter dem eigenen Absolute Account kann man sich einen Agent down loaden. Dieser Agent ist personalisiert, so dass alle Geräte, auf denen diese Software installiert wird, sich automatisch am eigenen Absolute Account eintragen und die Kommunikation herstellen. Jede verfügbare Internetverbindung wird genutzt, um Statusmeldungen der Geräte an Absolute abzusetzen. Absolute bietet gleichzeitig dem Nutzer ein Online-Kundenzenter an, in dem man seine Geräte managen kann und deren Status angezeigt bekommt. Zusätzlich sind hier Hard- und Softwareinventarlisten zu den Geräten hinterlegt, die automatisch durch den Agent erzeugt werden, so dass man also auch Änderungen an den Geräten nachvollziehen kann.

Sollte ein Gerät abhanden kommen, kann man dies im Kundenzenter online anzeigen und das Gerät sperren. Sobald das betreffende Gerät irgendwann einmal mit dem Internet verbunden sein sollte, wird der installierte Agent dieses Kommando empfangen und die Nutzbarkeit des Notebooks beenden. Natürlich läßt sich der Client auch nicht mehr deinstallieren. Selbst ein neues System aufspielen, ändern an der Kommunikation des einmal im Überwachungssystem angemeldeten Rechner nichts …

Über eine Anzeige bei der Polizei kann man Absolute auch beauftragen, das gestohlene Gerät zu orten. Da der Absolute-Agent zyklisch Statusmeldungen an Absolute versendet, kann man über die Providerdaten der betreffenden Internetverbindung ziemlich schnell dessen Standort erfahren.
Über diese Möglichkeiten werden die Nutzer bei uns natürlich im Vorfeld hingewiesen.

Für den Einsatz von mobilen Geräten braucht man auch ein Gerätesicherungskonzept. Ich denke, Absolute ist hier wirklich ausgereift und die Lizenzkosten zum Schutz der Notebooks sollten bei der Haushaltsplanung mit berücksichtigt werden. Evt. denkt Absolute an Sammellizenzen für Schulträger im Rahmen von Schutzbriefen für Laptops mit entsprechenden Großabnehmerpreisen. Das werde ich hinterfragen und dann hier berichten.

Dr. Kaiser Drive – Lehrerkonsole und AMT im Einsatz

Wie bereits erläutert, haben wir die Notebooks mit der Software von Dr. Kaiser – Drive geschützt. Die Systempartition „vergißt“ also nach einem Neustart der Rechner alle veränderten Einstellungen und ist damit immer wieder in einen definierten Zustand zurück versetzt. Für Geräte, die von verschiedensten Nutzern verwendet werden und zusätzlich auch in der Ausleihe unsrer Bildstelle zu bekommen sind, ist ein solcher Systemschutz unerläßlich. Außerdem bietet Drive auch noch didaktische Oberflächen für den Lehrer, mit denen einfache Grundfunktionen im Schuleinsatz wie:

• Sound ein- und ausschalten
• Internet ein- und ausschalten
• Geräte Bildschirm sperren
• CD Laufwerk sperren
• ein Virtuelles Zusatzlaufwerk zur Verfügung stellen
• USB Nutzung sperren
• Daten verteilen (Admindidakt – Zusatzkosten)

ermöglicht werden. Dafür braucht das Gerät keinerlei Schuldomänenmitgliedschaft zu haben, sondern es wird über den Client von Drive mittels Adminconsole / Lehrerconsole gesteuert.

Infos unter: http://www.dr-kaiser.eu/drive.0.html

Die Grundfunktionen im Einsatz können Sie sich hier ansehen:

Drive ändert offensichtlich die Energieoptionen des Gerätes und läßt kein Standbye mehr zu, sondern fährt das Gerät runter. Im Schuleinsatz äußerst ungünstig. Ein weiteres Problem ergab sich bereits nach wenigen Tagen. In der Lehrerconsole werden die Rechner über ihre IP Adressen angesprochen. Nach wenigen Tagen hatte der DHCP Server im Schulnetz einen Releaseablauf und vergab an die Clients neue IP Adressen. Damit war natürlich keinerlei Kommunikation durch die Lehrerkonsole mehr möglich. Als ich von dem Problem hörte, waren die Geräte bereits in der Aufladestation. Da sie dort zwar ausgeschalten sind, aber ein Netzwerkkabel angeschlossen ist, half die Power On Funktion von AMT das Problem zu lokalisieren.

Ablauf:

Die Funktionalität ist gut, schnell und ausreichend für den Schuleinsatz. Für administrative Aufgaben wie:

• Softwareinstallation
• Updates

gibt es nun von Dr. Kaiser ein Zusatztool namens DKS Install – siehe: Info_DKS-Install. Die Funktionen zeige ich in einem nächsten Blog.

Einsichten in den Einsatz

Die Notebooks waren nun die ersten 14 Tage im Einsatz. Eine Schülergruppe der Jenaplanschule erstellte eine Präsentation incl. Film, Interviews und Broschüre. Das meiste benötigte, hatte Windows 7 bereits an Board. Die Umleitung der Eigenen Dateien auf das nicht schreibgeschützte Laufwerk D: funktioniert wunderbar und wurde von den Schülern gar nicht bemerkt. Ungünstig war, das verschiedenste Applikationen täglich updates ziehen wollten (Acrobat, Antivirus, etc.) – hier benötigt die Einrichtung noch vernünftiges Feintuning. Begeistert waren die Schüler von der Geschwindigkeit der Geräte und auch die Touchscreenfunktionalität wurde für die Präsentation dann gern genutzt.

Nun sind die Geräte zurück und ich werde nun einige AMT Funktionalitäten vorstellen.

Während die Geräte in der Schule im Betrieb waren, konnte ich problemlos über eine VPN-Verbindung auf den Server zugreifen und mit dem dort installierten DTK

http://software.intel.com/en-us/articles/download-the-latest-version-of-manageability-developer-tool-kit/

die Geräte finden, ansprechen und auslesen. Am Wochenende hatte ich die Geräte in eine Ladestation legen lassen und über einen Switch mit dem Netzwerk verbunden. Die Geräte waren ausgeschaltet und wurden nun über das DTK zwar erkannt, man konnte sie aber nicht einschalten. Es gibt in der Software einen Menüpunkt „Power Up“, der immer grau unterlegt und also nicht zu aktivieren war. Eine sehr gute Beschreibung im Internet zu den Einstellungen im AMT Bios  – siehe hier:

http://support.dell.com/support/edocs/systems/latd630/ge/Amt/MEBX.htm/

brachte auch nicht den richtigen Erfolg. Die Lösung war dann relativ schlicht. Im Geräte-Bios mußte noch WAKE ON LAN aktiviert sein- und schon ging es dann.

In diesem kleinen Film hier, könnt ihr euch über die Anfänge des Projektes, die Einrichtung der vPro – AMT Anbindung und darüber informieren, was man über die Webschnittstelle der Geräte sogar im ausgeschaltenen Zustand erfahren kann oder wie man die Einstellungen des AMT Bios remote ändern kann:

Interessant ist,  und ob denn auch das Einschalten der Geräte zuverlässig funktioniert. Nach der Einstellungsänderung im GeräteBios zu Wake on Lan konnte dann dieser Film entstehen:

Nun sind ja Möglichkeiten das eine, sinnvolle Einsatzmöglichkeiten dafür, aber eine ganz andere Sache. Welche Vorteile können sich ergeben, wenn man die Möglichkeiten von AMT nutzt. Die Einrichtung unserer Notebooks bietet hier eine mögliche Anwendung. Wie berichtet, ist ja das Systemlaufwerk (Festplatte C) durch Drive von Dr.Kaiser geschützt. Alle Schreibvorgänge des Benutzers werden auf die umgeleiteten Dateien auf dem Laufwerk D – ohne Schutz durch Drive – umgeleitet. Gleichzeitig nutzen verschiedene Schüler in solchen Projektzeiten die Geräte, was fast unweigerlich zu Fehlbedienung / Datenverlust führen kann. Es wäre also sinnvoll, zyklisch die Daten zu sichern, oder auch nach Projektabschluss Daten zu sichern und vom Gerät zu löschen, um die Geräte an die nächste Projektgruppe weiter geben zu können.

Im DTK von Intel gibt es die Möglichkeit, die Geräte von einem alternativen Betriebssystem zu booten, indem man z.B. das CD Laufwerk auf ein externes Image umleitet und von diesem dann das Gerät startet. Auf unseren Notebooks ist eine vPro – AMT Version 4.1 aufgespielt. Diese Version bietet noch keine Unterstützung von grafischen Betriebssystemen, während die aktuelle Version 6 eine Integration von VNC enthält, mit der man sehr wohl auch direkt das gestartete Windows remote steuern kann. Aber auch in Version 4 läßt sich meine Vorstellung der Datensicherung durchführen. Von Intel hatte ich ein Unix-Iso File zur Verfügung gestellt bekommen, mit dem man die Geräte remote booten kann und dann mittels Samba Funktionalitäten auf die Laufwerke der Geräte zugreift. Wie das funktioniert, zeigt der 3. Film:

Mit der selben Arbeitsweise wäre auch eine Dateiablage auf den Systemen möglich, um portable Programme oder Aufgabenblätter zu verteilen. Allerdings bietet Dr.Kaisers Konsole für Dateiaustausch oder direkt Windows hier natürlich vernünftige Alternativen. Trotzdem ist diese Möglichkeit für Supporter interessant, da häufig Lehrer diese Aufgaben an den Support delegieren …

Unter AMT 6 könnte man dann auch CD – Images booten, die grafische Anzeigen bringen. Vorstellbar wären Image-Erstellung mit Acronis, Systemchecks mittels Bart, etc. Man braucht lediglich mit dieser Freeware hier: CdBurnerXP ein Iso von der entsprechend vorbereiteten Boot-CD / DVD zu erstellen und dieses ISO im DTK mounten und das Gerät davon booten. Dank der VNC Unterstützung von AMT 6 kann man dann die grafischen Oberflächen remote verwalten.

Besuch von Intel in München

Am 12.2.2010 fuhr ich zu einem Treffen nach München / Feldkirchen zum Sitz von Intel Deutschland. Teilnehmer des Treffens waren:

• Hr. Jerie, MZ Jena
• Hr. Ensle, Intel
• Hr. Jechlitschek, Intel
• Hr. Hacker, Absolute software corporation
• Hr. Haugg, gh-data

Sinn des Treffens war, die bevorstehenden case studys abzustimmen und die derzeit zur Verfügung stehenden Systeme entsprechend vorzutesten.

Hr. Hacker von Absolut hatte uns einen Testaccount für ihr secure tracking System eingeräumt. Da wir die Geräte für den Verleih im Medienzentrum vorgesehen haben und dadurch die Nutzung der Notebooks von verschiedensten Anwendern an unterschiedlichsten Einsatzorten erfolgen wird, hielten wir es für sinnvoll, für den Ernstfall die Möglichkeit zu haben, abhanden gekommene Geräte orten, sperren oder löschen zu können.

Absolut hat hierfür ein System entwickelt, in dem jedes Gerät zyklisch eine Statusmeldung an Absolut absendet, oder aber von Absolut abgesendete Kommandos empfängt und ausführt. Dadurch ist es möglich, gestohlene Geräte zu sperren, die Daten zu löschen / oder auch auszulesen und sogar über den Provider die Geräte zu orten und damit wieder aufzufinden. Hierfür verankert sich die Funktionalität der Absolut Software im Bios des Gerätes und kommuniziert über einen Client unter Windows mit Absolut. Die Installation der Software war äußerst einfach, die Benutzeroberfläche der Absolut Homepage ebenso und zusätzlich sogar in deutsch.

Zweifellos ein sinnvolles System für Geräte im Verleih. Eigentlich sogar ein notwendiges. Weitere und umfänglichere Infos findet man direkt unter:

http://www.absolute.com/de_DE/

Nach dieser Präsentation ging es nun an die Geräteeinrichtung um den Funktionsumfang von Intels Active Management Technologie (AMT) testen zu können. Einige im 1. Artikel aufgefallene Schwierigkeiten konnten vor Ort geklärt werden. Die Notebooks waren mit einem AMT Bios Version 4.0.4.0006 ausgestattet. Eine aktuelle Update Funktion auf die derzeitig aktuellste Version 6 besteht nicht. Hr. Jechlitschek von Intel hatte eine Version 6 zum testen eingesetzt, wodurch verschiedene Menüeinträge vollkommen anders waren. Die Lösung zum aktivieren von AMT war dann im AMT Bios den Provision Modus auf Small Business einzustellen.

Das empfohlene DTK von Intel zum testen der AMT Funktionalität hat offensichtlich unter Windows 7 ein paar Schwierigkeiten. Vom Nichtfinden der Geräte, über das Nicht-connecten, bis zum spontanen Bluescreen konnte alle Probleme erlebt werden. Sinnvoller Weise nutzt man zum Einsatz des DTK einen XP Rechner, der stabile Funktionalität bietet. AMT erfordert vom Anwender ein umdenken, da es eine eigene Geräteanbindung verwendet und dadurch nicht über die Driver des Betriebssystems kommuniziert. Das läßt sich einfach simulieren: im AMT Bios DHCP einstellen, unter Windows aber eine feste IP Adresse vergeben. Das DTK kommuniziert mit dem Client über die vom DHCP Server vergebene Adresse, die schon beim booten gezogen wird.

Bei der Passwordvergabe für AMT sollte man bedenken, dass im Bios die Tastatur noch in der US Belegung gespeichert wird, während dann im DTK die aktuelle (deutsche) Tastaturbelegung genutzt wird. Erfreulicher Weise bietet DTK hier eine Hide Option bei der Passworteingabe, die man dann eben auch disablen kann und den Fehler also sieht.

Mit Hr. Jechlitschek saß ich bis zum Nachmittag zusammen und wir versuchten einige Fernwartungsfälle über AMT zu realisieren. Er hatte bereits ein sehr sinnvolles Bootimage vorbereitet, mit dem man über AMT das Notebook in einem Linux starten lassen kann und dann z.B. die Laufwerke an einen Sicherungsserver anbinden kann. Das funktionierte perfekt, so dass wir also eine weitere Use Cases definieren können: Datensicherung über Fernwartung mit AMT.

Die Einrichtung der Notebooks ist ja so, dass die Systempartition über Dr. Kaiser Drive vor Schreibzugriffen geschützt wird, aber die eigenen Dateien auf die 2. Partition umgelenkt werden. Mit AMT kann man auf ein ausgeschaltenes System zugreifen, es einschalten, vom Image booten, das Datenlaufwerk mittels net use an den Server / Client anbinden und dann über einfaches kopieren das Datenlaufwerk sichern.

Das bestehende Iso-Linux System bietet nur Lesezugriff auf die gemounteten Partitionen. Wenn man es auf Schreibzugriffe ändert, kann man mit dem gleichen Vorgehen auf ausgeschaltene Systeme Aufgaben und Stoffsammlungen aufspielen. Da man ein Linuxsystem bootet, das dann die Dr.Kaiser Drive Funktionalität nicht beachtet, könnte man auch Systemeinstellungen manipulieren. Über die Praxistauglichkeit werde ich dann in weiteren Artikeln berichten.

Einige Funktionalitäten können unter der AMT Bios Version 4.x nicht genutzt werden, da die Version 4 ausschließlich Terminalzugriff ohne grafische Oberflächenunterstützung bietet. Zukünftige Notebooks unter Version 6 werden dann also den Umweg über ein Linux – Image nicht mehr benötigen, wodurch dann z.B. das Imagen der Systeme deutlich vereinfacht wird, da Windows 7 hierzu Boardmittel mitbringt.

Ich werde die Systeme nun also mit Dr. Kaiser Drive schützen, die Geräte bei Absolute anmelden und dann gehen sie in die Ausleihe, um die ersten use cases abzuarbeiten.

Notebooks da

Gestern, am 8.2.2009 wurden nun endlich die ausstehenden Notebooks geliefert. Es handelte sich um die Geräte, die bereits im Dezember geliefert wurden waren, damals aber in der GB Version ausgestattet waren, was man an der Tastatur (keine Umlaute) und den Stromadaptern erkennen konnte.

Diese Notebooks wurden nun mit den deutschen Tastaturen ausgestattet, ein Standardadapter hinzugelegt und so konnte es heute mit der Installation los gehen.

Es handelt sich um Notebooks des Types: Fujitsu – Siemens, T5010

siehe:
http://shop.ch.ts.fujitsu.com/Notebooks/ctl500000150/cp/si500341335/cl1/LIFEBOOK-T5010/

Heute morgen wurden sie nun neu installiert. Glücklicher Weise wurden die Notebooks mit Vista Business Lizenzen geliefert, denen eine kostenfreie Upgratemöglichkeit für Windows 7 beilagen. Windows Vista hatte sich ja ohnehin nie durchsetzen können, also gleich ein frisches Windows 7 aufgespielt.

Installation lief vollkommen problemlos: Windows 7 DVD zum booten eingelegt und das Laptop eingeschalten. Mit Enter kommt man unmittelbar nach dem einschalten in eine Menüauswahl, in der man nicht nur das Bios bearbeiten, sondern auch die Bootreihenfolge auswählen kann.

Ich legte 2 Partitionen an, um die Systempartition im Nachgang mit Dr. Kaiser Drive schützen zu können und die „Eigenen Dateien“ dann auf die 2. – ungeschützte Partition umleiten zu können. Im schulischen Bereich setzen wir bisher in allen Client-PC´s auf Dr.Kaiser – PC Wächter Hardwarekarten, eine Vorgehensweise, die uns im Schulnetz viele Sorgen beseitigt. Die PC´s bleiben immer im definierten Zustand. Schüler- bzw. Lehrermanipulationen werden nach einem Systemneustart vergessen, was die Nutzungsfähigkeit des Systems auf Dauer sicher stellt.

Für Notebooks bietet sich zum Systemschutz deshalb Drive an, eine Software von Dr. Kaiser, die die geschützte Partition vor jedem Schreibzugriff bewahrt.

Nach der Grundinstallation von Windows 7 zeigte der Gerätemanager ca. 30 undefinierte Geräte an. Also die Treiberseite von Fujitsu besucht, da der WLan Adapter glücklicher Weise zu den erkannten Geräten gehörte. Sehr schön  ist von Fujitsu Siemens die Supportseite für Gerätetreiber gestaltet.
Unter:
http://de.fujitsu.com/support/downloads.html/

kommt man nach der Eingabe der Seriennummer des Gerätes zu einem Programm, das selbständig alle benötigten Treiber ausliest, downloadet und installiert. So soll es sein.

Nun noch ein paar Standardprogramme – natürlich Freeware (OpenOffice, Acrobat, Mozilla, Audacity, etc.), die 2. Partition formatiert, dort ein Verzeichnis Eigene Dateien angelegt, und dann die Eigenen Dateien umgelenkt – was bei Windows 7 pro Subdirectory gemacht werden muß und nicht für das gesamte Nutzerkonto funktioniert (also auf jede Sub unter: c:\Benutzer\nutzername mittels Eigenschaften den Pfad ändern – in meinen Fall auf E:\Eigene Dateien\Pfad) und eigentlich fertig.

Die aktuellen Systemupdates für Windows 7 wurden auch noch fix aufgespielt und nun gab es ein fertiges Standardsystem.

Dieses Notebook wurde nun mittels Boardmitteln gesichert – Systemsteuerung – Sytem & Sicherheit – Systemabbild erstellen und dann durch booten von der Windows 7 DVD und der Widerherstellung des Systems auf die anderen Notebooks geclont. Hier lohnt sich auch mal Windows 7 – funktioniert dies doch perfekt.

Nun ging es an die Aktivierung der vPro Features. Hierzu hatte ich von Intel, dankenswerter Weise einige Hinweise bekommen:

Hallo, wie versprochen noch einige weitere Infos zu AMT. Um AMT zu konfigurieren, einfach nach dem BIOS <Ctrl + P> drücken. Dort kann man dann das neue Passwort festlegen. Dann sieht man dort viele Dinge, die man konfigurieren kann. Wichtig für den Anfang ist nur den Rechnernamen anzugeben. Der Name sollte idealerweise gleich dem des Host-OSs sein, das ist aber keine Bedingung. Ich würde empfehlen dann auch den DHCP Modus eingeschaltet zu lassen. Vielleicht noch einmal schauen, ob SoL und IDER angeschaltet sind. Das war es dann schon.

Für ein kleines Demo-Setup diesen Rechner und einen anderen Rechner an einen Switch anschließen. Auf dem anderen Rechner lasse ich dann meistens DualServer (http://sourceforge.net/projects/dhcp-dns-server/) laufen. Das ist ein DHCP Server, der vergibt dann die Adresse an das AMT System. Wenn der Server läuft, dann auch mal das AMT System einschalten. Das System sollte dann eine IP Adresse beziehen (normalerweise schon bei der Konfiguration von AMT, beim Start vom Rechner, oder spätestens wenn das OS hochfährt). Jetzt kann man vom anderen Rechner mit einem Browser auf den eingebauten Webserver vom AMT System zugreifen (http://<IP&gt;:16992). Dort sieht man schon ein paar Informationen über das System und man kann es neustarten). Das klappt auch, wenn das AMT System ausgeschaltet ist. Für mehr Funktionalität einfach mal das DTK (http://software.intel.com/en-us/articles/download-the-latest-version-of-manageability-developer-tool-kit/) herunterladen und auf dem anderen Rechner installieren. Dort kann man dann auch mit SoL und IDER herumspielen. Auf der gleichen Seite gibt es auch noch ein paar Videos, die zeigen, wie man einige Sachen mit dem DTK macht.

Jedes Notebook bekam unter Windows 7 nun noch einen eindeutigen Systemnamen verpaßt und nach dem Neustarten wurde CTRL P gedrückt, was aber bei einigen Laptops keine Funktion erzeugte. Merkwürdiger Weise war im BIOS bei einigen Notebooks der Menüpunkt: Intel Active Manegement Technology disabled. Nach umschalten auf enabled konnte man nun ins Menü gelangen. Das Standartpasswort für das AMT Menü lautet admin – was man auch erst mal wissen muss (aber im Internet finden kann). Danach muß man erst einmal ein neues Passwort vergeben. Intel hat sich hier gedacht, daß man Sicherheit kaum übertreiben kann und verlangt deshalb ein Paßwort, welches mindestens mit Groß- und Kleinschreibung, einer Ziffer, einem Sonderzeichen und einer Länge von 8 Zeichen ausgestattet sein muß – auch das muß man erst mal wissen …

Als Systemname vergab ich den Windows 7 Systemnamen und brauchte ansonsten keinerlei Änderungen durchzuführen, da sowohl DHCP, als auch Sol und Ider enabled waren.

Nun also 2 Systeme neu gestartet, und im Browser gegenseitig die IP des anderen Rechners auf Port 16992 eingegeben und was sah man ? Nix. Na gut, evt. ist hierzu Wireless Lan nicht so richtig geeignet (aber warum eigentlich nicht), also eine Fritzbox angehängt, die mit genau  2 Funktionen konfiguriert war, nämlich einen DHCP Server zu bieten und ansonsten als Switch zu fungieren. Wieder im Browser die IP des Nachbarrechners auf Port 16992, und diesmal: wieder nichts.

Das war schon etwas ärgerlich. Letzter Versuch für heute war nun noch das Developer Tool Kit. Das nach download, Installation und Start aber eher undurchsichtig blieb.

An irgendeiner Stelle hängt es also noch. Nach dem ich beide Test-Systeme runtergefahren hatte, ging an der Fritz-Box die Lan Lampe aus. Das finde ich merkwürdig, da ich die Geräte doch eigentlich auch ausgeschalten aktivieren können muß.

Zusammenfassung: tolle Notebooks mit problemloser Installation, komplizierte AMT Einrichtung und Aktivierung, was im schulischen Umfeld leider ziemlich behindert.