CEPHALIX/CRANIX - Benutzerbeiträge [de]

CRANIX-2FA Zwei-Faktor-Authentifizierung

2026-05-09T13:03:15Z

Admin: /* Administration von CRANIX-2FA */

=CRANIX-2FA Zwei-Faktor-Authentifizierung=

Das CRANIX-2FA-Zusatzmodul bietet eine zusätzliche Sicherheitsebene für den Zugriff auf die Administrationsoberfläche des CRANIX/CEPHALIX Servers. Nach erfolgreicher Anmeldung wird ein PIN an eine E-Mailadresse gesendet oder Sie müssen ein zeitlich begrenztes Einmalpasswort (TOTP) von Ihrer Authentikator-App eintragen um die Weboberfläche des Servers benutzen zu können. Der Administrator kann festlegen welche Benutzer 2FA verwenden müssen. Das kann persönlich oder Gruppenweise erfolgen. Um den Umgang mit CRANIX-2FA den Benutzern zu erleichtern haben wir ein kleines [https://repo.cephalix.eu/Downloads/Cranix-2FA-howto.pdf Handout] erstellt. Nach Erwerb des CRANIX-2FA-Zusatzmoduls müssen auf dem Server folgend Schritte ausgeführt werden um CRANIX-2FA zu aktivieren:

==Administration von CRANIX-2FA==
# Sie müssen ein Lizenz für das CRANIX-2FA bei '''sales@cephalix.eu''' einholen.
# Repository für CRANIX-2FA einbinden. Führen Sie dazu als Benutzer ''root'' folgenden Befehl aus:<br> <code>/usr/share/cranix/tools/register.sh</code>
# Modul installieren: <code>zypper -n install cranix-2fa</code>
# Backend neu starten: <code>systemctl restart cranix-api</code>
# Melden Sie sich als Administrator an die Administrationsoberfläche an. Unter '''System''' -> '''Acls''' müssen Sie den Benutzern bzw. Benutzergruppen deren Mitglieder Zwei-Faktor-Authentifizierung verwenden müssen, die ACL <code>crx2fa.use</code> zuweisen. Weiterhin können Sie die ACL <code>crx2fa.manage</code> Benutzern bzw. Benutzergruppen zuweisen, die die CRANIX-2FA Konfigurationen von anderen Benutzer löschen und zurücksetzten dürfen.
# Nach der Installation des CRANIX-2FA-Zusatzmoduls haben Sie unter '''Benutzer''' einen zusätzlichen Tab '''CRX2fa'''. Hier können Sie die erstellten CRX2fa Konfigurationen löschen bzw. zurücksetzten.
## Löschen ist erforderlich, wenn jemand zB. sein Mobiles-Endgerät verloren hat.
## Mit jedem TOTP kann man maximal 10 falsche Anmeldeversuche machen. Danach ist der TOTP gesperrt, solange man es nicht zurücksetzt.

<gallery heights=250px widths=325px>
Cocpit-System-Acls-add-2fa.jpeg|ACL zuweisen
Cocpit-Benutzer-CRX2fa-bearbeiten.jpeg|CRX2FA-Konfigurationen verwalten
</gallery>

==Verwendung von CRANIX-2FA==
Hat ein Administrator die ''crx2fa.use'' ACL einem Benutzer zugewiesen, wird dieser bei der nächsten Anmeldung dazu aufgefordert, die Zwei-Faktor-Authentifizierung einzurichten.
# Nach erfolgreicher Anmeldung wird man zur Verwaltung von CRX-2FA geleitet und keine anderen Funktionen sind erreichbar.
# Man kann 2 Typen von 2FA-Konfiugrationen anlegen: TOTP und MAIL.
# Es wird empfohlen beide Zwei-Faktor-Authentifizierungsmöglichkeiten einzurichten.
# Folgende Parameter können gesetzt werden:
## Typ von zwei-Faktor Autorisierung: '''TOTP''' oder '''MAIL'''
## Pin Gültigkeit in Sekunden: Wie lange ist ein PIN gültig.
### Bei TOTP-2FA liegt der gültige Bereich zwischen 30 und 60 Sekunden und kann nach der Erstellung nicht geändert werden.
### Bei MAIL-2FA liegt der gültige Bereich zwischen 120 und 600 Sekunden und kann nach der Erstellung geändert werden.
## Gültigkeit einer 2FA Anmeldung: Wie lange müssen Sie sich am selben Gerät nicht noch mal per 2FA anmelden. Gültiger Bereich 1-12 Stunden. Empfohlen wird 12 Stunden. Diese Einstellung kann auch später geändert werden.
## Bei MAIL-2FA müssen Sie noch eine gültige E-Mailadresse eintragen, auf die Sie immer Zugriff haben. Diese Adresse können Sie später auch ändern.
## Bei TOTP-2FA wird ein QRCode generiert, welchen Sie in eine Authenticator-App importieren müssen. Folgende Apps wurden getestet:<br>[[https://apps.apple.com/app/id1445401301 privacyIDEA für iOS]][[https://apps.apple.com/app/id388497605 Google Authenticator für iOS]][[https://play.google.com/store/apps/details?id=it.netknights.piauthenticator privacyIDEA für Android]][[https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 Google Authenticator für Android]]

<gallery caption="CRANIX 2FA konfigurieren" heights=250px widths=325px>
Cocpit-Profil-CRX2fa-TOTP.jpeg|TOTP CRX2FA
Cocpit-Profil-CRX2fa-QRCode.jpeg|QRCode
Cocpit-Profil-CRX2fa-Mail.jpeg|Mail CRX2FA
</gallery>

Nachdem man mindestens eine CRX2FA konfiguriert hat, muss man sich abmelden. Nach erneuter Anmeldung wird man aufgefordert einen PIN anzugeben. Ggf muss man einen CRX2FA Typ auswählen. Bei MAIL-Typ muss erst ein Pin gesendet werden.
<gallery caption="Anmeldung mit CRANIX 2FA" heights=250px widths=325px>
CRX-2FA-Anmeldung-Select-Type.jpeg|2FA Typ wählen
CRX-2FA-Anmelden-MAIL-Sendpin.jpeg|Pin senden
CRX-2FA-Anmeldung-Enter-TOTP.jpeg|Pin eintragen
</gallery>

CRANIX-VPN-Modul

2026-05-09T13:00:36Z

Admin: /* Vorbereitung */

=Das VPN-Modul=
Mit dem VPN-Modul kann man einen gesicherten Zugang zu allen Geräten ins Schul/Firmennetz personalisiert gewähren.

== Vorbereitung ==
Das VPN-Modul wird von uns installiert und soweit vorkonfiguriert, dass Sie direkt einsteigen können.
Sollten Sie eine Domäne bzw. eine feste IP-Adresse besitzen, teilen Sie uns diese bitte VOR der Konfiguration mit, da Sie ansonsten eine Subdomäne von uns bekommen, Bsp: ngb-musterschule.cephalix.eu.

'''Wichtig'''
Sie müssen den Port 1194/UDP des Routers auf Port 1194/UDP der externen IP-Adresse des CRANIX-Servers weiterleiten.
Sowie Port 444/TCP der externen IP-Adresse des CRANIX muss auf einem Port ihrer Wahl auch zur Verfügung gestellt werden, damit die Benutzer die nötigen Dateien vom CRANIX-Server außerhalb des Schul/Firmennetzes herunterladen können

== CRANIX einrichten ==
Nach der Konfiguration durch uns müssen Sie festlegen, welche Benutzer einen VPN-Zugang bekommen. Da Rechte im CRANIX über Gruppenzugehörigkeiten vergeben werden, müssen Sie nichts weiter tun, als die gewünschten Benutzer in die Gruppe ''VPNUSERS'' aufzunehmen. Navigieren Sie hierfür in den Menüpunkt ''Gruppen'' und suchen sich die ''VPNUSERS'' und fügen Sie die Benutzer zur Gruppe zu, die VPN-Zugriff zum Server haben dürfen.

Wird ein Benutzer aus der Gruppe ''VPNUSERS'' entfernt, kann er keine Verbindung mehr zum Cranix herstellen.

== VPN-Client herunterladen ==

Der CRANIX bietet Ihnen die Möglichkeit, die für die VPN-Verbindung benötigte Software und Konfigurations-Datei in nur wenigen Schritten herunterzuladen. Hierfür müssen Sie sich nur an der Cranixoberfläche anmelden. In Ihrem Schulnetzwerk navigieren Sie wie gewohnt auf https://admin. Außerhalb des Schulnetzes müssen Sie auf die von uns eingerichtete Domäne gehen (https://musterkürzel.cephalix.eu:40444). Nach der Anmeldung befinden Sie sich auf Ihrer Profilseite. Wenn Sie Mitglied der VPNUSERS sind, haben Sie Zugriff auf die ''VPN''-Schaltfläche.
<gallery heights=250px widths=325px>
Image:Cranix-vpn-select-os.jpeg|Betriebsystem wählen
Image:Cranix-vpn-download.jpeg|Client und Konfiguration Herunterladen
</gallery>

Auf der VPN Schaltfläche müssen Sie zuerst das gewünschte Betriebsystem auswählen. Im Anschluss können Sie sich den VPN-Client (OpenVPN bzw. Tunnelblick für OSX) und Ihre persönliche Konfiguration herunterladen.

== VPN-Client installieren ==

=== Windows ===

Installieren Sie zuerst den OpenVPN-client "openvpn-install-Win.msi".

<gallery heights=250px widths=325px caption="OpenVPN Windows Client Installation">
Image:VPNUSERS_OpenVPN_1.png|Schritt 1
Image:VPNUSERS_OpenVPN_2.png|Schritt 2
Image:VPNUSERS_OpenVPN_3.png|Schritt 3
Image:VPNUSERS_OpenVPN_4.png|Schritt 4
Image:VPNUSERS_OpenVPN_5.png|Schritt 5
Image:VPNUSERS_OpenVPN_fin.png|Abschluss
</gallery>

Im Anschluss laden Sie die Konfiguration: "<Schulndomain>-<Benutzer>.ovpn" herunter. Die Datei wird als OpenVPN-Client-Profil erkannt und wird durch Mausklick importiert. Ist das nicht der Fall starten Sie OpenVPN und importieren Sie die heruntergeladene Konfiguration.

=== Mac OSX ===
Wählen Sie auf der Adminoberfläche unter ''Profile -> VPN'' als Betriebsystem '''Mac''' aus und llicken Sie auf '''DOWNLOAD INSTALLER'''. Nun wird der Installer '''Tunnelblick.dmg''' ins Downloadordner heruntergeladen. Öffnen Sie es und starten Sie die Installation mit einem Doppelklick auf die Installationsdatei. Wählen Sie die Standardeinstellungen. Da Sie ein Programm auf Ihrem Rechner installieren, werden Sie nach einem lokalen Benutzer mit Administrationsrechten (inklusive Passwort) gefragt. Siehe Bildgalerie unten:

<gallery heights=250px widths=325px caption="OpenVPN Mac Client Installation">
Image:tunnelblick-010.png|Schritt 1
Image:tunnelblick-020.png|Schritt 2
Image:tunnelblick-030.png|Schritt 3
Image:tunnelblick-040.png|Schritt 4
Image:tunnelblick-050.png|Schritt 5
Image:tunnelblick-060.png|Schritt 6
Image:tunnelblick-070.png|Schritt 7
Image:VPN-MacOSX-Tunnelblick-Warning.png|Warnung
</gallery>

Wird der Tunnel erfolgreich gestartet, erscheint eine Warnung, die man getrost ignorieren kann. Tunnelblick beklagst sich, dass die Internetverbindung durch den Tunnelaufbau nicht geändert wurde. Aber das ist gut so. Mit diesem Tunnel stellen wir eine sichere Verbindung zum Schul/Firmennetz her. Es geht nicht darum, dass man über den Schul/Firmennetz anonym Surfen möchte.

== Verbindung aufbauen ==

=== Windows ===

Nach der erfolgreichen Installation befindet sich die Verknüpfung zu OpenVPN auf ihrem Desktop.[[Datei:OPENVPNUSERS OpenVPN icon.png|60px||]]

Starten Sie den Client über Rechtsklick -> Als Administrator ausführen.

'''Wichtig'''
Sie müssen den Client "Als Administrator ausführen", da sonst die Namensauflösung im VPN-Netzwerk nicht korrekt funktionieren kann.

Sobald der Client läuft erscheint im Systray das Programm-Icon des OpenVPN. Durch einen Rechtsklick öffnen Sie das Programmmenü und können über "Verbinden" die VPN-Verbindung zu Ihrem CRANIX-Server aufbauen.

Sobald Sie auf "Verbinden" geklickt haben, wird die Verbindung aufgebaut, und es öffnet sich eine Fenster, in dem Sie nach Ihrem Benutzernamen und Passwort gefragt werden. Verwenden Sie hierfür Ihren Benutzernamen und Passwort aus der Schule.

Um nun auf ihr Homeverzeichnis zugreifen zu können, geben sie im Datei-Explorer \\admin\<<BENUTERNAME>> ein und bestätigen Sie mit Enter. Im Anschluss werden Sie aufgefordert Ihre Zugangsdaten anzugeben. Geben Sie hier Ihre Zugangsdaten vom Cranix ein. Sobald Sie verbunden sind, sehen Sie ihr Homeverzeichnis (Z:).

<gallery heights=250px widths=325px>
Image:VPNUSERS_run_asAdmin.png|Als administrator
Image:VPNUSERS_systray.png|OpenVPN
Image:VPNUSERS_no_config_found.png|Keine Konfiguration (optional)
Image:VPNUSERS_import_config.png|Konfiguration importieren (optional)
Image:VPNUSERS_connect.png|Verbinden
Image:VPNUSERS_authVPN.png|Anmelden
Image:VPNUSERS_connectedVPN.png|Erfolgreiche Anmeldung
Image:VPNUSERS_admin.png|Verbingung zum Homeverzeichnis
Image:VPNUSERS_loginAdmin.png|Anmeldung Datenzugriff
</gallery>

'''Zu beachten:'''
# Sowohl der IP-Adressenbereich im Tunnel als auch das Netzwerk hintern dem Tunnel muss sich vom lokalen Netzwerkbereich unterscheiden. Ein Beispiel: Haben die Netze sowohl in der Schule als auch zu Hause die IP-Adresse 172.16.0.0/16, kann man auf keinen Rechner im Schulnetz zugreifen. Die VPN-Verbindung wird trotzdem aufgebaut, allerdings ist der Tunnel unbrauchbar, weil es sich an beiden Enden die gleichen IP-Adressen befinden.
# Man kann mehrere VPN-Profile importieren.
# Unter bestimmten Voraussetzungen ist es möglich, dass man mehrere VPN-Verbindungen parallel geöffnet hält. Das funktioniert jedoch nur dann, wenn die Netzwerkkonfiguration der VPN-Verbindungen unterschiedlich ist. Das bedeutet das sowohl die IP-Adressenbereiche in den Tunneln als auch die Netzwerke hinter den Tunneln unterschiedlich sein müssen.

=== Mac OSX ===
Nach dem die Anwendung Tunnelblick erfolgreich installiert wurde, können Sie Ihre VPN-Konfiguration herunterladen und importieren. Dazu muss die heruntergeladene Datei durch Doppelklick entpackt und das entpackte Verzeichnis durch erneutes Doppelklick importiert werden:
<gallery heights=250px widths=325px>
Image:Tunnelblick-080.png|Schritt 1
Image:Tunnelblick-090.png|Schritt 2
Image:Tunnelblick-100.png|Schritt 3
</gallery>
Nun ist Ihre VPN-Konfiguration importiert und Sie können eine Verbindung aufbauen: Klicken Sie oben in der Leiste auf das Tunnelicon und wählen Sie ''"Ihre-Verbindungsname" verbinden'' aus. Sie werden nach Benutzername und Passwort gefragt. Aus Sicherheitsgründen ist es nicht zu empfehlen, das Passwort in Schlüsselbund zu speichern. Ist die Verbindung aufgebaut erscheint ein Statusfenster oben Rechts
<gallery heights=250px widths=325px>
Image:Tunnelblick-110.png|Schritt 1
Image:Tunnelblick-120.png|Schritt 2
Image:Tunnelblick-130.png|Schritt 3
Image:Tunnelblick-140.png|Schritt 4
</gallery>

Nach erfolgreichem Verbindungsaufbau können Sie auf die Freigaben des Server zugreifen. Es gibt Grundsätzlich 3 Freigaben die sie unter folgende URL im Finder unter "Gehe Zu" -> "Mit Server verbinden" erreichen können:
* All Tauschverzeichnis: smb://admin/all
* Gruppenverzeichnisse: smb://admin/groups
* Ihr persönliches Verzeichnis: smb://admin/<Ihr Benuztername>
Hier werden Sie auch nach Benutzernamen und Passwort gefragt, die Sie wieder nicht speichern lassen sollten.

<gallery heights=250px widths=325px>
Image:Tunnelblick-150.png|Schritt 1
Image:Tunnelblick-160.png|Schritt 2
Image:Tunnelblick-170.png|Schritt 3
Image:Tunnelblick-180.png|Schritt 4
</gallery>

CRANIX-VPN-Modul

2026-05-09T12:58:39Z

Admin: /* Mac OSX */

=Das VPN-Modul=
Mit dem VPN-Modul kann man einen gesicherten Zugang zu allen Geräten ins Schul/Firmennetz personalisiert gewähren.

== Vorbereitung ==
Das VPN-Modul wird von uns installiert und soweit vorkonfiguriert, dass Sie direkt einsteigen können.
Sollten Sie eine Domäne bzw. eine feste IP-Adresse besitzen, teilen Sie uns diese bitte VOR der Konfiguration mit, da Sie ansonsten eine Subdomäne von uns bekommen, Bsp: ngb-musterschule.cephalix.eu.

'''Wichtig'''
Sie müssen den Port 1194/UDP des Routers auf Port 1194/UDP des CRANIX-Servers weiterleiten.
Sowie Port 444/TCP des CRANIX muss auf einem Port ihrer Wahl auch zur Verfügung gestellt werden, damit die Benutzer die nötigen Dateien vom CRANIX-Server außerhalb des Schul/Firmennetzes herunterladen können

== CRANIX einrichten ==
Nach der Konfiguration durch uns müssen Sie festlegen, welche Benutzer einen VPN-Zugang bekommen. Da Rechte im CRANIX über Gruppenzugehörigkeiten vergeben werden, müssen Sie nichts weiter tun, als die gewünschten Benutzer in die Gruppe ''VPNUSERS'' aufzunehmen. Navigieren Sie hierfür in den Menüpunkt ''Gruppen'' und suchen sich die ''VPNUSERS'' und fügen Sie die Benutzer zur Gruppe zu, die VPN-Zugriff zum Server haben dürfen.

Wird ein Benutzer aus der Gruppe ''VPNUSERS'' entfernt, kann er keine Verbindung mehr zum Cranix herstellen.

== VPN-Client herunterladen ==

Der CRANIX bietet Ihnen die Möglichkeit, die für die VPN-Verbindung benötigte Software und Konfigurations-Datei in nur wenigen Schritten herunterzuladen. Hierfür müssen Sie sich nur an der Cranixoberfläche anmelden. In Ihrem Schulnetzwerk navigieren Sie wie gewohnt auf https://admin. Außerhalb des Schulnetzes müssen Sie auf die von uns eingerichtete Domäne gehen (https://musterkürzel.cephalix.eu:40444). Nach der Anmeldung befinden Sie sich auf Ihrer Profilseite. Wenn Sie Mitglied der VPNUSERS sind, haben Sie Zugriff auf die ''VPN''-Schaltfläche.
<gallery heights=250px widths=325px>
Image:Cranix-vpn-select-os.jpeg|Betriebsystem wählen
Image:Cranix-vpn-download.jpeg|Client und Konfiguration Herunterladen
</gallery>

Auf der VPN Schaltfläche müssen Sie zuerst das gewünschte Betriebsystem auswählen. Im Anschluss können Sie sich den VPN-Client (OpenVPN bzw. Tunnelblick für OSX) und Ihre persönliche Konfiguration herunterladen.

== VPN-Client installieren ==

=== Windows ===

Installieren Sie zuerst den OpenVPN-client "openvpn-install-Win.msi".

<gallery heights=250px widths=325px caption="OpenVPN Windows Client Installation">
Image:VPNUSERS_OpenVPN_1.png|Schritt 1
Image:VPNUSERS_OpenVPN_2.png|Schritt 2
Image:VPNUSERS_OpenVPN_3.png|Schritt 3
Image:VPNUSERS_OpenVPN_4.png|Schritt 4
Image:VPNUSERS_OpenVPN_5.png|Schritt 5
Image:VPNUSERS_OpenVPN_fin.png|Abschluss
</gallery>

Im Anschluss laden Sie die Konfiguration: "<Schulndomain>-<Benutzer>.ovpn" herunter. Die Datei wird als OpenVPN-Client-Profil erkannt und wird durch Mausklick importiert. Ist das nicht der Fall starten Sie OpenVPN und importieren Sie die heruntergeladene Konfiguration.

=== Mac OSX ===
Wählen Sie auf der Adminoberfläche unter ''Profile -> VPN'' als Betriebsystem '''Mac''' aus und llicken Sie auf '''DOWNLOAD INSTALLER'''. Nun wird der Installer '''Tunnelblick.dmg''' ins Downloadordner heruntergeladen. Öffnen Sie es und starten Sie die Installation mit einem Doppelklick auf die Installationsdatei. Wählen Sie die Standardeinstellungen. Da Sie ein Programm auf Ihrem Rechner installieren, werden Sie nach einem lokalen Benutzer mit Administrationsrechten (inklusive Passwort) gefragt. Siehe Bildgalerie unten:

<gallery heights=250px widths=325px caption="OpenVPN Mac Client Installation">
Image:tunnelblick-010.png|Schritt 1
Image:tunnelblick-020.png|Schritt 2
Image:tunnelblick-030.png|Schritt 3
Image:tunnelblick-040.png|Schritt 4
Image:tunnelblick-050.png|Schritt 5
Image:tunnelblick-060.png|Schritt 6
Image:tunnelblick-070.png|Schritt 7
Image:VPN-MacOSX-Tunnelblick-Warning.png|Warnung
</gallery>

Wird der Tunnel erfolgreich gestartet, erscheint eine Warnung, die man getrost ignorieren kann. Tunnelblick beklagst sich, dass die Internetverbindung durch den Tunnelaufbau nicht geändert wurde. Aber das ist gut so. Mit diesem Tunnel stellen wir eine sichere Verbindung zum Schul/Firmennetz her. Es geht nicht darum, dass man über den Schul/Firmennetz anonym Surfen möchte.

== Verbindung aufbauen ==

=== Windows ===

Nach der erfolgreichen Installation befindet sich die Verknüpfung zu OpenVPN auf ihrem Desktop.[[Datei:OPENVPNUSERS OpenVPN icon.png|60px||]]

Starten Sie den Client über Rechtsklick -> Als Administrator ausführen.

'''Wichtig'''
Sie müssen den Client "Als Administrator ausführen", da sonst die Namensauflösung im VPN-Netzwerk nicht korrekt funktionieren kann.

Sobald der Client läuft erscheint im Systray das Programm-Icon des OpenVPN. Durch einen Rechtsklick öffnen Sie das Programmmenü und können über "Verbinden" die VPN-Verbindung zu Ihrem CRANIX-Server aufbauen.

Sobald Sie auf "Verbinden" geklickt haben, wird die Verbindung aufgebaut, und es öffnet sich eine Fenster, in dem Sie nach Ihrem Benutzernamen und Passwort gefragt werden. Verwenden Sie hierfür Ihren Benutzernamen und Passwort aus der Schule.

Um nun auf ihr Homeverzeichnis zugreifen zu können, geben sie im Datei-Explorer \\admin\<<BENUTERNAME>> ein und bestätigen Sie mit Enter. Im Anschluss werden Sie aufgefordert Ihre Zugangsdaten anzugeben. Geben Sie hier Ihre Zugangsdaten vom Cranix ein. Sobald Sie verbunden sind, sehen Sie ihr Homeverzeichnis (Z:).

<gallery heights=250px widths=325px>
Image:VPNUSERS_run_asAdmin.png|Als administrator
Image:VPNUSERS_systray.png|OpenVPN
Image:VPNUSERS_no_config_found.png|Keine Konfiguration (optional)
Image:VPNUSERS_import_config.png|Konfiguration importieren (optional)
Image:VPNUSERS_connect.png|Verbinden
Image:VPNUSERS_authVPN.png|Anmelden
Image:VPNUSERS_connectedVPN.png|Erfolgreiche Anmeldung
Image:VPNUSERS_admin.png|Verbingung zum Homeverzeichnis
Image:VPNUSERS_loginAdmin.png|Anmeldung Datenzugriff
</gallery>

'''Zu beachten:'''
# Sowohl der IP-Adressenbereich im Tunnel als auch das Netzwerk hintern dem Tunnel muss sich vom lokalen Netzwerkbereich unterscheiden. Ein Beispiel: Haben die Netze sowohl in der Schule als auch zu Hause die IP-Adresse 172.16.0.0/16, kann man auf keinen Rechner im Schulnetz zugreifen. Die VPN-Verbindung wird trotzdem aufgebaut, allerdings ist der Tunnel unbrauchbar, weil es sich an beiden Enden die gleichen IP-Adressen befinden.
# Man kann mehrere VPN-Profile importieren.
# Unter bestimmten Voraussetzungen ist es möglich, dass man mehrere VPN-Verbindungen parallel geöffnet hält. Das funktioniert jedoch nur dann, wenn die Netzwerkkonfiguration der VPN-Verbindungen unterschiedlich ist. Das bedeutet das sowohl die IP-Adressenbereiche in den Tunneln als auch die Netzwerke hinter den Tunneln unterschiedlich sein müssen.

=== Mac OSX ===
Nach dem die Anwendung Tunnelblick erfolgreich installiert wurde, können Sie Ihre VPN-Konfiguration herunterladen und importieren. Dazu muss die heruntergeladene Datei durch Doppelklick entpackt und das entpackte Verzeichnis durch erneutes Doppelklick importiert werden:
<gallery heights=250px widths=325px>
Image:Tunnelblick-080.png|Schritt 1
Image:Tunnelblick-090.png|Schritt 2
Image:Tunnelblick-100.png|Schritt 3
</gallery>
Nun ist Ihre VPN-Konfiguration importiert und Sie können eine Verbindung aufbauen: Klicken Sie oben in der Leiste auf das Tunnelicon und wählen Sie ''"Ihre-Verbindungsname" verbinden'' aus. Sie werden nach Benutzername und Passwort gefragt. Aus Sicherheitsgründen ist es nicht zu empfehlen, das Passwort in Schlüsselbund zu speichern. Ist die Verbindung aufgebaut erscheint ein Statusfenster oben Rechts
<gallery heights=250px widths=325px>
Image:Tunnelblick-110.png|Schritt 1
Image:Tunnelblick-120.png|Schritt 2
Image:Tunnelblick-130.png|Schritt 3
Image:Tunnelblick-140.png|Schritt 4
</gallery>

Nach erfolgreichem Verbindungsaufbau können Sie auf die Freigaben des Server zugreifen. Es gibt Grundsätzlich 3 Freigaben die sie unter folgende URL im Finder unter "Gehe Zu" -> "Mit Server verbinden" erreichen können:
* All Tauschverzeichnis: smb://admin/all
* Gruppenverzeichnisse: smb://admin/groups
* Ihr persönliches Verzeichnis: smb://admin/<Ihr Benuztername>
Hier werden Sie auch nach Benutzernamen und Passwort gefragt, die Sie wieder nicht speichern lassen sollten.

<gallery heights=250px widths=325px>
Image:Tunnelblick-150.png|Schritt 1
Image:Tunnelblick-160.png|Schritt 2
Image:Tunnelblick-170.png|Schritt 3
Image:Tunnelblick-180.png|Schritt 4
</gallery>

CRANIX-VPN-Modul

2026-05-09T12:57:45Z

Admin: /* Mac OSX */

=Das VPN-Modul=
Mit dem VPN-Modul kann man einen gesicherten Zugang zu allen Geräten ins Schul/Firmennetz personalisiert gewähren.

== Vorbereitung ==
Das VPN-Modul wird von uns installiert und soweit vorkonfiguriert, dass Sie direkt einsteigen können.
Sollten Sie eine Domäne bzw. eine feste IP-Adresse besitzen, teilen Sie uns diese bitte VOR der Konfiguration mit, da Sie ansonsten eine Subdomäne von uns bekommen, Bsp: ngb-musterschule.cephalix.eu.

'''Wichtig'''
Sie müssen den Port 1194/UDP des Routers auf Port 1194/UDP des CRANIX-Servers weiterleiten.
Sowie Port 444/TCP des CRANIX muss auf einem Port ihrer Wahl auch zur Verfügung gestellt werden, damit die Benutzer die nötigen Dateien vom CRANIX-Server außerhalb des Schul/Firmennetzes herunterladen können

== CRANIX einrichten ==
Nach der Konfiguration durch uns müssen Sie festlegen, welche Benutzer einen VPN-Zugang bekommen. Da Rechte im CRANIX über Gruppenzugehörigkeiten vergeben werden, müssen Sie nichts weiter tun, als die gewünschten Benutzer in die Gruppe ''VPNUSERS'' aufzunehmen. Navigieren Sie hierfür in den Menüpunkt ''Gruppen'' und suchen sich die ''VPNUSERS'' und fügen Sie die Benutzer zur Gruppe zu, die VPN-Zugriff zum Server haben dürfen.

Wird ein Benutzer aus der Gruppe ''VPNUSERS'' entfernt, kann er keine Verbindung mehr zum Cranix herstellen.

== VPN-Client herunterladen ==

Der CRANIX bietet Ihnen die Möglichkeit, die für die VPN-Verbindung benötigte Software und Konfigurations-Datei in nur wenigen Schritten herunterzuladen. Hierfür müssen Sie sich nur an der Cranixoberfläche anmelden. In Ihrem Schulnetzwerk navigieren Sie wie gewohnt auf https://admin. Außerhalb des Schulnetzes müssen Sie auf die von uns eingerichtete Domäne gehen (https://musterkürzel.cephalix.eu:40444). Nach der Anmeldung befinden Sie sich auf Ihrer Profilseite. Wenn Sie Mitglied der VPNUSERS sind, haben Sie Zugriff auf die ''VPN''-Schaltfläche.
<gallery heights=250px widths=325px>
Image:Cranix-vpn-select-os.jpeg|Betriebsystem wählen
Image:Cranix-vpn-download.jpeg|Client und Konfiguration Herunterladen
</gallery>

Auf der VPN Schaltfläche müssen Sie zuerst das gewünschte Betriebsystem auswählen. Im Anschluss können Sie sich den VPN-Client (OpenVPN bzw. Tunnelblick für OSX) und Ihre persönliche Konfiguration herunterladen.

== VPN-Client installieren ==

=== Windows ===

Installieren Sie zuerst den OpenVPN-client "openvpn-install-Win.msi".

<gallery heights=250px widths=325px caption="OpenVPN Windows Client Installation">
Image:VPNUSERS_OpenVPN_1.png|Schritt 1
Image:VPNUSERS_OpenVPN_2.png|Schritt 2
Image:VPNUSERS_OpenVPN_3.png|Schritt 3
Image:VPNUSERS_OpenVPN_4.png|Schritt 4
Image:VPNUSERS_OpenVPN_5.png|Schritt 5
Image:VPNUSERS_OpenVPN_fin.png|Abschluss
</gallery>

Im Anschluss laden Sie die Konfiguration: "<Schulndomain>-<Benutzer>.ovpn" herunter. Die Datei wird als OpenVPN-Client-Profil erkannt und wird durch Mausklick importiert. Ist das nicht der Fall starten Sie OpenVPN und importieren Sie die heruntergeladene Konfiguration.

=== Mac OSX ===
Wählen Sie auf der Adminoberfläche unter ''Profile -> VPN'' als Betriebsystem '''Mac''' aus und llicken Sie auf '''DOWNLOAD INSTALLER'''. Nun wird der Installer '''Tunnelblick.dmg''' ins Downloadordner heruntergeladen. Öffnen Sie es und starten Sie die Installation mit einem Doppelklick auf die Installationsdatei. Wählen Sie die Standardeinstellungen. Da Sie ein Programm auf Ihrem Rechner installieren, werden Sie nach einem lokalen Benutzer mit Administrationsrechten (inklusive Passwort) gefragt. Siehe Bildgalerie unten:

<gallery heights=250px widths=325px caption="OpenVPN Mac Client Installation">
Image:tunnelblick-010.png|Schritt 1
Image:tunnelblick-020.png|Schritt 2
Image:tunnelblick-030.png|Schritt 3
Image:tunnelblick-040.png|Schritt 4
Image:tunnelblick-050.png|Schritt 5
Image:tunnelblick-060.png|Schritt 6
Image:tunnelblick-070.png|Schritt 7
Image:VPN-MacOSX-Tunnelblick-Warning.png|Warnung
</gallery>

Wird der Tunnel erfolgreich gestartet erscheint eine Warnung die man getrost ignorieren kann. Tunnelblick beklagst sich, dass sich die Internetverbindung durch den Tunnelaufbau nicht geändert hat. Und das ist gut so. Mit diesem Tunnel stellen wir eine sichere Verbindung zum Schul/Firmennetz her. Es geht nicht darum, dass man über den Schul/Firmennetz anonym Surfen möchte.

== Verbindung aufbauen ==

=== Windows ===

Nach der erfolgreichen Installation befindet sich die Verknüpfung zu OpenVPN auf ihrem Desktop.[[Datei:OPENVPNUSERS OpenVPN icon.png|60px||]]

Starten Sie den Client über Rechtsklick -> Als Administrator ausführen.

'''Wichtig'''
Sie müssen den Client "Als Administrator ausführen", da sonst die Namensauflösung im VPN-Netzwerk nicht korrekt funktionieren kann.

Sobald der Client läuft erscheint im Systray das Programm-Icon des OpenVPN. Durch einen Rechtsklick öffnen Sie das Programmmenü und können über "Verbinden" die VPN-Verbindung zu Ihrem CRANIX-Server aufbauen.

Sobald Sie auf "Verbinden" geklickt haben, wird die Verbindung aufgebaut, und es öffnet sich eine Fenster, in dem Sie nach Ihrem Benutzernamen und Passwort gefragt werden. Verwenden Sie hierfür Ihren Benutzernamen und Passwort aus der Schule.

Um nun auf ihr Homeverzeichnis zugreifen zu können, geben sie im Datei-Explorer \\admin\<<BENUTERNAME>> ein und bestätigen Sie mit Enter. Im Anschluss werden Sie aufgefordert Ihre Zugangsdaten anzugeben. Geben Sie hier Ihre Zugangsdaten vom Cranix ein. Sobald Sie verbunden sind, sehen Sie ihr Homeverzeichnis (Z:).

<gallery heights=250px widths=325px>
Image:VPNUSERS_run_asAdmin.png|Als administrator
Image:VPNUSERS_systray.png|OpenVPN
Image:VPNUSERS_no_config_found.png|Keine Konfiguration (optional)
Image:VPNUSERS_import_config.png|Konfiguration importieren (optional)
Image:VPNUSERS_connect.png|Verbinden
Image:VPNUSERS_authVPN.png|Anmelden
Image:VPNUSERS_connectedVPN.png|Erfolgreiche Anmeldung
Image:VPNUSERS_admin.png|Verbingung zum Homeverzeichnis
Image:VPNUSERS_loginAdmin.png|Anmeldung Datenzugriff
</gallery>

'''Zu beachten:'''
# Sowohl der IP-Adressenbereich im Tunnel als auch das Netzwerk hintern dem Tunnel muss sich vom lokalen Netzwerkbereich unterscheiden. Ein Beispiel: Haben die Netze sowohl in der Schule als auch zu Hause die IP-Adresse 172.16.0.0/16, kann man auf keinen Rechner im Schulnetz zugreifen. Die VPN-Verbindung wird trotzdem aufgebaut, allerdings ist der Tunnel unbrauchbar, weil es sich an beiden Enden die gleichen IP-Adressen befinden.
# Man kann mehrere VPN-Profile importieren.
# Unter bestimmten Voraussetzungen ist es möglich, dass man mehrere VPN-Verbindungen parallel geöffnet hält. Das funktioniert jedoch nur dann, wenn die Netzwerkkonfiguration der VPN-Verbindungen unterschiedlich ist. Das bedeutet das sowohl die IP-Adressenbereiche in den Tunneln als auch die Netzwerke hinter den Tunneln unterschiedlich sein müssen.

=== Mac OSX ===
Nach dem die Anwendung Tunnelblick erfolgreich installiert wurde, können Sie Ihre VPN-Konfiguration herunterladen und importieren. Dazu muss die heruntergeladene Datei durch Doppelklick entpackt und das entpackte Verzeichnis durch erneutes Doppelklick importiert werden:
<gallery heights=250px widths=325px>
Image:Tunnelblick-080.png|Schritt 1
Image:Tunnelblick-090.png|Schritt 2
Image:Tunnelblick-100.png|Schritt 3
</gallery>
Nun ist Ihre VPN-Konfiguration importiert und Sie können eine Verbindung aufbauen: Klicken Sie oben in der Leiste auf das Tunnelicon und wählen Sie ''"Ihre-Verbindungsname" verbinden'' aus. Sie werden nach Benutzername und Passwort gefragt. Aus Sicherheitsgründen ist es nicht zu empfehlen, das Passwort in Schlüsselbund zu speichern. Ist die Verbindung aufgebaut erscheint ein Statusfenster oben Rechts
<gallery heights=250px widths=325px>
Image:Tunnelblick-110.png|Schritt 1
Image:Tunnelblick-120.png|Schritt 2
Image:Tunnelblick-130.png|Schritt 3
Image:Tunnelblick-140.png|Schritt 4
</gallery>

Nach erfolgreichem Verbindungsaufbau können Sie auf die Freigaben des Server zugreifen. Es gibt Grundsätzlich 3 Freigaben die sie unter folgende URL im Finder unter "Gehe Zu" -> "Mit Server verbinden" erreichen können:
* All Tauschverzeichnis: smb://admin/all
* Gruppenverzeichnisse: smb://admin/groups
* Ihr persönliches Verzeichnis: smb://admin/<Ihr Benuztername>
Hier werden Sie auch nach Benutzernamen und Passwort gefragt, die Sie wieder nicht speichern lassen sollten.

<gallery heights=250px widths=325px>
Image:Tunnelblick-150.png|Schritt 1
Image:Tunnelblick-160.png|Schritt 2
Image:Tunnelblick-170.png|Schritt 3
Image:Tunnelblick-180.png|Schritt 4
</gallery>

Datei:VPN-MacOSX-Tunnelblick-Warning.png

2026-05-08T13:02:47Z

Admin:

VPN-MacOSX-Tunnelblick-Warning

Netzwerkverwaltung

2026-04-26T18:37:23Z

Admin: /* 💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen */

== Grundlagen der Netzwerkverwaltung ==
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Räumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Die Netzwerkverwaltung erfolgt anhand folgender Objekte:
* Gerätekonfigurationen
* Räume
* Geräte
* DNS-Einträge
Alle Geräte werden anhand ihrer MAC-Adressen identifiziert. Besitz ein Gerät, zB. ein Laptop, sowohl eine Ethernet- als auch eine WLAN-Karte, können beide am CRANIX-Server registriert werden. Dadurch wird sichergestellt, dass ein Gerät immer auf die selbe Weise behandelt wird, unabhängig davon, wie es mit dem Netzwerk verbunden ist.
Für WLAN-Geräte wurden sog. private WLAN-Adressen eingeführt. Dieses Feature soll angeblich "die Privatsphäre weiter schützen". Das heißt, dass ein Gerät sich bei jedem WLAN mit einer anderen zufälligen MAC-Adressen meldet. Dieses Verhalten kann zu vielen Problemen führen, deshalb muss dieses Feature bei jedem Gerät abgeschaltet sein:
[https://support.apple.com/de-de/HT211227 Apple]
[https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Probleme-sorgen-4907542.html Heise]

== Hardwarekonfigurationen ==
Die am CRANIX registrierten Geräte erhalten sog. Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parametern erstellt.

{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax
|-
| name || Der Name der Gerätekonfiguration || Max 32 Zeichen
|-
| description || Ausführliche Beschreibung der Gerätekonfiguration || Max 64 Zeichen, kann leer sein
|-
| deviceType || Die Art der Geräte || Nur vorhandene Werte können verwendet werden
|}

Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:

* '''FatClient''' Normale stationäre oder mobile Rechner. Nur für Rechner die in solchen Gerätekonfigurationen sind, wird eine SALT-Konfiguration und ein Workstationsbenutzer erstellt. Darüber hinaus können nur solche Rechner geklont werden.
* '''BYOD''' Private Geräte von den Benutzern.
* '''Printer''' Netzwerkdrucker.
* '''Server''' Zusätzliche Server im Netz.
* '''Switch''' Switche im Netz.
* '''ThinClient''' Thinclients im Netz.
* '''cloneProxy''' Für das Klonen an WLAN-Geräten

Den FatClient-Gerätekonfigurationen werden durch das Klonen, während des Erstellens des Masterimages, Partitionen zugewiesen. Die Partitionen haben folgende Parameter
{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax !! Bemerkung
|-
| name || Der Kerneldevicename der Partition || Wird vom CloneTool ermittelt. (sda1, sda2 ...)
|-
| description || Ausführliche Beschreibung der Partition || Max 64 Zeichen. Boot, System ...
|-
| OS || Operationssystem auf der Partition || Nur vorhandene Werte können verwendet werden: Win10, Win11, Linux, Data
|-
| joinType || Windows Domainjoin || Nur vorhandene Werte können verwendet werden: no, Domain || Wird nur bei OS==Win10, Win11 verwendet
|-
| tool || Das verwendete Imagingtool || Nur vorhandene Werte können verwendet werden: partclone, Zpartclone, partimage, dd, dd_rescue
|-
| format || Filesystem auf der Partition || Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no || Wird nur bei OS==Data verwendet
|}

Beim CRANIX erfolgt die automatische Umbenennung von Rechnern und ggf. die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner mit einer Gerätekonfigurationen FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert.

Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
*'''Win10-64-Domain''' Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
*'''Win10-64-no-Domain''' Rechner die vom CRANIX per SaltStack verwaltet werden, aber nicht AD-Domänen-Mitglied sind.
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
*'''cloneProxy''' Für das Klonen an WLAN Geräten

Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.

== Räume ==

Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden.
Beim Anlegen können/müssen folgende Angaben gemacht werden:

{|class="wikitable" style="text-align: lef;"
! Parametername !! Syntax !! Verfügbare Werte !! obligatorisch !! änderbar !! Verweis
|-
| Name || max 32 Zeichen. Nur DNS-konforme Zeichen || alles außer vorhandene Namen || Ja || Nein || [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen]
|-
| Beschreibung || max. 64 Zeichen. || alles außer vorhandene Namen || Ja || Ja
|-
| Raumtyp || || ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom || Ja || Ja || Hat nur informelle Bedeutung
|-
| HWConfig || || Müssen vorher definiert sein || Ja || Ja || Default in diesem Raum. Wichtig für die Erstellung von Softwaresets.
|-
| Raumkontrolle || || no, inRoom, allTeachers, sysadminsOnly || Ja || Ja
|-
| Anzahl der Geräte || || 4,8,16,32,64,128,512,1024,2048,4096 || Ja || Nein
|-
| Reihen || || 1-30 || Ja || Ja
|-
| Plätze || || 1-30 || Ja || Ja
|-
| Netzwerk || || Ist vordefiniert || Ja || Nein
|}

===Raumkontrolle===
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
* '''inRoom''' Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
* '''no''' In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzen, um den Zugriff auf das Internet aus diesen Räumen zu steuern.
* '''allTeachers''' Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkontrolle '''no''' sind.
* '''sysadminsOnly''' Diese Räume können nur durch Systemadministratoren kontrolliert werden.

Systemadministratoren können für Räume mit Raumkontrolle '''inRoom''', '''allTeachers''' und '''sysadminsOnly''' einen Zugriffszeitplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Aktionen an den Clients werden ausgeführt.

===Raumaktionen===
Über das Action-Icon können folgende Aktionen für alle Geräte in den ausgewählten Räumen ausgeführt werden:
* '''Einschalten''' Funktioniert nur mit Geräten, bei denen in BIOS/Firmware WOL erlaubt ist.
* '''Ausschalten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''neu starten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''Klonen starten''' PXE-Bootkonfiguration für die FatClient-Geräte werden geschrieben.
* '''Klonen anhalten''' PXE-Bootkonfiguration für die FatClient-Geräte werden gelöscht.
* '''öffnen''' D.h. Bildschirm und Tastatur wieder freigeben.
* '''schließen''' Bildschirm und Tastatur sperren.
* '''abmelden''' Angemeldete Benutzer abmelden.
* '''löschen''' Raum und alle Geräte im Raum werden gelöscht.

== Geräte ==
Klickt man unter '''Netzwerk''' -> '''Räume''' auf den Namen eines Raumes erhält man eine Liste mit den, in diesem Raum registrierten, Geräten. Man kann alle oder einzelne Geräte markieren und unter '''Aktionen''' folgende Funktionen mit den gewählten Rechnern ausführen:
* Eine CSV-Liste der gewählten Geräte herunterladen.
* Die gewählten Geräte löschen.
* Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Bei einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
* Das Gerät über WOL einschalten
* Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden muss. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inventarnummer sowie die Platzierung des Rechners im Raum anpassen.
* Den Rechner als Klonemaster markieren. Da in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
* DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. '''Wichtig: Setzt man hier einen Parameter falsch, führt das ggf. dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.'''
* Das Gerät löschen

===Geräte manuell registrieren===
Klickt man unter '''Netzwerk''' -> '''Räume''' beim entsprechenden Raum auf das '''+''' Zeichen, kann ein Gerät dem Raum hinzugefügt werden.

Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die '''MAC-Adresse''' des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die '''MAC-Adresse''' manuell eingetragen werden. Das Feld '''MAC-Adresse''' ist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der Reihe nach die nächste freie IP-Adresse im Raum zugewiesen.

Man muss eine freie '''IP-Adresse wählen'''. Dadurch wird auch der dazugehörige vordefinierte Name gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen in Active Directory für Computer] '''Wichtig''' Wurden mehrere MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.

Standardmäßig wird als '''Hardwarekonfiguration''' die des Raumes gesetzt, diese kann jedoch geändert werden.

Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld '''WLAN-MAC-Adresse''' eingetragen werden. Wurde eine '''WLAN-MAC-Adresse''' eingetragen, kann auch nur eine '''MAC-Adresse''' angegeben werden.

Die Felder '''Seriennummer''' und '''Inventarnummer''' können bei Bedarf ausgefüllt werden.

===Geräte importieren===
Geräte können von der Kommandozeile als Benutzer '''root''' mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgendes Format:

* In der ersten Zeile muss ein Header stehen.
* Feldseparator ist ";" (Semikolon).
* Groß/Klein-Schreibung ist irrelevant.
* Reihenfolge ist irrelevant.
* Folgende Felder müssen vorhanden sein:
:* room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
:* mac MAC-Adresse des Gerätes.
Weitere mögliche Felder.:
:* ip
:* name
:* hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
:* row
:* place
:* wlanmac
:* wlanip
:* serial
:* inventary
:* owner -> hier muss der Benutzername (uid) des Eigentümers stehen

Hier ist eine ganz einfache Beispieldatei:
room;mac
edv1;AA:BB:CC:DD:EE:01
edv1;AA:BB:CC:DD:EE:02
edv1;AA:BB:CC:DD:EE:03
edv1;AA:BB:CC:DD:EE:04

===Hardwarekonfigurationen von Geräten ändern===

#Wenn nötig neue Hardwarekonfigurationen anlegen
#Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen

Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
#Wenn nötig neue Hardwarekonfigurationen anlegen
#Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
#Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten

===Salt-Minion Konfiguration manuell bearbeiten===
#Dienst salt-minion auf dem betroffenen Client anhalten.
#c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass die id: eines Clients der FQHN also Rechnername.DNS-Domainname ist.
#Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
#Auf dem Server mit dem Befehl '''salt-key -d "minion.name"''' den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
#Dienst salt-minion auf dem Client starten.

==CloneTool==
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
<div class=warningbox>WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab '''CRANIX 4-3''' keine Masterrechner mehr. Das heißt: von allen Rechner können Images gezogen werden.</div>
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner mit der selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:

===Windowsrechner für Klonen vorbereiten===
*Den lokalen Administrator aktivieren! Öffnen Sie dazu einen Terminal (Eingabeaufforderung) mit der Option "Als Administrator ausführen" und führen Sie folgenden Befehl aus: <code>net user administrator * /active:yes</code>
*<div class=warningbox>'''Melden Sie sich als lokaler Administrator an!''' Die Verwaltung der Clients funktioniert nur dann, wenn Sie die folgenden Schritte als Benutzer '''Administrator''' ausführen.</div>
*Starten Sie die Kommandozeile oder PowerShell (WIN+X) oder über Start->Ausführen "CMD" mit STRG+UMSCHALT+ENTER.
*Hybernatemodus abschalten: <code>powercfg /h off</code>
*Bitlocker deaktivieren: <code>manage-bde -off c:</code>
*Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über '''Räume''' oder '''Geräte'''.
*Alle Updates installieren.
*Das [https://repo.cephalix.eu/Downloads/ClientSetup_py3.exe CRANIX Client Setupprogram] herunterladen.
*Rechner vom Netzwerk trennen, sonst wird der Rechner in die Domäne aufgenommen. Vor dem Clonen darf der Rechner nicht in der Domäne sein.
*ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren: <br><code>ClientSetup_py3.exe /i /passive MinionName=<hostname>.<dns-domainname>.</code><br> Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld '''Minionname''' eintragen. Der auf dem CRANIX-Server eingetragene Minionname des FQHN des Rechners. Also ''hostname''.''dns-domainname''.<br>'''WICHTIG rechner- drucker und domainnamen IMMER klein schreiben!!!'''
*Rechner auschalten.
*Rechner mit Netzwerk verbinden.
*Neustart über das Netzwerk ins CloneTool.
*Starten Sie nun '''Rechner klonen'''.
*Als erstes müssen Sie die zu klonenden Partitionen auswählen
*Geben Sie den zu klonenden Partitionen eine Beschreibung.
*Anschließend müssen zu den Partitionen verschiedene Angaben gemacht werden:
*Betriebssystem: Win10, WinBoot, Linux, Data
*Bei Win10 müssen Sie daneben angeben, ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
*Anschließend muss ein Imagingtool ausgewählt werden. '''Zpartclone''' bietet den besten Durchsatz und Komprimierung. Welches Tool mit Ihrer Hardware bzw. Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. '''dd''' und '''dd_rescue''' erstellen eine 1 zu 1 Kopie der Partitionen. '''dd_rescue''' kann auch beschädigte Partitionen lesen.
*Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechnern anfangen.

===Rechner wiederherstellen===
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
====Manuelle Wiederherstellung====
*Rechner über Netzwerk starten.
*CloneTool auswählen.
*Melden Sie sich als Administrator an.
*Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie einen eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start des CloneTools am Server registrieren.
*Wählen Sie '''Restore'''
*Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Image bespielt.

====Automatische Wiederherstellung====
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in das CloneTool und starten das '''Restore'''. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter '''Räume''' oder '''Geräte''' erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw. Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden.
Tritt ein Fehler während des Klonvorgangs auf, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in das CloneTool starten. Das macht man wieder im Kontextmenü mit dem Menüpunkt '''Klonen anhalten'''.

====Multicast Klonen====
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehrere Geräte gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Bei Multicast Klonen ist es sehr wichtig, dass die zu wiederherstellenden Rechner die selbe Gerätekonfiguration haben, deshalb wird Multicast Klonen über den Menüpunkt '''Gerätekonfiugrationen''' in folgenden Schritten gestartet:
#'''Gerätekonfiugrationen'''
#Betroffene Gerätekonfiugration bearbeiten.
#Untere Menütab '''Mitglieder''' wählen
#Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
#Die zu klonenden Rechner auswählen.
#Rechts oben mit dem grünen Ikon '''Multicast Klonen starten''' werden die benötigte Bootkonfigurationen erstellt.
#Rechts oben mit dem roten Ikon '''Multicast Klonen anhalten''' können die Bootkonfigurationen bei Bedarf gelöscht werden.

===Klonen von Laptops===
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANIX-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die gleiche MAC-Adresse verwendet.

===Klonen von Tablets über die '''cloneProxy'''===
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen.
Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.

Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "'''cloneProxy'''" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware, sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet-MAC-Adresse mit der WLAN-Karten-MAC-Adresse identifiziert werden sollen.

Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in '''SERVER_NET''' machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration '''cloneProxy''' zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration '''cloneProxy''' erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.

#Raum 'usb-adapter' mit Gerätekonfiguration '''cloneProxy''' für die entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
#Eine neue Gerätekonfiguration für die Tablets erstellen.
#Einen Raum oder mehrere Räume für die Tablets anlegen.
#Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
#Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
#Als Administrator in CloneTool anmleden.
#USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
#Tablet in einem, für die Tablets angelegten Raum registrieren.
#Rechner klonen.
'''WICHTIG''' Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.

Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einem nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei, ein oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!

====Surface klonen====
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
#Laut [https://docs.microsoft.com/de-de/surface/ethernet-adapters-and-surface-device-deployment Microsoft] unterstützt das Surface zwar auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
#Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber danach war Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das [https://repo.cephalix.eu/Downloads/CRANIX-4-3-x86_64.iso CRANIX Installations-CD] beinhaltet den Menüpunkt '''CloneTool'''. Dieser wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
<gallery heights=200px widths=260px>
Surface_firmware_secure_boot.png|Secure Boot
Surface_firmware_tpm.png|TPM Einstellungen
Surface_firmware_bootorder.png|Bootreihenfolge
Surface_firmware_reboot.png|Reboot
CRANIX-DVD-Boot.png|Bootmenü
</gallery>

#BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
#Die üblichen Einstellungen vornehmen:
##Den lokalen Administrator aktivieren!
##net user administrator * /active:yes
##Melden Sie sich als lokaler Administrator an!
##Hybernatemodus abschalten: powercfg /h off
#Tablet herunterfahren.
#USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
#Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
##Halten Sie die Lauter-Taste gedrückt.
##Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
#Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
##Security -> Secure boot -> Change Configuration -> none
##Security -> Trusted Plattform -> off
##Boot order -> USB an erste Stelle setzten.
##Die Firmware verlassen.
#Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.

===Über WLAN klonen===
Das geht doch gar nicht. In erster Linie ist das wirklich unmöglich, da man zur Zeit noch nicht über WLAN PXE booten kann. Man kann jedoch das CloneTool auch über das CRANIX-Installationsmedium starten und so das Klonen über den WLAN-Adapter durchführen. Das setzt jedoch eine SEHR stabile WLAN-Infrastruktur voraus.

*Erstellen Sie ein [[Installation#Installationsmedium_erstellen|CRANIX-Installationsmedium]].
*Booten Sie das Gerät über das CRANIX-Installationsmedium und starten Sie das Bootmenü CloneTool.
*Das Bootsystem erkennt und aktiviert die WLAN-Karte des Gerätes, wenn dieses nicht mit einer Netzwerkkabel mit dem Netzwerk verbunden ist.
*Das Bootsystem fragt nach der SSID des WLANs und nach den Zugangsdaten.
*Anschließend gelangt man zum CloneTool, als wäre man über Ethernet verbunden und kann das CloneTool, wie gewohnt benutzen.
*Bevor Sie sich am CloneTool anmelden und das Klonen starten, müssen Sie das CRANIX-Installationsmedium entfernen, wenn Sie über einen USB-Stick gebootet haben, sonst wird dieser auch als Festplatte erkannt.

== Drucker ==
Der CRANIX bietet die Möglichkeit Netzwerkdrucker im System zu registrieren: die Drucker können Räumen bzw. Rechnern als Standard oder als sonstiger Drucker zugewiesen werden. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü '''Geräte''' -> '''Drucker'''. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein.
Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zB. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren.
Im ersten Reiter des Menüs '''Drucker''' erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
* Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
* Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
* Druckerwarteschlange deaktivieren. Will man zB. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange sperren, kann man die Annahme von Druckaufträgen deaktivieren.
* Druckerwarteschlange zurücksetzten.
* Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
===Drucker anlegen===
Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
* Name
* MAC-Adresse
* Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
* Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller '''Generic''' und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich ''Generic PCL 5e Printer'' und für die Farbdrucker ''Generic PCL 6/PCL XL Printer''

Beim Anlegen eines Druckers werden folgende Aktionen ausgeführt:
# Ein Gerät wird mit der Gerätekonfiguration <b>Printer</b> im gewählten Raum mit der gegebenen MAC-Adresse angelegt
# Eine Druckerwarteschlange wird mit dem Namen des Druckergeräts in CUPS angelegt.
# Die Druckerwarteschlange in CUPS wird aktiviert.
# Die Verteilung von Druckertreiber für Windows-Clients wird aktiviert.
Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
* Papiergröße A4
* Fehlerbehandlung: Druckerauftrag löschen
* Druckerwarteschlange ist aktiv und nimmt Aufträge an.

<b>Wichtig</b> Damit die Verteilung der Windows-Druckertreiber funktioniert muss
ein [[Anpassungsmöglichkeiten#Ein_Gruppenrichtlinienobjekt_erstellen|Gruppenrichtlinienobjekt erstellt]] werden.

===Druckerwarteschlange anlegen===
Im dritten Reiter des Menüs '''Drucker''' kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät auswählen. Sonst gilt das Gleiche wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS und SAMBA angelegt.

===Druckerwarteschlange zu Räumen oder Rechner zuweisen===
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt ''Netzwerk -> Räumen''. Hier klickt man auf den Namen des Raumes. Will man für einen Raum den Standarddrucker oder die Sonstigen Drucker festlegen muss man auf den zweiten Reiter ''Drucker'' klicken. Nun gelten diese Einstellungen für alle Windows-Clients in diesem Raum. Will man für einen Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstigen- Drucker festlegen.

Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden.
Auf Windows-Clients ist es möglich unter der URL '''\\admin\<Druckerwarteschlangename>''' verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert.
Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgendermaßen setzen:
CUPS_SERVER=admin

===Druckertreiber auf dem Server hinterlegen===
Man kann beim Einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
# Sich als '''root''' anmelden.
# Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
# Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
# Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl

===Treiberloses Drucken mit Windows-Client über IPP ab Version 10===
Hier ist ein kompakter, praxisnaher Artikel für dein Setup mit CUPS und Windows 11:

====🖨️ Drucken per IPP: CUPS einrichten & Windows 11 anbinden====

'''🔧 1. CUPS-Server für IPP konfigurieren'''

Damit Clients per **IPP (Internet Printing Protocol)** drucken können, muss CUPS Netzwerkzugriffe erlauben und Drucker freigeben. Dafür muss man die Datei <code>/etc/cups/cupsd.conf</code> anpassen.

'''🔓 Zugriff erlauben'''
Stelle sicher, dass CUPS auf allen Interfaces lauscht:

Listen 0.0.0.0:631
oder
Port 631

'''🌐 Zugriff im Netzwerk erlauben'''

<Location />
Allow @LOCAL
</Location>
<Location /admin>
Allow @LOCAL
</Location>
<Location /printers>
Allow @LOCAL
</Location>

👉 Optional (offener, unsicherer):
Allow all

'''📢 Drucker freigeben'''

In derselben Datei:
Browsing On
BrowseLocalProtocols dnssd
DefaultShared Yes

'''🔄 CUPS neu starten'''

systemctl restart cups

''🔎 2. IPP-URL des Druckers''

CUPS stellt Drucker typischerweise unter folgender URL bereit:

http://<server>:631/printers/<druckername>

'''Auf einem CRANIX-Server:'''

http://printserver:631/printers/hp-laserjet

Test im Browser:

http://printserver:631/printers

====💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen====

'''⚙️ Feature aktivieren (falls nötig)'''

dism /online /Enable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client

oder
powershell
Enable-WindowsOptionalFeature -Online -FeatureName "Printing-Foundation-InternetPrinting-Client"

'''🚀 Drucker hinzufügen (PowerShell)'''

powershell
Add-Printer -Name "hp-laserjet" `
-DriverName "Microsoft IPP Class Driver" `
-PortName "http://printserver:631/printers/hp-laserjet"
👉 Das ist der wichtigste Schritt.

'''🔐 Optional: IPPS (verschlüsselt)'''

powershell
Add-Printer -Name "CUPS_Drucker" `
-DriverName "Microsoft IPP Class Driver" `
-PortName "https://printserver:631/printers/hp-laserjet"

⚠️ Bei selbstsignierten Zertifikaten kann es zu Fehlern kommen.

'''🧪 4. Verbindung testen'''

powershell
Test-NetConnection printserver -Port 631

====💻 4. Windows 11: IPP-Drucker manuell hinzufügen====
'''Methode 1:''' Automatisch hinzufügen (empfohlen)

# Öffne '''Einstellungen'''
# Gehe zu '''Bluetooth & Geräte → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Windows sucht nach verfügbaren Druckern
# Wenn dein IPP-Drucker erscheint → '''Hinzufügen'''

👉 Funktioniert gut, wenn der Drucker im selben Netzwerk ist und IPP korrekt annonciert (z. B. via Bonjour/mDNS). Bei CRANIX-Server sollte das der Fall sein.

'''Methode 2:''' Manuell über IPP-URL hinzufügen

Wenn der Drucker nicht automatisch gefunden wird:

# Öffne '''Einstellungen → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Scrolle runter → '''„Der gewünschte Drucker ist nicht aufgeführt“''' Wähle: '''„Einen Drucker über eine TCP/IP-Adresse oder einen Hostnamen hinzufügen“'''
# Bei Gerätetyp: '''„Web Services Device“** oder **„TCP/IP-Gerät“'''
# URL des Druckers eingeben, z. B.: ''ipp://printserver/ipp/lz-dr1'' oder ''http://printserver:631/ipp/lz-dr1''
# Treiber auswählen (oder automatisch erkennen lassen)

'''Methode 3:''' Über Systemsteuerung (klassisch)

# Öffne '''Systemsteuerung → Geräte und Drucker'''
# Klick auf '''„Drucker hinzufügen“'''
# → '''„Der gewünschte Drucker ist nicht aufgeführt“'''
# → '''„Freigegebenen Drucker über Namen auswählen“'''
# IPP-URL eingeben (wie oben)

'''Treiber:'''
Oft funktioniert '''Microsoft IPP Class Driver''' automatisch

'''Typische IPP-URL-Formate:'''
ipp://hostname/ipp/druckername

http://hostname:631/ipp/druckername

ipp://IP-Adresse/ipp/druckername

Port 631 ist Standard für IPP.

==Softwareverteilung==
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen. Installationsziele können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
#Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: ''Administration'' -> ''Software'' -> ''Pakete herunterladen''. Abwarten bis die Pakete geladen sind.
#Anschließend kann man unter ''Installationsset erstellen'' aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
#Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/crx_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also müssen die Rechner einer Hardwarekonfiguration zugewiesen sein, in der der Gerätetyp als FatClient definiert wurde.

==WLAN==
Die Dienste des CRANIX-Servers können selbstverständlich auch über WLAN erreicht werden. Der Server bietet verschiedene Möglichkeiten WLAN Geräte ins Netz einzubinden. Voraussetzung ist immer eine gut funktionierende WLAN-Infrastruktur. Ist der Einsatz von mehreren Accesspoints erforderlich, müssen diese unbedingt über Hardware- oder Softwarecontroller (besser Hardware) zentral verwaltetet (managed) werden.
Wir können Sie natürlich bei, Planung, Beschaffung so wie Aufbau und Inbetriebnahme des WLAN-Netzwerks unterstützen, bzw. diese Schritte nach Ihren Anforderungen/Vorstellungen ausführen.

===WPA2-PSK===
Will man den WLAN-Zugang über WPA2-PSK (pre-shared key) bereitstellen müssen am CRANIX-Server keine weitere Einstellungen vorgenommen werden. Die Geräte können, wie Geräte mit Ethernetadaptern registriert werden. In diesem Fall können private Geräte nicht automatisch zu Benutzern zugeordnet werden, deshalb empfehlen wir für die Verwaltung von privaten Geräten (BYOD) den Einsatz des Radiusprotokolls (i.F).

===WPA2-Enterprise Radius===
Der CRANIX-Server bietet auch einen Radiusserver für die personalisierte Anmeldung im WLAN an. Wenn Sie den Radiusserver benutzen wollen müssen Sie das Paket cranix-radius als Benutzer root auf dem Server installieren:
zypper install cranix-radius
Nach der Installation müssen noch folgende Konfigurationsschritte durchgeführt werden:
'''Setzen des Radius-Secrets''' Diese liegt am Ende der Datei '''/etc/raddb/clients.conf'''. Nach der Installation des Paketes wird ein Client-Eintrag '''server-net''' in dieser Datei erstell, der den Zugriff für Accesspoints aus dem Servernetz mit dem Passwort '''testing123-1''' festlegt. Sie sollten dieses Passwort unbedingt ändern und den Radiusdients neu starten. Anschließend müssen Sie alle Accespoints im Raum SERVER_NET registrieren und die Radiuseinstellungen setzen. Diese sind wie folgt:
DNS-Name des Radiusservers: admin
Radius-Secret: was Sie gesetzt haben
Port: 1812
Accounting Port: 1813
Wenn erforderlich, können Sie für die Access-Points einen eigenen Raum anlegen um diesen zB. gesonderten Internetzugriff zu gewähren. In diesem Fall müssen Sie den Client-Eintrag '''server-net''' in der Datei '''/etc/raddb/clients.conf''' anpassen oder einen neuen Eintrag erstellen. Legen Sie diesen Raum mit Raumkontrolle '''no''' an, damit Sie für diesen Raum feste Firewallregeln setzen können.

Nun ist das WLAN-Netz einsatzbereit und jeder Benutzer kann sich mit Benutzername und Passwort anmelden. Nach der Anmeldung bekommen die nicht registrierten Geräten eine IP-Adresse aus dem ANON_DHCP-Raum, wenn dort noch genug IP-Adressen zur Verfügung stehen. Registrierte Geräte, bekommen die ihnen bei der Registrierung zugewiesene IP-Adressen.

In erster Linie können nur Systemadministratoren Geräte an CRANIX-Server anmelden. Das ist natürlich sehr viel Arbeit, die vor allem in Schulen nicht zu bewältigen ist. Um diese Arbeit zu erleichtern wurden die sog. AdHocLan Räume eingeführt.

==AdHocLan==
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Intranet selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der Vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der einzelnen Geräte (i.d.R. BYOD) kümmern muss. Die Benutzer können ihre eigenen Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht.
Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
*'''Name''' Der Name des Raumes
*'''Beschreibung''' Eine kurze Beschreibung des Raumes
*'''Gerätekonfiguration''' Hier sollte für privaten Geräten BYOD stehen.
*'''Gerät pro Benutzer''' Wie viele Geräte einzelne Benutzer in diesem Raum registrieren dürfen.
*'''Anzahl der Geräte''' Max. Anzahl an Geräten, die registriert werden können pro Raum. Diese Zahl sollte Größer sein als "'''Gerät pro Benutzer'''" * "'''Anzahl der Benutzer in der Gruppe'''".
*'''Raumkontrolle''' Wie soll der Zugang im Raum kontrolliert werden.
*'''Gruppen''' Hier muss man die Gruppen auswählen, deren Mitglieder in diesem Raum Geräte registrieren dürfen.
*'''Nur für Schüler''' Diese sollten dann auf '''yes''' gesetzt werden, wenn Sie den Zugriff für Schüler über solche Gruppen ermöglichen möchten, in denen auch Lehrer Mitglieder sind.

Steht einem Benutzer mindestens ein AdHocLan-Raum für die Registrierung von privaten Geräten zur Verfügung, kann der Benutzer über die Administrationsoberfläche unten Profile -> Geräte, private Geräte registrieren, löschen oder ändern.

Nach der Installation des Paketes cranix-radius stehen zwei weitere Systemvariablen zur Verfügung, womit die automatische Registrierung der WLAN-Geräte gesteuert wird.
* '''RADIUS_REGISTER_DEVICE''' Ist diese Variable auf "yes" gesetzt, werden neue Geräte bei der Anmeldung an WLAN automatisch registriert, wenn dem angemeldeten Benutzer zu Registrierung ein AdHocLan zur Verfügung steht.
* '''FORCE_REGISTER_DEVICE''' Diese Variable steuert was mit einem Gerät passiert, das nach der Anmeldung an WLAN nicht automatisch registriert werden kann. Das kann der Fall sein, wenn ein Benutzer zu keinem AdHocRaum zugewiesen ist, oder wenn dieser schon die maximalen Anzahl der Geräten registriert hat. Ist diese Variable auf "yes" gesetzt, bekommen solche Geräte nach der Anmeldung an WLAN keine IP-Adresse und können überhaupt nicht benutzt werden. Anderenfalls bekommen sie eine IP-Adresse aus dem ANON_DHCP-Raum und der Benutzer kann über die Administrationsoberfläche seine alten Geräte löschen, um das neue registrieren zu können.
* '''AUTO_UPDATE_MAC_ADDRESS''' Ist diese Variable auf "yes" gesetzt, kann ein Benutzter auch dann ein neues Gerät registrieren, wenn er eigentlich die Zahl '''Gerät pro Benutzer''' überschritten hat. In diesem Fall wird die MAC-Adresse des zuletzt registrierten Gerätes durch die neue MAC-Adresse ersetzt. Dies ist nötig, da iOS und Android Geräte ihre MAC-Adresse von Zeit zu Zeit ändern. Dieses Verhalten kann man zwar ändern, das schaffen allerdings nicht alle Benutzer.

'''WICHTIG''' Ist ein Benutzer in der Gruppe Systemadministratoren, funktioniert für ihn die automatische Registrierung von privaten Geräten nicht. Der Grund dafür ist, dass Systemadministratoren sehr oft testen, melden sich an fremden Geräten ins WLAN ein usw... Im Laufe ihrer Arbeit, würden sie Unmengen an Geräten besitzen, die gar nicht ihnen gehören. Systemadministratoren müssen ihre privaten Geräte manuell über die Administrationsoberfläche registrieren.

====AdHocLan Raum für Lehrer====
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
*'''Name''' lehrer-lan
*'''Beschreibung''' Raum für private Geräte der Lehrkraft
*'''Gerät pro Benutzer''' 4
*'''Anzahl der Geräte''' 512
*'''Raumkontrolle''' no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen.
Anschließend muss man in der Firewall die entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ''ausgehende Firewallregel'' erstellt werden:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' all
*'''Ziel''' 0/0
Will man nur Web-Zugang erlauben, müssen 2 ''ausgehende Firewallregeln'' erstellt werden:
Regel für http-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 80
*'''Ziel''' 0/0
Regel für https-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 443
*'''Ziel''' 0/0

Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räumen den Schulproxy nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:

#Automatische Internet-Proxyerkennung
#Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
#Proxy-Server: ''proxy'' Proxy-Server-Port: 8080

Bitte beachten Sie, dass ein Zugriff von Mailclients auf externe Mailserver nur mit direktem Internetzugang möglich ist.

====AdHocLan Raum für Schüler====

Für die Schüler kann man analog, wie bei den Lehrern, einen großen AdHocLan Raum anlegen. Dieser Raum darf natürlich nicht kontrollierbar sein. Wäre eine dynamische Raumkontrolle für die Lehrer möglich, würde das immer alle Schüler betreffen. Der Zugriff ins Internet muss über feste Firewallregeln oder über den Proxy geregelt werden. In bestimmten Schulen kann jedoch diese Lösung ausreichen.

Der CRANIX-Server bietet jedoch die Möglichkeit, die privaten Geräten der Schüler klassenweise in virtuellen Räumen zu ordnen. Bei Import der Schüler werden die eigenen Geräte in die neuen Klassenräume umgezogen. Ob und wie die AdHocLan-Klassenräume erstellt werden, wird durch folgende globalen Variablen geregelt:

* '''CRANIX_MAINTAIN_ADHOC_ROOM_FOR_CLASSES''' schaltet diese Funktion ein.
* '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER''' gibt an, wie viele Rechner ein Benutzer registrieren darf.
* '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' gibt an, wie viele Geräte in einem Raum registriert werden können. Diese Zahl muss eine Potenz von 2 sein. Erlaubte Werte sind also 8,16,32,64,128. Diese Zahl ergibt sich aus der Maximalen Klassengröße und dem Wert von '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER'''. Sind maximal 25 Schüler in einer Klasse und jeder Schüler darf 2 Geräte registrieren, muss als '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' als 64 gewählt werden.
* '''CRANIX_CLASS_ADHOC_NET''' Hat der CRANIX mehrere interne Netze, muss man hier angeben, welches Netz für die Klassen-AdHoc-Räume benutzt werden soll. Ist diese Variable nicht gesetzt, wird das Netz '''CRANIX_NETWORK/CRANIX_NETMASK''' verwendet.

Hat man diese Werte gesetzt, muss noch das Script '''/usr/share/cranix/tools/handle_class_adhoc_rooms.py''' als Benutzer '''root''' auf dem CRANIX ausgeführt werden. Damit werden die AdHocLan-Klassenräume für alle vorhandenen Klassen angelegt. Die Räume werden mit Raumkontrolle '''allTeachers''' erstellt, damit jeder Lehrer jeden Klassenraum kontrollieren kann.

==Gefilterter Internetzugang==
Vor allem in Schulen ist es unerlässlich, dass man den Internetzugang kontrolliert indem bestimmte Internetseiten nicht erreichbar gemacht werden. Dafür bietet der CRANIX-Server 2 Möglichkeiten: Proxy-Filterung und DNS-Filterung.

===Proxy-Filterung===
Nach der Installation des CRANIX-Servers wird der Proxy-Server squid, mit dem Contentfilter squidGuard installiert. Dieser Lösung bietet einen gefilterten, protokollierten Internetzugang. Der Contentfilter squidGard ordnet mehrer Millionen Internetseiten in Kategorien. Über die Administrationsoberfläche von CRANIX können Systemadministratoren einen Basisfilter zusammen stellen. Je nach Benutzerrolle können verschiedene Kategorien erlaubt und verboten sein. Dabei spielen folgende Kategorien besondere Rolle:
* '''Eigene White-Liste''' Die von squidGuard gelieferte Listen können nicht geändert werden. Möchte man den Zugriff auf eine Domäne erlauben, die jedoch in eine gesperrte Liste eingeordnet wurde, muss man diese hier eintragen. Der Zugriff auf die Domänen in der eigenen White-Liste ist für jede Benutzerrolle immer erlaubt.
* '''Eigene Black-Liste''' Die hier eingetragene Domänen sind für alle Benutzerrollen gesperrt.
* '''CEPHALIX-Liste''' Das ist eine White-Liste, die für alle Benutzerrollen erlaubt ist. Diese Liste kann jedoch nur von einem zentralen CEPHALIX-Server verwaltet werden. Der lokale Systemadministrator kann diese Liste nicht bearbeiten.
* '''in-addr''' Mit dieser Kategorie kann der Zugriff direkt auf IP-Adressen in der URL erlaubt oder verboten werden.
* '''all''' Das ist immer die letzte Kategorie. Ist dieser erlaubt, sind alle Zugriff die nicht explizit durch Kategorien verboten sind erlaubt. Ist diese Kategorie für eine Benutzerrolle verboten, haben die betroffene Benutzer nur Zugriff auf die explizit durch Kategorien erlaubten Seiten Zugriff.
Die Proxy-Filterung hat folgende Vorteile:
* Hohe Sicherheit, da nur http und https Zugriffe ins Internet erlaubt sind. (Nichtmal Pingen geht :-)
* Alle Zugriffe werden protokolliert.
* Man kann für die verschiedene Benutzerrollen verschiedene Filter erstellen.
Die Proxy-Filterung hat folgende Nachteile:
* Greift man auf verschlüsselte gesperrte Seiten, wird man nicht auf eine Blockseite weitergeleitet sondern erhält man ein Timeout. Das kann zu Verwirrungen führen.
* Verschiedene Video-Dienste sind durch Proxy nicht erreichbar. Deshalb muss man für diese Dienste extra Firewall- und Proxy-Pac-Regeln erstellen. Im Falle von Teams von Microsoft sind das bis zu Hundert Regel.
* MDM-Dienste benötigen auch direkten ungefilterten Internetzugang.

====Proxy-Konfiguration auf den Clients====
Der DHCP-Server vom CRANIX veröffentlicht im Netz über ein DHCP-Option, dass es im Netz einen Proxy-Server gibt, der über ein Proxy-Konfigurationsdatei benutzt werden sollt. Diese Datei ist über die URL '''http://admin/proxy.pac''' erreichbar.
Weiterhin ist auch der A-Record für wpad im DNS-Server von CRANIX gesetzt. Dadurch ist die selbige Konfigurationsdatei auch über die URL '''http://wpad.<Domainname>/wpad.dat''' erreichbar.
Beide Veröffentlichungsmethoden sind standardisiert und kennen die meisten moderne Clients. Das heißt prinzipiell ist es nicht erforderlich an den Clients die Proxy-Konfiguration einzustellen, da die diese automatisch erkennen können. Sollte das doch nicht der Fall sein, gibt es je nach Gerät bzw. Betriebssystem folgende Möglichkeiten:
* '''iOS''' Einstellungen -> WLAN -> beim betroffenen WLAN-SID -> Proxy konfigurieren -> Automatisch -> URL: http://admin/proxy.pac
* '''Win10'''

===DNS-Filterung===
Durch die Installation des Paketes '''cranix-unbound''' wird die DNS-Filterung eingeschaltet. Für diesen Dienst kann man eine Black-Liste von Domänen erstellen, die nicht erreichbar sein dürfen. Diese Domänen werden auf die Proxy-IP-Adresse des CRANIX-Servers aufgelöst und werden dadurch die Zugriffe auf diese Domänen auf eine Sperrseite weitergeleitet. Grundsätzlich ist in allen Räumen das direkte Internet eingeschaltet. D.h. man hat von allen Räumen vollen Zugriff auf alle IP-Adressen via alle Protokolle und Ports im Internet.

Während der Installation des Paketes '''cranix-unbound''' wird für jeden Raum, der mit einer dynamische Zugangskontrolle ( Kontrolle im Raum ist nicht ''no'' ) konfiguriert ist, eine Standardzugangsregel gesetzt, die alle Zugriffe inkl. direktes Internet erlaubt. Für Räume die mit Raumkontrolle ''no'' angelegt worden sind, muss man manuell Firewallregel anlegen. Alternativ können Sie vor der Installation in solchen Räumen die Raumkontrolle aud ''sysadminsOnly'' setzen. Weiterhin wir die automatische Proxykofigurationsdatei so umgeschrieben, das für alle Rechner mit allen Zielen direktes Internet eingestellt ist. Das erspart die erneute Konfiguration der vorhandenen Clients.
In Räumen mit dynamischer Zugangskontrolle können Lehrer den Internetzugang bei Bedarf sperren.

Die Black-Liste der gesperrten Domänen wird anhand der Proxy-Kategorien und der eigenen Black-, White- und CRANIX-Listen erstellt. Der grundsätzliche Unterschied zum Proxy-Zugang ist, dass bei der DNS-Filterung alles erlaubt ist was nicht verboten wurde. Deshalb gibt es bei DNS-Filterung keine positiv-Listen. Die Konfiguration der DNS-Filterung kann man über die Administrationsoberfläche als Systemadministrator '''Sicherheit''' -> '''DNS-Filterung''' erledigen. Das Paket ''cranix-unbound'' liefert eine Vorkonfiguration, die die Suchmaschinen bzw. YouTube zu '''SafeSearch''' Modus zwingt. Vor allem bei YouTube hat das zu Problem geführt. Deshalb haben wird das '''SafeSeraach'''-Modus konfigurierbar gemacht. Unter Sicherheit -> DNS-Filter gibt es nun einen zusätzlichen Reiter SafeSearch aktivieren. Hier kann man das SafeSearch-Modus für die verschiedene Dienste einzeln ein- bzw. ausschalten.

<div class=warningbox>'''SafeSearch''' Ist für ein Dienst (Ding, YouTube, Google) das SafeSearch-Modus aktiviert, hat nur der Dienstanbieter Einfluss darauf, was in ihren Diensten erreichbar oder gesperrt ist. Sie selber kategorisieren die Inhalte und man kann von außen das nicht beeinflussen. Sind Ihre Meinung nach zu viele Inhalte zBp. über YouTube nicht erreichbar, ist die Einzige Möglichkeit SafeSearch für YouTube zu deaktivieren. Man muss jedoch beachten, dass in diesem Fall alle Inhalten auf YouTube (auch Gewalt, Pornografie) erreichbar sind.</div>

'''WICHTIG''' Man sollte beachten, dass das Neustarten des Dienstes etwas 10 Sekunden lang dauert. Während dieser Zeit ist keine Namensauflösung im Netz möglich. Deshalb sollte man Änderungen nicht im laufenden Betrieb unternehmen. Die Konfigurationsseite ist so gestaltet, dass man erst alle Änderungen durchführen und anschließend den Dienst neu starten muss.

'''WICHTIG''' Der DNS-Filter ist ein separater Dienst, der auf die IP-Adresse des Proxy-Servers auf dem UDP-Port 53 lauscht. Deshalb muss die IP-Adresse des Proxy-Servers als <code>dns forwarder</code> in der Samba-Konfiguration in <code>[global]</code>-Sektion eingetragen werden. Das geschieht automatisch bei der Installation des Paketes '''cranix-unbound'''. Der Unbound-Server wiederum nutzt den Server 8.8.8.8 bzw. den Server, der vor der Installation in der Samba-Konfiguration als "dns forwarder" eingetragen war, als DNS-Forwader. Wenn Sie diese Einstellung ändern müssen, ändern Sie den Eintrag <code>forward-zone</code> in der Datei <code>/etc/unbound/conf.d/cranix.conf</code>.

Da bei DNS-Filterung grundsätzlich alle Internetzugriffe erlaubt sind, ist die Protokollierung der Zugriffe sehr wichtig. Dafür wurde ein Dienst entwickelt, der alle Internetzugriff in die Datei '''/var/log/cranix-internet-access.log''' schreibt. Diese hat folgendes Format:
Zeitpunkt;Benutzer;IP des Clients;IP des Ziels;IP-Protokoll;Port auf dem Zielrechner
Um die Datenmenge in vernünftigen Rahmen zu halten werden pro Minute nur ein Zugriff mit den selben Parametern protokolliert. Weiterhin wird bei der Installation ein Logrotate-Konfiguration ( ''/etc/logrotate.d/crx-fw-watcher'' ) mit folgenden Parameter hinterlegt:
* Maximales Alter der Logdateien: 180 Tage
* Maximale Anzahl der Logdateien: 20
* Maximale Größe der Logdateien: 4MiB
Vorteile der DNS-Filterung:
* Alle Dienste in Internet sind nun schmerzfrei erreichbar.
* Die Clients benötigen keine besondere Konfiguration. ''Plug and Play'' ist wirklich möglich.
Nachteile der DNS-Filterung:
* Alles ist erlaubt, was nicht verboten ist.
* Positivlisten können nicht verwendet werden.

==Fehlersuche==
Leider gehört die Suche nach Fehler im Netzwerk zum Alltag jeder Systemadministrator. Hier möchten wir einige Fehler Ihrer Symptomen und Behebung und wie man diese Probleme in der Zukunft vermeiden kann, beschreiben.

===Schleife im Netzwerk===
Das ist einer der häufigsten Probleme im Netzwerken. Eine Schleife im Netzwerk entsteht dadurch, dass zwei Ports im Netzwerk direkt miteinander verbunden werden. Dabei spielt es keine Rolle, ob sich diese Ports auf dem selben Switch befinden oder nicht.

Das wichtigste Symptomen einer Netzwerkschleife ist, dass an sich alles mehr oder weniger funktioniert, allerdings dauert alles wesentlich länger. Man kann sogar den Server erreichen, man kann sich evtl anmelden und surfen. Aber die Anmeldung dauert bei allen Benutzer mehrere Minuten und das Öffnen von Webseiten geht auch nicht zügig. Oft landet man in einem Time-Out.

Man kann anhand der Logs des DHCPD-Servers erkennen, ob es sich eine Schleife im Netzwerk befindet. Normaler weise sendet jeder Rechner 2 DHCP-Anfragen wenn dieser gestartet wird: Eine beim PXE-Boot und eine beim Starten des Betriebssystems, wenn die Netzwerkkarte aktiviert wird.

===Überprüfung der Konnektivität eines Windows-Rechners===
Dass ein Windows-Rechner läuft und man sich am Rechner anmelden kann, heißt noch lange nicht, dass dieser mit dem Netzwerk verbunden ist. Hat man sich einmal an einem Windows-Arbeitsplatz erfolgreich angemeldet, werden seine Anmeldedaten lokal gespeichert. Deshalb kann man sich später an diesem Rechner auch dann anmelden, wenn der CRANIX-Server nicht erreichbar ist.

Netzwerkverwaltung

2026-04-26T18:36:33Z

Admin: /* 💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen */

== Grundlagen der Netzwerkverwaltung ==
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Räumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Die Netzwerkverwaltung erfolgt anhand folgender Objekte:
* Gerätekonfigurationen
* Räume
* Geräte
* DNS-Einträge
Alle Geräte werden anhand ihrer MAC-Adressen identifiziert. Besitz ein Gerät, zB. ein Laptop, sowohl eine Ethernet- als auch eine WLAN-Karte, können beide am CRANIX-Server registriert werden. Dadurch wird sichergestellt, dass ein Gerät immer auf die selbe Weise behandelt wird, unabhängig davon, wie es mit dem Netzwerk verbunden ist.
Für WLAN-Geräte wurden sog. private WLAN-Adressen eingeführt. Dieses Feature soll angeblich "die Privatsphäre weiter schützen". Das heißt, dass ein Gerät sich bei jedem WLAN mit einer anderen zufälligen MAC-Adressen meldet. Dieses Verhalten kann zu vielen Problemen führen, deshalb muss dieses Feature bei jedem Gerät abgeschaltet sein:
[https://support.apple.com/de-de/HT211227 Apple]
[https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Probleme-sorgen-4907542.html Heise]

== Hardwarekonfigurationen ==
Die am CRANIX registrierten Geräte erhalten sog. Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parametern erstellt.

{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax
|-
| name || Der Name der Gerätekonfiguration || Max 32 Zeichen
|-
| description || Ausführliche Beschreibung der Gerätekonfiguration || Max 64 Zeichen, kann leer sein
|-
| deviceType || Die Art der Geräte || Nur vorhandene Werte können verwendet werden
|}

Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:

* '''FatClient''' Normale stationäre oder mobile Rechner. Nur für Rechner die in solchen Gerätekonfigurationen sind, wird eine SALT-Konfiguration und ein Workstationsbenutzer erstellt. Darüber hinaus können nur solche Rechner geklont werden.
* '''BYOD''' Private Geräte von den Benutzern.
* '''Printer''' Netzwerkdrucker.
* '''Server''' Zusätzliche Server im Netz.
* '''Switch''' Switche im Netz.
* '''ThinClient''' Thinclients im Netz.
* '''cloneProxy''' Für das Klonen an WLAN-Geräten

Den FatClient-Gerätekonfigurationen werden durch das Klonen, während des Erstellens des Masterimages, Partitionen zugewiesen. Die Partitionen haben folgende Parameter
{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax !! Bemerkung
|-
| name || Der Kerneldevicename der Partition || Wird vom CloneTool ermittelt. (sda1, sda2 ...)
|-
| description || Ausführliche Beschreibung der Partition || Max 64 Zeichen. Boot, System ...
|-
| OS || Operationssystem auf der Partition || Nur vorhandene Werte können verwendet werden: Win10, Win11, Linux, Data
|-
| joinType || Windows Domainjoin || Nur vorhandene Werte können verwendet werden: no, Domain || Wird nur bei OS==Win10, Win11 verwendet
|-
| tool || Das verwendete Imagingtool || Nur vorhandene Werte können verwendet werden: partclone, Zpartclone, partimage, dd, dd_rescue
|-
| format || Filesystem auf der Partition || Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no || Wird nur bei OS==Data verwendet
|}

Beim CRANIX erfolgt die automatische Umbenennung von Rechnern und ggf. die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner mit einer Gerätekonfigurationen FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert.

Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
*'''Win10-64-Domain''' Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
*'''Win10-64-no-Domain''' Rechner die vom CRANIX per SaltStack verwaltet werden, aber nicht AD-Domänen-Mitglied sind.
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
*'''cloneProxy''' Für das Klonen an WLAN Geräten

Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.

== Räume ==

Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden.
Beim Anlegen können/müssen folgende Angaben gemacht werden:

{|class="wikitable" style="text-align: lef;"
! Parametername !! Syntax !! Verfügbare Werte !! obligatorisch !! änderbar !! Verweis
|-
| Name || max 32 Zeichen. Nur DNS-konforme Zeichen || alles außer vorhandene Namen || Ja || Nein || [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen]
|-
| Beschreibung || max. 64 Zeichen. || alles außer vorhandene Namen || Ja || Ja
|-
| Raumtyp || || ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom || Ja || Ja || Hat nur informelle Bedeutung
|-
| HWConfig || || Müssen vorher definiert sein || Ja || Ja || Default in diesem Raum. Wichtig für die Erstellung von Softwaresets.
|-
| Raumkontrolle || || no, inRoom, allTeachers, sysadminsOnly || Ja || Ja
|-
| Anzahl der Geräte || || 4,8,16,32,64,128,512,1024,2048,4096 || Ja || Nein
|-
| Reihen || || 1-30 || Ja || Ja
|-
| Plätze || || 1-30 || Ja || Ja
|-
| Netzwerk || || Ist vordefiniert || Ja || Nein
|}

===Raumkontrolle===
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
* '''inRoom''' Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
* '''no''' In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzen, um den Zugriff auf das Internet aus diesen Räumen zu steuern.
* '''allTeachers''' Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkontrolle '''no''' sind.
* '''sysadminsOnly''' Diese Räume können nur durch Systemadministratoren kontrolliert werden.

Systemadministratoren können für Räume mit Raumkontrolle '''inRoom''', '''allTeachers''' und '''sysadminsOnly''' einen Zugriffszeitplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Aktionen an den Clients werden ausgeführt.

===Raumaktionen===
Über das Action-Icon können folgende Aktionen für alle Geräte in den ausgewählten Räumen ausgeführt werden:
* '''Einschalten''' Funktioniert nur mit Geräten, bei denen in BIOS/Firmware WOL erlaubt ist.
* '''Ausschalten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''neu starten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''Klonen starten''' PXE-Bootkonfiguration für die FatClient-Geräte werden geschrieben.
* '''Klonen anhalten''' PXE-Bootkonfiguration für die FatClient-Geräte werden gelöscht.
* '''öffnen''' D.h. Bildschirm und Tastatur wieder freigeben.
* '''schließen''' Bildschirm und Tastatur sperren.
* '''abmelden''' Angemeldete Benutzer abmelden.
* '''löschen''' Raum und alle Geräte im Raum werden gelöscht.

== Geräte ==
Klickt man unter '''Netzwerk''' -> '''Räume''' auf den Namen eines Raumes erhält man eine Liste mit den, in diesem Raum registrierten, Geräten. Man kann alle oder einzelne Geräte markieren und unter '''Aktionen''' folgende Funktionen mit den gewählten Rechnern ausführen:
* Eine CSV-Liste der gewählten Geräte herunterladen.
* Die gewählten Geräte löschen.
* Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Bei einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
* Das Gerät über WOL einschalten
* Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden muss. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inventarnummer sowie die Platzierung des Rechners im Raum anpassen.
* Den Rechner als Klonemaster markieren. Da in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
* DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. '''Wichtig: Setzt man hier einen Parameter falsch, führt das ggf. dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.'''
* Das Gerät löschen

===Geräte manuell registrieren===
Klickt man unter '''Netzwerk''' -> '''Räume''' beim entsprechenden Raum auf das '''+''' Zeichen, kann ein Gerät dem Raum hinzugefügt werden.

Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die '''MAC-Adresse''' des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die '''MAC-Adresse''' manuell eingetragen werden. Das Feld '''MAC-Adresse''' ist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der Reihe nach die nächste freie IP-Adresse im Raum zugewiesen.

Man muss eine freie '''IP-Adresse wählen'''. Dadurch wird auch der dazugehörige vordefinierte Name gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen in Active Directory für Computer] '''Wichtig''' Wurden mehrere MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.

Standardmäßig wird als '''Hardwarekonfiguration''' die des Raumes gesetzt, diese kann jedoch geändert werden.

Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld '''WLAN-MAC-Adresse''' eingetragen werden. Wurde eine '''WLAN-MAC-Adresse''' eingetragen, kann auch nur eine '''MAC-Adresse''' angegeben werden.

Die Felder '''Seriennummer''' und '''Inventarnummer''' können bei Bedarf ausgefüllt werden.

===Geräte importieren===
Geräte können von der Kommandozeile als Benutzer '''root''' mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgendes Format:

* In der ersten Zeile muss ein Header stehen.
* Feldseparator ist ";" (Semikolon).
* Groß/Klein-Schreibung ist irrelevant.
* Reihenfolge ist irrelevant.
* Folgende Felder müssen vorhanden sein:
:* room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
:* mac MAC-Adresse des Gerätes.
Weitere mögliche Felder.:
:* ip
:* name
:* hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
:* row
:* place
:* wlanmac
:* wlanip
:* serial
:* inventary
:* owner -> hier muss der Benutzername (uid) des Eigentümers stehen

Hier ist eine ganz einfache Beispieldatei:
room;mac
edv1;AA:BB:CC:DD:EE:01
edv1;AA:BB:CC:DD:EE:02
edv1;AA:BB:CC:DD:EE:03
edv1;AA:BB:CC:DD:EE:04

===Hardwarekonfigurationen von Geräten ändern===

#Wenn nötig neue Hardwarekonfigurationen anlegen
#Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen

Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
#Wenn nötig neue Hardwarekonfigurationen anlegen
#Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
#Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten

===Salt-Minion Konfiguration manuell bearbeiten===
#Dienst salt-minion auf dem betroffenen Client anhalten.
#c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass die id: eines Clients der FQHN also Rechnername.DNS-Domainname ist.
#Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
#Auf dem Server mit dem Befehl '''salt-key -d "minion.name"''' den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
#Dienst salt-minion auf dem Client starten.

==CloneTool==
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
<div class=warningbox>WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab '''CRANIX 4-3''' keine Masterrechner mehr. Das heißt: von allen Rechner können Images gezogen werden.</div>
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner mit der selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:

===Windowsrechner für Klonen vorbereiten===
*Den lokalen Administrator aktivieren! Öffnen Sie dazu einen Terminal (Eingabeaufforderung) mit der Option "Als Administrator ausführen" und führen Sie folgenden Befehl aus: <code>net user administrator * /active:yes</code>
*<div class=warningbox>'''Melden Sie sich als lokaler Administrator an!''' Die Verwaltung der Clients funktioniert nur dann, wenn Sie die folgenden Schritte als Benutzer '''Administrator''' ausführen.</div>
*Starten Sie die Kommandozeile oder PowerShell (WIN+X) oder über Start->Ausführen "CMD" mit STRG+UMSCHALT+ENTER.
*Hybernatemodus abschalten: <code>powercfg /h off</code>
*Bitlocker deaktivieren: <code>manage-bde -off c:</code>
*Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über '''Räume''' oder '''Geräte'''.
*Alle Updates installieren.
*Das [https://repo.cephalix.eu/Downloads/ClientSetup_py3.exe CRANIX Client Setupprogram] herunterladen.
*Rechner vom Netzwerk trennen, sonst wird der Rechner in die Domäne aufgenommen. Vor dem Clonen darf der Rechner nicht in der Domäne sein.
*ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren: <br><code>ClientSetup_py3.exe /i /passive MinionName=<hostname>.<dns-domainname>.</code><br> Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld '''Minionname''' eintragen. Der auf dem CRANIX-Server eingetragene Minionname des FQHN des Rechners. Also ''hostname''.''dns-domainname''.<br>'''WICHTIG rechner- drucker und domainnamen IMMER klein schreiben!!!'''
*Rechner auschalten.
*Rechner mit Netzwerk verbinden.
*Neustart über das Netzwerk ins CloneTool.
*Starten Sie nun '''Rechner klonen'''.
*Als erstes müssen Sie die zu klonenden Partitionen auswählen
*Geben Sie den zu klonenden Partitionen eine Beschreibung.
*Anschließend müssen zu den Partitionen verschiedene Angaben gemacht werden:
*Betriebssystem: Win10, WinBoot, Linux, Data
*Bei Win10 müssen Sie daneben angeben, ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
*Anschließend muss ein Imagingtool ausgewählt werden. '''Zpartclone''' bietet den besten Durchsatz und Komprimierung. Welches Tool mit Ihrer Hardware bzw. Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. '''dd''' und '''dd_rescue''' erstellen eine 1 zu 1 Kopie der Partitionen. '''dd_rescue''' kann auch beschädigte Partitionen lesen.
*Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechnern anfangen.

===Rechner wiederherstellen===
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
====Manuelle Wiederherstellung====
*Rechner über Netzwerk starten.
*CloneTool auswählen.
*Melden Sie sich als Administrator an.
*Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie einen eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start des CloneTools am Server registrieren.
*Wählen Sie '''Restore'''
*Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Image bespielt.

====Automatische Wiederherstellung====
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in das CloneTool und starten das '''Restore'''. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter '''Räume''' oder '''Geräte''' erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw. Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden.
Tritt ein Fehler während des Klonvorgangs auf, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in das CloneTool starten. Das macht man wieder im Kontextmenü mit dem Menüpunkt '''Klonen anhalten'''.

====Multicast Klonen====
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehrere Geräte gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Bei Multicast Klonen ist es sehr wichtig, dass die zu wiederherstellenden Rechner die selbe Gerätekonfiguration haben, deshalb wird Multicast Klonen über den Menüpunkt '''Gerätekonfiugrationen''' in folgenden Schritten gestartet:
#'''Gerätekonfiugrationen'''
#Betroffene Gerätekonfiugration bearbeiten.
#Untere Menütab '''Mitglieder''' wählen
#Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
#Die zu klonenden Rechner auswählen.
#Rechts oben mit dem grünen Ikon '''Multicast Klonen starten''' werden die benötigte Bootkonfigurationen erstellt.
#Rechts oben mit dem roten Ikon '''Multicast Klonen anhalten''' können die Bootkonfigurationen bei Bedarf gelöscht werden.

===Klonen von Laptops===
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANIX-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die gleiche MAC-Adresse verwendet.

===Klonen von Tablets über die '''cloneProxy'''===
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen.
Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.

Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "'''cloneProxy'''" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware, sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet-MAC-Adresse mit der WLAN-Karten-MAC-Adresse identifiziert werden sollen.

Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in '''SERVER_NET''' machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration '''cloneProxy''' zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration '''cloneProxy''' erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.

#Raum 'usb-adapter' mit Gerätekonfiguration '''cloneProxy''' für die entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
#Eine neue Gerätekonfiguration für die Tablets erstellen.
#Einen Raum oder mehrere Räume für die Tablets anlegen.
#Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
#Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
#Als Administrator in CloneTool anmleden.
#USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
#Tablet in einem, für die Tablets angelegten Raum registrieren.
#Rechner klonen.
'''WICHTIG''' Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.

Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einem nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei, ein oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!

====Surface klonen====
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
#Laut [https://docs.microsoft.com/de-de/surface/ethernet-adapters-and-surface-device-deployment Microsoft] unterstützt das Surface zwar auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
#Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber danach war Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das [https://repo.cephalix.eu/Downloads/CRANIX-4-3-x86_64.iso CRANIX Installations-CD] beinhaltet den Menüpunkt '''CloneTool'''. Dieser wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
<gallery heights=200px widths=260px>
Surface_firmware_secure_boot.png|Secure Boot
Surface_firmware_tpm.png|TPM Einstellungen
Surface_firmware_bootorder.png|Bootreihenfolge
Surface_firmware_reboot.png|Reboot
CRANIX-DVD-Boot.png|Bootmenü
</gallery>

#BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
#Die üblichen Einstellungen vornehmen:
##Den lokalen Administrator aktivieren!
##net user administrator * /active:yes
##Melden Sie sich als lokaler Administrator an!
##Hybernatemodus abschalten: powercfg /h off
#Tablet herunterfahren.
#USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
#Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
##Halten Sie die Lauter-Taste gedrückt.
##Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
#Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
##Security -> Secure boot -> Change Configuration -> none
##Security -> Trusted Plattform -> off
##Boot order -> USB an erste Stelle setzten.
##Die Firmware verlassen.
#Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.

===Über WLAN klonen===
Das geht doch gar nicht. In erster Linie ist das wirklich unmöglich, da man zur Zeit noch nicht über WLAN PXE booten kann. Man kann jedoch das CloneTool auch über das CRANIX-Installationsmedium starten und so das Klonen über den WLAN-Adapter durchführen. Das setzt jedoch eine SEHR stabile WLAN-Infrastruktur voraus.

*Erstellen Sie ein [[Installation#Installationsmedium_erstellen|CRANIX-Installationsmedium]].
*Booten Sie das Gerät über das CRANIX-Installationsmedium und starten Sie das Bootmenü CloneTool.
*Das Bootsystem erkennt und aktiviert die WLAN-Karte des Gerätes, wenn dieses nicht mit einer Netzwerkkabel mit dem Netzwerk verbunden ist.
*Das Bootsystem fragt nach der SSID des WLANs und nach den Zugangsdaten.
*Anschließend gelangt man zum CloneTool, als wäre man über Ethernet verbunden und kann das CloneTool, wie gewohnt benutzen.
*Bevor Sie sich am CloneTool anmelden und das Klonen starten, müssen Sie das CRANIX-Installationsmedium entfernen, wenn Sie über einen USB-Stick gebootet haben, sonst wird dieser auch als Festplatte erkannt.

== Drucker ==
Der CRANIX bietet die Möglichkeit Netzwerkdrucker im System zu registrieren: die Drucker können Räumen bzw. Rechnern als Standard oder als sonstiger Drucker zugewiesen werden. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü '''Geräte''' -> '''Drucker'''. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein.
Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zB. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren.
Im ersten Reiter des Menüs '''Drucker''' erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
* Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
* Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
* Druckerwarteschlange deaktivieren. Will man zB. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange sperren, kann man die Annahme von Druckaufträgen deaktivieren.
* Druckerwarteschlange zurücksetzten.
* Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
===Drucker anlegen===
Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
* Name
* MAC-Adresse
* Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
* Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller '''Generic''' und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich ''Generic PCL 5e Printer'' und für die Farbdrucker ''Generic PCL 6/PCL XL Printer''

Beim Anlegen eines Druckers werden folgende Aktionen ausgeführt:
# Ein Gerät wird mit der Gerätekonfiguration <b>Printer</b> im gewählten Raum mit der gegebenen MAC-Adresse angelegt
# Eine Druckerwarteschlange wird mit dem Namen des Druckergeräts in CUPS angelegt.
# Die Druckerwarteschlange in CUPS wird aktiviert.
# Die Verteilung von Druckertreiber für Windows-Clients wird aktiviert.
Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
* Papiergröße A4
* Fehlerbehandlung: Druckerauftrag löschen
* Druckerwarteschlange ist aktiv und nimmt Aufträge an.

<b>Wichtig</b> Damit die Verteilung der Windows-Druckertreiber funktioniert muss
ein [[Anpassungsmöglichkeiten#Ein_Gruppenrichtlinienobjekt_erstellen|Gruppenrichtlinienobjekt erstellt]] werden.

===Druckerwarteschlange anlegen===
Im dritten Reiter des Menüs '''Drucker''' kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät auswählen. Sonst gilt das Gleiche wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS und SAMBA angelegt.

===Druckerwarteschlange zu Räumen oder Rechner zuweisen===
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt ''Netzwerk -> Räumen''. Hier klickt man auf den Namen des Raumes. Will man für einen Raum den Standarddrucker oder die Sonstigen Drucker festlegen muss man auf den zweiten Reiter ''Drucker'' klicken. Nun gelten diese Einstellungen für alle Windows-Clients in diesem Raum. Will man für einen Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstigen- Drucker festlegen.

Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden.
Auf Windows-Clients ist es möglich unter der URL '''\\admin\<Druckerwarteschlangename>''' verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert.
Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgendermaßen setzen:
CUPS_SERVER=admin

===Druckertreiber auf dem Server hinterlegen===
Man kann beim Einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
# Sich als '''root''' anmelden.
# Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
# Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
# Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl

===Treiberloses Drucken mit Windows-Client über IPP ab Version 10===
Hier ist ein kompakter, praxisnaher Artikel für dein Setup mit CUPS und Windows 11:

====🖨️ Drucken per IPP: CUPS einrichten & Windows 11 anbinden====

'''🔧 1. CUPS-Server für IPP konfigurieren'''

Damit Clients per **IPP (Internet Printing Protocol)** drucken können, muss CUPS Netzwerkzugriffe erlauben und Drucker freigeben. Dafür muss man die Datei <code>/etc/cups/cupsd.conf</code> anpassen.

'''🔓 Zugriff erlauben'''
Stelle sicher, dass CUPS auf allen Interfaces lauscht:

Listen 0.0.0.0:631
oder
Port 631

'''🌐 Zugriff im Netzwerk erlauben'''

<Location />
Allow @LOCAL
</Location>
<Location /admin>
Allow @LOCAL
</Location>
<Location /printers>
Allow @LOCAL
</Location>

👉 Optional (offener, unsicherer):
Allow all

'''📢 Drucker freigeben'''

In derselben Datei:
Browsing On
BrowseLocalProtocols dnssd
DefaultShared Yes

'''🔄 CUPS neu starten'''

systemctl restart cups

''🔎 2. IPP-URL des Druckers''

CUPS stellt Drucker typischerweise unter folgender URL bereit:

http://<server>:631/printers/<druckername>

'''Auf einem CRANIX-Server:'''

http://printserver:631/printers/hp-laserjet

Test im Browser:

http://printserver:631/printers

====💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen====

'''⚙️ Feature aktivieren (falls nötig)'''

dism /online /Enable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client

oder

Enable-WindowsOptionalFeature -Online -FeatureName "Printing-Foundation-InternetPrinting-Client"

'''🚀 Drucker hinzufügen (PowerShell)'''

powershell
Add-Printer -Name "hp-laserjet" `
-DriverName "Microsoft IPP Class Driver" `
-PortName "http://printserver:631/printers/hp-laserjet"
👉 Das ist der wichtigste Schritt.

'''🔐 Optional: IPPS (verschlüsselt)'''

powershell
Add-Printer -Name "CUPS_Drucker" `
-DriverName "Microsoft IPP Class Driver" `
-PortName "https://printserver:631/printers/hp-laserjet"

⚠️ Bei selbstsignierten Zertifikaten kann es zu Fehlern kommen.

'''🧪 4. Verbindung testen'''

powershell
Test-NetConnection printserver -Port 631

====💻 4. Windows 11: IPP-Drucker manuell hinzufügen====
'''Methode 1:''' Automatisch hinzufügen (empfohlen)

# Öffne '''Einstellungen'''
# Gehe zu '''Bluetooth & Geräte → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Windows sucht nach verfügbaren Druckern
# Wenn dein IPP-Drucker erscheint → '''Hinzufügen'''

👉 Funktioniert gut, wenn der Drucker im selben Netzwerk ist und IPP korrekt annonciert (z. B. via Bonjour/mDNS). Bei CRANIX-Server sollte das der Fall sein.

'''Methode 2:''' Manuell über IPP-URL hinzufügen

Wenn der Drucker nicht automatisch gefunden wird:

# Öffne '''Einstellungen → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Scrolle runter → '''„Der gewünschte Drucker ist nicht aufgeführt“''' Wähle: '''„Einen Drucker über eine TCP/IP-Adresse oder einen Hostnamen hinzufügen“'''
# Bei Gerätetyp: '''„Web Services Device“** oder **„TCP/IP-Gerät“'''
# URL des Druckers eingeben, z. B.: ''ipp://printserver/ipp/lz-dr1'' oder ''http://printserver:631/ipp/lz-dr1''
# Treiber auswählen (oder automatisch erkennen lassen)

'''Methode 3:''' Über Systemsteuerung (klassisch)

# Öffne '''Systemsteuerung → Geräte und Drucker'''
# Klick auf '''„Drucker hinzufügen“'''
# → '''„Der gewünschte Drucker ist nicht aufgeführt“'''
# → '''„Freigegebenen Drucker über Namen auswählen“'''
# IPP-URL eingeben (wie oben)

'''Treiber:'''
Oft funktioniert '''Microsoft IPP Class Driver''' automatisch

'''Typische IPP-URL-Formate:'''
ipp://hostname/ipp/druckername

http://hostname:631/ipp/druckername

ipp://IP-Adresse/ipp/druckername

Port 631 ist Standard für IPP.

==Softwareverteilung==
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen. Installationsziele können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
#Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: ''Administration'' -> ''Software'' -> ''Pakete herunterladen''. Abwarten bis die Pakete geladen sind.
#Anschließend kann man unter ''Installationsset erstellen'' aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
#Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/crx_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also müssen die Rechner einer Hardwarekonfiguration zugewiesen sein, in der der Gerätetyp als FatClient definiert wurde.

==WLAN==
Die Dienste des CRANIX-Servers können selbstverständlich auch über WLAN erreicht werden. Der Server bietet verschiedene Möglichkeiten WLAN Geräte ins Netz einzubinden. Voraussetzung ist immer eine gut funktionierende WLAN-Infrastruktur. Ist der Einsatz von mehreren Accesspoints erforderlich, müssen diese unbedingt über Hardware- oder Softwarecontroller (besser Hardware) zentral verwaltetet (managed) werden.
Wir können Sie natürlich bei, Planung, Beschaffung so wie Aufbau und Inbetriebnahme des WLAN-Netzwerks unterstützen, bzw. diese Schritte nach Ihren Anforderungen/Vorstellungen ausführen.

===WPA2-PSK===
Will man den WLAN-Zugang über WPA2-PSK (pre-shared key) bereitstellen müssen am CRANIX-Server keine weitere Einstellungen vorgenommen werden. Die Geräte können, wie Geräte mit Ethernetadaptern registriert werden. In diesem Fall können private Geräte nicht automatisch zu Benutzern zugeordnet werden, deshalb empfehlen wir für die Verwaltung von privaten Geräten (BYOD) den Einsatz des Radiusprotokolls (i.F).

===WPA2-Enterprise Radius===
Der CRANIX-Server bietet auch einen Radiusserver für die personalisierte Anmeldung im WLAN an. Wenn Sie den Radiusserver benutzen wollen müssen Sie das Paket cranix-radius als Benutzer root auf dem Server installieren:
zypper install cranix-radius
Nach der Installation müssen noch folgende Konfigurationsschritte durchgeführt werden:
'''Setzen des Radius-Secrets''' Diese liegt am Ende der Datei '''/etc/raddb/clients.conf'''. Nach der Installation des Paketes wird ein Client-Eintrag '''server-net''' in dieser Datei erstell, der den Zugriff für Accesspoints aus dem Servernetz mit dem Passwort '''testing123-1''' festlegt. Sie sollten dieses Passwort unbedingt ändern und den Radiusdients neu starten. Anschließend müssen Sie alle Accespoints im Raum SERVER_NET registrieren und die Radiuseinstellungen setzen. Diese sind wie folgt:
DNS-Name des Radiusservers: admin
Radius-Secret: was Sie gesetzt haben
Port: 1812
Accounting Port: 1813
Wenn erforderlich, können Sie für die Access-Points einen eigenen Raum anlegen um diesen zB. gesonderten Internetzugriff zu gewähren. In diesem Fall müssen Sie den Client-Eintrag '''server-net''' in der Datei '''/etc/raddb/clients.conf''' anpassen oder einen neuen Eintrag erstellen. Legen Sie diesen Raum mit Raumkontrolle '''no''' an, damit Sie für diesen Raum feste Firewallregeln setzen können.

Nun ist das WLAN-Netz einsatzbereit und jeder Benutzer kann sich mit Benutzername und Passwort anmelden. Nach der Anmeldung bekommen die nicht registrierten Geräten eine IP-Adresse aus dem ANON_DHCP-Raum, wenn dort noch genug IP-Adressen zur Verfügung stehen. Registrierte Geräte, bekommen die ihnen bei der Registrierung zugewiesene IP-Adressen.

In erster Linie können nur Systemadministratoren Geräte an CRANIX-Server anmelden. Das ist natürlich sehr viel Arbeit, die vor allem in Schulen nicht zu bewältigen ist. Um diese Arbeit zu erleichtern wurden die sog. AdHocLan Räume eingeführt.

==AdHocLan==
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Intranet selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der Vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der einzelnen Geräte (i.d.R. BYOD) kümmern muss. Die Benutzer können ihre eigenen Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht.
Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
*'''Name''' Der Name des Raumes
*'''Beschreibung''' Eine kurze Beschreibung des Raumes
*'''Gerätekonfiguration''' Hier sollte für privaten Geräten BYOD stehen.
*'''Gerät pro Benutzer''' Wie viele Geräte einzelne Benutzer in diesem Raum registrieren dürfen.
*'''Anzahl der Geräte''' Max. Anzahl an Geräten, die registriert werden können pro Raum. Diese Zahl sollte Größer sein als "'''Gerät pro Benutzer'''" * "'''Anzahl der Benutzer in der Gruppe'''".
*'''Raumkontrolle''' Wie soll der Zugang im Raum kontrolliert werden.
*'''Gruppen''' Hier muss man die Gruppen auswählen, deren Mitglieder in diesem Raum Geräte registrieren dürfen.
*'''Nur für Schüler''' Diese sollten dann auf '''yes''' gesetzt werden, wenn Sie den Zugriff für Schüler über solche Gruppen ermöglichen möchten, in denen auch Lehrer Mitglieder sind.

Steht einem Benutzer mindestens ein AdHocLan-Raum für die Registrierung von privaten Geräten zur Verfügung, kann der Benutzer über die Administrationsoberfläche unten Profile -> Geräte, private Geräte registrieren, löschen oder ändern.

Nach der Installation des Paketes cranix-radius stehen zwei weitere Systemvariablen zur Verfügung, womit die automatische Registrierung der WLAN-Geräte gesteuert wird.
* '''RADIUS_REGISTER_DEVICE''' Ist diese Variable auf "yes" gesetzt, werden neue Geräte bei der Anmeldung an WLAN automatisch registriert, wenn dem angemeldeten Benutzer zu Registrierung ein AdHocLan zur Verfügung steht.
* '''FORCE_REGISTER_DEVICE''' Diese Variable steuert was mit einem Gerät passiert, das nach der Anmeldung an WLAN nicht automatisch registriert werden kann. Das kann der Fall sein, wenn ein Benutzer zu keinem AdHocRaum zugewiesen ist, oder wenn dieser schon die maximalen Anzahl der Geräten registriert hat. Ist diese Variable auf "yes" gesetzt, bekommen solche Geräte nach der Anmeldung an WLAN keine IP-Adresse und können überhaupt nicht benutzt werden. Anderenfalls bekommen sie eine IP-Adresse aus dem ANON_DHCP-Raum und der Benutzer kann über die Administrationsoberfläche seine alten Geräte löschen, um das neue registrieren zu können.
* '''AUTO_UPDATE_MAC_ADDRESS''' Ist diese Variable auf "yes" gesetzt, kann ein Benutzter auch dann ein neues Gerät registrieren, wenn er eigentlich die Zahl '''Gerät pro Benutzer''' überschritten hat. In diesem Fall wird die MAC-Adresse des zuletzt registrierten Gerätes durch die neue MAC-Adresse ersetzt. Dies ist nötig, da iOS und Android Geräte ihre MAC-Adresse von Zeit zu Zeit ändern. Dieses Verhalten kann man zwar ändern, das schaffen allerdings nicht alle Benutzer.

'''WICHTIG''' Ist ein Benutzer in der Gruppe Systemadministratoren, funktioniert für ihn die automatische Registrierung von privaten Geräten nicht. Der Grund dafür ist, dass Systemadministratoren sehr oft testen, melden sich an fremden Geräten ins WLAN ein usw... Im Laufe ihrer Arbeit, würden sie Unmengen an Geräten besitzen, die gar nicht ihnen gehören. Systemadministratoren müssen ihre privaten Geräte manuell über die Administrationsoberfläche registrieren.

====AdHocLan Raum für Lehrer====
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
*'''Name''' lehrer-lan
*'''Beschreibung''' Raum für private Geräte der Lehrkraft
*'''Gerät pro Benutzer''' 4
*'''Anzahl der Geräte''' 512
*'''Raumkontrolle''' no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen.
Anschließend muss man in der Firewall die entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ''ausgehende Firewallregel'' erstellt werden:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' all
*'''Ziel''' 0/0
Will man nur Web-Zugang erlauben, müssen 2 ''ausgehende Firewallregeln'' erstellt werden:
Regel für http-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 80
*'''Ziel''' 0/0
Regel für https-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 443
*'''Ziel''' 0/0

Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räumen den Schulproxy nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:

#Automatische Internet-Proxyerkennung
#Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
#Proxy-Server: ''proxy'' Proxy-Server-Port: 8080

Bitte beachten Sie, dass ein Zugriff von Mailclients auf externe Mailserver nur mit direktem Internetzugang möglich ist.

====AdHocLan Raum für Schüler====

Für die Schüler kann man analog, wie bei den Lehrern, einen großen AdHocLan Raum anlegen. Dieser Raum darf natürlich nicht kontrollierbar sein. Wäre eine dynamische Raumkontrolle für die Lehrer möglich, würde das immer alle Schüler betreffen. Der Zugriff ins Internet muss über feste Firewallregeln oder über den Proxy geregelt werden. In bestimmten Schulen kann jedoch diese Lösung ausreichen.

Der CRANIX-Server bietet jedoch die Möglichkeit, die privaten Geräten der Schüler klassenweise in virtuellen Räumen zu ordnen. Bei Import der Schüler werden die eigenen Geräte in die neuen Klassenräume umgezogen. Ob und wie die AdHocLan-Klassenräume erstellt werden, wird durch folgende globalen Variablen geregelt:

* '''CRANIX_MAINTAIN_ADHOC_ROOM_FOR_CLASSES''' schaltet diese Funktion ein.
* '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER''' gibt an, wie viele Rechner ein Benutzer registrieren darf.
* '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' gibt an, wie viele Geräte in einem Raum registriert werden können. Diese Zahl muss eine Potenz von 2 sein. Erlaubte Werte sind also 8,16,32,64,128. Diese Zahl ergibt sich aus der Maximalen Klassengröße und dem Wert von '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER'''. Sind maximal 25 Schüler in einer Klasse und jeder Schüler darf 2 Geräte registrieren, muss als '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' als 64 gewählt werden.
* '''CRANIX_CLASS_ADHOC_NET''' Hat der CRANIX mehrere interne Netze, muss man hier angeben, welches Netz für die Klassen-AdHoc-Räume benutzt werden soll. Ist diese Variable nicht gesetzt, wird das Netz '''CRANIX_NETWORK/CRANIX_NETMASK''' verwendet.

Hat man diese Werte gesetzt, muss noch das Script '''/usr/share/cranix/tools/handle_class_adhoc_rooms.py''' als Benutzer '''root''' auf dem CRANIX ausgeführt werden. Damit werden die AdHocLan-Klassenräume für alle vorhandenen Klassen angelegt. Die Räume werden mit Raumkontrolle '''allTeachers''' erstellt, damit jeder Lehrer jeden Klassenraum kontrollieren kann.

==Gefilterter Internetzugang==
Vor allem in Schulen ist es unerlässlich, dass man den Internetzugang kontrolliert indem bestimmte Internetseiten nicht erreichbar gemacht werden. Dafür bietet der CRANIX-Server 2 Möglichkeiten: Proxy-Filterung und DNS-Filterung.

===Proxy-Filterung===
Nach der Installation des CRANIX-Servers wird der Proxy-Server squid, mit dem Contentfilter squidGuard installiert. Dieser Lösung bietet einen gefilterten, protokollierten Internetzugang. Der Contentfilter squidGard ordnet mehrer Millionen Internetseiten in Kategorien. Über die Administrationsoberfläche von CRANIX können Systemadministratoren einen Basisfilter zusammen stellen. Je nach Benutzerrolle können verschiedene Kategorien erlaubt und verboten sein. Dabei spielen folgende Kategorien besondere Rolle:
* '''Eigene White-Liste''' Die von squidGuard gelieferte Listen können nicht geändert werden. Möchte man den Zugriff auf eine Domäne erlauben, die jedoch in eine gesperrte Liste eingeordnet wurde, muss man diese hier eintragen. Der Zugriff auf die Domänen in der eigenen White-Liste ist für jede Benutzerrolle immer erlaubt.
* '''Eigene Black-Liste''' Die hier eingetragene Domänen sind für alle Benutzerrollen gesperrt.
* '''CEPHALIX-Liste''' Das ist eine White-Liste, die für alle Benutzerrollen erlaubt ist. Diese Liste kann jedoch nur von einem zentralen CEPHALIX-Server verwaltet werden. Der lokale Systemadministrator kann diese Liste nicht bearbeiten.
* '''in-addr''' Mit dieser Kategorie kann der Zugriff direkt auf IP-Adressen in der URL erlaubt oder verboten werden.
* '''all''' Das ist immer die letzte Kategorie. Ist dieser erlaubt, sind alle Zugriff die nicht explizit durch Kategorien verboten sind erlaubt. Ist diese Kategorie für eine Benutzerrolle verboten, haben die betroffene Benutzer nur Zugriff auf die explizit durch Kategorien erlaubten Seiten Zugriff.
Die Proxy-Filterung hat folgende Vorteile:
* Hohe Sicherheit, da nur http und https Zugriffe ins Internet erlaubt sind. (Nichtmal Pingen geht :-)
* Alle Zugriffe werden protokolliert.
* Man kann für die verschiedene Benutzerrollen verschiedene Filter erstellen.
Die Proxy-Filterung hat folgende Nachteile:
* Greift man auf verschlüsselte gesperrte Seiten, wird man nicht auf eine Blockseite weitergeleitet sondern erhält man ein Timeout. Das kann zu Verwirrungen führen.
* Verschiedene Video-Dienste sind durch Proxy nicht erreichbar. Deshalb muss man für diese Dienste extra Firewall- und Proxy-Pac-Regeln erstellen. Im Falle von Teams von Microsoft sind das bis zu Hundert Regel.
* MDM-Dienste benötigen auch direkten ungefilterten Internetzugang.

====Proxy-Konfiguration auf den Clients====
Der DHCP-Server vom CRANIX veröffentlicht im Netz über ein DHCP-Option, dass es im Netz einen Proxy-Server gibt, der über ein Proxy-Konfigurationsdatei benutzt werden sollt. Diese Datei ist über die URL '''http://admin/proxy.pac''' erreichbar.
Weiterhin ist auch der A-Record für wpad im DNS-Server von CRANIX gesetzt. Dadurch ist die selbige Konfigurationsdatei auch über die URL '''http://wpad.<Domainname>/wpad.dat''' erreichbar.
Beide Veröffentlichungsmethoden sind standardisiert und kennen die meisten moderne Clients. Das heißt prinzipiell ist es nicht erforderlich an den Clients die Proxy-Konfiguration einzustellen, da die diese automatisch erkennen können. Sollte das doch nicht der Fall sein, gibt es je nach Gerät bzw. Betriebssystem folgende Möglichkeiten:
* '''iOS''' Einstellungen -> WLAN -> beim betroffenen WLAN-SID -> Proxy konfigurieren -> Automatisch -> URL: http://admin/proxy.pac
* '''Win10'''

===DNS-Filterung===
Durch die Installation des Paketes '''cranix-unbound''' wird die DNS-Filterung eingeschaltet. Für diesen Dienst kann man eine Black-Liste von Domänen erstellen, die nicht erreichbar sein dürfen. Diese Domänen werden auf die Proxy-IP-Adresse des CRANIX-Servers aufgelöst und werden dadurch die Zugriffe auf diese Domänen auf eine Sperrseite weitergeleitet. Grundsätzlich ist in allen Räumen das direkte Internet eingeschaltet. D.h. man hat von allen Räumen vollen Zugriff auf alle IP-Adressen via alle Protokolle und Ports im Internet.

Während der Installation des Paketes '''cranix-unbound''' wird für jeden Raum, der mit einer dynamische Zugangskontrolle ( Kontrolle im Raum ist nicht ''no'' ) konfiguriert ist, eine Standardzugangsregel gesetzt, die alle Zugriffe inkl. direktes Internet erlaubt. Für Räume die mit Raumkontrolle ''no'' angelegt worden sind, muss man manuell Firewallregel anlegen. Alternativ können Sie vor der Installation in solchen Räumen die Raumkontrolle aud ''sysadminsOnly'' setzen. Weiterhin wir die automatische Proxykofigurationsdatei so umgeschrieben, das für alle Rechner mit allen Zielen direktes Internet eingestellt ist. Das erspart die erneute Konfiguration der vorhandenen Clients.
In Räumen mit dynamischer Zugangskontrolle können Lehrer den Internetzugang bei Bedarf sperren.

Die Black-Liste der gesperrten Domänen wird anhand der Proxy-Kategorien und der eigenen Black-, White- und CRANIX-Listen erstellt. Der grundsätzliche Unterschied zum Proxy-Zugang ist, dass bei der DNS-Filterung alles erlaubt ist was nicht verboten wurde. Deshalb gibt es bei DNS-Filterung keine positiv-Listen. Die Konfiguration der DNS-Filterung kann man über die Administrationsoberfläche als Systemadministrator '''Sicherheit''' -> '''DNS-Filterung''' erledigen. Das Paket ''cranix-unbound'' liefert eine Vorkonfiguration, die die Suchmaschinen bzw. YouTube zu '''SafeSearch''' Modus zwingt. Vor allem bei YouTube hat das zu Problem geführt. Deshalb haben wird das '''SafeSeraach'''-Modus konfigurierbar gemacht. Unter Sicherheit -> DNS-Filter gibt es nun einen zusätzlichen Reiter SafeSearch aktivieren. Hier kann man das SafeSearch-Modus für die verschiedene Dienste einzeln ein- bzw. ausschalten.

<div class=warningbox>'''SafeSearch''' Ist für ein Dienst (Ding, YouTube, Google) das SafeSearch-Modus aktiviert, hat nur der Dienstanbieter Einfluss darauf, was in ihren Diensten erreichbar oder gesperrt ist. Sie selber kategorisieren die Inhalte und man kann von außen das nicht beeinflussen. Sind Ihre Meinung nach zu viele Inhalte zBp. über YouTube nicht erreichbar, ist die Einzige Möglichkeit SafeSearch für YouTube zu deaktivieren. Man muss jedoch beachten, dass in diesem Fall alle Inhalten auf YouTube (auch Gewalt, Pornografie) erreichbar sind.</div>

'''WICHTIG''' Man sollte beachten, dass das Neustarten des Dienstes etwas 10 Sekunden lang dauert. Während dieser Zeit ist keine Namensauflösung im Netz möglich. Deshalb sollte man Änderungen nicht im laufenden Betrieb unternehmen. Die Konfigurationsseite ist so gestaltet, dass man erst alle Änderungen durchführen und anschließend den Dienst neu starten muss.

'''WICHTIG''' Der DNS-Filter ist ein separater Dienst, der auf die IP-Adresse des Proxy-Servers auf dem UDP-Port 53 lauscht. Deshalb muss die IP-Adresse des Proxy-Servers als <code>dns forwarder</code> in der Samba-Konfiguration in <code>[global]</code>-Sektion eingetragen werden. Das geschieht automatisch bei der Installation des Paketes '''cranix-unbound'''. Der Unbound-Server wiederum nutzt den Server 8.8.8.8 bzw. den Server, der vor der Installation in der Samba-Konfiguration als "dns forwarder" eingetragen war, als DNS-Forwader. Wenn Sie diese Einstellung ändern müssen, ändern Sie den Eintrag <code>forward-zone</code> in der Datei <code>/etc/unbound/conf.d/cranix.conf</code>.

Da bei DNS-Filterung grundsätzlich alle Internetzugriffe erlaubt sind, ist die Protokollierung der Zugriffe sehr wichtig. Dafür wurde ein Dienst entwickelt, der alle Internetzugriff in die Datei '''/var/log/cranix-internet-access.log''' schreibt. Diese hat folgendes Format:
Zeitpunkt;Benutzer;IP des Clients;IP des Ziels;IP-Protokoll;Port auf dem Zielrechner
Um die Datenmenge in vernünftigen Rahmen zu halten werden pro Minute nur ein Zugriff mit den selben Parametern protokolliert. Weiterhin wird bei der Installation ein Logrotate-Konfiguration ( ''/etc/logrotate.d/crx-fw-watcher'' ) mit folgenden Parameter hinterlegt:
* Maximales Alter der Logdateien: 180 Tage
* Maximale Anzahl der Logdateien: 20
* Maximale Größe der Logdateien: 4MiB
Vorteile der DNS-Filterung:
* Alle Dienste in Internet sind nun schmerzfrei erreichbar.
* Die Clients benötigen keine besondere Konfiguration. ''Plug and Play'' ist wirklich möglich.
Nachteile der DNS-Filterung:
* Alles ist erlaubt, was nicht verboten ist.
* Positivlisten können nicht verwendet werden.

==Fehlersuche==
Leider gehört die Suche nach Fehler im Netzwerk zum Alltag jeder Systemadministrator. Hier möchten wir einige Fehler Ihrer Symptomen und Behebung und wie man diese Probleme in der Zukunft vermeiden kann, beschreiben.

===Schleife im Netzwerk===
Das ist einer der häufigsten Probleme im Netzwerken. Eine Schleife im Netzwerk entsteht dadurch, dass zwei Ports im Netzwerk direkt miteinander verbunden werden. Dabei spielt es keine Rolle, ob sich diese Ports auf dem selben Switch befinden oder nicht.

Das wichtigste Symptomen einer Netzwerkschleife ist, dass an sich alles mehr oder weniger funktioniert, allerdings dauert alles wesentlich länger. Man kann sogar den Server erreichen, man kann sich evtl anmelden und surfen. Aber die Anmeldung dauert bei allen Benutzer mehrere Minuten und das Öffnen von Webseiten geht auch nicht zügig. Oft landet man in einem Time-Out.

Man kann anhand der Logs des DHCPD-Servers erkennen, ob es sich eine Schleife im Netzwerk befindet. Normaler weise sendet jeder Rechner 2 DHCP-Anfragen wenn dieser gestartet wird: Eine beim PXE-Boot und eine beim Starten des Betriebssystems, wenn die Netzwerkkarte aktiviert wird.

===Überprüfung der Konnektivität eines Windows-Rechners===
Dass ein Windows-Rechner läuft und man sich am Rechner anmelden kann, heißt noch lange nicht, dass dieser mit dem Netzwerk verbunden ist. Hat man sich einmal an einem Windows-Arbeitsplatz erfolgreich angemeldet, werden seine Anmeldedaten lokal gespeichert. Deshalb kann man sich später an diesem Rechner auch dann anmelden, wenn der CRANIX-Server nicht erreichbar ist.

Netzwerkverwaltung

2026-04-26T18:33:17Z

Admin: /* 💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen */

== Grundlagen der Netzwerkverwaltung ==
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Räumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Die Netzwerkverwaltung erfolgt anhand folgender Objekte:
* Gerätekonfigurationen
* Räume
* Geräte
* DNS-Einträge
Alle Geräte werden anhand ihrer MAC-Adressen identifiziert. Besitz ein Gerät, zB. ein Laptop, sowohl eine Ethernet- als auch eine WLAN-Karte, können beide am CRANIX-Server registriert werden. Dadurch wird sichergestellt, dass ein Gerät immer auf die selbe Weise behandelt wird, unabhängig davon, wie es mit dem Netzwerk verbunden ist.
Für WLAN-Geräte wurden sog. private WLAN-Adressen eingeführt. Dieses Feature soll angeblich "die Privatsphäre weiter schützen". Das heißt, dass ein Gerät sich bei jedem WLAN mit einer anderen zufälligen MAC-Adressen meldet. Dieses Verhalten kann zu vielen Problemen führen, deshalb muss dieses Feature bei jedem Gerät abgeschaltet sein:
[https://support.apple.com/de-de/HT211227 Apple]
[https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Probleme-sorgen-4907542.html Heise]

== Hardwarekonfigurationen ==
Die am CRANIX registrierten Geräte erhalten sog. Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parametern erstellt.

{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax
|-
| name || Der Name der Gerätekonfiguration || Max 32 Zeichen
|-
| description || Ausführliche Beschreibung der Gerätekonfiguration || Max 64 Zeichen, kann leer sein
|-
| deviceType || Die Art der Geräte || Nur vorhandene Werte können verwendet werden
|}

Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:

* '''FatClient''' Normale stationäre oder mobile Rechner. Nur für Rechner die in solchen Gerätekonfigurationen sind, wird eine SALT-Konfiguration und ein Workstationsbenutzer erstellt. Darüber hinaus können nur solche Rechner geklont werden.
* '''BYOD''' Private Geräte von den Benutzern.
* '''Printer''' Netzwerkdrucker.
* '''Server''' Zusätzliche Server im Netz.
* '''Switch''' Switche im Netz.
* '''ThinClient''' Thinclients im Netz.
* '''cloneProxy''' Für das Klonen an WLAN-Geräten

Den FatClient-Gerätekonfigurationen werden durch das Klonen, während des Erstellens des Masterimages, Partitionen zugewiesen. Die Partitionen haben folgende Parameter
{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax !! Bemerkung
|-
| name || Der Kerneldevicename der Partition || Wird vom CloneTool ermittelt. (sda1, sda2 ...)
|-
| description || Ausführliche Beschreibung der Partition || Max 64 Zeichen. Boot, System ...
|-
| OS || Operationssystem auf der Partition || Nur vorhandene Werte können verwendet werden: Win10, Win11, Linux, Data
|-
| joinType || Windows Domainjoin || Nur vorhandene Werte können verwendet werden: no, Domain || Wird nur bei OS==Win10, Win11 verwendet
|-
| tool || Das verwendete Imagingtool || Nur vorhandene Werte können verwendet werden: partclone, Zpartclone, partimage, dd, dd_rescue
|-
| format || Filesystem auf der Partition || Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no || Wird nur bei OS==Data verwendet
|}

Beim CRANIX erfolgt die automatische Umbenennung von Rechnern und ggf. die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner mit einer Gerätekonfigurationen FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert.

Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
*'''Win10-64-Domain''' Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
*'''Win10-64-no-Domain''' Rechner die vom CRANIX per SaltStack verwaltet werden, aber nicht AD-Domänen-Mitglied sind.
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
*'''cloneProxy''' Für das Klonen an WLAN Geräten

Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.

== Räume ==

Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden.
Beim Anlegen können/müssen folgende Angaben gemacht werden:

{|class="wikitable" style="text-align: lef;"
! Parametername !! Syntax !! Verfügbare Werte !! obligatorisch !! änderbar !! Verweis
|-
| Name || max 32 Zeichen. Nur DNS-konforme Zeichen || alles außer vorhandene Namen || Ja || Nein || [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen]
|-
| Beschreibung || max. 64 Zeichen. || alles außer vorhandene Namen || Ja || Ja
|-
| Raumtyp || || ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom || Ja || Ja || Hat nur informelle Bedeutung
|-
| HWConfig || || Müssen vorher definiert sein || Ja || Ja || Default in diesem Raum. Wichtig für die Erstellung von Softwaresets.
|-
| Raumkontrolle || || no, inRoom, allTeachers, sysadminsOnly || Ja || Ja
|-
| Anzahl der Geräte || || 4,8,16,32,64,128,512,1024,2048,4096 || Ja || Nein
|-
| Reihen || || 1-30 || Ja || Ja
|-
| Plätze || || 1-30 || Ja || Ja
|-
| Netzwerk || || Ist vordefiniert || Ja || Nein
|}

===Raumkontrolle===
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
* '''inRoom''' Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
* '''no''' In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzen, um den Zugriff auf das Internet aus diesen Räumen zu steuern.
* '''allTeachers''' Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkontrolle '''no''' sind.
* '''sysadminsOnly''' Diese Räume können nur durch Systemadministratoren kontrolliert werden.

Systemadministratoren können für Räume mit Raumkontrolle '''inRoom''', '''allTeachers''' und '''sysadminsOnly''' einen Zugriffszeitplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Aktionen an den Clients werden ausgeführt.

===Raumaktionen===
Über das Action-Icon können folgende Aktionen für alle Geräte in den ausgewählten Räumen ausgeführt werden:
* '''Einschalten''' Funktioniert nur mit Geräten, bei denen in BIOS/Firmware WOL erlaubt ist.
* '''Ausschalten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''neu starten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''Klonen starten''' PXE-Bootkonfiguration für die FatClient-Geräte werden geschrieben.
* '''Klonen anhalten''' PXE-Bootkonfiguration für die FatClient-Geräte werden gelöscht.
* '''öffnen''' D.h. Bildschirm und Tastatur wieder freigeben.
* '''schließen''' Bildschirm und Tastatur sperren.
* '''abmelden''' Angemeldete Benutzer abmelden.
* '''löschen''' Raum und alle Geräte im Raum werden gelöscht.

== Geräte ==
Klickt man unter '''Netzwerk''' -> '''Räume''' auf den Namen eines Raumes erhält man eine Liste mit den, in diesem Raum registrierten, Geräten. Man kann alle oder einzelne Geräte markieren und unter '''Aktionen''' folgende Funktionen mit den gewählten Rechnern ausführen:
* Eine CSV-Liste der gewählten Geräte herunterladen.
* Die gewählten Geräte löschen.
* Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Bei einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
* Das Gerät über WOL einschalten
* Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden muss. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inventarnummer sowie die Platzierung des Rechners im Raum anpassen.
* Den Rechner als Klonemaster markieren. Da in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
* DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. '''Wichtig: Setzt man hier einen Parameter falsch, führt das ggf. dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.'''
* Das Gerät löschen

===Geräte manuell registrieren===
Klickt man unter '''Netzwerk''' -> '''Räume''' beim entsprechenden Raum auf das '''+''' Zeichen, kann ein Gerät dem Raum hinzugefügt werden.

Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die '''MAC-Adresse''' des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die '''MAC-Adresse''' manuell eingetragen werden. Das Feld '''MAC-Adresse''' ist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der Reihe nach die nächste freie IP-Adresse im Raum zugewiesen.

Man muss eine freie '''IP-Adresse wählen'''. Dadurch wird auch der dazugehörige vordefinierte Name gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen in Active Directory für Computer] '''Wichtig''' Wurden mehrere MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.

Standardmäßig wird als '''Hardwarekonfiguration''' die des Raumes gesetzt, diese kann jedoch geändert werden.

Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld '''WLAN-MAC-Adresse''' eingetragen werden. Wurde eine '''WLAN-MAC-Adresse''' eingetragen, kann auch nur eine '''MAC-Adresse''' angegeben werden.

Die Felder '''Seriennummer''' und '''Inventarnummer''' können bei Bedarf ausgefüllt werden.

===Geräte importieren===
Geräte können von der Kommandozeile als Benutzer '''root''' mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgendes Format:

* In der ersten Zeile muss ein Header stehen.
* Feldseparator ist ";" (Semikolon).
* Groß/Klein-Schreibung ist irrelevant.
* Reihenfolge ist irrelevant.
* Folgende Felder müssen vorhanden sein:
:* room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
:* mac MAC-Adresse des Gerätes.
Weitere mögliche Felder.:
:* ip
:* name
:* hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
:* row
:* place
:* wlanmac
:* wlanip
:* serial
:* inventary
:* owner -> hier muss der Benutzername (uid) des Eigentümers stehen

Hier ist eine ganz einfache Beispieldatei:
room;mac
edv1;AA:BB:CC:DD:EE:01
edv1;AA:BB:CC:DD:EE:02
edv1;AA:BB:CC:DD:EE:03
edv1;AA:BB:CC:DD:EE:04

===Hardwarekonfigurationen von Geräten ändern===

#Wenn nötig neue Hardwarekonfigurationen anlegen
#Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen

Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
#Wenn nötig neue Hardwarekonfigurationen anlegen
#Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
#Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten

===Salt-Minion Konfiguration manuell bearbeiten===
#Dienst salt-minion auf dem betroffenen Client anhalten.
#c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass die id: eines Clients der FQHN also Rechnername.DNS-Domainname ist.
#Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
#Auf dem Server mit dem Befehl '''salt-key -d "minion.name"''' den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
#Dienst salt-minion auf dem Client starten.

==CloneTool==
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
<div class=warningbox>WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab '''CRANIX 4-3''' keine Masterrechner mehr. Das heißt: von allen Rechner können Images gezogen werden.</div>
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner mit der selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:

===Windowsrechner für Klonen vorbereiten===
*Den lokalen Administrator aktivieren! Öffnen Sie dazu einen Terminal (Eingabeaufforderung) mit der Option "Als Administrator ausführen" und führen Sie folgenden Befehl aus: <code>net user administrator * /active:yes</code>
*<div class=warningbox>'''Melden Sie sich als lokaler Administrator an!''' Die Verwaltung der Clients funktioniert nur dann, wenn Sie die folgenden Schritte als Benutzer '''Administrator''' ausführen.</div>
*Starten Sie die Kommandozeile oder PowerShell (WIN+X) oder über Start->Ausführen "CMD" mit STRG+UMSCHALT+ENTER.
*Hybernatemodus abschalten: <code>powercfg /h off</code>
*Bitlocker deaktivieren: <code>manage-bde -off c:</code>
*Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über '''Räume''' oder '''Geräte'''.
*Alle Updates installieren.
*Das [https://repo.cephalix.eu/Downloads/ClientSetup_py3.exe CRANIX Client Setupprogram] herunterladen.
*Rechner vom Netzwerk trennen, sonst wird der Rechner in die Domäne aufgenommen. Vor dem Clonen darf der Rechner nicht in der Domäne sein.
*ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren: <br><code>ClientSetup_py3.exe /i /passive MinionName=<hostname>.<dns-domainname>.</code><br> Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld '''Minionname''' eintragen. Der auf dem CRANIX-Server eingetragene Minionname des FQHN des Rechners. Also ''hostname''.''dns-domainname''.<br>'''WICHTIG rechner- drucker und domainnamen IMMER klein schreiben!!!'''
*Rechner auschalten.
*Rechner mit Netzwerk verbinden.
*Neustart über das Netzwerk ins CloneTool.
*Starten Sie nun '''Rechner klonen'''.
*Als erstes müssen Sie die zu klonenden Partitionen auswählen
*Geben Sie den zu klonenden Partitionen eine Beschreibung.
*Anschließend müssen zu den Partitionen verschiedene Angaben gemacht werden:
*Betriebssystem: Win10, WinBoot, Linux, Data
*Bei Win10 müssen Sie daneben angeben, ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
*Anschließend muss ein Imagingtool ausgewählt werden. '''Zpartclone''' bietet den besten Durchsatz und Komprimierung. Welches Tool mit Ihrer Hardware bzw. Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. '''dd''' und '''dd_rescue''' erstellen eine 1 zu 1 Kopie der Partitionen. '''dd_rescue''' kann auch beschädigte Partitionen lesen.
*Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechnern anfangen.

===Rechner wiederherstellen===
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
====Manuelle Wiederherstellung====
*Rechner über Netzwerk starten.
*CloneTool auswählen.
*Melden Sie sich als Administrator an.
*Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie einen eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start des CloneTools am Server registrieren.
*Wählen Sie '''Restore'''
*Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Image bespielt.

====Automatische Wiederherstellung====
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in das CloneTool und starten das '''Restore'''. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter '''Räume''' oder '''Geräte''' erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw. Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden.
Tritt ein Fehler während des Klonvorgangs auf, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in das CloneTool starten. Das macht man wieder im Kontextmenü mit dem Menüpunkt '''Klonen anhalten'''.

====Multicast Klonen====
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehrere Geräte gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Bei Multicast Klonen ist es sehr wichtig, dass die zu wiederherstellenden Rechner die selbe Gerätekonfiguration haben, deshalb wird Multicast Klonen über den Menüpunkt '''Gerätekonfiugrationen''' in folgenden Schritten gestartet:
#'''Gerätekonfiugrationen'''
#Betroffene Gerätekonfiugration bearbeiten.
#Untere Menütab '''Mitglieder''' wählen
#Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
#Die zu klonenden Rechner auswählen.
#Rechts oben mit dem grünen Ikon '''Multicast Klonen starten''' werden die benötigte Bootkonfigurationen erstellt.
#Rechts oben mit dem roten Ikon '''Multicast Klonen anhalten''' können die Bootkonfigurationen bei Bedarf gelöscht werden.

===Klonen von Laptops===
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANIX-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die gleiche MAC-Adresse verwendet.

===Klonen von Tablets über die '''cloneProxy'''===
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen.
Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.

Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "'''cloneProxy'''" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware, sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet-MAC-Adresse mit der WLAN-Karten-MAC-Adresse identifiziert werden sollen.

Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in '''SERVER_NET''' machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration '''cloneProxy''' zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration '''cloneProxy''' erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.

#Raum 'usb-adapter' mit Gerätekonfiguration '''cloneProxy''' für die entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
#Eine neue Gerätekonfiguration für die Tablets erstellen.
#Einen Raum oder mehrere Räume für die Tablets anlegen.
#Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
#Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
#Als Administrator in CloneTool anmleden.
#USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
#Tablet in einem, für die Tablets angelegten Raum registrieren.
#Rechner klonen.
'''WICHTIG''' Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.

Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einem nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei, ein oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!

====Surface klonen====
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
#Laut [https://docs.microsoft.com/de-de/surface/ethernet-adapters-and-surface-device-deployment Microsoft] unterstützt das Surface zwar auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
#Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber danach war Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das [https://repo.cephalix.eu/Downloads/CRANIX-4-3-x86_64.iso CRANIX Installations-CD] beinhaltet den Menüpunkt '''CloneTool'''. Dieser wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
<gallery heights=200px widths=260px>
Surface_firmware_secure_boot.png|Secure Boot
Surface_firmware_tpm.png|TPM Einstellungen
Surface_firmware_bootorder.png|Bootreihenfolge
Surface_firmware_reboot.png|Reboot
CRANIX-DVD-Boot.png|Bootmenü
</gallery>

#BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
#Die üblichen Einstellungen vornehmen:
##Den lokalen Administrator aktivieren!
##net user administrator * /active:yes
##Melden Sie sich als lokaler Administrator an!
##Hybernatemodus abschalten: powercfg /h off
#Tablet herunterfahren.
#USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
#Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
##Halten Sie die Lauter-Taste gedrückt.
##Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
#Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
##Security -> Secure boot -> Change Configuration -> none
##Security -> Trusted Plattform -> off
##Boot order -> USB an erste Stelle setzten.
##Die Firmware verlassen.
#Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.

===Über WLAN klonen===
Das geht doch gar nicht. In erster Linie ist das wirklich unmöglich, da man zur Zeit noch nicht über WLAN PXE booten kann. Man kann jedoch das CloneTool auch über das CRANIX-Installationsmedium starten und so das Klonen über den WLAN-Adapter durchführen. Das setzt jedoch eine SEHR stabile WLAN-Infrastruktur voraus.

*Erstellen Sie ein [[Installation#Installationsmedium_erstellen|CRANIX-Installationsmedium]].
*Booten Sie das Gerät über das CRANIX-Installationsmedium und starten Sie das Bootmenü CloneTool.
*Das Bootsystem erkennt und aktiviert die WLAN-Karte des Gerätes, wenn dieses nicht mit einer Netzwerkkabel mit dem Netzwerk verbunden ist.
*Das Bootsystem fragt nach der SSID des WLANs und nach den Zugangsdaten.
*Anschließend gelangt man zum CloneTool, als wäre man über Ethernet verbunden und kann das CloneTool, wie gewohnt benutzen.
*Bevor Sie sich am CloneTool anmelden und das Klonen starten, müssen Sie das CRANIX-Installationsmedium entfernen, wenn Sie über einen USB-Stick gebootet haben, sonst wird dieser auch als Festplatte erkannt.

== Drucker ==
Der CRANIX bietet die Möglichkeit Netzwerkdrucker im System zu registrieren: die Drucker können Räumen bzw. Rechnern als Standard oder als sonstiger Drucker zugewiesen werden. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü '''Geräte''' -> '''Drucker'''. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein.
Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zB. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren.
Im ersten Reiter des Menüs '''Drucker''' erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
* Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
* Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
* Druckerwarteschlange deaktivieren. Will man zB. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange sperren, kann man die Annahme von Druckaufträgen deaktivieren.
* Druckerwarteschlange zurücksetzten.
* Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
===Drucker anlegen===
Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
* Name
* MAC-Adresse
* Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
* Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller '''Generic''' und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich ''Generic PCL 5e Printer'' und für die Farbdrucker ''Generic PCL 6/PCL XL Printer''

Beim Anlegen eines Druckers werden folgende Aktionen ausgeführt:
# Ein Gerät wird mit der Gerätekonfiguration <b>Printer</b> im gewählten Raum mit der gegebenen MAC-Adresse angelegt
# Eine Druckerwarteschlange wird mit dem Namen des Druckergeräts in CUPS angelegt.
# Die Druckerwarteschlange in CUPS wird aktiviert.
# Die Verteilung von Druckertreiber für Windows-Clients wird aktiviert.
Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
* Papiergröße A4
* Fehlerbehandlung: Druckerauftrag löschen
* Druckerwarteschlange ist aktiv und nimmt Aufträge an.

<b>Wichtig</b> Damit die Verteilung der Windows-Druckertreiber funktioniert muss
ein [[Anpassungsmöglichkeiten#Ein_Gruppenrichtlinienobjekt_erstellen|Gruppenrichtlinienobjekt erstellt]] werden.

===Druckerwarteschlange anlegen===
Im dritten Reiter des Menüs '''Drucker''' kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät auswählen. Sonst gilt das Gleiche wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS und SAMBA angelegt.

===Druckerwarteschlange zu Räumen oder Rechner zuweisen===
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt ''Netzwerk -> Räumen''. Hier klickt man auf den Namen des Raumes. Will man für einen Raum den Standarddrucker oder die Sonstigen Drucker festlegen muss man auf den zweiten Reiter ''Drucker'' klicken. Nun gelten diese Einstellungen für alle Windows-Clients in diesem Raum. Will man für einen Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstigen- Drucker festlegen.

Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden.
Auf Windows-Clients ist es möglich unter der URL '''\\admin\<Druckerwarteschlangename>''' verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert.
Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgendermaßen setzen:
CUPS_SERVER=admin

===Druckertreiber auf dem Server hinterlegen===
Man kann beim Einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
# Sich als '''root''' anmelden.
# Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
# Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
# Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl

===Treiberloses Drucken mit Windows-Client über IPP ab Version 10===
Hier ist ein kompakter, praxisnaher Artikel für dein Setup mit CUPS und Windows 11:

====🖨️ Drucken per IPP: CUPS einrichten & Windows 11 anbinden====

'''🔧 1. CUPS-Server für IPP konfigurieren'''

Damit Clients per **IPP (Internet Printing Protocol)** drucken können, muss CUPS Netzwerkzugriffe erlauben und Drucker freigeben. Dafür muss man die Datei <code>/etc/cups/cupsd.conf</code> anpassen.

'''🔓 Zugriff erlauben'''
Stelle sicher, dass CUPS auf allen Interfaces lauscht:

Listen 0.0.0.0:631
oder
Port 631

'''🌐 Zugriff im Netzwerk erlauben'''

<Location />
Allow @LOCAL
</Location>
<Location /admin>
Allow @LOCAL
</Location>
<Location /printers>
Allow @LOCAL
</Location>

👉 Optional (offener, unsicherer):
Allow all

'''📢 Drucker freigeben'''

In derselben Datei:
Browsing On
BrowseLocalProtocols dnssd
DefaultShared Yes

'''🔄 CUPS neu starten'''

systemctl restart cups

''🔎 2. IPP-URL des Druckers''

CUPS stellt Drucker typischerweise unter folgender URL bereit:

http://<server>:631/printers/<druckername>

'''Auf einem CRANIX-Server:'''

http://printserver:631/printers/hp-laserjet

Test im Browser:

http://printserver:631/printers

====💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen====

'''⚙️ Feature aktivieren (falls nötig)'''

dism /online /Enable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client

'''🚀 Drucker hinzufügen (PowerShell)'''

powershell
Add-Printer -Name "hp-laserjet" `
-DriverName "Microsoft IPP Class Driver" `
-PortName "http://printserver:631/printers/hp-laserjet"
👉 Das ist der wichtigste Schritt.

'''🔐 Optional: IPPS (verschlüsselt)'''

powershell
Add-Printer -Name "CUPS_Drucker" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "https://printserver:631/printers/hp-laserjet"

⚠️ Bei selbstsignierten Zertifikaten kann es zu Fehlern kommen.

'''🧪 4. Verbindung testen'''

powershell
Test-NetConnection printserver -Port 631

====💻 4. Windows 11: IPP-Drucker manuell hinzufügen====
'''Methode 1:''' Automatisch hinzufügen (empfohlen)

# Öffne '''Einstellungen'''
# Gehe zu '''Bluetooth & Geräte → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Windows sucht nach verfügbaren Druckern
# Wenn dein IPP-Drucker erscheint → '''Hinzufügen'''

👉 Funktioniert gut, wenn der Drucker im selben Netzwerk ist und IPP korrekt annonciert (z. B. via Bonjour/mDNS). Bei CRANIX-Server sollte das der Fall sein.

'''Methode 2:''' Manuell über IPP-URL hinzufügen

Wenn der Drucker nicht automatisch gefunden wird:

# Öffne '''Einstellungen → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Scrolle runter → '''„Der gewünschte Drucker ist nicht aufgeführt“''' Wähle: '''„Einen Drucker über eine TCP/IP-Adresse oder einen Hostnamen hinzufügen“'''
# Bei Gerätetyp: '''„Web Services Device“** oder **„TCP/IP-Gerät“'''
# URL des Druckers eingeben, z. B.: ''ipp://printserver/ipp/lz-dr1'' oder ''http://printserver:631/ipp/lz-dr1''
# Treiber auswählen (oder automatisch erkennen lassen)

'''Methode 3:''' Über Systemsteuerung (klassisch)

# Öffne '''Systemsteuerung → Geräte und Drucker'''
# Klick auf '''„Drucker hinzufügen“'''
# → '''„Der gewünschte Drucker ist nicht aufgeführt“'''
# → '''„Freigegebenen Drucker über Namen auswählen“'''
# IPP-URL eingeben (wie oben)

'''Treiber:'''
Oft funktioniert '''Microsoft IPP Class Driver''' automatisch

'''Typische IPP-URL-Formate:'''
ipp://hostname/ipp/druckername

http://hostname:631/ipp/druckername

ipp://IP-Adresse/ipp/druckername

Port 631 ist Standard für IPP.

==Softwareverteilung==
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen. Installationsziele können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
#Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: ''Administration'' -> ''Software'' -> ''Pakete herunterladen''. Abwarten bis die Pakete geladen sind.
#Anschließend kann man unter ''Installationsset erstellen'' aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
#Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/crx_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also müssen die Rechner einer Hardwarekonfiguration zugewiesen sein, in der der Gerätetyp als FatClient definiert wurde.

==WLAN==
Die Dienste des CRANIX-Servers können selbstverständlich auch über WLAN erreicht werden. Der Server bietet verschiedene Möglichkeiten WLAN Geräte ins Netz einzubinden. Voraussetzung ist immer eine gut funktionierende WLAN-Infrastruktur. Ist der Einsatz von mehreren Accesspoints erforderlich, müssen diese unbedingt über Hardware- oder Softwarecontroller (besser Hardware) zentral verwaltetet (managed) werden.
Wir können Sie natürlich bei, Planung, Beschaffung so wie Aufbau und Inbetriebnahme des WLAN-Netzwerks unterstützen, bzw. diese Schritte nach Ihren Anforderungen/Vorstellungen ausführen.

===WPA2-PSK===
Will man den WLAN-Zugang über WPA2-PSK (pre-shared key) bereitstellen müssen am CRANIX-Server keine weitere Einstellungen vorgenommen werden. Die Geräte können, wie Geräte mit Ethernetadaptern registriert werden. In diesem Fall können private Geräte nicht automatisch zu Benutzern zugeordnet werden, deshalb empfehlen wir für die Verwaltung von privaten Geräten (BYOD) den Einsatz des Radiusprotokolls (i.F).

===WPA2-Enterprise Radius===
Der CRANIX-Server bietet auch einen Radiusserver für die personalisierte Anmeldung im WLAN an. Wenn Sie den Radiusserver benutzen wollen müssen Sie das Paket cranix-radius als Benutzer root auf dem Server installieren:
zypper install cranix-radius
Nach der Installation müssen noch folgende Konfigurationsschritte durchgeführt werden:
'''Setzen des Radius-Secrets''' Diese liegt am Ende der Datei '''/etc/raddb/clients.conf'''. Nach der Installation des Paketes wird ein Client-Eintrag '''server-net''' in dieser Datei erstell, der den Zugriff für Accesspoints aus dem Servernetz mit dem Passwort '''testing123-1''' festlegt. Sie sollten dieses Passwort unbedingt ändern und den Radiusdients neu starten. Anschließend müssen Sie alle Accespoints im Raum SERVER_NET registrieren und die Radiuseinstellungen setzen. Diese sind wie folgt:
DNS-Name des Radiusservers: admin
Radius-Secret: was Sie gesetzt haben
Port: 1812
Accounting Port: 1813
Wenn erforderlich, können Sie für die Access-Points einen eigenen Raum anlegen um diesen zB. gesonderten Internetzugriff zu gewähren. In diesem Fall müssen Sie den Client-Eintrag '''server-net''' in der Datei '''/etc/raddb/clients.conf''' anpassen oder einen neuen Eintrag erstellen. Legen Sie diesen Raum mit Raumkontrolle '''no''' an, damit Sie für diesen Raum feste Firewallregeln setzen können.

Nun ist das WLAN-Netz einsatzbereit und jeder Benutzer kann sich mit Benutzername und Passwort anmelden. Nach der Anmeldung bekommen die nicht registrierten Geräten eine IP-Adresse aus dem ANON_DHCP-Raum, wenn dort noch genug IP-Adressen zur Verfügung stehen. Registrierte Geräte, bekommen die ihnen bei der Registrierung zugewiesene IP-Adressen.

In erster Linie können nur Systemadministratoren Geräte an CRANIX-Server anmelden. Das ist natürlich sehr viel Arbeit, die vor allem in Schulen nicht zu bewältigen ist. Um diese Arbeit zu erleichtern wurden die sog. AdHocLan Räume eingeführt.

==AdHocLan==
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Intranet selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der Vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der einzelnen Geräte (i.d.R. BYOD) kümmern muss. Die Benutzer können ihre eigenen Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht.
Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
*'''Name''' Der Name des Raumes
*'''Beschreibung''' Eine kurze Beschreibung des Raumes
*'''Gerätekonfiguration''' Hier sollte für privaten Geräten BYOD stehen.
*'''Gerät pro Benutzer''' Wie viele Geräte einzelne Benutzer in diesem Raum registrieren dürfen.
*'''Anzahl der Geräte''' Max. Anzahl an Geräten, die registriert werden können pro Raum. Diese Zahl sollte Größer sein als "'''Gerät pro Benutzer'''" * "'''Anzahl der Benutzer in der Gruppe'''".
*'''Raumkontrolle''' Wie soll der Zugang im Raum kontrolliert werden.
*'''Gruppen''' Hier muss man die Gruppen auswählen, deren Mitglieder in diesem Raum Geräte registrieren dürfen.
*'''Nur für Schüler''' Diese sollten dann auf '''yes''' gesetzt werden, wenn Sie den Zugriff für Schüler über solche Gruppen ermöglichen möchten, in denen auch Lehrer Mitglieder sind.

Steht einem Benutzer mindestens ein AdHocLan-Raum für die Registrierung von privaten Geräten zur Verfügung, kann der Benutzer über die Administrationsoberfläche unten Profile -> Geräte, private Geräte registrieren, löschen oder ändern.

Nach der Installation des Paketes cranix-radius stehen zwei weitere Systemvariablen zur Verfügung, womit die automatische Registrierung der WLAN-Geräte gesteuert wird.
* '''RADIUS_REGISTER_DEVICE''' Ist diese Variable auf "yes" gesetzt, werden neue Geräte bei der Anmeldung an WLAN automatisch registriert, wenn dem angemeldeten Benutzer zu Registrierung ein AdHocLan zur Verfügung steht.
* '''FORCE_REGISTER_DEVICE''' Diese Variable steuert was mit einem Gerät passiert, das nach der Anmeldung an WLAN nicht automatisch registriert werden kann. Das kann der Fall sein, wenn ein Benutzer zu keinem AdHocRaum zugewiesen ist, oder wenn dieser schon die maximalen Anzahl der Geräten registriert hat. Ist diese Variable auf "yes" gesetzt, bekommen solche Geräte nach der Anmeldung an WLAN keine IP-Adresse und können überhaupt nicht benutzt werden. Anderenfalls bekommen sie eine IP-Adresse aus dem ANON_DHCP-Raum und der Benutzer kann über die Administrationsoberfläche seine alten Geräte löschen, um das neue registrieren zu können.
* '''AUTO_UPDATE_MAC_ADDRESS''' Ist diese Variable auf "yes" gesetzt, kann ein Benutzter auch dann ein neues Gerät registrieren, wenn er eigentlich die Zahl '''Gerät pro Benutzer''' überschritten hat. In diesem Fall wird die MAC-Adresse des zuletzt registrierten Gerätes durch die neue MAC-Adresse ersetzt. Dies ist nötig, da iOS und Android Geräte ihre MAC-Adresse von Zeit zu Zeit ändern. Dieses Verhalten kann man zwar ändern, das schaffen allerdings nicht alle Benutzer.

'''WICHTIG''' Ist ein Benutzer in der Gruppe Systemadministratoren, funktioniert für ihn die automatische Registrierung von privaten Geräten nicht. Der Grund dafür ist, dass Systemadministratoren sehr oft testen, melden sich an fremden Geräten ins WLAN ein usw... Im Laufe ihrer Arbeit, würden sie Unmengen an Geräten besitzen, die gar nicht ihnen gehören. Systemadministratoren müssen ihre privaten Geräte manuell über die Administrationsoberfläche registrieren.

====AdHocLan Raum für Lehrer====
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
*'''Name''' lehrer-lan
*'''Beschreibung''' Raum für private Geräte der Lehrkraft
*'''Gerät pro Benutzer''' 4
*'''Anzahl der Geräte''' 512
*'''Raumkontrolle''' no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen.
Anschließend muss man in der Firewall die entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ''ausgehende Firewallregel'' erstellt werden:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' all
*'''Ziel''' 0/0
Will man nur Web-Zugang erlauben, müssen 2 ''ausgehende Firewallregeln'' erstellt werden:
Regel für http-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 80
*'''Ziel''' 0/0
Regel für https-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 443
*'''Ziel''' 0/0

Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räumen den Schulproxy nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:

#Automatische Internet-Proxyerkennung
#Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
#Proxy-Server: ''proxy'' Proxy-Server-Port: 8080

Bitte beachten Sie, dass ein Zugriff von Mailclients auf externe Mailserver nur mit direktem Internetzugang möglich ist.

====AdHocLan Raum für Schüler====

Für die Schüler kann man analog, wie bei den Lehrern, einen großen AdHocLan Raum anlegen. Dieser Raum darf natürlich nicht kontrollierbar sein. Wäre eine dynamische Raumkontrolle für die Lehrer möglich, würde das immer alle Schüler betreffen. Der Zugriff ins Internet muss über feste Firewallregeln oder über den Proxy geregelt werden. In bestimmten Schulen kann jedoch diese Lösung ausreichen.

Der CRANIX-Server bietet jedoch die Möglichkeit, die privaten Geräten der Schüler klassenweise in virtuellen Räumen zu ordnen. Bei Import der Schüler werden die eigenen Geräte in die neuen Klassenräume umgezogen. Ob und wie die AdHocLan-Klassenräume erstellt werden, wird durch folgende globalen Variablen geregelt:

* '''CRANIX_MAINTAIN_ADHOC_ROOM_FOR_CLASSES''' schaltet diese Funktion ein.
* '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER''' gibt an, wie viele Rechner ein Benutzer registrieren darf.
* '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' gibt an, wie viele Geräte in einem Raum registriert werden können. Diese Zahl muss eine Potenz von 2 sein. Erlaubte Werte sind also 8,16,32,64,128. Diese Zahl ergibt sich aus der Maximalen Klassengröße und dem Wert von '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER'''. Sind maximal 25 Schüler in einer Klasse und jeder Schüler darf 2 Geräte registrieren, muss als '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' als 64 gewählt werden.
* '''CRANIX_CLASS_ADHOC_NET''' Hat der CRANIX mehrere interne Netze, muss man hier angeben, welches Netz für die Klassen-AdHoc-Räume benutzt werden soll. Ist diese Variable nicht gesetzt, wird das Netz '''CRANIX_NETWORK/CRANIX_NETMASK''' verwendet.

Hat man diese Werte gesetzt, muss noch das Script '''/usr/share/cranix/tools/handle_class_adhoc_rooms.py''' als Benutzer '''root''' auf dem CRANIX ausgeführt werden. Damit werden die AdHocLan-Klassenräume für alle vorhandenen Klassen angelegt. Die Räume werden mit Raumkontrolle '''allTeachers''' erstellt, damit jeder Lehrer jeden Klassenraum kontrollieren kann.

==Gefilterter Internetzugang==
Vor allem in Schulen ist es unerlässlich, dass man den Internetzugang kontrolliert indem bestimmte Internetseiten nicht erreichbar gemacht werden. Dafür bietet der CRANIX-Server 2 Möglichkeiten: Proxy-Filterung und DNS-Filterung.

===Proxy-Filterung===
Nach der Installation des CRANIX-Servers wird der Proxy-Server squid, mit dem Contentfilter squidGuard installiert. Dieser Lösung bietet einen gefilterten, protokollierten Internetzugang. Der Contentfilter squidGard ordnet mehrer Millionen Internetseiten in Kategorien. Über die Administrationsoberfläche von CRANIX können Systemadministratoren einen Basisfilter zusammen stellen. Je nach Benutzerrolle können verschiedene Kategorien erlaubt und verboten sein. Dabei spielen folgende Kategorien besondere Rolle:
* '''Eigene White-Liste''' Die von squidGuard gelieferte Listen können nicht geändert werden. Möchte man den Zugriff auf eine Domäne erlauben, die jedoch in eine gesperrte Liste eingeordnet wurde, muss man diese hier eintragen. Der Zugriff auf die Domänen in der eigenen White-Liste ist für jede Benutzerrolle immer erlaubt.
* '''Eigene Black-Liste''' Die hier eingetragene Domänen sind für alle Benutzerrollen gesperrt.
* '''CEPHALIX-Liste''' Das ist eine White-Liste, die für alle Benutzerrollen erlaubt ist. Diese Liste kann jedoch nur von einem zentralen CEPHALIX-Server verwaltet werden. Der lokale Systemadministrator kann diese Liste nicht bearbeiten.
* '''in-addr''' Mit dieser Kategorie kann der Zugriff direkt auf IP-Adressen in der URL erlaubt oder verboten werden.
* '''all''' Das ist immer die letzte Kategorie. Ist dieser erlaubt, sind alle Zugriff die nicht explizit durch Kategorien verboten sind erlaubt. Ist diese Kategorie für eine Benutzerrolle verboten, haben die betroffene Benutzer nur Zugriff auf die explizit durch Kategorien erlaubten Seiten Zugriff.
Die Proxy-Filterung hat folgende Vorteile:
* Hohe Sicherheit, da nur http und https Zugriffe ins Internet erlaubt sind. (Nichtmal Pingen geht :-)
* Alle Zugriffe werden protokolliert.
* Man kann für die verschiedene Benutzerrollen verschiedene Filter erstellen.
Die Proxy-Filterung hat folgende Nachteile:
* Greift man auf verschlüsselte gesperrte Seiten, wird man nicht auf eine Blockseite weitergeleitet sondern erhält man ein Timeout. Das kann zu Verwirrungen führen.
* Verschiedene Video-Dienste sind durch Proxy nicht erreichbar. Deshalb muss man für diese Dienste extra Firewall- und Proxy-Pac-Regeln erstellen. Im Falle von Teams von Microsoft sind das bis zu Hundert Regel.
* MDM-Dienste benötigen auch direkten ungefilterten Internetzugang.

====Proxy-Konfiguration auf den Clients====
Der DHCP-Server vom CRANIX veröffentlicht im Netz über ein DHCP-Option, dass es im Netz einen Proxy-Server gibt, der über ein Proxy-Konfigurationsdatei benutzt werden sollt. Diese Datei ist über die URL '''http://admin/proxy.pac''' erreichbar.
Weiterhin ist auch der A-Record für wpad im DNS-Server von CRANIX gesetzt. Dadurch ist die selbige Konfigurationsdatei auch über die URL '''http://wpad.<Domainname>/wpad.dat''' erreichbar.
Beide Veröffentlichungsmethoden sind standardisiert und kennen die meisten moderne Clients. Das heißt prinzipiell ist es nicht erforderlich an den Clients die Proxy-Konfiguration einzustellen, da die diese automatisch erkennen können. Sollte das doch nicht der Fall sein, gibt es je nach Gerät bzw. Betriebssystem folgende Möglichkeiten:
* '''iOS''' Einstellungen -> WLAN -> beim betroffenen WLAN-SID -> Proxy konfigurieren -> Automatisch -> URL: http://admin/proxy.pac
* '''Win10'''

===DNS-Filterung===
Durch die Installation des Paketes '''cranix-unbound''' wird die DNS-Filterung eingeschaltet. Für diesen Dienst kann man eine Black-Liste von Domänen erstellen, die nicht erreichbar sein dürfen. Diese Domänen werden auf die Proxy-IP-Adresse des CRANIX-Servers aufgelöst und werden dadurch die Zugriffe auf diese Domänen auf eine Sperrseite weitergeleitet. Grundsätzlich ist in allen Räumen das direkte Internet eingeschaltet. D.h. man hat von allen Räumen vollen Zugriff auf alle IP-Adressen via alle Protokolle und Ports im Internet.

Während der Installation des Paketes '''cranix-unbound''' wird für jeden Raum, der mit einer dynamische Zugangskontrolle ( Kontrolle im Raum ist nicht ''no'' ) konfiguriert ist, eine Standardzugangsregel gesetzt, die alle Zugriffe inkl. direktes Internet erlaubt. Für Räume die mit Raumkontrolle ''no'' angelegt worden sind, muss man manuell Firewallregel anlegen. Alternativ können Sie vor der Installation in solchen Räumen die Raumkontrolle aud ''sysadminsOnly'' setzen. Weiterhin wir die automatische Proxykofigurationsdatei so umgeschrieben, das für alle Rechner mit allen Zielen direktes Internet eingestellt ist. Das erspart die erneute Konfiguration der vorhandenen Clients.
In Räumen mit dynamischer Zugangskontrolle können Lehrer den Internetzugang bei Bedarf sperren.

Die Black-Liste der gesperrten Domänen wird anhand der Proxy-Kategorien und der eigenen Black-, White- und CRANIX-Listen erstellt. Der grundsätzliche Unterschied zum Proxy-Zugang ist, dass bei der DNS-Filterung alles erlaubt ist was nicht verboten wurde. Deshalb gibt es bei DNS-Filterung keine positiv-Listen. Die Konfiguration der DNS-Filterung kann man über die Administrationsoberfläche als Systemadministrator '''Sicherheit''' -> '''DNS-Filterung''' erledigen. Das Paket ''cranix-unbound'' liefert eine Vorkonfiguration, die die Suchmaschinen bzw. YouTube zu '''SafeSearch''' Modus zwingt. Vor allem bei YouTube hat das zu Problem geführt. Deshalb haben wird das '''SafeSeraach'''-Modus konfigurierbar gemacht. Unter Sicherheit -> DNS-Filter gibt es nun einen zusätzlichen Reiter SafeSearch aktivieren. Hier kann man das SafeSearch-Modus für die verschiedene Dienste einzeln ein- bzw. ausschalten.

<div class=warningbox>'''SafeSearch''' Ist für ein Dienst (Ding, YouTube, Google) das SafeSearch-Modus aktiviert, hat nur der Dienstanbieter Einfluss darauf, was in ihren Diensten erreichbar oder gesperrt ist. Sie selber kategorisieren die Inhalte und man kann von außen das nicht beeinflussen. Sind Ihre Meinung nach zu viele Inhalte zBp. über YouTube nicht erreichbar, ist die Einzige Möglichkeit SafeSearch für YouTube zu deaktivieren. Man muss jedoch beachten, dass in diesem Fall alle Inhalten auf YouTube (auch Gewalt, Pornografie) erreichbar sind.</div>

'''WICHTIG''' Man sollte beachten, dass das Neustarten des Dienstes etwas 10 Sekunden lang dauert. Während dieser Zeit ist keine Namensauflösung im Netz möglich. Deshalb sollte man Änderungen nicht im laufenden Betrieb unternehmen. Die Konfigurationsseite ist so gestaltet, dass man erst alle Änderungen durchführen und anschließend den Dienst neu starten muss.

'''WICHTIG''' Der DNS-Filter ist ein separater Dienst, der auf die IP-Adresse des Proxy-Servers auf dem UDP-Port 53 lauscht. Deshalb muss die IP-Adresse des Proxy-Servers als <code>dns forwarder</code> in der Samba-Konfiguration in <code>[global]</code>-Sektion eingetragen werden. Das geschieht automatisch bei der Installation des Paketes '''cranix-unbound'''. Der Unbound-Server wiederum nutzt den Server 8.8.8.8 bzw. den Server, der vor der Installation in der Samba-Konfiguration als "dns forwarder" eingetragen war, als DNS-Forwader. Wenn Sie diese Einstellung ändern müssen, ändern Sie den Eintrag <code>forward-zone</code> in der Datei <code>/etc/unbound/conf.d/cranix.conf</code>.

Da bei DNS-Filterung grundsätzlich alle Internetzugriffe erlaubt sind, ist die Protokollierung der Zugriffe sehr wichtig. Dafür wurde ein Dienst entwickelt, der alle Internetzugriff in die Datei '''/var/log/cranix-internet-access.log''' schreibt. Diese hat folgendes Format:
Zeitpunkt;Benutzer;IP des Clients;IP des Ziels;IP-Protokoll;Port auf dem Zielrechner
Um die Datenmenge in vernünftigen Rahmen zu halten werden pro Minute nur ein Zugriff mit den selben Parametern protokolliert. Weiterhin wird bei der Installation ein Logrotate-Konfiguration ( ''/etc/logrotate.d/crx-fw-watcher'' ) mit folgenden Parameter hinterlegt:
* Maximales Alter der Logdateien: 180 Tage
* Maximale Anzahl der Logdateien: 20
* Maximale Größe der Logdateien: 4MiB
Vorteile der DNS-Filterung:
* Alle Dienste in Internet sind nun schmerzfrei erreichbar.
* Die Clients benötigen keine besondere Konfiguration. ''Plug and Play'' ist wirklich möglich.
Nachteile der DNS-Filterung:
* Alles ist erlaubt, was nicht verboten ist.
* Positivlisten können nicht verwendet werden.

==Fehlersuche==
Leider gehört die Suche nach Fehler im Netzwerk zum Alltag jeder Systemadministrator. Hier möchten wir einige Fehler Ihrer Symptomen und Behebung und wie man diese Probleme in der Zukunft vermeiden kann, beschreiben.

===Schleife im Netzwerk===
Das ist einer der häufigsten Probleme im Netzwerken. Eine Schleife im Netzwerk entsteht dadurch, dass zwei Ports im Netzwerk direkt miteinander verbunden werden. Dabei spielt es keine Rolle, ob sich diese Ports auf dem selben Switch befinden oder nicht.

Das wichtigste Symptomen einer Netzwerkschleife ist, dass an sich alles mehr oder weniger funktioniert, allerdings dauert alles wesentlich länger. Man kann sogar den Server erreichen, man kann sich evtl anmelden und surfen. Aber die Anmeldung dauert bei allen Benutzer mehrere Minuten und das Öffnen von Webseiten geht auch nicht zügig. Oft landet man in einem Time-Out.

Man kann anhand der Logs des DHCPD-Servers erkennen, ob es sich eine Schleife im Netzwerk befindet. Normaler weise sendet jeder Rechner 2 DHCP-Anfragen wenn dieser gestartet wird: Eine beim PXE-Boot und eine beim Starten des Betriebssystems, wenn die Netzwerkkarte aktiviert wird.

===Überprüfung der Konnektivität eines Windows-Rechners===
Dass ein Windows-Rechner läuft und man sich am Rechner anmelden kann, heißt noch lange nicht, dass dieser mit dem Netzwerk verbunden ist. Hat man sich einmal an einem Windows-Arbeitsplatz erfolgreich angemeldet, werden seine Anmeldedaten lokal gespeichert. Deshalb kann man sich später an diesem Rechner auch dann anmelden, wenn der CRANIX-Server nicht erreichbar ist.

Pflege des Servers

2026-04-24T15:11:07Z

Admin:

=Überwachung des Servers=
Über die Adminoberfläche unter dem Menüpunkt '''System''' haben Sie mehrere Möglichkeiten den CRANIX/CEPHALIX Server bzw. die laufenden Dienste zu überwachen. Als erstes haben Sie eine grafische Übersicht der Resourcen des Server: Festplattenbelegung, Anzahl der Benutzer, Gruppen, Räumen, Geräten usw. Rechts oben haben Sie die Möglichkeit
# eine Supportanfrage zu stellen,
# den Server aktualisieren,
# den Server neu zu starten,
# oder den Server herunterfahren.
Unter dem Untermenü '''System Dienste''' können Sie sich eine Übersicht der Status der überwachten Dienste verschaffen. Weiterhin bietet diese Seite die Möglichkeit den Status der Dienste zu ändern, (neu) starten bzw. ausschalten.

=Supportanfragen=
Unter dem Menüpunkt '''System''' haben Sie die Möglichkeit eine Supportanfrage zu stellen, welche die dann später über Mail beantwortet wird. Die weitere Kommunikation erfolgt dann über E-Mail. Um solche Supportanfrage stellen zu können, muss ein Benutzer die Rechte '''system.support''' besitzen. Die Gruppe SYSADMINS hat in erster Linie diese ACL. Allerdings kann diese ACL an weiteren Gruppen oder Benutzern vergeben werden.

Ist Ihr System mit einem CEPHALIX-Server per VPN verbunden, kann der CRANIX-Server direkt mit dem Ticket-System des CEPHALIX-Server kommunizieren. Dadurch haben Sie immer die gesamte Kommunikation und alle von Ihnen gestellten Supportanfragen in Sicht. Sie habe über den Rettungsring im Toolbar rechts oben Zugriff auf das Ticketsystem. Das heißt, egal in welchem Menüpunkt Sie sich befinden, haben Sie direkt Zugang zu Ihren Supportanfragen. Um eine Supportanfrage über diesen Weg stellen zu können braucht man die ACL '''cephalix.support'''. Die Gruppe SYSADMINS Systemadministratoren besitzt diese ACL. Als Systemadministrator hat man Zugriff auf alle von Ihrem CRANIX-Server gestellten Supportanfragen und auf die gesamte Kommunikation. Man kann diese ACL auch individuell allen Benutzern vergeben. Benutzer die nicht Mitglied der Gruppe SYSADMINS sind aber die ACL '''cephalix.support''' besitzen haben nur auf ihre eigene Supportanfragen Zugriff. Wenn Sie eine Antwort auf eine Ihrer offenen Supportanfrage erhalten, ändert sich die Farbe des Rettungsrings von grün auf rot und die Anzahl der Antworten wird auch gezeigt.

Klickt man auf den Rettungsring, erhält man eine Liste der offenen Supportanfragen. Aktiviert man rechts oben den Checkbox '''erledigt''' werden auch die geschlossene Supportanfragen der Vergangenheit aufgeliste.

<gallery heights=200px widths=260px>
CranixSupportanfragen.png|Supportanfragen
CranixSupportanfragenList.png|Liste der Supportanfragen
</gallery>

=Backup=
Wir empfehlen ausdrücklich die Einrichtung von Backup auf einen dedizierten Server. Das kann auch ein NAS-Server sein, der NFS mit ACL Unterstützung anbietet.
Der CRANIX-Server bietet eine Autoinstallationsumgebung für die Einrichtung eines Backupservers, welche in das System völlig integriert ist.
Hier sind die Anforderungen an den Backupserver:
#Sie brauchen einen Rechner mit entsprechend großen Server-Festplatten. Entsprechend groß heißt: mindestens 1.5 mal so groß, wie das was Sie speichern wollen.
#Damit der Backup-Server automatisch installiert werden kann, muss dieser über Netzwerk booten können.
#Festplatten für Desktoprechner sind für Backup nicht geeignet, da der Backupserver ständig laufen soll. Kaufen Sie unbedingt Serverfestplatten.
#Die Leistung des Rechners ist irrelevant. 4GB Hauptspeicher ist mehr als genug.
#Die Backupserver sollten nicht dort aufgestellt werden, wo der CRANIX-Server selbst läuft. Im Falle eines Brandes ist sonst alles weg.

==Backupserver installieren==
Die Autoinstallationsumgebung kann in folgenden Schritten vorbereitet werden:

#Auf dem CRANIX-Server existiert schon ein Gerät mit dem Namen ''backup''. Tragen Sie die MAC-Adresse des Backupservers über die Adminoberfläche für diesen Eintrag ein, damit der Server beim Booten die richtig IP-Adresse bekommt. '''Man kann die Installation nur auf einem als ''backup'' registrieren Rechner installieren.'''
#Installation des ''cranix-autoyast2'' Pakets.
#Anpassung der xml-Steuerdateien.
#Laden Sie das aktuelle Installationsiso von CRANIX ins Verzeichnis ''/srv/ftp/akt''.
#Binden Sie das Installationsiso nach ''/srv/ftp/akt/CD1'' ein.
#Kopieren Sie den Linuxkernel und Initrd nach ''/srv/tftp''.

<nowiki>
zypper -n install cranix-autoyast2
/usr/sbin/crx_config_xml_files.sh
cd /srv/ftp/akt
wget https://repo.cephalix.eu/Downloads/CRANIX.iso
mount CRANIX.iso CD1
cp CD1/boot/x86_64/loader/linux /srv/tftp
cp CD1/boot/x86_64/loader/initrd /srv/tftp</nowiki>

Überprüfen Sie ob die Autoinstallation vom Backupserver in den Bootmenüs aktiviert ist. Dazu müssen folgende Abschnitte am Ende der entsprechenden Dateien vorhanden sein:

'''/srv/tftp/pxelinux.cfg/default:'''
<nowiki>
LABEL Backup Server installieren
KERNEL linux
APPEND initrd=initrd autoyast=ftp://install/akt/xml/backup.xml install=ftp://install/akt/CD1/ insecure=1</nowiki>

'''/srv/tftp/efi/grub.cfg:'''
<nowiki>
menuentry 'Backup Server' {
set timeout=120
echo 'Loading kernel ...'
linuxefi linux install=ftp://install/akt/CD1 autoyast=ftp://install/akt/xml/backup.xml
echo 'Loading initial ramdsik ...'
initrdefi initrd
}</nowiki>

Nun können Sie die Autionstallation des Backupservers starten. Nach erforlgreicher Installation muss der Backupserver noch in der AD-Domäne des CEPHALIX-Servers aufgenommen werden, damit sich die Benutzer des CRANIX-Servers direkt an Backupserver anmelden können:

admin:~# ssh backup
backup:~ # net ads join -U Administrator
Password for [BARTOK\Administrator]:
Using short domain name -- BARTOK
Joined 'BACKUP' to dns domain 'bartok.bela.gym'
DNS Update for backup.bartok.bela.gym failed: ERROR_DNS_UPDATE_FAILED
DNS update failed: NT_STATUS_UNSUCCESSFUL
backup:~ #

Nach der Installation und Domänenbeitritt haben alle Benutzer Zugriff auf dem Backupserver und können Dateien für sich wiederherstellen. Man muss dafür in Explorer <code>\\backup\backup</code> eingeben. Selbstverständlich haben Benutzer auf dem Backupserver nur auf die Dateien Zugriff, auf denen sie auch auf dem CRANIX-Server Zugriff hatten.

Nun müssen Sie noch auf der Administrationsoberfläche das Backup aktivieren: ''System'' -> ''Konfiguration'' -> ''SICHERUNG'' -> ''BACKUP''
Mit der Variable ''BACKUP_DAYS'' kann man einstellen an welchen Tagen vom Server Backup gemacht werden soll. Die Tagen fangen mit ''1'' = Montag an. Wenn Sie nichts anders eingestellt haben, wird das Backup mit den normalen täglichen ''Cron-Jobs'' abends gegen 22:00 gestartet.

Falls Sie einen NAS als Backup-Server verwenden müssen Sie noch andere Parameter einstellen:
* ''BACKUP_START_CMD'' hier müssen Sie den Mountbefehl eintragen, mit dem man die NFS-Freigabe an CRANIX-Server unter ''/mnt/backup'' einbinden kann. Hier ist ein Beispiel:<code> mount -o rw,acl nasbackup:/raid0/data/_NAS_NFS_Exports_/admin-backup /mnt/backup</code>
* Falls der NAS die ACLs nicht speichern kann, muss die Variable ''BACKUP_CAN_NOT_SAVE_ACL'' aktiviert werden. In diesem Fall werden die ACLs in separaten Dateien gespeichert. Dadurch dauert der Backupprozess wesentlich länger.
* Falls der NAS auch die Benutzer- bzw. Gruppenzugehörigkeit der Dateien nicht speicher kann, muss auch die Variable ''BACKUP_CAN_NOT_SAVE_OWNER'' aktiviert werden. Dies kann eigentlich nur dann der Fall sein, wenn man das Backup auf eine Samba-Freigabe speichern möchte. Auf einer NFS-Freigabe kann so eine Situation nur dann auftreten, wenn der NFS-Server auf dem NAS falsch konfiguriert ist.

Datei:CranixSupportanfragenList.png

2026-04-24T15:08:53Z

Admin:

Liste der Supportanfragen

Datei:CranixSupportanfragen.png

2026-04-24T15:03:18Z

Admin:

Cranix Supportanfragen

Anpassungsmöglichkeiten

2026-04-17T11:31:08Z

Admin: /* Pluginskripten */

Wie in früheren Versionen bietet der CRANIX verschieden Anpassungsmöglichkeiten.

==Netzwerkkonfiugration anpassen==
Die Netzwerkkonfiugration des Transportnetzes kann man einfach mit dem '''yast2 lan''' modul oder durch die Anpassung der Konfigurationsdateien in '''/etc/sysconfig/network/''' erledigen. Auf einem CRANIX-Server müssen jedoch noch folgende Änderungen durchgeführt werden:
* '''/etc/hosts''' extip-Eintrag muss geändert werden.
* '''/etc/sysconfig/cranix''' Folgende Variablen müssen angepasst werden: CRANIX_SERVER_EXT_GW, CRANIX_SERVER_EXT_IP, CRANIX_SERVER_EXT_NETMASK
* Anschließend apache2 neu starten: '''systemctl restart apache2'''
Die Änderung der Konfiguration des internen Netzwerks kann mit einfachen Handgriffen überhaupt nicht bewerkstelligt werden. Wenn es doch erforderlich sein sollte, können Sie uns mit der Durchführung beauftragen.

==Passwortüberprüfung==
Grundsätzlich wird das Script /usr/share/cranix/tools/check_password_complexity.sh ausgeführt um die Qualität der Benutzerpasswörter zu überprüfen. Sowohl samba als auch cranix-api verwendet dieses Script. Das Verhalten dieses Scripts kann man durch die System-Variablen CHECK_PASSWORD_QUALITY, MINIMAL_PASSWORD_LENGTH und MAXIMAL_PASSWORD_LENGTH steuern. Ist CHECK_PASSWORD_QUALITY auf ‘’’yes’’’ gesetzt, gelten folgende Regeln:
* MINIMAL_PASSWORD_LENGTH und MAXIMAL_PASSWORD_LENGTH müssen eingehalten sein.
* Passwort muss mindestens einen Großbuchstaben enthalten.
* Passwort muss mindestens einen Kleinbuchstaben enthalten.
* Passwort muss mindestens eine Ziffer enthalten.
* /usr/sbin/cracklib-check muss das Passwort gut finden.

Möchte man völlig andere Regel verwenden, muss eine Ausführbare Datei namens /usr/share/cranix/tools/custom_check_password_complexity.sh erstellt werden, welche das zu überprüfende Passwort vom STDIN liest.
Ist das Passwort nicht in Ordnung muss das Script den Grund in STDOUT liefern. Sonst darf keine Ausgabe erfolgen.

Auch wenn CHECK_PASSWORD_QUALITY auf no steht oder eigene Regeln gelten, muss ein Passwort mindestens 6 Zeichen erhalten.

==Gruppenrichtlinien mit CRANIX verteilen==
<div class=warningbox>Damit die auf dem Server gespeicherten Gruppenrichtlinien auf Windows-Domainmitgliedsrechnern aktiviert werden können, muss auf allen Clients der lokale Benutzer '''Administrator''' aktiviert werden.</div>
Seit Version 4 ist der CRANIX Server ein (fast) vollwertiger AD-Server. Als solcher speichert er für Windows-Domänen, Gruppenrichtlinien und verteilt diese automatisch an Domänenmitglieder (Windows-Clients). Gruppenrichtlinien ermöglichen es, spezifische Konfigurationen für Benutzer und Computer zu implementieren. Der CRANIX-Server selbst bietet keine Möglichkeiten GPO-s zu erstellen bzw. zu bearbeiten. Diese Arbeit muss als Domänenadministrator von einem Windows-Client aus erledigt werden. Das dazu nötige Programm wird mit jedem Windows 10 Education oder Professional mitgeliefert muss jedoch als optionales Feature aktiviert werden. Melden Sie sich dazu als lokaler Benutzer Administrator an einem Windows-Domainmitgliedsrechner an und führen Sie folgende Schritte aus:
<gallery>
Apps-und-Features-Staren.png|Apps und Features starten
Apps-und-Features-Optionale-Features.png|Optionale Features
Features-zufügen.png|Features zufügen
RSAT-Tools-zur-Gruppenrichtlinienverwaltung.png|Gruppenrichtlinien-verwaltung installieren
</gallery>
<b>Wichtig</b> Um optionale Features aktivieren zu können muss der Windowsupdate-Service laufen. Bitte beachten Sie, dass dieser Dienst auf CRANIX-Clients durch SALT beim Hochfahren ausgeschaltet wird, wenn die globale Variable '''ALLOW_WINDOWS_UPDATES''' auf '''no''' gestellt ist. Sie können den Dienst von der Konsole des Servers mit folgendem Befehl starten:
<b>salt "FQHN-des-Clients" crx_client.enableUpdates</b>

<b>Gruppenrichtlinienverwaltung per powershell aktivieren</b>
<b><nowiki>DISM.exe /online /add-capability /CapabilityName:Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0</nowiki></b>

===Ein Gruppenrichtlinienobjekt erstellen===
Wie man ein [[Anpassungsmöglichkeiten#Gruppenrichtlinien_mit_CRANIX_verteilen|Gruppenrichtlinienobjekt]] erstellt, zeigen wir Ihnen an einem konkreten Beispiel. Im Juli 2016 hat Microsoft ein Update veröffentlicht, um Sicherheitsprobleme im Windows-Druckspooler zu beheben. Dieses Update ändert das Verhalten und schränkt Unterstützung für nicht paketfähige Druckertreiber ein. Im Oktober 2016 hat Microsoft ein Update veröffentlicht, um diese Probleme in einer AD-Umgebung zu entschärfen. Weitere Einzelheiten finden Sie unter [https://support.microsoft.com/en-us/help/3170005/ms16-087-security-update-for-windows-print-spooler-components-july-12,-2016 MS16-087]. Dieser Abschnitt beschreibt das Verfahren zur Umgehung dieses Problems. Diese GPO muss auf jedem CRANIX Server erstellt werden, damit der Server für Windows-Clients Druckertreiber verteilen kann.
Es muss ein neues Gruppenrichtlinienobjekt mit zwei Gruppenrichtlinien (Point-and-Print-Einschränkungen und Point-and-Print-Pakete-Genehmigte-Server) in folgenden Schritten erstellt werden:
# Starten Sie die <b>Gruppenrichtlinienverwaltung</b>:
# Öffnen Sie den Pfad Gruppenrichtlinienverwaltung -> Gesamstruktur -> Domänen -> Domänenname.
# Durch Rechtsklick auf den Domänenname öffnet sich ein Kontextmenü. <code>Gruppenrichtlinienobjekt hier erstellen und verknüpfen...</code> wählen.
# Als Name für das neue Gruppenrichtlinienobjekt <b>Legacy Printer Driver Policy</b> eintragen.
# Durch Rechtsklick auf den neuen Eintrag <b>Legacy Printer Driver Policy</b> öffnet sich ein Kontextmenü. Wählen Sie hier bearbeiten um eine neue Gruppenrichtlinie zu erstellen. Dadurch wird der Gruppenrichtlinieneditor gestartet.
# Öffnen Sie den Pfad Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Drucker
# Doppelklick auf den Eintrag <code>Point-and-Print-Einschränkungen</code>. Folgende Einstellungen müssen vorgenommen werden:
## <code>Aktiviert</code>
## <code>Benutzer können Point-and-Print nur mit folgenden Server verwenden:</code> anhacken.
## Vollqualifizierte Servernamen eingeben. Hier <b>printserver.<IHR-DOMAINNAME></b> eingetragen.
## <code>Beim Installieren von Treibern für eine neue Verbindung</code> -> <b>Warnung oder Anhebungsaufforderung nicht anzeigen</b>.
## <code>Beim Aktualisieren von Treibern für eine vorhanden Verbindung</code> -> <b>Warnung oder Anhebungsaufforderung nicht anzeigen</b>.
## <code>OK</code> drücken.
# Doppelklick auf den Eintrag <code>Point-and-Print für Pakete - Genehmigte Server</code> und nehmen Sie folgende Einstellungen vor:
## <code>Aktiviert</code>
## <code>Vollqualifizierte Servernamen eingeben</code> Hier <b>printserver.<IHR-DOMAINNAME></b> eintragen.
## <code>OK</code> drücken.
# Doppelklick auf den Eintrag <code>Beschränkt die Installation von Druckertreiber auf Administratoren</code>
## <code>Deaktiviert</code>
## <code>OK</code> drücken.
# Ab Win11 H22:
## Die Einstellung <code>Konfigurieren von RPC-Verbindungseinstellungen</code> -> Aktivieren
## Die Einstellung <code>Für ausgehende RPC-Verbindungen zu verwendendes Protokoll</code> -> <code>RPC über benannte Pipes</code>
# Gruppenrichtlinieneditor beenden
# Gruppenrichtlinienverwaltung beenden
<gallery>
Start-Gruppenrichtlinienverwaltung.png|Gruppenrichtlinienverwaltung starten
Neue-Gruppenrichtlinie-Erstellen.png|Neues GPO Erstellen
Neue-Gruppenrichtlinie-Erstellen-name.png|Name des neuen GPO
Point-and-Print-Einschänkungen.png|Point-and-Print-Einschränkungen
Point-and-Print-Einschänkungen-Einstellungen.png|Point-and-Print-Einschränkungen Einstellungen
Point-and-Print-Pakete-GEnehmigte-Server.png|Point-and-Print-Pakete - Genehmigte Server
Point-and-Print-Pakete-GEnehmigte-Server-eintragen.png|Point-and-Print für Pakete - Genehmigte Server eintragen
Beschränkt-die-Installation-von-Druckertreiber-auf-Administratoren.png|Beschränkt die Installation von Druckertreiber auf Administratoren
Beschränkt-die-Installation-von-Druckertreiber-auf-Administratoren-deaktiviert.png|Beschränkung deaktivieren
</gallery>
Nun wird das neue Gruppenrichtlinienobjekt auf dem Server in Sysvol geschrieben. Diese Richtlinie wird nach einer gewisser Zeit auf allen laufenden Rechner in der Domäne automatisch aktiviert. Um die neue Richtlinien sofort zu aktualisieren,
* müssen die Clients neu starten
* oder der Domänen-Administrator muss auf dem Client folgenden Befehl ausführen:
gpupdate /force
* Sie können den Befehl allerdings auch an alle salt-minions ausliefern:
salt '*' cmd.run 'gpupdate /force'

==Pluginskripten==
Bei verschiedenen Aktionen werden sog. Pluginscripte am CRANIX gestartet. Solche Aktionen sind das Erstellen, Ändern und Löschen von verschiedenen Objekten über die Adminoberfläche, der Auf- und Abbau von Verbindungen zu den verschiedenen Freigaben des CRANIX-Server bzw. das Starten von Clients die als salt-Minion am CRANIX angemeldet sind.

Die Pluginskripte befinden sich auf dem CRANIX unter <code>/usr/share/cranix/plugins</code> in verschiedenen Verzeichnissen.

Der CRANIX selbst liefert einige Plugins die zur Funktionsfähigkeit des Server zwingend erforderlich sind. Diese Scripte sollte man weder löschen noch ändern, da diese bei Updates neu erstellt werden. Die von CRANIX gelieferten Pluginskripte fangen immer mit "100" an. Will man selbst Skripten kann man den Ausführungszeitpunkt durch den Namen steuern. Möchte man ein eigenes Skript nach dem vom CRANIX ausführen lassen, muss dieses Script mit einer Zahl größer als 100 anfangen.

===Objekt-Plugins===
Die Objekt-Pluginscripte werden durch das Programm <code>/usr/share/cranix/plugins/plugin_handler.sh</code> aufgerufen und liegen in Ordnern mit den Namen der Objektaktionen.
Für folgende Objektaktionen existieren Pluginscripte:
* add_device
* add_group
* add_printer_queue
* add_room
* add_user
* change_member
* delete_device
* delete_group
* delete_hwconf
* delete_printer_queue
* delete_room
* delete_user
* manage_printer_queue
* modify_device
* modify_group
* modify_user
* reset_device
Die Scripte lesen die Daten aus dem STDIN. Die Daten haben folgendes Format:
<parameter1>: <value1>
<parameter2>: <value2>
usw.

===Share-Plugins===
Die Pluginscripte für die Freigaben befinden sich im Verzeichnis <code>/usr/share/cranix/plugins/shares/</code> und werden in folgender Weise sortiert:

/usr/share/cranix/plugins/shares/<Share-Name>/<Aktion>

Es gibt zwei Aktionen: '''open''' oder '''close'''. Die Share-Pluginscripte werden mit folgenden Argumenten aufgerufen:
# Uid des Benutzers
# IP-Adresse des Clients
# Arhitektur des Clients
# Hostname des Clients
# Kerberos/AD Realm

===Client-Plugins===
Die Client-Pluginskripten befinden sich im Verzeichnissen
/usr/share/cranix/plugins/clients/<Aktion>
Wobei Aktion '''lost''' '''start''' '''present''' sein kann. Die Client-Pluginskripte werden mit dem Minionnamen (normaler Weise ist das der FQHN des Clients) als Argument aufgerufen.

==Automatische Konfiguration mit Salt==
''Salt'' wird vom CRANIX u.a. für die Softwareverteilung benutzt und ist daher auf dem System vorhanden und vorkonfiguriert. Das vorhandene System beruht auf einem sogenannten
''Environment'' namens '''base'''. Es ist möglich, ein zweites, völlig unabhängiges
''Environment'' namens z.B. '''schule''' aufzusetzen und in diesem ''Environment''
die automatische Konfiguration von Client-Rechnern für die eigene Schule durchzuführen.

===Eigenes Salt-''Environment''===
Die Datei
/etc/salt/master.d/crx.conf
enthält die Variable '''file_roots''', die für das eigene ''Environment'' um diese Zeilen
ergänzt werden muss:
file_roots:
base:
- /srv/salt
- /srv/salt/packages
schule:
- /srv/salt/schule

Damit das neue ''Environment'' auch korrekt verwendet wird, muss noch in der Datei
/etc/salt/master
die Zeile
top_file_merging_strategy: merge_all
eingebaut werden. Diese Zeile ist vorhanden, aber auskommentiert.

Nach einem Neustart des ''salt-master'' ist das System einsatzbereit.
systemctl restart salt-master
systemctl restart crx_salt_event_watcher

===Verwendung des eigenen ''Environments''===
Im folgenden wird beschrieben, wie das ''Environment'' zur Konfiguration von Linux-Clients
verwendet werden kann.

* [[Linuxrechner_am_OSS_ab_Version_4.0]]
* [[Automatische Konfiguration mit salt]]

Linuxrechner am CRANIX ab Version 4.0

2026-04-12T08:20:44Z

Admin: /* Installation von openSUSE Rechner */

===Installation von openSUSE Rechner===
In erster Linie unterstützen wir die automatische Installation von openSUSE-Clients. Die so installierten Rechner sind automatisch in der AD/LDAP Domain von CRANIX per sssd integriert und das ganze /home-Verzeichnis des CRANIX-Servers mit nfs gemountet. Dazu muss zunächst die Installationsumgebung vorbereitet werden. Seit der Version 16.0 von openSUSE Leap wurde der neue Linux-Installer [https://agama-project.github.io/ Agama] eingeführt. Wir haben zwei Shellskripten erstellt, mit denen man sehr leicht eine Installationsumgebung erstellen kann:
Für die Installation von openSUSE Leap: [http://downloads.cephalix.eu/agama/Leap/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]
Für die Installation von openSUSE Tumbleweed: [http://downloads.cephalix.eu/agama/Tumbleweed/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]
Sie können eine Installationsumgebung in folgende Schritten erstellen:
# Melden Sie sich als Benutzer root auf dem CRANIX Server an und öffnen Sie einen Terminal!
# Laden Sie das gewünschte Shellskript herunter: <code>wget http://downloads.cephalix.eu/agama/Leap/crx_setup_agama_install_environment.sh</code>
# Machen Sie das Script ausführbar: <code>chmod 755 crx_setup_agama_install_environment.sh</code>
# Führen Sie das Script aus: <code>./crx_setup_agama_install_environment.sh</code>

Wenn Sie das Script ohne Parameter ausführen wird eine Online-Installationsumgebung erstellt. Das heißt die offizielle Repositories von openSUSE werden für die Installation benutzt. In diesem Fall funktioniert die Installation nur dann, wenn in den Raum der zu installierenden Rechner der direkte Internetzugang oder in der Proxy die Kategorie '''Updates''' erlaubt ist.

Das Shellskript hat folgende Parameter:
'''-o''' Vorbereitung einer Offline-Installationsumgebung. D.h. die Installationsrepositories werden auf den CRANIX Server synchronisiert. Das dauert sehr lange und Sie benötigen unter /srv ca. 100GB freien Speicherplatz. In diesem Fall werden für alle Repositories Cron-Jobs erstellt, die die Repositories wöchentlich einmal aktualisieren.
'''-e''' Die openSUSE Education-Repository wird auch in die Installation eingebunden.
'''-p''' Die PACKMAN Repository wird auch in die Installation eingebunden.
Nur für das openSUSE-Leap Skript:
'''-V <Version>''' Die Version der zu installierenden openSUSE-Leap-Distribution. Default ist zur Zeit 16.0.

Diese Shellskripten machen folgendes.
# Sie laden die Dateien des Linux-Kernels, des Linux initrd-s und die des Installationslivesystems herunter. Kernel und initrd werden unter <code>/srv/tftp/boot/</code> und das Live-System unter <code>/srv/ftp/agama</code> gespeichert.
# Sie laden weiterhin die passende Autoinstallationssteuerdatei und nsswitch.conf Datei herunter.
# Die sssd-Konfigurationsdatei des Servers wird auch für die Installation bereit gestellt. Grundsätzlich werden alle zur Autoinstallation benötigten Dateien (bisauf Kernel un initrd) unter <code>/srv/ftp/agama</code> gespeichert um per ftp bereit zu stellen.
# Während der Installation werden zwei lokalen Benutzern erstellt: '''root''' und '''localuser'''. Das Shellskript fragt jeweils für Password für beide Benutzern. Für den Root-Benuzter wird das ssh-Pubkey des Root-Benutzers des CRANIX-Servers in authorized_keys hinterlegt. Deshalb kann sich der Benutzer root des CRANIX-Servers ohne Passwort an allen so installierten Rechner anmelden.
# Die Autoinstallationssteuerdatei <code>/srv/ftp/agama/cranix-client.jsonnet</code> wird nun erstellt und mit den angegebenen Werten gefüllt.
# Haben Sie offline-Installation gewählt, werden die Repositories auf den CRANIX-Server synchronisiert.
# Die Boot-Konfigurationsdateien <code>/srv/tftp/pxelinux.cfg/default</code> und <code>/srv/tftp/efi/grub.cfg</code> werden mit dem Booteintrag '''Install Cranix Client''' erweitert.
# Auf dem CRANIX-Server wird ein NFS-Server konfiguriert und aktiviert, damit die installierten Linuxrechner auf das Verzeichnis <code>/home</code> des Servers Zugriff haben.

====Anpassung der Installation====
Nachdem die Installationsumgebung aufgesetzt ist, können Sie die Autoinstallationssteuerdatei nach Ihren Bedürfnissen anpassen. Vor allem die Auswahl der zu installierenden Software-Pakete müssen Sie anpassen. Grundsätzlich werden KDE und die Office-Pakete installiert. Bei schwächeren Rechner empfiehlt sich die Installation von xfce statt KDE. Welche weitere Möglichkeiten Sie noch zur Anpassung der Autoinstallation haben, entnehmen Sie aus der offiziellen [https://agama-project.github.io/docs/user/reference/profile Dokumentation von Agama]. Möchten Sie zBp. statt '''KDE''' den wesentlich sparsameren Windowmanager '''xfce''', einsetzten müssen Sie die Datei <code>/srv/ftp/agama/cranix-client.jsonnet</code> bearbeiten und im Abschnitt '''software''' '''patterns''' bearbeiten:

Vorher:
<pre>
...
software: {
patterns: {
remove: ["selinux"],
add: ["kde", "office"]
},
packages: ["nfs-client", "sssd", "pam-config"],
...
</pre>

Nachher:
<pre>
...
software: {
patterns: {
remove: ["selinux"],
add: ["xfce", "office"]
},
packages: ["nfs-client", "sssd", "pam-config"],
...
</pre>

====Der Dienst cranix-client====
Während der Installation wird auch der Dienst '''cranix-client.service''' eingerichtet. Dieser Dienst sorgt dafür, dass je ein Shellscript beim Hoch und herunterfahren der Clients ausgeführt werden. Beim Hochfahren wird <code>/home/software/cranix/linux/start-crx-client</code> und beim Herunterfahren <code>/usr/sbin/stop-crx-client</code> ausgeführt. Keine der Skripten wird von uns ausgeliefert. Mit dem ersten Skript kann man z.Bp. dafür sorgen, dass Programme nachinstalliert werden. Mit dem zweiten Skript kann man z.Bp. das /tmp Verzeichnis aufräumen. Das erste Skript liegt auf dem CRANIX-Server, das zweite auf den Klients. '''Wichtig:''' Beide Skripte müssen ausführbar sein: <code>chmod 755 ...</code> nicht vergessen! Hier ist ein Beispiel für das Startskript. Dieses sorgt dafür, dass alle Dateien die unter <code>/home/software/cranix/linux/root/</code> liegen auf den Clients synchronisiert werden:

<pre>
#!/bin/bash

if [ -d /home/software/cranix/linux/root/ ];
then
rsync -a /home/software/cranix/linux/root/ /
fi
</pre>

===Einbinden von anderen Linux-Distributionen===
Es ist jedoch möglich, einen beliebigen Linux Client mit dem CRANIX Server zu verbinden. Dafür gibt es 2 Möglichkeiten:

# [[Volle Integration eines Linux-Clients]]
# [[Verbindung mit Dateibrowser]]

===Konfiguration von Linux Clients mit SaltStack===
* [[Umgang mit salt]]
* [[Automatische Konfiguration mit salt]]
* [[salt Rechnerauswahl]]

Erfassung der An- und Abmeldungen von Client-Rechner Benutzern am Server

* [[CRANIX_session]]

== Anmeldeprobleme von Netzwerk-Benutzern verhindern ==
Bei Samba AD ist standardmäßig ein Gültigkeitszeitraum von 365 Tagen für Benutzerpassworte eingestellt. Nach diesem Zeitraum verliert ein Passwort seine Gültigkeit und der Benutzer kann sich nicht mehr anmelden. Dieses Verhalten kann mit dem Befehl

samba-tool domain passwordsettings set --max-pwd-age=0

abgeschaltet werden.

Die aktuelle Einstellung kann mit

samba-tool domain passwordsettings show

angezeigt werden.

Linuxrechner am CRANIX ab Version 4.0

2026-04-12T08:09:04Z

Admin:

===Installation von openSUSE Rechner===
In erster Linie unterstützen wir die automatische Installation von openSUSE-Clients. Die so installierten Rechner sind automatisch in der AD/LDAP Domain von CRANIX per sssd integriert und das ganze /home-Verzeichnis des CRANIX-Servers mit nfs gemountet. Dazu muss zunächst die Installationsumgebung vorbereitet werden. Seit der Version 16.0 von openSUSE Leap wurde der neue Linux-Installer [https://agama-project.github.io/ Agama] eingeführt. Wir haben zwei Shellskripten erstellt, mit denen man sehr leicht eine Installationsumgebung erstellen kann:
Für die Installation von openSUSE Leap: [http://downloads.cephalix.eu/agama/Leap/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]
Für die Installation von openSUSE Tumbleweed: [http://downloads.cephalix.eu/agama/Tumbleweed/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]
Sie können eine Installationsumgebung in folgende Schritten erstellen:
# Melden Sie sich als Benutzer root auf dem CRANIX Server an und öffnen Sie einen Terminal!
# Laden Sie das gewünschte Shellskript herunter: <code>wget http://downloads.cephalix.eu/agama/Leap/crx_setup_agama_install_environment.sh</code>
# Machen Sie das Script ausführbar: <code>chmod 755 crx_setup_agama_install_environment.sh</code>
# Führen Sie das Script aus: <code>./crx_setup_agama_install_environment.sh</code>

Wenn Sie das Script ohne Parameter ausführen wird eine Online-Installationsumgebung erstellt. Das heißt die offizielle Repositories von openSUSE werden für die Installation benutzt. In diesem Fall funktioniert die Installation nur dann, wenn in den Raum der zu installierenden Rechner der direkte Internetzugang oder in der Proxy die Kategorie '''Updates''' erlaubt ist.

Das Shellskript hat folgende Parameter:
'''-o''' Vorbereitung einer Offline-Installationsumgebung. D.h. die Installationsrepositories werden auf den CRANIX Server synchronisiert. Das dauert sehr lange und Sie benötigen unter /srv ca. 100GB freien Speicherplatz. In diesem Fall werden für alle Repositories Cron-Jobs erstellt, die die Repositories wöchentlich einmal aktualisieren.
'''-e''' Die openSUSE Education-Repository wird auch in die Installation eingebunden.
'''-p''' Die PACKMAN Repository wird auch in die Installation eingebunden.
Nur für das openSUSE-Leap Skript:
'''-V <Version>''' Die Version der zu installierenden openSUSE-Leap-Distribution. Default ist zur Zeit 16.0.

Diese Shellskripten machen folgendes.
# Sie laden die Dateien des Linux-Kernels, des Linux initrd-s und die des Installationslivesystems herunter. Kernel und initrd werden unter <code>/srv/tftp/boot/</code> und das Live-System unter <code>/srv/ftp/agama</code> gespeichert.
# Sie laden weiterhin die passende Autoinstallationssteuerdatei und nsswitch.conf Datei herunter.
# Die sssd-Konfigurationsdatei des Servers wird auch für die Installation bereit gestellt. Grundsätzlich werden alle zur Autoinstallation benötigten Dateien (bisauf Kernel un initrd) unter <code>/srv/ftp/agama</code> gespeichert um per ftp bereit zu stellen.
# Während der Installation werden zwei lokalen Benutzern erstellt: '''root''' und '''localuser'''. Das Shellskript fragt jeweils für Password für beide Benutzern. Für den Root-Benuzter wird das ssh-Pubkey des Root-Benutzers des CRANIX-Servers in authorized_keys hinterlegt. Deshalb kann sich der Benutzer root des CRANIX-Servers ohne Passwort an allen so installierten Rechner anmelden.
# Die Autoinstallationssteuerdatei <code>/srv/ftp/agama/cranix-client.jsonnet</code> wird nun erstellt und mit den angegebenen Werten gefüllt.
# Haben Sie offline-Installation gewählt, werden die Repositories auf den CRANIX-Server synchronisiert.
# Die Boot-Konfigurationsdateien <code>/srv/tftp/pxelinux.cfg/default</code> und <code>/srv/tftp/efi/grub.cfg</code> werden mit dem Booteintrag '''Install Cranix Client''' erweitert.
# Auf dem CRANIX-Server wird ein NFS-Server konfiguriert und aktiviert, damit die installierten Linuxrechner auf das Verzeichnis <code>/home</code> des Servers Zugriff haben.

Nachdem die Installationsumgebung aufgesetzt ist, können Sie die Autoinstallationssteuerdatei nach Ihren Bedürfnissen anpassen. Vor allem die Auswahl der zu installierenden Software-Pakete müssen Sie anpassen. Grundsätzlich werden KDE und die Office-Pakete installiert. Bei schwächeren Rechner empfiehlt sich die Installation von xfce statt KDE. Welche weitere Möglichkeiten Sie noch zur Anpassung der Autoinstallation haben, entnehmen Sie aus der offiziellen [https://agama-project.github.io/docs/user/reference/profile Dokumentation von Agama]

Während der Installation wird auch der Dienst '''cranix-client.service''' eingerichtet. Dieser Dienst sorgt dafür, dass je ein Shellscript beim Hoch und herunterfahren der Clients ausgeführt werden. Beim Hochfahren wird <code>/home/software/cranix/linux/start-crx-client</code> und beim Herunterfahren <code>/usr/sbin/stop-crx-client</code> ausgeführt. Keine der Skripten wird von uns ausgeliefert. Mit dem ersten Skript kann man z.Bp. dafür sorgen, dass Programme nachinstalliert werden. Mit dem zweiten Skript kann man z.Bp. das /tmp Verzeichnis aufräumen. Das erste Skript liegt auf dem CRANIX-Server, das zweite auf den Klients. '''Wichtig:''' Beide Skripte müssen ausführbar sein: <code>chmod 755 ...</code> nicht vergessen! Hier ist ein Beispiel für das Startskript. Dieses sorgt dafür, dass alle Dateien die unter <code>/home/software/cranix/linux/root/</code> liegen auf den Clients synchronisiert werden:

<pre>
#!/bin/bash

if [ -d /home/software/cranix/linux/root/ ];
then
rsync -a /home/software/cranix/linux/root/ /
fi
</pre>

===Einbinden von anderen Linux-Distributionen===
Es ist jedoch möglich, einen beliebigen Linux Client mit dem CRANIX Server zu verbinden. Dafür gibt es 2 Möglichkeiten:

# [[Volle Integration eines Linux-Clients]]
# [[Verbindung mit Dateibrowser]]

===Konfiguration von Linux Clients mit SaltStack===
* [[Umgang mit salt]]
* [[Automatische Konfiguration mit salt]]
* [[salt Rechnerauswahl]]

Erfassung der An- und Abmeldungen von Client-Rechner Benutzern am Server

* [[CRANIX_session]]

== Anmeldeprobleme von Netzwerk-Benutzern verhindern ==
Bei Samba AD ist standardmäßig ein Gültigkeitszeitraum von 365 Tagen für Benutzerpassworte eingestellt. Nach diesem Zeitraum verliert ein Passwort seine Gültigkeit und der Benutzer kann sich nicht mehr anmelden. Dieses Verhalten kann mit dem Befehl

samba-tool domain passwordsettings set --max-pwd-age=0

abgeschaltet werden.

Die aktuelle Einstellung kann mit

samba-tool domain passwordsettings show

angezeigt werden.

Hauptseite

2026-04-02T15:40:29Z

Admin: /* Neuigkeiten */

=CRANIX/OSS 4.X Server=
#[[Was ist CRANIX]]
#[[Versionshinweise]]
#[[Einführung]]
#[[Installation]]
#[[Dienste]]
#[[Benutzerverwaltung]]
#[[Netzwerkverwaltung]]
#[[Rechtekonzept]]
#[[Teamarbeit, pädagogische Funktionalität]]
#[[Addons/Zusatzmodule]]
#[[Anpassungsmöglichkeiten]]
#[[SaltStack]]
#[[Pflege des Servers]]
#[[Linuxrechner am CRANIX ab Version 4.0]]
#[[FAQs]]
=CEPHALIX Server=
#[[Was ist CEPHALIX?]]
#[[Installation von CEPHALIX]]
#[[Verwaltung von Instituten mit CEPHALIX]]
* [https://github.com/Cranix-Solutions?tab=repositories Sie sind gern eingeladen, wenn Sie mitarbeiten wollen.]

=Neuigkeiten=
* 02.04.2026 [https://wiki.cephalix.eu/index.php/Linuxrechner_am_CRANIX_ab_Version_4.0#Installation_von_openSUSE_Rechner Installation von openSUSE Rechner mit dem neuen Installer Agama]
* 07.03.2026 [[Integration von Schild NRW-3]]
* 27.09.2025 [[Die Adminoberfläche wurde umgestaltet]]
* 27.02.2025 Neues Modul: [[Elternsprechtag]]
* 28.04.2025 Neues Modul: [[Digitale Ausweise für Schüler und Lehrer]]

Linuxrechner am CRANIX ab Version 4.0

2026-04-02T15:36:39Z

Admin:

===Installation von openSUSE Rechner===
In erster Linie unterstützen wir die automatische Installation von openSUSE-Clients. Die so installierten Rechner sind automatisch in der AD/LDAP Domain von CRANIX per sssd integriert. Dazu muss zunächst die Installationsumgebung vorbereitet werden. Seit der Version 16.0 von openSUSE Leap wurde der neue Linux-Installer [https://agama-project.github.io/ Agama] eingeführt. Wir haben zwei Shellskripten erstellt, mit denen man sehr leicht eine Installationsumgebung erstellen kann:
Für die Installation von openSUSE Leap: [http://downloads.cephalix.eu/agama/Leap/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]
Für die Installation von openSUSE Tumbleweed: [http://downloads.cephalix.eu/agama/Tumbleweed/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]
Sie können eine Installationsumgebung in folgende Schritten erstellen:
# Melden Sie sich als Benutzer root auf dem CRANIX Server an und öffnen Sie einen Terminal!
# Laden Sie das gewünschte Shellskript herunter: <code>wget http://downloads.cephalix.eu/agama/Leap/crx_setup_agama_install_environment.sh</code>
# Machen Sie das Script ausführbar: <code>chmod 755 crx_setup_agama_install_environment.sh</code>
# Führen Sie das Script aus: <code>./crx_setup_agama_install_environment.sh</code>

Wenn Sie das Script ohne Parameter ausführen wird eine Online-Installationsumgebung erstellt. Das heißt die offizielle Repositories von openSUSE werden für die Installation benutzt. In diesem Fall funktioniert die Installation nur dann, wenn in den Raum der zu installierenden Rechner der direkte Internetzugang oder in der Proxy die Kategorie '''Updates''' erlaubt ist.

Das Shellskript hat folgende Parameter:
'''-o''' Vorbereitung einer Offline-Installationsumgebung. D.h. die Installationsrepositories werden auf den CRANIX Server synchronisiert. Das dauert sehr lange und Sie benötigen unter /srv ca. 100GB freien Speicherplatz. In diesem Fall werden für alle Repositories Cron-Jobs erstellt, die die Repositories wöchentlich einmal aktualisieren.
'''-e''' Die openSUSE Education-Repository wird auch in die Installation eingebunden.
'''-p''' Die PACKMAN Repository wird auch in die Installation eingebunden.
Nur für das openSUSE-Leap Skript:
'''-V <Version>''' Die Version der zu installierenden openSUSE-Leap-Distribution. Default ist zur Zeit 16.0.

Diese Shellskripten machen folgendes.
# Sie laden die Dateien des Linux-Kernels, des Linux initrd-s und die des Installationslivesystems herunter. Kernel und initrd werden unter <code>/srv/tftp/boot/</code> und das Live-System unter <code>/srv/ftp/agama</code> gespeichert.
# Sie laden weiterhin die passende Autoinstallationssteuerdatei und nsswitch.conf Datei herunter.
# Die sssd-Konfigurationsdatei des Servers wird auch für die Installation bereit gestellt. Grundsätzlich werden alle zur Autoinstallation benötigten Dateien (bisauf Kernel un initrd) unter <code>/srv/ftp/agama</code> gespeichert um per ftp bereit zu stellen.
# Während der Installation werden zwei lokalen Benutzern erstellt: '''root''' und '''localuser'''. Das Shellskript fragt jeweils für Password für beide Benutzern. Für den Root-Benuzter wird das ssh-Pubkey des Root-Benutzers des CRANIX-Servers in authorized_keys hinterlegt. Deshalb kann sich der Benutzer root des CRANIX-Servers ohne Passwort an allen so installierten Rechner anmelden.
# Die Autoinstallationssteuerdatei <code>/srv/ftp/agama/cranix-client.jsonnet</code> wird nun erstellt und mit den angegebenen Werten gefüllt.
# Haben Sie offline-Installation gewählt, werden die Repositories auf den CRANIX-Server synchronisiert.
# Die Boot-Konfigurationsdateien <code>/srv/tftp/pxelinux.cfg/default</code> und <code>/srv/tftp/efi/grub.cfg</code> werden mit dem Booteintrag ''Install Cranix Client'' erweitert.
# Auf dem CRANIX-Server wird ein NFS-Server konfiguriert und aktiviert, damit die installierten Linuxrechner auf das Verzeichnis <code>/home</code> des Servers Zugriff haben.

Nachdem die Installationsumgebung aufgesetzt ist, können Sie die Autoinstallationssteuerdatei nach Ihren Bedürfnissen anpassen. Vor allem die Auswahl der zu installierenden Software-Pakete müssen Sie anpassen. Grundsätzlich werden KDE und die Office-Pakete installiert. Bei schwächeren Rechner empfiehlt sich die Installation von xfce statt KDE. Welche weitere Möglichkeiten Sie noch zur Anpassung der Autoinstallation haben, entnehmen Sie aus der offiziellen [https://agama-project.github.io/docs/user/reference/profile Dokumentation von Agama]

===Einbinden von anderen Linux-Distributionen===
Es ist jedoch möglich, einen beliebigen Linux Client mit dem CRANIX Server zu verbinden. Dafür gibt es 2 Möglichkeiten:

# [[Volle Integration eines Linux-Clients]]
# [[Verbindung mit Dateibrowser]]

===Konfiguration von Linux Clients mit SaltStack===
* [[Umgang mit salt]]
* [[Automatische Konfiguration mit salt]]
* [[salt Rechnerauswahl]]

Erfassung der An- und Abmeldungen von Client-Rechner Benutzern am Server

* [[CRANIX_session]]

== Anmeldeprobleme von Netzwerk-Benutzern verhindern ==
Bei Samba AD ist standardmäßig ein Gültigkeitszeitraum von 365 Tagen für Benutzerpassworte eingestellt. Nach diesem Zeitraum verliert ein Passwort seine Gültigkeit und der Benutzer kann sich nicht mehr anmelden. Dieses Verhalten kann mit dem Befehl

samba-tool domain passwordsettings set --max-pwd-age=0

abgeschaltet werden.

Die aktuelle Einstellung kann mit

samba-tool domain passwordsettings show

angezeigt werden.

Linuxrechner am CRANIX ab Version 4.0

2026-03-29T18:08:44Z

Admin:

In erster Linie unterstützen wir die automatische Installation von openSUSE-Clients. Die so installierten Rechner sind automatisch in der AD/LDAP Domain von CRANIX per sssd integriert. Dazu muss zunächst die Installationsumgebung vorbereitet werden. Seit der Version 16.0 von openSUSE Leap wurde der neue Linux-Installer [https://agama-project.github.io/ Agama] eingeführt. Wir haben einen Script erstellt womit man sehr leicht eine Installationsumgebung erstellen kann: [http://downloads.cephalix.eu/agama/crx_setup_agama_install_environment.sh crx_setup_agama_install_environment.sh]

Es ist jedoch möglich, einen beliebigen Linux Client mit dem CRANIX Server zu verbinden. Dafür gibt es 2 Möglichkeiten:

# [[Volle Integration eines Linux-Clients]]
# [[Verbindung mit Dateibrowser]]

Konfiguration von Linux Clients mit SaltStack
* [[Umgang mit salt]]
* [[Automatische Konfiguration mit salt]]
* [[salt Rechnerauswahl]]

Erfassung der An- und Abmeldungen von Client-Rechner Benutzern am Server

* [[CRANIX_session]]

== Anmeldeprobleme von Netzwerk-Benutzern verhindern ==
Bei Samba AD ist standardmäßig ein Gültigkeitszeitraum von 365 Tagen für Benutzerpassworte eingestellt. Nach diesem Zeitraum verliert ein Passwort seine Gültigkeit und der Benutzer kann sich nicht mehr anmelden. Dieses Verhalten kann mit dem Befehl

samba-tool domain passwordsettings set --max-pwd-age=0

abgeschaltet werden.

Die aktuelle Einstellung kann mit

samba-tool domain passwordsettings show

angezeigt werden.

Hauptseite

2026-03-29T18:00:48Z

Admin: /* Neuigkeiten */

=CRANIX/OSS 4.X Server=
#[[Was ist CRANIX]]
#[[Versionshinweise]]
#[[Einführung]]
#[[Installation]]
#[[Dienste]]
#[[Benutzerverwaltung]]
#[[Netzwerkverwaltung]]
#[[Rechtekonzept]]
#[[Teamarbeit, pädagogische Funktionalität]]
#[[Addons/Zusatzmodule]]
#[[Anpassungsmöglichkeiten]]
#[[SaltStack]]
#[[Pflege des Servers]]
#[[Linuxrechner am CRANIX ab Version 4.0]]
#[[FAQs]]
=CEPHALIX Server=
#[[Was ist CEPHALIX?]]
#[[Installation von CEPHALIX]]
#[[Verwaltung von Instituten mit CEPHALIX]]
* [https://github.com/Cranix-Solutions?tab=repositories Sie sind gern eingeladen, wenn Sie mitarbeiten wollen.]

=Neuigkeiten=
* 07.03.2026 [[Integration von Schild NRW-3]]
* 27.09.2025 [[Die Adminoberfläche wurde umgestaltet]]
* 27.02.2025 Neues Modul: [[Elternsprechtag]]
* 28.04.2025 Neues Modul: [[Digitale Ausweise für Schüler und Lehrer]]

Netzwerkverwaltung

2026-03-23T12:37:29Z

Admin: /* 💻 4. Windows 11: IPP-Drucker manuell hinzufügen */

== Grundlagen der Netzwerkverwaltung ==
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Räumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Die Netzwerkverwaltung erfolgt anhand folgender Objekte:
* Gerätekonfigurationen
* Räume
* Geräte
* DNS-Einträge
Alle Geräte werden anhand ihrer MAC-Adressen identifiziert. Besitz ein Gerät, zB. ein Laptop, sowohl eine Ethernet- als auch eine WLAN-Karte, können beide am CRANIX-Server registriert werden. Dadurch wird sichergestellt, dass ein Gerät immer auf die selbe Weise behandelt wird, unabhängig davon, wie es mit dem Netzwerk verbunden ist.
Für WLAN-Geräte wurden sog. private WLAN-Adressen eingeführt. Dieses Feature soll angeblich "die Privatsphäre weiter schützen". Das heißt, dass ein Gerät sich bei jedem WLAN mit einer anderen zufälligen MAC-Adressen meldet. Dieses Verhalten kann zu vielen Problemen führen, deshalb muss dieses Feature bei jedem Gerät abgeschaltet sein:
[https://support.apple.com/de-de/HT211227 Apple]
[https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Probleme-sorgen-4907542.html Heise]

== Hardwarekonfigurationen ==
Die am CRANIX registrierten Geräte erhalten sog. Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parametern erstellt.

{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax
|-
| name || Der Name der Gerätekonfiguration || Max 32 Zeichen
|-
| description || Ausführliche Beschreibung der Gerätekonfiguration || Max 64 Zeichen, kann leer sein
|-
| deviceType || Die Art der Geräte || Nur vorhandene Werte können verwendet werden
|}

Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:

* '''FatClient''' Normale stationäre oder mobile Rechner. Nur für Rechner die in solchen Gerätekonfigurationen sind, wird eine SALT-Konfiguration und ein Workstationsbenutzer erstellt. Darüber hinaus können nur solche Rechner geklont werden.
* '''BYOD''' Private Geräte von den Benutzern.
* '''Printer''' Netzwerkdrucker.
* '''Server''' Zusätzliche Server im Netz.
* '''Switch''' Switche im Netz.
* '''ThinClient''' Thinclients im Netz.
* '''cloneProxy''' Für das Klonen an WLAN-Geräten

Den FatClient-Gerätekonfigurationen werden durch das Klonen, während des Erstellens des Masterimages, Partitionen zugewiesen. Die Partitionen haben folgende Parameter
{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax !! Bemerkung
|-
| name || Der Kerneldevicename der Partition || Wird vom CloneTool ermittelt. (sda1, sda2 ...)
|-
| description || Ausführliche Beschreibung der Partition || Max 64 Zeichen. Boot, System ...
|-
| OS || Operationssystem auf der Partition || Nur vorhandene Werte können verwendet werden: Win10, Win11, Linux, Data
|-
| joinType || Windows Domainjoin || Nur vorhandene Werte können verwendet werden: no, Domain || Wird nur bei OS==Win10, Win11 verwendet
|-
| tool || Das verwendete Imagingtool || Nur vorhandene Werte können verwendet werden: partclone, Zpartclone, partimage, dd, dd_rescue
|-
| format || Filesystem auf der Partition || Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no || Wird nur bei OS==Data verwendet
|}

Beim CRANIX erfolgt die automatische Umbenennung von Rechnern und ggf. die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner mit einer Gerätekonfigurationen FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert.

Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
*'''Win10-64-Domain''' Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
*'''Win10-64-no-Domain''' Rechner die vom CRANIX per SaltStack verwaltet werden, aber nicht AD-Domänen-Mitglied sind.
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
*'''cloneProxy''' Für das Klonen an WLAN Geräten

Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.

== Räume ==

Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden.
Beim Anlegen können/müssen folgende Angaben gemacht werden:

{|class="wikitable" style="text-align: lef;"
! Parametername !! Syntax !! Verfügbare Werte !! obligatorisch !! änderbar !! Verweis
|-
| Name || max 32 Zeichen. Nur DNS-konforme Zeichen || alles außer vorhandene Namen || Ja || Nein || [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen]
|-
| Beschreibung || max. 64 Zeichen. || alles außer vorhandene Namen || Ja || Ja
|-
| Raumtyp || || ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom || Ja || Ja || Hat nur informelle Bedeutung
|-
| HWConfig || || Müssen vorher definiert sein || Ja || Ja || Default in diesem Raum. Wichtig für die Erstellung von Softwaresets.
|-
| Raumkontrolle || || no, inRoom, allTeachers, sysadminsOnly || Ja || Ja
|-
| Anzahl der Geräte || || 4,8,16,32,64,128,512,1024,2048,4096 || Ja || Nein
|-
| Reihen || || 1-30 || Ja || Ja
|-
| Plätze || || 1-30 || Ja || Ja
|-
| Netzwerk || || Ist vordefiniert || Ja || Nein
|}

===Raumkontrolle===
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
* '''inRoom''' Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
* '''no''' In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzen, um den Zugriff auf das Internet aus diesen Räumen zu steuern.
* '''allTeachers''' Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkontrolle '''no''' sind.
* '''sysadminsOnly''' Diese Räume können nur durch Systemadministratoren kontrolliert werden.

Systemadministratoren können für Räume mit Raumkontrolle '''inRoom''', '''allTeachers''' und '''sysadminsOnly''' einen Zugriffszeitplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Aktionen an den Clients werden ausgeführt.

===Raumaktionen===
Über das Action-Icon können folgende Aktionen für alle Geräte in den ausgewählten Räumen ausgeführt werden:
* '''Einschalten''' Funktioniert nur mit Geräten, bei denen in BIOS/Firmware WOL erlaubt ist.
* '''Ausschalten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''neu starten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''Klonen starten''' PXE-Bootkonfiguration für die FatClient-Geräte werden geschrieben.
* '''Klonen anhalten''' PXE-Bootkonfiguration für die FatClient-Geräte werden gelöscht.
* '''öffnen''' D.h. Bildschirm und Tastatur wieder freigeben.
* '''schließen''' Bildschirm und Tastatur sperren.
* '''abmelden''' Angemeldete Benutzer abmelden.
* '''löschen''' Raum und alle Geräte im Raum werden gelöscht.

== Geräte ==
Klickt man unter '''Netzwerk''' -> '''Räume''' auf den Namen eines Raumes erhält man eine Liste mit den, in diesem Raum registrierten, Geräten. Man kann alle oder einzelne Geräte markieren und unter '''Aktionen''' folgende Funktionen mit den gewählten Rechnern ausführen:
* Eine CSV-Liste der gewählten Geräte herunterladen.
* Die gewählten Geräte löschen.
* Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Bei einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
* Das Gerät über WOL einschalten
* Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden muss. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inventarnummer sowie die Platzierung des Rechners im Raum anpassen.
* Den Rechner als Klonemaster markieren. Da in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
* DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. '''Wichtig: Setzt man hier einen Parameter falsch, führt das ggf. dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.'''
* Das Gerät löschen

===Geräte manuell registrieren===
Klickt man unter '''Netzwerk''' -> '''Räume''' beim entsprechenden Raum auf das '''+''' Zeichen, kann ein Gerät dem Raum hinzugefügt werden.

Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die '''MAC-Adresse''' des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die '''MAC-Adresse''' manuell eingetragen werden. Das Feld '''MAC-Adresse''' ist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der Reihe nach die nächste freie IP-Adresse im Raum zugewiesen.

Man muss eine freie '''IP-Adresse wählen'''. Dadurch wird auch der dazugehörige vordefinierte Name gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen in Active Directory für Computer] '''Wichtig''' Wurden mehrere MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.

Standardmäßig wird als '''Hardwarekonfiguration''' die des Raumes gesetzt, diese kann jedoch geändert werden.

Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld '''WLAN-MAC-Adresse''' eingetragen werden. Wurde eine '''WLAN-MAC-Adresse''' eingetragen, kann auch nur eine '''MAC-Adresse''' angegeben werden.

Die Felder '''Seriennummer''' und '''Inventarnummer''' können bei Bedarf ausgefüllt werden.

===Geräte importieren===
Geräte können von der Kommandozeile als Benutzer '''root''' mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgendes Format:

* In der ersten Zeile muss ein Header stehen.
* Feldseparator ist ";" (Semikolon).
* Groß/Klein-Schreibung ist irrelevant.
* Reihenfolge ist irrelevant.
* Folgende Felder müssen vorhanden sein:
:* room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
:* mac MAC-Adresse des Gerätes.
Weitere mögliche Felder.:
:* ip
:* name
:* hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
:* row
:* place
:* wlanmac
:* wlanip
:* serial
:* inventary
:* owner -> hier muss der Benutzername (uid) des Eigentümers stehen

Hier ist eine ganz einfache Beispieldatei:
room;mac
edv1;AA:BB:CC:DD:EE:01
edv1;AA:BB:CC:DD:EE:02
edv1;AA:BB:CC:DD:EE:03
edv1;AA:BB:CC:DD:EE:04

===Hardwarekonfigurationen von Geräten ändern===

#Wenn nötig neue Hardwarekonfigurationen anlegen
#Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen

Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
#Wenn nötig neue Hardwarekonfigurationen anlegen
#Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
#Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten

===Salt-Minion Konfiguration manuell bearbeiten===
#Dienst salt-minion auf dem betroffenen Client anhalten.
#c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass die id: eines Clients der FQHN also Rechnername.DNS-Domainname ist.
#Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
#Auf dem Server mit dem Befehl '''salt-key -d "minion.name"''' den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
#Dienst salt-minion auf dem Client starten.

==CloneTool==
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
<div class=warningbox>WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab '''CRANIX 4-3''' keine Masterrechner mehr. Das heißt: von allen Rechner können Images gezogen werden.</div>
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner mit der selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:

===Windowsrechner für Klonen vorbereiten===
*Den lokalen Administrator aktivieren! Öffnen Sie dazu einen Terminal (Eingabeaufforderung) mit der Option "Als Administrator ausführen" und führen Sie folgenden Befehl aus: <code>net user administrator * /active:yes</code>
*<div class=warningbox>'''Melden Sie sich als lokaler Administrator an!''' Die Verwaltung der Clients funktioniert nur dann, wenn Sie die folgenden Schritte als Benutzer '''Administrator''' ausführen.</div>
*Starten Sie die Kommandozeile oder PowerShell (WIN+X) oder über Start->Ausführen "CMD" mit STRG+UMSCHALT+ENTER.
*Hybernatemodus abschalten: <code>powercfg /h off</code>
*Bitlocker deaktivieren: <code>manage-bde -off c:</code>
*Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über '''Räume''' oder '''Geräte'''.
*Alle Updates installieren.
*Das [https://repo.cephalix.eu/Downloads/ClientSetup_py3.exe CRANIX Client Setupprogram] herunterladen.
*Rechner vom Netzwerk trennen, sonst wird der Rechner in die Domäne aufgenommen. Vor dem Clonen darf der Rechner nicht in der Domäne sein.
*ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren: <br><code>ClientSetup_py3.exe /i /passive MinionName=<hostname>.<dns-domainname>.</code><br> Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld '''Minionname''' eintragen. Der auf dem CRANIX-Server eingetragene Minionname des FQHN des Rechners. Also ''hostname''.''dns-domainname''.<br>'''WICHTIG rechner- drucker und domainnamen IMMER klein schreiben!!!'''
*Rechner auschalten.
*Rechner mit Netzwerk verbinden.
*Neustart über das Netzwerk ins CloneTool.
*Starten Sie nun '''Rechner klonen'''.
*Als erstes müssen Sie die zu klonenden Partitionen auswählen
*Geben Sie den zu klonenden Partitionen eine Beschreibung.
*Anschließend müssen zu den Partitionen verschiedene Angaben gemacht werden:
*Betriebssystem: Win10, WinBoot, Linux, Data
*Bei Win10 müssen Sie daneben angeben, ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
*Anschließend muss ein Imagingtool ausgewählt werden. '''Zpartclone''' bietet den besten Durchsatz und Komprimierung. Welches Tool mit Ihrer Hardware bzw. Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. '''dd''' und '''dd_rescue''' erstellen eine 1 zu 1 Kopie der Partitionen. '''dd_rescue''' kann auch beschädigte Partitionen lesen.
*Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechnern anfangen.

===Rechner wiederherstellen===
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
====Manuelle Wiederherstellung====
*Rechner über Netzwerk starten.
*CloneTool auswählen.
*Melden Sie sich als Administrator an.
*Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie einen eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start des CloneTools am Server registrieren.
*Wählen Sie '''Restore'''
*Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Image bespielt.

====Automatische Wiederherstellung====
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in das CloneTool und starten das '''Restore'''. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter '''Räume''' oder '''Geräte''' erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw. Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden.
Tritt ein Fehler während des Klonvorgangs auf, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in das CloneTool starten. Das macht man wieder im Kontextmenü mit dem Menüpunkt '''Klonen anhalten'''.

====Multicast Klonen====
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehrere Geräte gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Bei Multicast Klonen ist es sehr wichtig, dass die zu wiederherstellenden Rechner die selbe Gerätekonfiguration haben, deshalb wird Multicast Klonen über den Menüpunkt '''Gerätekonfiugrationen''' in folgenden Schritten gestartet:
#'''Gerätekonfiugrationen'''
#Betroffene Gerätekonfiugration bearbeiten.
#Untere Menütab '''Mitglieder''' wählen
#Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
#Die zu klonenden Rechner auswählen.
#Rechts oben mit dem grünen Ikon '''Multicast Klonen starten''' werden die benötigte Bootkonfigurationen erstellt.
#Rechts oben mit dem roten Ikon '''Multicast Klonen anhalten''' können die Bootkonfigurationen bei Bedarf gelöscht werden.

===Klonen von Laptops===
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANIX-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die gleiche MAC-Adresse verwendet.

===Klonen von Tablets über die '''cloneProxy'''===
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen.
Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.

Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "'''cloneProxy'''" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware, sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet-MAC-Adresse mit der WLAN-Karten-MAC-Adresse identifiziert werden sollen.

Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in '''SERVER_NET''' machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration '''cloneProxy''' zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration '''cloneProxy''' erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.

#Raum 'usb-adapter' mit Gerätekonfiguration '''cloneProxy''' für die entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
#Eine neue Gerätekonfiguration für die Tablets erstellen.
#Einen Raum oder mehrere Räume für die Tablets anlegen.
#Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
#Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
#Als Administrator in CloneTool anmleden.
#USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
#Tablet in einem, für die Tablets angelegten Raum registrieren.
#Rechner klonen.
'''WICHTIG''' Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.

Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einem nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei, ein oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!

====Surface klonen====
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
#Laut [https://docs.microsoft.com/de-de/surface/ethernet-adapters-and-surface-device-deployment Microsoft] unterstützt das Surface zwar auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
#Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber danach war Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das [https://repo.cephalix.eu/Downloads/CRANIX-4-3-x86_64.iso CRANIX Installations-CD] beinhaltet den Menüpunkt '''CloneTool'''. Dieser wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
<gallery heights=200px widths=260px>
Surface_firmware_secure_boot.png|Secure Boot
Surface_firmware_tpm.png|TPM Einstellungen
Surface_firmware_bootorder.png|Bootreihenfolge
Surface_firmware_reboot.png|Reboot
CRANIX-DVD-Boot.png|Bootmenü
</gallery>

#BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
#Die üblichen Einstellungen vornehmen:
##Den lokalen Administrator aktivieren!
##net user administrator * /active:yes
##Melden Sie sich als lokaler Administrator an!
##Hybernatemodus abschalten: powercfg /h off
#Tablet herunterfahren.
#USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
#Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
##Halten Sie die Lauter-Taste gedrückt.
##Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
#Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
##Security -> Secure boot -> Change Configuration -> none
##Security -> Trusted Plattform -> off
##Boot order -> USB an erste Stelle setzten.
##Die Firmware verlassen.
#Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.

===Über WLAN klonen===
Das geht doch gar nicht. In erster Linie ist das wirklich unmöglich, da man zur Zeit noch nicht über WLAN PXE booten kann. Man kann jedoch das CloneTool auch über das CRANIX-Installationsmedium starten und so das Klonen über den WLAN-Adapter durchführen. Das setzt jedoch eine SEHR stabile WLAN-Infrastruktur voraus.

*Erstellen Sie ein [[Installation#Installationsmedium_erstellen|CRANIX-Installationsmedium]].
*Booten Sie das Gerät über das CRANIX-Installationsmedium und starten Sie das Bootmenü CloneTool.
*Das Bootsystem erkennt und aktiviert die WLAN-Karte des Gerätes, wenn dieses nicht mit einer Netzwerkkabel mit dem Netzwerk verbunden ist.
*Das Bootsystem fragt nach der SSID des WLANs und nach den Zugangsdaten.
*Anschließend gelangt man zum CloneTool, als wäre man über Ethernet verbunden und kann das CloneTool, wie gewohnt benutzen.
*Bevor Sie sich am CloneTool anmelden und das Klonen starten, müssen Sie das CRANIX-Installationsmedium entfernen, wenn Sie über einen USB-Stick gebootet haben, sonst wird dieser auch als Festplatte erkannt.

== Drucker ==
Der CRANIX bietet die Möglichkeit Netzwerkdrucker im System zu registrieren: die Drucker können Räumen bzw. Rechnern als Standard oder als sonstiger Drucker zugewiesen werden. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü '''Geräte''' -> '''Drucker'''. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein.
Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zB. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren.
Im ersten Reiter des Menüs '''Drucker''' erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
* Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
* Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
* Druckerwarteschlange deaktivieren. Will man zB. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange sperren, kann man die Annahme von Druckaufträgen deaktivieren.
* Druckerwarteschlange zurücksetzten.
* Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
===Drucker anlegen===
Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
* Name
* MAC-Adresse
* Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
* Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller '''Generic''' und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich ''Generic PCL 5e Printer'' und für die Farbdrucker ''Generic PCL 6/PCL XL Printer''

Beim Anlegen eines Druckers werden folgende Aktionen ausgeführt:
# Ein Gerät wird mit der Gerätekonfiguration <b>Printer</b> im gewählten Raum mit der gegebenen MAC-Adresse angelegt
# Eine Druckerwarteschlange wird mit dem Namen des Druckergeräts in CUPS angelegt.
# Die Druckerwarteschlange in CUPS wird aktiviert.
# Die Verteilung von Druckertreiber für Windows-Clients wird aktiviert.
Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
* Papiergröße A4
* Fehlerbehandlung: Druckerauftrag löschen
* Druckerwarteschlange ist aktiv und nimmt Aufträge an.

<b>Wichtig</b> Damit die Verteilung der Windows-Druckertreiber funktioniert muss
ein [[Anpassungsmöglichkeiten#Ein_Gruppenrichtlinienobjekt_erstellen|Gruppenrichtlinienobjekt erstellt]] werden.

===Druckerwarteschlange anlegen===
Im dritten Reiter des Menüs '''Drucker''' kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät auswählen. Sonst gilt das Gleiche wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS und SAMBA angelegt.

===Druckerwarteschlange zu Räumen oder Rechner zuweisen===
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt ''Netzwerk -> Räumen''. Hier klickt man auf den Namen des Raumes. Will man für einen Raum den Standarddrucker oder die Sonstigen Drucker festlegen muss man auf den zweiten Reiter ''Drucker'' klicken. Nun gelten diese Einstellungen für alle Windows-Clients in diesem Raum. Will man für einen Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstigen- Drucker festlegen.

Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden.
Auf Windows-Clients ist es möglich unter der URL '''\\admin\<Druckerwarteschlangename>''' verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert.
Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgendermaßen setzen:
CUPS_SERVER=admin

===Druckertreiber auf dem Server hinterlegen===
Man kann beim Einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
# Sich als '''root''' anmelden.
# Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
# Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
# Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl

===Treiberloses Drucken mit Windows-Client über IPP ab Version 10===
Hier ist ein kompakter, praxisnaher Artikel für dein Setup mit CUPS und Windows 11:

====🖨️ Drucken per IPP: CUPS einrichten & Windows 11 anbinden====

'''🔧 1. CUPS-Server für IPP konfigurieren'''

Damit Clients per **IPP (Internet Printing Protocol)** drucken können, muss CUPS Netzwerkzugriffe erlauben und Drucker freigeben. Dafür muss man die Datei <code>/etc/cups/cupsd.conf</code> anpassen.

'''🔓 Zugriff erlauben'''
Stelle sicher, dass CUPS auf allen Interfaces lauscht:

Listen 0.0.0.0:631
oder
Port 631

'''🌐 Zugriff im Netzwerk erlauben'''

<Location />
Allow @LOCAL
</Location>
<Location /admin>
Allow @LOCAL
</Location>
<Location /printers>
Allow @LOCAL
</Location>

👉 Optional (offener, unsicherer):
Allow all

'''📢 Drucker freigeben'''

In derselben Datei:
Browsing On
BrowseLocalProtocols dnssd
DefaultShared Yes

'''🔄 CUPS neu starten'''

systemctl restart cups

''🔎 2. IPP-URL des Druckers''

CUPS stellt Drucker typischerweise unter folgender URL bereit:

http://<server>:631/printers/<druckername>

'''Auf einem CRANIX-Server:'''

http://printserver:631/printers/hp-laserjet

Test im Browser:

http://printserver:631/printers

====💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen====

'''⚙️ Feature aktivieren (falls nötig)'''

dism /online /Enable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client

'''🚀 Drucker hinzufügen (PowerShell)'''

powershell
Add-Printer -Name "hp-laserjet" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "http://printserver:631/printers/hp-laserjet"
👉 Das ist der wichtigste Schritt.

'''🔐 Optional: IPPS (verschlüsselt)'''

powershell
Add-Printer -Name "CUPS_Drucker" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "https://printserver:631/printers/hp-laserjet"

⚠️ Bei selbstsignierten Zertifikaten kann es zu Fehlern kommen.

'''🧪 4. Verbindung testen'''

powershell
Test-NetConnection printserver -Port 631

====💻 4. Windows 11: IPP-Drucker manuell hinzufügen====
'''Methode 1:''' Automatisch hinzufügen (empfohlen)

# Öffne '''Einstellungen'''
# Gehe zu '''Bluetooth & Geräte → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Windows sucht nach verfügbaren Druckern
# Wenn dein IPP-Drucker erscheint → '''Hinzufügen'''

👉 Funktioniert gut, wenn der Drucker im selben Netzwerk ist und IPP korrekt annonciert (z. B. via Bonjour/mDNS). Bei CRANIX-Server sollte das der Fall sein.

'''Methode 2:''' Manuell über IPP-URL hinzufügen

Wenn der Drucker nicht automatisch gefunden wird:

# Öffne '''Einstellungen → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Scrolle runter → '''„Der gewünschte Drucker ist nicht aufgeführt“''' Wähle: '''„Einen Drucker über eine TCP/IP-Adresse oder einen Hostnamen hinzufügen“'''
# Bei Gerätetyp: '''„Web Services Device“** oder **„TCP/IP-Gerät“'''
# URL des Druckers eingeben, z. B.: ''ipp://printserver/ipp/lz-dr1'' oder ''http://printserver:631/ipp/lz-dr1''
# Treiber auswählen (oder automatisch erkennen lassen)

'''Methode 3:''' Über Systemsteuerung (klassisch)

# Öffne '''Systemsteuerung → Geräte und Drucker'''
# Klick auf '''„Drucker hinzufügen“'''
# → '''„Der gewünschte Drucker ist nicht aufgeführt“'''
# → '''„Freigegebenen Drucker über Namen auswählen“'''
# IPP-URL eingeben (wie oben)

'''Treiber:'''
Oft funktioniert '''Microsoft IPP Class Driver''' automatisch

'''Typische IPP-URL-Formate:'''
ipp://hostname/ipp/druckername

http://hostname:631/ipp/druckername

ipp://IP-Adresse/ipp/druckername

Port 631 ist Standard für IPP.

==Softwareverteilung==
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen. Installationsziele können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
#Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: ''Administration'' -> ''Software'' -> ''Pakete herunterladen''. Abwarten bis die Pakete geladen sind.
#Anschließend kann man unter ''Installationsset erstellen'' aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
#Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/crx_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also müssen die Rechner einer Hardwarekonfiguration zugewiesen sein, in der der Gerätetyp als FatClient definiert wurde.

==WLAN==
Die Dienste des CRANIX-Servers können selbstverständlich auch über WLAN erreicht werden. Der Server bietet verschiedene Möglichkeiten WLAN Geräte ins Netz einzubinden. Voraussetzung ist immer eine gut funktionierende WLAN-Infrastruktur. Ist der Einsatz von mehreren Accesspoints erforderlich, müssen diese unbedingt über Hardware- oder Softwarecontroller (besser Hardware) zentral verwaltetet (managed) werden.
Wir können Sie natürlich bei, Planung, Beschaffung so wie Aufbau und Inbetriebnahme des WLAN-Netzwerks unterstützen, bzw. diese Schritte nach Ihren Anforderungen/Vorstellungen ausführen.

===WPA2-PSK===
Will man den WLAN-Zugang über WPA2-PSK (pre-shared key) bereitstellen müssen am CRANIX-Server keine weitere Einstellungen vorgenommen werden. Die Geräte können, wie Geräte mit Ethernetadaptern registriert werden. In diesem Fall können private Geräte nicht automatisch zu Benutzern zugeordnet werden, deshalb empfehlen wir für die Verwaltung von privaten Geräten (BYOD) den Einsatz des Radiusprotokolls (i.F).

===WPA2-Enterprise Radius===
Der CRANIX-Server bietet auch einen Radiusserver für die personalisierte Anmeldung im WLAN an. Wenn Sie den Radiusserver benutzen wollen müssen Sie das Paket cranix-radius als Benutzer root auf dem Server installieren:
zypper install cranix-radius
Nach der Installation müssen noch folgende Konfigurationsschritte durchgeführt werden:
'''Setzen des Radius-Secrets''' Diese liegt am Ende der Datei '''/etc/raddb/clients.conf'''. Nach der Installation des Paketes wird ein Client-Eintrag '''server-net''' in dieser Datei erstell, der den Zugriff für Accesspoints aus dem Servernetz mit dem Passwort '''testing123-1''' festlegt. Sie sollten dieses Passwort unbedingt ändern und den Radiusdients neu starten. Anschließend müssen Sie alle Accespoints im Raum SERVER_NET registrieren und die Radiuseinstellungen setzen. Diese sind wie folgt:
DNS-Name des Radiusservers: admin
Radius-Secret: was Sie gesetzt haben
Port: 1812
Accounting Port: 1813
Wenn erforderlich, können Sie für die Access-Points einen eigenen Raum anlegen um diesen zB. gesonderten Internetzugriff zu gewähren. In diesem Fall müssen Sie den Client-Eintrag '''server-net''' in der Datei '''/etc/raddb/clients.conf''' anpassen oder einen neuen Eintrag erstellen. Legen Sie diesen Raum mit Raumkontrolle '''no''' an, damit Sie für diesen Raum feste Firewallregeln setzen können.

Nun ist das WLAN-Netz einsatzbereit und jeder Benutzer kann sich mit Benutzername und Passwort anmelden. Nach der Anmeldung bekommen die nicht registrierten Geräten eine IP-Adresse aus dem ANON_DHCP-Raum, wenn dort noch genug IP-Adressen zur Verfügung stehen. Registrierte Geräte, bekommen die ihnen bei der Registrierung zugewiesene IP-Adressen.

In erster Linie können nur Systemadministratoren Geräte an CRANIX-Server anmelden. Das ist natürlich sehr viel Arbeit, die vor allem in Schulen nicht zu bewältigen ist. Um diese Arbeit zu erleichtern wurden die sog. AdHocLan Räume eingeführt.

==AdHocLan==
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Intranet selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der Vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der einzelnen Geräte (i.d.R. BYOD) kümmern muss. Die Benutzer können ihre eigenen Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht.
Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
*'''Name''' Der Name des Raumes
*'''Beschreibung''' Eine kurze Beschreibung des Raumes
*'''Gerätekonfiguration''' Hier sollte für privaten Geräten BYOD stehen.
*'''Gerät pro Benutzer''' Wie viele Geräte einzelne Benutzer in diesem Raum registrieren dürfen.
*'''Anzahl der Geräte''' Max. Anzahl an Geräten, die registriert werden können pro Raum. Diese Zahl sollte Größer sein als "'''Gerät pro Benutzer'''" * "'''Anzahl der Benutzer in der Gruppe'''".
*'''Raumkontrolle''' Wie soll der Zugang im Raum kontrolliert werden.
*'''Gruppen''' Hier muss man die Gruppen auswählen, deren Mitglieder in diesem Raum Geräte registrieren dürfen.
*'''Nur für Schüler''' Diese sollten dann auf '''yes''' gesetzt werden, wenn Sie den Zugriff für Schüler über solche Gruppen ermöglichen möchten, in denen auch Lehrer Mitglieder sind.

Steht einem Benutzer mindestens ein AdHocLan-Raum für die Registrierung von privaten Geräten zur Verfügung, kann der Benutzer über die Administrationsoberfläche unten Profile -> Geräte, private Geräte registrieren, löschen oder ändern.

Nach der Installation des Paketes cranix-radius stehen zwei weitere Systemvariablen zur Verfügung, womit die automatische Registrierung der WLAN-Geräte gesteuert wird.
* '''RADIUS_REGISTER_DEVICE''' Ist diese Variable auf "yes" gesetzt, werden neue Geräte bei der Anmeldung an WLAN automatisch registriert, wenn dem angemeldeten Benutzer zu Registrierung ein AdHocLan zur Verfügung steht.
* '''FORCE_REGISTER_DEVICE''' Diese Variable steuert was mit einem Gerät passiert, das nach der Anmeldung an WLAN nicht automatisch registriert werden kann. Das kann der Fall sein, wenn ein Benutzer zu keinem AdHocRaum zugewiesen ist, oder wenn dieser schon die maximalen Anzahl der Geräten registriert hat. Ist diese Variable auf "yes" gesetzt, bekommen solche Geräte nach der Anmeldung an WLAN keine IP-Adresse und können überhaupt nicht benutzt werden. Anderenfalls bekommen sie eine IP-Adresse aus dem ANON_DHCP-Raum und der Benutzer kann über die Administrationsoberfläche seine alten Geräte löschen, um das neue registrieren zu können.
* '''AUTO_UPDATE_MAC_ADDRESS''' Ist diese Variable auf "yes" gesetzt, kann ein Benutzter auch dann ein neues Gerät registrieren, wenn er eigentlich die Zahl '''Gerät pro Benutzer''' überschritten hat. In diesem Fall wird die MAC-Adresse des zuletzt registrierten Gerätes durch die neue MAC-Adresse ersetzt. Dies ist nötig, da iOS und Android Geräte ihre MAC-Adresse von Zeit zu Zeit ändern. Dieses Verhalten kann man zwar ändern, das schaffen allerdings nicht alle Benutzer.

'''WICHTIG''' Ist ein Benutzer in der Gruppe Systemadministratoren, funktioniert für ihn die automatische Registrierung von privaten Geräten nicht. Der Grund dafür ist, dass Systemadministratoren sehr oft testen, melden sich an fremden Geräten ins WLAN ein usw... Im Laufe ihrer Arbeit, würden sie Unmengen an Geräten besitzen, die gar nicht ihnen gehören. Systemadministratoren müssen ihre privaten Geräte manuell über die Administrationsoberfläche registrieren.

====AdHocLan Raum für Lehrer====
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
*'''Name''' lehrer-lan
*'''Beschreibung''' Raum für private Geräte der Lehrkraft
*'''Gerät pro Benutzer''' 4
*'''Anzahl der Geräte''' 512
*'''Raumkontrolle''' no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen.
Anschließend muss man in der Firewall die entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ''ausgehende Firewallregel'' erstellt werden:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' all
*'''Ziel''' 0/0
Will man nur Web-Zugang erlauben, müssen 2 ''ausgehende Firewallregeln'' erstellt werden:
Regel für http-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 80
*'''Ziel''' 0/0
Regel für https-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 443
*'''Ziel''' 0/0

Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räumen den Schulproxy nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:

#Automatische Internet-Proxyerkennung
#Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
#Proxy-Server: ''proxy'' Proxy-Server-Port: 8080

Bitte beachten Sie, dass ein Zugriff von Mailclients auf externe Mailserver nur mit direktem Internetzugang möglich ist.

====AdHocLan Raum für Schüler====

Für die Schüler kann man analog, wie bei den Lehrern, einen großen AdHocLan Raum anlegen. Dieser Raum darf natürlich nicht kontrollierbar sein. Wäre eine dynamische Raumkontrolle für die Lehrer möglich, würde das immer alle Schüler betreffen. Der Zugriff ins Internet muss über feste Firewallregeln oder über den Proxy geregelt werden. In bestimmten Schulen kann jedoch diese Lösung ausreichen.

Der CRANIX-Server bietet jedoch die Möglichkeit, die privaten Geräten der Schüler klassenweise in virtuellen Räumen zu ordnen. Bei Import der Schüler werden die eigenen Geräte in die neuen Klassenräume umgezogen. Ob und wie die AdHocLan-Klassenräume erstellt werden, wird durch folgende globalen Variablen geregelt:

* '''CRANIX_MAINTAIN_ADHOC_ROOM_FOR_CLASSES''' schaltet diese Funktion ein.
* '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER''' gibt an, wie viele Rechner ein Benutzer registrieren darf.
* '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' gibt an, wie viele Geräte in einem Raum registriert werden können. Diese Zahl muss eine Potenz von 2 sein. Erlaubte Werte sind also 8,16,32,64,128. Diese Zahl ergibt sich aus der Maximalen Klassengröße und dem Wert von '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER'''. Sind maximal 25 Schüler in einer Klasse und jeder Schüler darf 2 Geräte registrieren, muss als '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' als 64 gewählt werden.
* '''CRANIX_CLASS_ADHOC_NET''' Hat der CRANIX mehrere interne Netze, muss man hier angeben, welches Netz für die Klassen-AdHoc-Räume benutzt werden soll. Ist diese Variable nicht gesetzt, wird das Netz '''CRANIX_NETWORK/CRANIX_NETMASK''' verwendet.

Hat man diese Werte gesetzt, muss noch das Script '''/usr/share/cranix/tools/handle_class_adhoc_rooms.py''' als Benutzer '''root''' auf dem CRANIX ausgeführt werden. Damit werden die AdHocLan-Klassenräume für alle vorhandenen Klassen angelegt. Die Räume werden mit Raumkontrolle '''allTeachers''' erstellt, damit jeder Lehrer jeden Klassenraum kontrollieren kann.

==Gefilterter Internetzugang==
Vor allem in Schulen ist es unerlässlich, dass man den Internetzugang kontrolliert indem bestimmte Internetseiten nicht erreichbar gemacht werden. Dafür bietet der CRANIX-Server 2 Möglichkeiten: Proxy-Filterung und DNS-Filterung.

===Proxy-Filterung===
Nach der Installation des CRANIX-Servers wird der Proxy-Server squid, mit dem Contentfilter squidGuard installiert. Dieser Lösung bietet einen gefilterten, protokollierten Internetzugang. Der Contentfilter squidGard ordnet mehrer Millionen Internetseiten in Kategorien. Über die Administrationsoberfläche von CRANIX können Systemadministratoren einen Basisfilter zusammen stellen. Je nach Benutzerrolle können verschiedene Kategorien erlaubt und verboten sein. Dabei spielen folgende Kategorien besondere Rolle:
* '''Eigene White-Liste''' Die von squidGuard gelieferte Listen können nicht geändert werden. Möchte man den Zugriff auf eine Domäne erlauben, die jedoch in eine gesperrte Liste eingeordnet wurde, muss man diese hier eintragen. Der Zugriff auf die Domänen in der eigenen White-Liste ist für jede Benutzerrolle immer erlaubt.
* '''Eigene Black-Liste''' Die hier eingetragene Domänen sind für alle Benutzerrollen gesperrt.
* '''CEPHALIX-Liste''' Das ist eine White-Liste, die für alle Benutzerrollen erlaubt ist. Diese Liste kann jedoch nur von einem zentralen CEPHALIX-Server verwaltet werden. Der lokale Systemadministrator kann diese Liste nicht bearbeiten.
* '''in-addr''' Mit dieser Kategorie kann der Zugriff direkt auf IP-Adressen in der URL erlaubt oder verboten werden.
* '''all''' Das ist immer die letzte Kategorie. Ist dieser erlaubt, sind alle Zugriff die nicht explizit durch Kategorien verboten sind erlaubt. Ist diese Kategorie für eine Benutzerrolle verboten, haben die betroffene Benutzer nur Zugriff auf die explizit durch Kategorien erlaubten Seiten Zugriff.
Die Proxy-Filterung hat folgende Vorteile:
* Hohe Sicherheit, da nur http und https Zugriffe ins Internet erlaubt sind. (Nichtmal Pingen geht :-)
* Alle Zugriffe werden protokolliert.
* Man kann für die verschiedene Benutzerrollen verschiedene Filter erstellen.
Die Proxy-Filterung hat folgende Nachteile:
* Greift man auf verschlüsselte gesperrte Seiten, wird man nicht auf eine Blockseite weitergeleitet sondern erhält man ein Timeout. Das kann zu Verwirrungen führen.
* Verschiedene Video-Dienste sind durch Proxy nicht erreichbar. Deshalb muss man für diese Dienste extra Firewall- und Proxy-Pac-Regeln erstellen. Im Falle von Teams von Microsoft sind das bis zu Hundert Regel.
* MDM-Dienste benötigen auch direkten ungefilterten Internetzugang.

====Proxy-Konfiguration auf den Clients====
Der DHCP-Server vom CRANIX veröffentlicht im Netz über ein DHCP-Option, dass es im Netz einen Proxy-Server gibt, der über ein Proxy-Konfigurationsdatei benutzt werden sollt. Diese Datei ist über die URL '''http://admin/proxy.pac''' erreichbar.
Weiterhin ist auch der A-Record für wpad im DNS-Server von CRANIX gesetzt. Dadurch ist die selbige Konfigurationsdatei auch über die URL '''http://wpad.<Domainname>/wpad.dat''' erreichbar.
Beide Veröffentlichungsmethoden sind standardisiert und kennen die meisten moderne Clients. Das heißt prinzipiell ist es nicht erforderlich an den Clients die Proxy-Konfiguration einzustellen, da die diese automatisch erkennen können. Sollte das doch nicht der Fall sein, gibt es je nach Gerät bzw. Betriebssystem folgende Möglichkeiten:
* '''iOS''' Einstellungen -> WLAN -> beim betroffenen WLAN-SID -> Proxy konfigurieren -> Automatisch -> URL: http://admin/proxy.pac
* '''Win10'''

===DNS-Filterung===
Durch die Installation des Paketes '''cranix-unbound''' wird die DNS-Filterung eingeschaltet. Für diesen Dienst kann man eine Black-Liste von Domänen erstellen, die nicht erreichbar sein dürfen. Diese Domänen werden auf die Proxy-IP-Adresse des CRANIX-Servers aufgelöst und werden dadurch die Zugriffe auf diese Domänen auf eine Sperrseite weitergeleitet. Grundsätzlich ist in allen Räumen das direkte Internet eingeschaltet. D.h. man hat von allen Räumen vollen Zugriff auf alle IP-Adressen via alle Protokolle und Ports im Internet.

Während der Installation des Paketes '''cranix-unbound''' wird für jeden Raum, der mit einer dynamische Zugangskontrolle ( Kontrolle im Raum ist nicht ''no'' ) konfiguriert ist, eine Standardzugangsregel gesetzt, die alle Zugriffe inkl. direktes Internet erlaubt. Für Räume die mit Raumkontrolle ''no'' angelegt worden sind, muss man manuell Firewallregel anlegen. Alternativ können Sie vor der Installation in solchen Räumen die Raumkontrolle aud ''sysadminsOnly'' setzen. Weiterhin wir die automatische Proxykofigurationsdatei so umgeschrieben, das für alle Rechner mit allen Zielen direktes Internet eingestellt ist. Das erspart die erneute Konfiguration der vorhandenen Clients.
In Räumen mit dynamischer Zugangskontrolle können Lehrer den Internetzugang bei Bedarf sperren.

Die Black-Liste der gesperrten Domänen wird anhand der Proxy-Kategorien und der eigenen Black-, White- und CRANIX-Listen erstellt. Der grundsätzliche Unterschied zum Proxy-Zugang ist, dass bei der DNS-Filterung alles erlaubt ist was nicht verboten wurde. Deshalb gibt es bei DNS-Filterung keine positiv-Listen. Die Konfiguration der DNS-Filterung kann man über die Administrationsoberfläche als Systemadministrator '''Sicherheit''' -> '''DNS-Filterung''' erledigen. Das Paket ''cranix-unbound'' liefert eine Vorkonfiguration, die die Suchmaschinen bzw. YouTube zu '''SafeSearch''' Modus zwingt. Vor allem bei YouTube hat das zu Problem geführt. Deshalb haben wird das '''SafeSeraach'''-Modus konfigurierbar gemacht. Unter Sicherheit -> DNS-Filter gibt es nun einen zusätzlichen Reiter SafeSearch aktivieren. Hier kann man das SafeSearch-Modus für die verschiedene Dienste einzeln ein- bzw. ausschalten.

<div class=warningbox>'''SafeSearch''' Ist für ein Dienst (Ding, YouTube, Google) das SafeSearch-Modus aktiviert, hat nur der Dienstanbieter Einfluss darauf, was in ihren Diensten erreichbar oder gesperrt ist. Sie selber kategorisieren die Inhalte und man kann von außen das nicht beeinflussen. Sind Ihre Meinung nach zu viele Inhalte zBp. über YouTube nicht erreichbar, ist die Einzige Möglichkeit SafeSearch für YouTube zu deaktivieren. Man muss jedoch beachten, dass in diesem Fall alle Inhalten auf YouTube (auch Gewalt, Pornografie) erreichbar sind.</div>

'''WICHTIG''' Man sollte beachten, dass das Neustarten des Dienstes etwas 10 Sekunden lang dauert. Während dieser Zeit ist keine Namensauflösung im Netz möglich. Deshalb sollte man Änderungen nicht im laufenden Betrieb unternehmen. Die Konfigurationsseite ist so gestaltet, dass man erst alle Änderungen durchführen und anschließend den Dienst neu starten muss.

'''WICHTIG''' Der DNS-Filter ist ein separater Dienst, der auf die IP-Adresse des Proxy-Servers auf dem UDP-Port 53 lauscht. Deshalb muss die IP-Adresse des Proxy-Servers als <code>dns forwarder</code> in der Samba-Konfiguration in <code>[global]</code>-Sektion eingetragen werden. Das geschieht automatisch bei der Installation des Paketes '''cranix-unbound'''. Der Unbound-Server wiederum nutzt den Server 8.8.8.8 bzw. den Server, der vor der Installation in der Samba-Konfiguration als "dns forwarder" eingetragen war, als DNS-Forwader. Wenn Sie diese Einstellung ändern müssen, ändern Sie den Eintrag <code>forward-zone</code> in der Datei <code>/etc/unbound/conf.d/cranix.conf</code>.

Da bei DNS-Filterung grundsätzlich alle Internetzugriffe erlaubt sind, ist die Protokollierung der Zugriffe sehr wichtig. Dafür wurde ein Dienst entwickelt, der alle Internetzugriff in die Datei '''/var/log/cranix-internet-access.log''' schreibt. Diese hat folgendes Format:
Zeitpunkt;Benutzer;IP des Clients;IP des Ziels;IP-Protokoll;Port auf dem Zielrechner
Um die Datenmenge in vernünftigen Rahmen zu halten werden pro Minute nur ein Zugriff mit den selben Parametern protokolliert. Weiterhin wird bei der Installation ein Logrotate-Konfiguration ( ''/etc/logrotate.d/crx-fw-watcher'' ) mit folgenden Parameter hinterlegt:
* Maximales Alter der Logdateien: 180 Tage
* Maximale Anzahl der Logdateien: 20
* Maximale Größe der Logdateien: 4MiB
Vorteile der DNS-Filterung:
* Alle Dienste in Internet sind nun schmerzfrei erreichbar.
* Die Clients benötigen keine besondere Konfiguration. ''Plug and Play'' ist wirklich möglich.
Nachteile der DNS-Filterung:
* Alles ist erlaubt, was nicht verboten ist.
* Positivlisten können nicht verwendet werden.

==Fehlersuche==
Leider gehört die Suche nach Fehler im Netzwerk zum Alltag jeder Systemadministrator. Hier möchten wir einige Fehler Ihrer Symptomen und Behebung und wie man diese Probleme in der Zukunft vermeiden kann, beschreiben.

===Schleife im Netzwerk===
Das ist einer der häufigsten Probleme im Netzwerken. Eine Schleife im Netzwerk entsteht dadurch, dass zwei Ports im Netzwerk direkt miteinander verbunden werden. Dabei spielt es keine Rolle, ob sich diese Ports auf dem selben Switch befinden oder nicht.

Das wichtigste Symptomen einer Netzwerkschleife ist, dass an sich alles mehr oder weniger funktioniert, allerdings dauert alles wesentlich länger. Man kann sogar den Server erreichen, man kann sich evtl anmelden und surfen. Aber die Anmeldung dauert bei allen Benutzer mehrere Minuten und das Öffnen von Webseiten geht auch nicht zügig. Oft landet man in einem Time-Out.

Man kann anhand der Logs des DHCPD-Servers erkennen, ob es sich eine Schleife im Netzwerk befindet. Normaler weise sendet jeder Rechner 2 DHCP-Anfragen wenn dieser gestartet wird: Eine beim PXE-Boot und eine beim Starten des Betriebssystems, wenn die Netzwerkkarte aktiviert wird.

===Überprüfung der Konnektivität eines Windows-Rechners===
Dass ein Windows-Rechner läuft und man sich am Rechner anmelden kann, heißt noch lange nicht, dass dieser mit dem Netzwerk verbunden ist. Hat man sich einmal an einem Windows-Arbeitsplatz erfolgreich angemeldet, werden seine Anmeldedaten lokal gespeichert. Deshalb kann man sich später an diesem Rechner auch dann anmelden, wenn der CRANIX-Server nicht erreichbar ist.

Netzwerkverwaltung

2026-03-23T12:34:50Z

Admin: /* Treiberloses Drucken mit Windows-Client über IPP ab Version 10 */

== Grundlagen der Netzwerkverwaltung ==
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Räumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Die Netzwerkverwaltung erfolgt anhand folgender Objekte:
* Gerätekonfigurationen
* Räume
* Geräte
* DNS-Einträge
Alle Geräte werden anhand ihrer MAC-Adressen identifiziert. Besitz ein Gerät, zB. ein Laptop, sowohl eine Ethernet- als auch eine WLAN-Karte, können beide am CRANIX-Server registriert werden. Dadurch wird sichergestellt, dass ein Gerät immer auf die selbe Weise behandelt wird, unabhängig davon, wie es mit dem Netzwerk verbunden ist.
Für WLAN-Geräte wurden sog. private WLAN-Adressen eingeführt. Dieses Feature soll angeblich "die Privatsphäre weiter schützen". Das heißt, dass ein Gerät sich bei jedem WLAN mit einer anderen zufälligen MAC-Adressen meldet. Dieses Verhalten kann zu vielen Problemen führen, deshalb muss dieses Feature bei jedem Gerät abgeschaltet sein:
[https://support.apple.com/de-de/HT211227 Apple]
[https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Probleme-sorgen-4907542.html Heise]

== Hardwarekonfigurationen ==
Die am CRANIX registrierten Geräte erhalten sog. Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parametern erstellt.

{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax
|-
| name || Der Name der Gerätekonfiguration || Max 32 Zeichen
|-
| description || Ausführliche Beschreibung der Gerätekonfiguration || Max 64 Zeichen, kann leer sein
|-
| deviceType || Die Art der Geräte || Nur vorhandene Werte können verwendet werden
|}

Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:

* '''FatClient''' Normale stationäre oder mobile Rechner. Nur für Rechner die in solchen Gerätekonfigurationen sind, wird eine SALT-Konfiguration und ein Workstationsbenutzer erstellt. Darüber hinaus können nur solche Rechner geklont werden.
* '''BYOD''' Private Geräte von den Benutzern.
* '''Printer''' Netzwerkdrucker.
* '''Server''' Zusätzliche Server im Netz.
* '''Switch''' Switche im Netz.
* '''ThinClient''' Thinclients im Netz.
* '''cloneProxy''' Für das Klonen an WLAN-Geräten

Den FatClient-Gerätekonfigurationen werden durch das Klonen, während des Erstellens des Masterimages, Partitionen zugewiesen. Die Partitionen haben folgende Parameter
{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax !! Bemerkung
|-
| name || Der Kerneldevicename der Partition || Wird vom CloneTool ermittelt. (sda1, sda2 ...)
|-
| description || Ausführliche Beschreibung der Partition || Max 64 Zeichen. Boot, System ...
|-
| OS || Operationssystem auf der Partition || Nur vorhandene Werte können verwendet werden: Win10, Win11, Linux, Data
|-
| joinType || Windows Domainjoin || Nur vorhandene Werte können verwendet werden: no, Domain || Wird nur bei OS==Win10, Win11 verwendet
|-
| tool || Das verwendete Imagingtool || Nur vorhandene Werte können verwendet werden: partclone, Zpartclone, partimage, dd, dd_rescue
|-
| format || Filesystem auf der Partition || Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no || Wird nur bei OS==Data verwendet
|}

Beim CRANIX erfolgt die automatische Umbenennung von Rechnern und ggf. die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner mit einer Gerätekonfigurationen FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert.

Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
*'''Win10-64-Domain''' Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
*'''Win10-64-no-Domain''' Rechner die vom CRANIX per SaltStack verwaltet werden, aber nicht AD-Domänen-Mitglied sind.
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
*'''cloneProxy''' Für das Klonen an WLAN Geräten

Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.

== Räume ==

Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden.
Beim Anlegen können/müssen folgende Angaben gemacht werden:

{|class="wikitable" style="text-align: lef;"
! Parametername !! Syntax !! Verfügbare Werte !! obligatorisch !! änderbar !! Verweis
|-
| Name || max 32 Zeichen. Nur DNS-konforme Zeichen || alles außer vorhandene Namen || Ja || Nein || [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen]
|-
| Beschreibung || max. 64 Zeichen. || alles außer vorhandene Namen || Ja || Ja
|-
| Raumtyp || || ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom || Ja || Ja || Hat nur informelle Bedeutung
|-
| HWConfig || || Müssen vorher definiert sein || Ja || Ja || Default in diesem Raum. Wichtig für die Erstellung von Softwaresets.
|-
| Raumkontrolle || || no, inRoom, allTeachers, sysadminsOnly || Ja || Ja
|-
| Anzahl der Geräte || || 4,8,16,32,64,128,512,1024,2048,4096 || Ja || Nein
|-
| Reihen || || 1-30 || Ja || Ja
|-
| Plätze || || 1-30 || Ja || Ja
|-
| Netzwerk || || Ist vordefiniert || Ja || Nein
|}

===Raumkontrolle===
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
* '''inRoom''' Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
* '''no''' In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzen, um den Zugriff auf das Internet aus diesen Räumen zu steuern.
* '''allTeachers''' Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkontrolle '''no''' sind.
* '''sysadminsOnly''' Diese Räume können nur durch Systemadministratoren kontrolliert werden.

Systemadministratoren können für Räume mit Raumkontrolle '''inRoom''', '''allTeachers''' und '''sysadminsOnly''' einen Zugriffszeitplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Aktionen an den Clients werden ausgeführt.

===Raumaktionen===
Über das Action-Icon können folgende Aktionen für alle Geräte in den ausgewählten Räumen ausgeführt werden:
* '''Einschalten''' Funktioniert nur mit Geräten, bei denen in BIOS/Firmware WOL erlaubt ist.
* '''Ausschalten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''neu starten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''Klonen starten''' PXE-Bootkonfiguration für die FatClient-Geräte werden geschrieben.
* '''Klonen anhalten''' PXE-Bootkonfiguration für die FatClient-Geräte werden gelöscht.
* '''öffnen''' D.h. Bildschirm und Tastatur wieder freigeben.
* '''schließen''' Bildschirm und Tastatur sperren.
* '''abmelden''' Angemeldete Benutzer abmelden.
* '''löschen''' Raum und alle Geräte im Raum werden gelöscht.

== Geräte ==
Klickt man unter '''Netzwerk''' -> '''Räume''' auf den Namen eines Raumes erhält man eine Liste mit den, in diesem Raum registrierten, Geräten. Man kann alle oder einzelne Geräte markieren und unter '''Aktionen''' folgende Funktionen mit den gewählten Rechnern ausführen:
* Eine CSV-Liste der gewählten Geräte herunterladen.
* Die gewählten Geräte löschen.
* Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Bei einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
* Das Gerät über WOL einschalten
* Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden muss. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inventarnummer sowie die Platzierung des Rechners im Raum anpassen.
* Den Rechner als Klonemaster markieren. Da in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
* DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. '''Wichtig: Setzt man hier einen Parameter falsch, führt das ggf. dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.'''
* Das Gerät löschen

===Geräte manuell registrieren===
Klickt man unter '''Netzwerk''' -> '''Räume''' beim entsprechenden Raum auf das '''+''' Zeichen, kann ein Gerät dem Raum hinzugefügt werden.

Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die '''MAC-Adresse''' des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die '''MAC-Adresse''' manuell eingetragen werden. Das Feld '''MAC-Adresse''' ist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der Reihe nach die nächste freie IP-Adresse im Raum zugewiesen.

Man muss eine freie '''IP-Adresse wählen'''. Dadurch wird auch der dazugehörige vordefinierte Name gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen in Active Directory für Computer] '''Wichtig''' Wurden mehrere MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.

Standardmäßig wird als '''Hardwarekonfiguration''' die des Raumes gesetzt, diese kann jedoch geändert werden.

Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld '''WLAN-MAC-Adresse''' eingetragen werden. Wurde eine '''WLAN-MAC-Adresse''' eingetragen, kann auch nur eine '''MAC-Adresse''' angegeben werden.

Die Felder '''Seriennummer''' und '''Inventarnummer''' können bei Bedarf ausgefüllt werden.

===Geräte importieren===
Geräte können von der Kommandozeile als Benutzer '''root''' mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgendes Format:

* In der ersten Zeile muss ein Header stehen.
* Feldseparator ist ";" (Semikolon).
* Groß/Klein-Schreibung ist irrelevant.
* Reihenfolge ist irrelevant.
* Folgende Felder müssen vorhanden sein:
:* room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
:* mac MAC-Adresse des Gerätes.
Weitere mögliche Felder.:
:* ip
:* name
:* hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
:* row
:* place
:* wlanmac
:* wlanip
:* serial
:* inventary
:* owner -> hier muss der Benutzername (uid) des Eigentümers stehen

Hier ist eine ganz einfache Beispieldatei:
room;mac
edv1;AA:BB:CC:DD:EE:01
edv1;AA:BB:CC:DD:EE:02
edv1;AA:BB:CC:DD:EE:03
edv1;AA:BB:CC:DD:EE:04

===Hardwarekonfigurationen von Geräten ändern===

#Wenn nötig neue Hardwarekonfigurationen anlegen
#Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen

Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
#Wenn nötig neue Hardwarekonfigurationen anlegen
#Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
#Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten

===Salt-Minion Konfiguration manuell bearbeiten===
#Dienst salt-minion auf dem betroffenen Client anhalten.
#c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass die id: eines Clients der FQHN also Rechnername.DNS-Domainname ist.
#Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
#Auf dem Server mit dem Befehl '''salt-key -d "minion.name"''' den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
#Dienst salt-minion auf dem Client starten.

==CloneTool==
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
<div class=warningbox>WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab '''CRANIX 4-3''' keine Masterrechner mehr. Das heißt: von allen Rechner können Images gezogen werden.</div>
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner mit der selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:

===Windowsrechner für Klonen vorbereiten===
*Den lokalen Administrator aktivieren! Öffnen Sie dazu einen Terminal (Eingabeaufforderung) mit der Option "Als Administrator ausführen" und führen Sie folgenden Befehl aus: <code>net user administrator * /active:yes</code>
*<div class=warningbox>'''Melden Sie sich als lokaler Administrator an!''' Die Verwaltung der Clients funktioniert nur dann, wenn Sie die folgenden Schritte als Benutzer '''Administrator''' ausführen.</div>
*Starten Sie die Kommandozeile oder PowerShell (WIN+X) oder über Start->Ausführen "CMD" mit STRG+UMSCHALT+ENTER.
*Hybernatemodus abschalten: <code>powercfg /h off</code>
*Bitlocker deaktivieren: <code>manage-bde -off c:</code>
*Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über '''Räume''' oder '''Geräte'''.
*Alle Updates installieren.
*Das [https://repo.cephalix.eu/Downloads/ClientSetup_py3.exe CRANIX Client Setupprogram] herunterladen.
*Rechner vom Netzwerk trennen, sonst wird der Rechner in die Domäne aufgenommen. Vor dem Clonen darf der Rechner nicht in der Domäne sein.
*ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren: <br><code>ClientSetup_py3.exe /i /passive MinionName=<hostname>.<dns-domainname>.</code><br> Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld '''Minionname''' eintragen. Der auf dem CRANIX-Server eingetragene Minionname des FQHN des Rechners. Also ''hostname''.''dns-domainname''.<br>'''WICHTIG rechner- drucker und domainnamen IMMER klein schreiben!!!'''
*Rechner auschalten.
*Rechner mit Netzwerk verbinden.
*Neustart über das Netzwerk ins CloneTool.
*Starten Sie nun '''Rechner klonen'''.
*Als erstes müssen Sie die zu klonenden Partitionen auswählen
*Geben Sie den zu klonenden Partitionen eine Beschreibung.
*Anschließend müssen zu den Partitionen verschiedene Angaben gemacht werden:
*Betriebssystem: Win10, WinBoot, Linux, Data
*Bei Win10 müssen Sie daneben angeben, ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
*Anschließend muss ein Imagingtool ausgewählt werden. '''Zpartclone''' bietet den besten Durchsatz und Komprimierung. Welches Tool mit Ihrer Hardware bzw. Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. '''dd''' und '''dd_rescue''' erstellen eine 1 zu 1 Kopie der Partitionen. '''dd_rescue''' kann auch beschädigte Partitionen lesen.
*Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechnern anfangen.

===Rechner wiederherstellen===
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
====Manuelle Wiederherstellung====
*Rechner über Netzwerk starten.
*CloneTool auswählen.
*Melden Sie sich als Administrator an.
*Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie einen eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start des CloneTools am Server registrieren.
*Wählen Sie '''Restore'''
*Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Image bespielt.

====Automatische Wiederherstellung====
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in das CloneTool und starten das '''Restore'''. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter '''Räume''' oder '''Geräte''' erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw. Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden.
Tritt ein Fehler während des Klonvorgangs auf, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in das CloneTool starten. Das macht man wieder im Kontextmenü mit dem Menüpunkt '''Klonen anhalten'''.

====Multicast Klonen====
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehrere Geräte gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Bei Multicast Klonen ist es sehr wichtig, dass die zu wiederherstellenden Rechner die selbe Gerätekonfiguration haben, deshalb wird Multicast Klonen über den Menüpunkt '''Gerätekonfiugrationen''' in folgenden Schritten gestartet:
#'''Gerätekonfiugrationen'''
#Betroffene Gerätekonfiugration bearbeiten.
#Untere Menütab '''Mitglieder''' wählen
#Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
#Die zu klonenden Rechner auswählen.
#Rechts oben mit dem grünen Ikon '''Multicast Klonen starten''' werden die benötigte Bootkonfigurationen erstellt.
#Rechts oben mit dem roten Ikon '''Multicast Klonen anhalten''' können die Bootkonfigurationen bei Bedarf gelöscht werden.

===Klonen von Laptops===
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANIX-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die gleiche MAC-Adresse verwendet.

===Klonen von Tablets über die '''cloneProxy'''===
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen.
Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.

Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "'''cloneProxy'''" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware, sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet-MAC-Adresse mit der WLAN-Karten-MAC-Adresse identifiziert werden sollen.

Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in '''SERVER_NET''' machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration '''cloneProxy''' zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration '''cloneProxy''' erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.

#Raum 'usb-adapter' mit Gerätekonfiguration '''cloneProxy''' für die entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
#Eine neue Gerätekonfiguration für die Tablets erstellen.
#Einen Raum oder mehrere Räume für die Tablets anlegen.
#Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
#Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
#Als Administrator in CloneTool anmleden.
#USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
#Tablet in einem, für die Tablets angelegten Raum registrieren.
#Rechner klonen.
'''WICHTIG''' Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.

Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einem nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei, ein oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!

====Surface klonen====
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
#Laut [https://docs.microsoft.com/de-de/surface/ethernet-adapters-and-surface-device-deployment Microsoft] unterstützt das Surface zwar auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
#Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber danach war Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das [https://repo.cephalix.eu/Downloads/CRANIX-4-3-x86_64.iso CRANIX Installations-CD] beinhaltet den Menüpunkt '''CloneTool'''. Dieser wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
<gallery heights=200px widths=260px>
Surface_firmware_secure_boot.png|Secure Boot
Surface_firmware_tpm.png|TPM Einstellungen
Surface_firmware_bootorder.png|Bootreihenfolge
Surface_firmware_reboot.png|Reboot
CRANIX-DVD-Boot.png|Bootmenü
</gallery>

#BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
#Die üblichen Einstellungen vornehmen:
##Den lokalen Administrator aktivieren!
##net user administrator * /active:yes
##Melden Sie sich als lokaler Administrator an!
##Hybernatemodus abschalten: powercfg /h off
#Tablet herunterfahren.
#USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
#Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
##Halten Sie die Lauter-Taste gedrückt.
##Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
#Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
##Security -> Secure boot -> Change Configuration -> none
##Security -> Trusted Plattform -> off
##Boot order -> USB an erste Stelle setzten.
##Die Firmware verlassen.
#Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.

===Über WLAN klonen===
Das geht doch gar nicht. In erster Linie ist das wirklich unmöglich, da man zur Zeit noch nicht über WLAN PXE booten kann. Man kann jedoch das CloneTool auch über das CRANIX-Installationsmedium starten und so das Klonen über den WLAN-Adapter durchführen. Das setzt jedoch eine SEHR stabile WLAN-Infrastruktur voraus.

*Erstellen Sie ein [[Installation#Installationsmedium_erstellen|CRANIX-Installationsmedium]].
*Booten Sie das Gerät über das CRANIX-Installationsmedium und starten Sie das Bootmenü CloneTool.
*Das Bootsystem erkennt und aktiviert die WLAN-Karte des Gerätes, wenn dieses nicht mit einer Netzwerkkabel mit dem Netzwerk verbunden ist.
*Das Bootsystem fragt nach der SSID des WLANs und nach den Zugangsdaten.
*Anschließend gelangt man zum CloneTool, als wäre man über Ethernet verbunden und kann das CloneTool, wie gewohnt benutzen.
*Bevor Sie sich am CloneTool anmelden und das Klonen starten, müssen Sie das CRANIX-Installationsmedium entfernen, wenn Sie über einen USB-Stick gebootet haben, sonst wird dieser auch als Festplatte erkannt.

== Drucker ==
Der CRANIX bietet die Möglichkeit Netzwerkdrucker im System zu registrieren: die Drucker können Räumen bzw. Rechnern als Standard oder als sonstiger Drucker zugewiesen werden. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü '''Geräte''' -> '''Drucker'''. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein.
Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zB. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren.
Im ersten Reiter des Menüs '''Drucker''' erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
* Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
* Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
* Druckerwarteschlange deaktivieren. Will man zB. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange sperren, kann man die Annahme von Druckaufträgen deaktivieren.
* Druckerwarteschlange zurücksetzten.
* Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
===Drucker anlegen===
Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
* Name
* MAC-Adresse
* Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
* Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller '''Generic''' und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich ''Generic PCL 5e Printer'' und für die Farbdrucker ''Generic PCL 6/PCL XL Printer''

Beim Anlegen eines Druckers werden folgende Aktionen ausgeführt:
# Ein Gerät wird mit der Gerätekonfiguration <b>Printer</b> im gewählten Raum mit der gegebenen MAC-Adresse angelegt
# Eine Druckerwarteschlange wird mit dem Namen des Druckergeräts in CUPS angelegt.
# Die Druckerwarteschlange in CUPS wird aktiviert.
# Die Verteilung von Druckertreiber für Windows-Clients wird aktiviert.
Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
* Papiergröße A4
* Fehlerbehandlung: Druckerauftrag löschen
* Druckerwarteschlange ist aktiv und nimmt Aufträge an.

<b>Wichtig</b> Damit die Verteilung der Windows-Druckertreiber funktioniert muss
ein [[Anpassungsmöglichkeiten#Ein_Gruppenrichtlinienobjekt_erstellen|Gruppenrichtlinienobjekt erstellt]] werden.

===Druckerwarteschlange anlegen===
Im dritten Reiter des Menüs '''Drucker''' kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät auswählen. Sonst gilt das Gleiche wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS und SAMBA angelegt.

===Druckerwarteschlange zu Räumen oder Rechner zuweisen===
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt ''Netzwerk -> Räumen''. Hier klickt man auf den Namen des Raumes. Will man für einen Raum den Standarddrucker oder die Sonstigen Drucker festlegen muss man auf den zweiten Reiter ''Drucker'' klicken. Nun gelten diese Einstellungen für alle Windows-Clients in diesem Raum. Will man für einen Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstigen- Drucker festlegen.

Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden.
Auf Windows-Clients ist es möglich unter der URL '''\\admin\<Druckerwarteschlangename>''' verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert.
Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgendermaßen setzen:
CUPS_SERVER=admin

===Druckertreiber auf dem Server hinterlegen===
Man kann beim Einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
# Sich als '''root''' anmelden.
# Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
# Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
# Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl

===Treiberloses Drucken mit Windows-Client über IPP ab Version 10===
Hier ist ein kompakter, praxisnaher Artikel für dein Setup mit CUPS und Windows 11:

====🖨️ Drucken per IPP: CUPS einrichten & Windows 11 anbinden====

'''🔧 1. CUPS-Server für IPP konfigurieren'''

Damit Clients per **IPP (Internet Printing Protocol)** drucken können, muss CUPS Netzwerkzugriffe erlauben und Drucker freigeben. Dafür muss man die Datei <code>/etc/cups/cupsd.conf</code> anpassen.

'''🔓 Zugriff erlauben'''
Stelle sicher, dass CUPS auf allen Interfaces lauscht:

Listen 0.0.0.0:631
oder
Port 631

'''🌐 Zugriff im Netzwerk erlauben'''

<Location />
Allow @LOCAL
</Location>
<Location /admin>
Allow @LOCAL
</Location>
<Location /printers>
Allow @LOCAL
</Location>

👉 Optional (offener, unsicherer):
Allow all

'''📢 Drucker freigeben'''

In derselben Datei:
Browsing On
BrowseLocalProtocols dnssd
DefaultShared Yes

'''🔄 CUPS neu starten'''

systemctl restart cups

''🔎 2. IPP-URL des Druckers''

CUPS stellt Drucker typischerweise unter folgender URL bereit:

http://<server>:631/printers/<druckername>

'''Auf einem CRANIX-Server:'''

http://printserver:631/printers/hp-laserjet

Test im Browser:

http://printserver:631/printers

====💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen====

'''⚙️ Feature aktivieren (falls nötig)'''

dism /online /Enable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client

'''🚀 Drucker hinzufügen (PowerShell)'''

powershell
Add-Printer -Name "hp-laserjet" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "http://printserver:631/printers/hp-laserjet"
👉 Das ist der wichtigste Schritt.

'''🔐 Optional: IPPS (verschlüsselt)'''

powershell
Add-Printer -Name "CUPS_Drucker" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "https://printserver:631/printers/hp-laserjet"

⚠️ Bei selbstsignierten Zertifikaten kann es zu Fehlern kommen.

'''🧪 4. Verbindung testen'''

powershell
Test-NetConnection printserver -Port 631

====💻 4. Windows 11: IPP-Drucker manuell hinzufügen====
'''Methode 1:''' Automatisch hinzufügen (empfohlen)

# Öffne '''Einstellungen'''
# Gehe zu '''Bluetooth & Geräte → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Windows sucht nach verfügbaren Druckern
# Wenn dein IPP-Drucker erscheint → '''Hinzufügen'''

👉 Funktioniert gut, wenn der Drucker im selben Netzwerk ist und IPP korrekt annonciert (z. B. via Bonjour/mDNS). Bei CRANIX-Server sollte das der Fall sein.

'''Methode 2:''' Manuell über IPP-URL hinzufügen

Wenn der Drucker nicht automatisch gefunden wird:

# Öffne '''Einstellungen → Drucker & Scanner'''
# Klicke auf '''„Gerät hinzufügen“'''
# Scrolle runter → '''„Der gewünschte Drucker ist nicht aufgeführt“''' Wähle: '''„Einen Drucker über eine TCP/IP-Adresse oder einen Hostnamen hinzufügen“'''
# Bei Gerätetyp: '''„Web Services Device“** oder **„TCP/IP-Gerät“'''
# URL des Druckers eingeben, z. B.: ''ipp://printserver/ipp/lz-dr1'' oder ''http://printserver:631/ipp/lz-dr1''
# Treiber auswählen (oder automatisch erkennen lassen)

'''🔹 Methode 3:''' Über Systemsteuerung (klassisch)

# Öffne '''Systemsteuerung → Geräte und Drucker'''
# Klick auf '''„Drucker hinzufügen“'''
# → '''„Der gewünschte Drucker ist nicht aufgeführt“'''
# → '''„Freigegebenen Drucker über Namen auswählen“'''
# IPP-URL eingeben (wie oben)

'''Treiber:'''
Oft funktioniert '''Microsoft IPP Class Driver''' automatisch

'''Typische IPP-URL-Formate:'''
ipp://hostname/ipp/druckername

http://hostname:631/ipp/druckername

ipp://IP-Adresse/ipp/druckername

Port 631 ist Standard für IPP.

==Softwareverteilung==
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen. Installationsziele können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
#Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: ''Administration'' -> ''Software'' -> ''Pakete herunterladen''. Abwarten bis die Pakete geladen sind.
#Anschließend kann man unter ''Installationsset erstellen'' aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
#Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/crx_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also müssen die Rechner einer Hardwarekonfiguration zugewiesen sein, in der der Gerätetyp als FatClient definiert wurde.

==WLAN==
Die Dienste des CRANIX-Servers können selbstverständlich auch über WLAN erreicht werden. Der Server bietet verschiedene Möglichkeiten WLAN Geräte ins Netz einzubinden. Voraussetzung ist immer eine gut funktionierende WLAN-Infrastruktur. Ist der Einsatz von mehreren Accesspoints erforderlich, müssen diese unbedingt über Hardware- oder Softwarecontroller (besser Hardware) zentral verwaltetet (managed) werden.
Wir können Sie natürlich bei, Planung, Beschaffung so wie Aufbau und Inbetriebnahme des WLAN-Netzwerks unterstützen, bzw. diese Schritte nach Ihren Anforderungen/Vorstellungen ausführen.

===WPA2-PSK===
Will man den WLAN-Zugang über WPA2-PSK (pre-shared key) bereitstellen müssen am CRANIX-Server keine weitere Einstellungen vorgenommen werden. Die Geräte können, wie Geräte mit Ethernetadaptern registriert werden. In diesem Fall können private Geräte nicht automatisch zu Benutzern zugeordnet werden, deshalb empfehlen wir für die Verwaltung von privaten Geräten (BYOD) den Einsatz des Radiusprotokolls (i.F).

===WPA2-Enterprise Radius===
Der CRANIX-Server bietet auch einen Radiusserver für die personalisierte Anmeldung im WLAN an. Wenn Sie den Radiusserver benutzen wollen müssen Sie das Paket cranix-radius als Benutzer root auf dem Server installieren:
zypper install cranix-radius
Nach der Installation müssen noch folgende Konfigurationsschritte durchgeführt werden:
'''Setzen des Radius-Secrets''' Diese liegt am Ende der Datei '''/etc/raddb/clients.conf'''. Nach der Installation des Paketes wird ein Client-Eintrag '''server-net''' in dieser Datei erstell, der den Zugriff für Accesspoints aus dem Servernetz mit dem Passwort '''testing123-1''' festlegt. Sie sollten dieses Passwort unbedingt ändern und den Radiusdients neu starten. Anschließend müssen Sie alle Accespoints im Raum SERVER_NET registrieren und die Radiuseinstellungen setzen. Diese sind wie folgt:
DNS-Name des Radiusservers: admin
Radius-Secret: was Sie gesetzt haben
Port: 1812
Accounting Port: 1813
Wenn erforderlich, können Sie für die Access-Points einen eigenen Raum anlegen um diesen zB. gesonderten Internetzugriff zu gewähren. In diesem Fall müssen Sie den Client-Eintrag '''server-net''' in der Datei '''/etc/raddb/clients.conf''' anpassen oder einen neuen Eintrag erstellen. Legen Sie diesen Raum mit Raumkontrolle '''no''' an, damit Sie für diesen Raum feste Firewallregeln setzen können.

Nun ist das WLAN-Netz einsatzbereit und jeder Benutzer kann sich mit Benutzername und Passwort anmelden. Nach der Anmeldung bekommen die nicht registrierten Geräten eine IP-Adresse aus dem ANON_DHCP-Raum, wenn dort noch genug IP-Adressen zur Verfügung stehen. Registrierte Geräte, bekommen die ihnen bei der Registrierung zugewiesene IP-Adressen.

In erster Linie können nur Systemadministratoren Geräte an CRANIX-Server anmelden. Das ist natürlich sehr viel Arbeit, die vor allem in Schulen nicht zu bewältigen ist. Um diese Arbeit zu erleichtern wurden die sog. AdHocLan Räume eingeführt.

==AdHocLan==
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Intranet selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der Vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der einzelnen Geräte (i.d.R. BYOD) kümmern muss. Die Benutzer können ihre eigenen Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht.
Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
*'''Name''' Der Name des Raumes
*'''Beschreibung''' Eine kurze Beschreibung des Raumes
*'''Gerätekonfiguration''' Hier sollte für privaten Geräten BYOD stehen.
*'''Gerät pro Benutzer''' Wie viele Geräte einzelne Benutzer in diesem Raum registrieren dürfen.
*'''Anzahl der Geräte''' Max. Anzahl an Geräten, die registriert werden können pro Raum. Diese Zahl sollte Größer sein als "'''Gerät pro Benutzer'''" * "'''Anzahl der Benutzer in der Gruppe'''".
*'''Raumkontrolle''' Wie soll der Zugang im Raum kontrolliert werden.
*'''Gruppen''' Hier muss man die Gruppen auswählen, deren Mitglieder in diesem Raum Geräte registrieren dürfen.
*'''Nur für Schüler''' Diese sollten dann auf '''yes''' gesetzt werden, wenn Sie den Zugriff für Schüler über solche Gruppen ermöglichen möchten, in denen auch Lehrer Mitglieder sind.

Steht einem Benutzer mindestens ein AdHocLan-Raum für die Registrierung von privaten Geräten zur Verfügung, kann der Benutzer über die Administrationsoberfläche unten Profile -> Geräte, private Geräte registrieren, löschen oder ändern.

Nach der Installation des Paketes cranix-radius stehen zwei weitere Systemvariablen zur Verfügung, womit die automatische Registrierung der WLAN-Geräte gesteuert wird.
* '''RADIUS_REGISTER_DEVICE''' Ist diese Variable auf "yes" gesetzt, werden neue Geräte bei der Anmeldung an WLAN automatisch registriert, wenn dem angemeldeten Benutzer zu Registrierung ein AdHocLan zur Verfügung steht.
* '''FORCE_REGISTER_DEVICE''' Diese Variable steuert was mit einem Gerät passiert, das nach der Anmeldung an WLAN nicht automatisch registriert werden kann. Das kann der Fall sein, wenn ein Benutzer zu keinem AdHocRaum zugewiesen ist, oder wenn dieser schon die maximalen Anzahl der Geräten registriert hat. Ist diese Variable auf "yes" gesetzt, bekommen solche Geräte nach der Anmeldung an WLAN keine IP-Adresse und können überhaupt nicht benutzt werden. Anderenfalls bekommen sie eine IP-Adresse aus dem ANON_DHCP-Raum und der Benutzer kann über die Administrationsoberfläche seine alten Geräte löschen, um das neue registrieren zu können.
* '''AUTO_UPDATE_MAC_ADDRESS''' Ist diese Variable auf "yes" gesetzt, kann ein Benutzter auch dann ein neues Gerät registrieren, wenn er eigentlich die Zahl '''Gerät pro Benutzer''' überschritten hat. In diesem Fall wird die MAC-Adresse des zuletzt registrierten Gerätes durch die neue MAC-Adresse ersetzt. Dies ist nötig, da iOS und Android Geräte ihre MAC-Adresse von Zeit zu Zeit ändern. Dieses Verhalten kann man zwar ändern, das schaffen allerdings nicht alle Benutzer.

'''WICHTIG''' Ist ein Benutzer in der Gruppe Systemadministratoren, funktioniert für ihn die automatische Registrierung von privaten Geräten nicht. Der Grund dafür ist, dass Systemadministratoren sehr oft testen, melden sich an fremden Geräten ins WLAN ein usw... Im Laufe ihrer Arbeit, würden sie Unmengen an Geräten besitzen, die gar nicht ihnen gehören. Systemadministratoren müssen ihre privaten Geräte manuell über die Administrationsoberfläche registrieren.

====AdHocLan Raum für Lehrer====
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
*'''Name''' lehrer-lan
*'''Beschreibung''' Raum für private Geräte der Lehrkraft
*'''Gerät pro Benutzer''' 4
*'''Anzahl der Geräte''' 512
*'''Raumkontrolle''' no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen.
Anschließend muss man in der Firewall die entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ''ausgehende Firewallregel'' erstellt werden:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' all
*'''Ziel''' 0/0
Will man nur Web-Zugang erlauben, müssen 2 ''ausgehende Firewallregeln'' erstellt werden:
Regel für http-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 80
*'''Ziel''' 0/0
Regel für https-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 443
*'''Ziel''' 0/0

Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räumen den Schulproxy nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:

#Automatische Internet-Proxyerkennung
#Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
#Proxy-Server: ''proxy'' Proxy-Server-Port: 8080

Bitte beachten Sie, dass ein Zugriff von Mailclients auf externe Mailserver nur mit direktem Internetzugang möglich ist.

====AdHocLan Raum für Schüler====

Für die Schüler kann man analog, wie bei den Lehrern, einen großen AdHocLan Raum anlegen. Dieser Raum darf natürlich nicht kontrollierbar sein. Wäre eine dynamische Raumkontrolle für die Lehrer möglich, würde das immer alle Schüler betreffen. Der Zugriff ins Internet muss über feste Firewallregeln oder über den Proxy geregelt werden. In bestimmten Schulen kann jedoch diese Lösung ausreichen.

Der CRANIX-Server bietet jedoch die Möglichkeit, die privaten Geräten der Schüler klassenweise in virtuellen Räumen zu ordnen. Bei Import der Schüler werden die eigenen Geräte in die neuen Klassenräume umgezogen. Ob und wie die AdHocLan-Klassenräume erstellt werden, wird durch folgende globalen Variablen geregelt:

* '''CRANIX_MAINTAIN_ADHOC_ROOM_FOR_CLASSES''' schaltet diese Funktion ein.
* '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER''' gibt an, wie viele Rechner ein Benutzer registrieren darf.
* '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' gibt an, wie viele Geräte in einem Raum registriert werden können. Diese Zahl muss eine Potenz von 2 sein. Erlaubte Werte sind also 8,16,32,64,128. Diese Zahl ergibt sich aus der Maximalen Klassengröße und dem Wert von '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER'''. Sind maximal 25 Schüler in einer Klasse und jeder Schüler darf 2 Geräte registrieren, muss als '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' als 64 gewählt werden.
* '''CRANIX_CLASS_ADHOC_NET''' Hat der CRANIX mehrere interne Netze, muss man hier angeben, welches Netz für die Klassen-AdHoc-Räume benutzt werden soll. Ist diese Variable nicht gesetzt, wird das Netz '''CRANIX_NETWORK/CRANIX_NETMASK''' verwendet.

Hat man diese Werte gesetzt, muss noch das Script '''/usr/share/cranix/tools/handle_class_adhoc_rooms.py''' als Benutzer '''root''' auf dem CRANIX ausgeführt werden. Damit werden die AdHocLan-Klassenräume für alle vorhandenen Klassen angelegt. Die Räume werden mit Raumkontrolle '''allTeachers''' erstellt, damit jeder Lehrer jeden Klassenraum kontrollieren kann.

==Gefilterter Internetzugang==
Vor allem in Schulen ist es unerlässlich, dass man den Internetzugang kontrolliert indem bestimmte Internetseiten nicht erreichbar gemacht werden. Dafür bietet der CRANIX-Server 2 Möglichkeiten: Proxy-Filterung und DNS-Filterung.

===Proxy-Filterung===
Nach der Installation des CRANIX-Servers wird der Proxy-Server squid, mit dem Contentfilter squidGuard installiert. Dieser Lösung bietet einen gefilterten, protokollierten Internetzugang. Der Contentfilter squidGard ordnet mehrer Millionen Internetseiten in Kategorien. Über die Administrationsoberfläche von CRANIX können Systemadministratoren einen Basisfilter zusammen stellen. Je nach Benutzerrolle können verschiedene Kategorien erlaubt und verboten sein. Dabei spielen folgende Kategorien besondere Rolle:
* '''Eigene White-Liste''' Die von squidGuard gelieferte Listen können nicht geändert werden. Möchte man den Zugriff auf eine Domäne erlauben, die jedoch in eine gesperrte Liste eingeordnet wurde, muss man diese hier eintragen. Der Zugriff auf die Domänen in der eigenen White-Liste ist für jede Benutzerrolle immer erlaubt.
* '''Eigene Black-Liste''' Die hier eingetragene Domänen sind für alle Benutzerrollen gesperrt.
* '''CEPHALIX-Liste''' Das ist eine White-Liste, die für alle Benutzerrollen erlaubt ist. Diese Liste kann jedoch nur von einem zentralen CEPHALIX-Server verwaltet werden. Der lokale Systemadministrator kann diese Liste nicht bearbeiten.
* '''in-addr''' Mit dieser Kategorie kann der Zugriff direkt auf IP-Adressen in der URL erlaubt oder verboten werden.
* '''all''' Das ist immer die letzte Kategorie. Ist dieser erlaubt, sind alle Zugriff die nicht explizit durch Kategorien verboten sind erlaubt. Ist diese Kategorie für eine Benutzerrolle verboten, haben die betroffene Benutzer nur Zugriff auf die explizit durch Kategorien erlaubten Seiten Zugriff.
Die Proxy-Filterung hat folgende Vorteile:
* Hohe Sicherheit, da nur http und https Zugriffe ins Internet erlaubt sind. (Nichtmal Pingen geht :-)
* Alle Zugriffe werden protokolliert.
* Man kann für die verschiedene Benutzerrollen verschiedene Filter erstellen.
Die Proxy-Filterung hat folgende Nachteile:
* Greift man auf verschlüsselte gesperrte Seiten, wird man nicht auf eine Blockseite weitergeleitet sondern erhält man ein Timeout. Das kann zu Verwirrungen führen.
* Verschiedene Video-Dienste sind durch Proxy nicht erreichbar. Deshalb muss man für diese Dienste extra Firewall- und Proxy-Pac-Regeln erstellen. Im Falle von Teams von Microsoft sind das bis zu Hundert Regel.
* MDM-Dienste benötigen auch direkten ungefilterten Internetzugang.

====Proxy-Konfiguration auf den Clients====
Der DHCP-Server vom CRANIX veröffentlicht im Netz über ein DHCP-Option, dass es im Netz einen Proxy-Server gibt, der über ein Proxy-Konfigurationsdatei benutzt werden sollt. Diese Datei ist über die URL '''http://admin/proxy.pac''' erreichbar.
Weiterhin ist auch der A-Record für wpad im DNS-Server von CRANIX gesetzt. Dadurch ist die selbige Konfigurationsdatei auch über die URL '''http://wpad.<Domainname>/wpad.dat''' erreichbar.
Beide Veröffentlichungsmethoden sind standardisiert und kennen die meisten moderne Clients. Das heißt prinzipiell ist es nicht erforderlich an den Clients die Proxy-Konfiguration einzustellen, da die diese automatisch erkennen können. Sollte das doch nicht der Fall sein, gibt es je nach Gerät bzw. Betriebssystem folgende Möglichkeiten:
* '''iOS''' Einstellungen -> WLAN -> beim betroffenen WLAN-SID -> Proxy konfigurieren -> Automatisch -> URL: http://admin/proxy.pac
* '''Win10'''

===DNS-Filterung===
Durch die Installation des Paketes '''cranix-unbound''' wird die DNS-Filterung eingeschaltet. Für diesen Dienst kann man eine Black-Liste von Domänen erstellen, die nicht erreichbar sein dürfen. Diese Domänen werden auf die Proxy-IP-Adresse des CRANIX-Servers aufgelöst und werden dadurch die Zugriffe auf diese Domänen auf eine Sperrseite weitergeleitet. Grundsätzlich ist in allen Räumen das direkte Internet eingeschaltet. D.h. man hat von allen Räumen vollen Zugriff auf alle IP-Adressen via alle Protokolle und Ports im Internet.

Während der Installation des Paketes '''cranix-unbound''' wird für jeden Raum, der mit einer dynamische Zugangskontrolle ( Kontrolle im Raum ist nicht ''no'' ) konfiguriert ist, eine Standardzugangsregel gesetzt, die alle Zugriffe inkl. direktes Internet erlaubt. Für Räume die mit Raumkontrolle ''no'' angelegt worden sind, muss man manuell Firewallregel anlegen. Alternativ können Sie vor der Installation in solchen Räumen die Raumkontrolle aud ''sysadminsOnly'' setzen. Weiterhin wir die automatische Proxykofigurationsdatei so umgeschrieben, das für alle Rechner mit allen Zielen direktes Internet eingestellt ist. Das erspart die erneute Konfiguration der vorhandenen Clients.
In Räumen mit dynamischer Zugangskontrolle können Lehrer den Internetzugang bei Bedarf sperren.

Die Black-Liste der gesperrten Domänen wird anhand der Proxy-Kategorien und der eigenen Black-, White- und CRANIX-Listen erstellt. Der grundsätzliche Unterschied zum Proxy-Zugang ist, dass bei der DNS-Filterung alles erlaubt ist was nicht verboten wurde. Deshalb gibt es bei DNS-Filterung keine positiv-Listen. Die Konfiguration der DNS-Filterung kann man über die Administrationsoberfläche als Systemadministrator '''Sicherheit''' -> '''DNS-Filterung''' erledigen. Das Paket ''cranix-unbound'' liefert eine Vorkonfiguration, die die Suchmaschinen bzw. YouTube zu '''SafeSearch''' Modus zwingt. Vor allem bei YouTube hat das zu Problem geführt. Deshalb haben wird das '''SafeSeraach'''-Modus konfigurierbar gemacht. Unter Sicherheit -> DNS-Filter gibt es nun einen zusätzlichen Reiter SafeSearch aktivieren. Hier kann man das SafeSearch-Modus für die verschiedene Dienste einzeln ein- bzw. ausschalten.

<div class=warningbox>'''SafeSearch''' Ist für ein Dienst (Ding, YouTube, Google) das SafeSearch-Modus aktiviert, hat nur der Dienstanbieter Einfluss darauf, was in ihren Diensten erreichbar oder gesperrt ist. Sie selber kategorisieren die Inhalte und man kann von außen das nicht beeinflussen. Sind Ihre Meinung nach zu viele Inhalte zBp. über YouTube nicht erreichbar, ist die Einzige Möglichkeit SafeSearch für YouTube zu deaktivieren. Man muss jedoch beachten, dass in diesem Fall alle Inhalten auf YouTube (auch Gewalt, Pornografie) erreichbar sind.</div>

'''WICHTIG''' Man sollte beachten, dass das Neustarten des Dienstes etwas 10 Sekunden lang dauert. Während dieser Zeit ist keine Namensauflösung im Netz möglich. Deshalb sollte man Änderungen nicht im laufenden Betrieb unternehmen. Die Konfigurationsseite ist so gestaltet, dass man erst alle Änderungen durchführen und anschließend den Dienst neu starten muss.

'''WICHTIG''' Der DNS-Filter ist ein separater Dienst, der auf die IP-Adresse des Proxy-Servers auf dem UDP-Port 53 lauscht. Deshalb muss die IP-Adresse des Proxy-Servers als <code>dns forwarder</code> in der Samba-Konfiguration in <code>[global]</code>-Sektion eingetragen werden. Das geschieht automatisch bei der Installation des Paketes '''cranix-unbound'''. Der Unbound-Server wiederum nutzt den Server 8.8.8.8 bzw. den Server, der vor der Installation in der Samba-Konfiguration als "dns forwarder" eingetragen war, als DNS-Forwader. Wenn Sie diese Einstellung ändern müssen, ändern Sie den Eintrag <code>forward-zone</code> in der Datei <code>/etc/unbound/conf.d/cranix.conf</code>.

Da bei DNS-Filterung grundsätzlich alle Internetzugriffe erlaubt sind, ist die Protokollierung der Zugriffe sehr wichtig. Dafür wurde ein Dienst entwickelt, der alle Internetzugriff in die Datei '''/var/log/cranix-internet-access.log''' schreibt. Diese hat folgendes Format:
Zeitpunkt;Benutzer;IP des Clients;IP des Ziels;IP-Protokoll;Port auf dem Zielrechner
Um die Datenmenge in vernünftigen Rahmen zu halten werden pro Minute nur ein Zugriff mit den selben Parametern protokolliert. Weiterhin wird bei der Installation ein Logrotate-Konfiguration ( ''/etc/logrotate.d/crx-fw-watcher'' ) mit folgenden Parameter hinterlegt:
* Maximales Alter der Logdateien: 180 Tage
* Maximale Anzahl der Logdateien: 20
* Maximale Größe der Logdateien: 4MiB
Vorteile der DNS-Filterung:
* Alle Dienste in Internet sind nun schmerzfrei erreichbar.
* Die Clients benötigen keine besondere Konfiguration. ''Plug and Play'' ist wirklich möglich.
Nachteile der DNS-Filterung:
* Alles ist erlaubt, was nicht verboten ist.
* Positivlisten können nicht verwendet werden.

==Fehlersuche==
Leider gehört die Suche nach Fehler im Netzwerk zum Alltag jeder Systemadministrator. Hier möchten wir einige Fehler Ihrer Symptomen und Behebung und wie man diese Probleme in der Zukunft vermeiden kann, beschreiben.

===Schleife im Netzwerk===
Das ist einer der häufigsten Probleme im Netzwerken. Eine Schleife im Netzwerk entsteht dadurch, dass zwei Ports im Netzwerk direkt miteinander verbunden werden. Dabei spielt es keine Rolle, ob sich diese Ports auf dem selben Switch befinden oder nicht.

Das wichtigste Symptomen einer Netzwerkschleife ist, dass an sich alles mehr oder weniger funktioniert, allerdings dauert alles wesentlich länger. Man kann sogar den Server erreichen, man kann sich evtl anmelden und surfen. Aber die Anmeldung dauert bei allen Benutzer mehrere Minuten und das Öffnen von Webseiten geht auch nicht zügig. Oft landet man in einem Time-Out.

Man kann anhand der Logs des DHCPD-Servers erkennen, ob es sich eine Schleife im Netzwerk befindet. Normaler weise sendet jeder Rechner 2 DHCP-Anfragen wenn dieser gestartet wird: Eine beim PXE-Boot und eine beim Starten des Betriebssystems, wenn die Netzwerkkarte aktiviert wird.

===Überprüfung der Konnektivität eines Windows-Rechners===
Dass ein Windows-Rechner läuft und man sich am Rechner anmelden kann, heißt noch lange nicht, dass dieser mit dem Netzwerk verbunden ist. Hat man sich einmal an einem Windows-Arbeitsplatz erfolgreich angemeldet, werden seine Anmeldedaten lokal gespeichert. Deshalb kann man sich später an diesem Rechner auch dann anmelden, wenn der CRANIX-Server nicht erreichbar ist.

Netzwerkverwaltung

2026-03-18T13:56:19Z

Admin: /* Drucker */

== Grundlagen der Netzwerkverwaltung ==
Unabhängig von dem Betriebsystem des Klientrechners müssen diese am CRANIX angemeldet werden, damit die Geräte Räumen zugeordnet und in die DNS– und DHCP–Dienste eingetragen werden. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Die Netzwerkverwaltung erfolgt anhand folgender Objekte:
* Gerätekonfigurationen
* Räume
* Geräte
* DNS-Einträge
Alle Geräte werden anhand ihrer MAC-Adressen identifiziert. Besitz ein Gerät, zB. ein Laptop, sowohl eine Ethernet- als auch eine WLAN-Karte, können beide am CRANIX-Server registriert werden. Dadurch wird sichergestellt, dass ein Gerät immer auf die selbe Weise behandelt wird, unabhängig davon, wie es mit dem Netzwerk verbunden ist.
Für WLAN-Geräte wurden sog. private WLAN-Adressen eingeführt. Dieses Feature soll angeblich "die Privatsphäre weiter schützen". Das heißt, dass ein Gerät sich bei jedem WLAN mit einer anderen zufälligen MAC-Adressen meldet. Dieses Verhalten kann zu vielen Problemen führen, deshalb muss dieses Feature bei jedem Gerät abgeschaltet sein:
[https://support.apple.com/de-de/HT211227 Apple]
[https://www.heise.de/news/iOS-14-Private-WLAN-Adressen-koennen-fuer-Probleme-sorgen-4907542.html Heise]

== Hardwarekonfigurationen ==
Die am CRANIX registrierten Geräte erhalten sog. Gerätekonfigurationen. Die Gerätekonfigurationen legen fest, wie die Geräte mit dem CRANIX verwendet werden können oder welche Funktion die Geräte im Netz haben. Ein Gerätekonfiguration wird mit folgenden Parametern erstellt.

{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax
|-
| name || Der Name der Gerätekonfiguration || Max 32 Zeichen
|-
| description || Ausführliche Beschreibung der Gerätekonfiguration || Max 64 Zeichen, kann leer sein
|-
| deviceType || Die Art der Geräte || Nur vorhandene Werte können verwendet werden
|}

Im nächsten Abschnitt sind die vordefinierten Gerätetypen erläutert:

* '''FatClient''' Normale stationäre oder mobile Rechner. Nur für Rechner die in solchen Gerätekonfigurationen sind, wird eine SALT-Konfiguration und ein Workstationsbenutzer erstellt. Darüber hinaus können nur solche Rechner geklont werden.
* '''BYOD''' Private Geräte von den Benutzern.
* '''Printer''' Netzwerkdrucker.
* '''Server''' Zusätzliche Server im Netz.
* '''Switch''' Switche im Netz.
* '''ThinClient''' Thinclients im Netz.
* '''cloneProxy''' Für das Klonen an WLAN-Geräten

Den FatClient-Gerätekonfigurationen werden durch das Klonen, während des Erstellens des Masterimages, Partitionen zugewiesen. Die Partitionen haben folgende Parameter
{|class="wikitable" style="text-align: lef;"
! Parametername !! Beschreibung !! Syntax !! Bemerkung
|-
| name || Der Kerneldevicename der Partition || Wird vom CloneTool ermittelt. (sda1, sda2 ...)
|-
| description || Ausführliche Beschreibung der Partition || Max 64 Zeichen. Boot, System ...
|-
| OS || Operationssystem auf der Partition || Nur vorhandene Werte können verwendet werden: Win10, Win11, Linux, Data
|-
| joinType || Windows Domainjoin || Nur vorhandene Werte können verwendet werden: no, Domain || Wird nur bei OS==Win10, Win11 verwendet
|-
| tool || Das verwendete Imagingtool || Nur vorhandene Werte können verwendet werden: partclone, Zpartclone, partimage, dd, dd_rescue
|-
| format || Filesystem auf der Partition || Nur vorhandene Werte können verwendet werden: msdos, vfat, ntfs, ext2, ext3, swap, clone, no || Wird nur bei OS==Data verwendet
|}

Beim CRANIX erfolgt die automatische Umbenennung von Rechnern und ggf. die Domänenaufnahme über SALT. Das heißt auch, dass nur Rechner mit einer Gerätekonfigurationen FatClient umbenannt oder in die Domäne aufgenommen werden.
Ob eine Domänenaufnahme erfolgt, hängt davon ab, ob es in der Gerätekonfiguration des Rechners eine Partition mit joinType=Domain existiert.

Der CRANIX liefert einige vordefinierte Rechnerkonfigurationen:
*'''Win10-64-Domain''' Rechner die vom CRANIX per SaltStack verwaltet und in die AD-Domäne aufgenommen werden.
*'''Win10-64-no-Domain''' Rechner die vom CRANIX per SaltStack verwaltet werden, aber nicht AD-Domänen-Mitglied sind.
*'''Server''' Nicht durch CRANIX verwaltete eigenständige Server. Sie können trotzdem Domänenmitglied sein, müssen jedoch manuell aufgenommen werden.
*'''BYOD''' '''B'''ring '''Y'''our '''O'''wn '''D'''evice Private Geräte. Diese werden auch nicht vom CRANIX per SaltStack verwaltet.
*'''cloneProxy''' Für das Klonen an WLAN Geräten

Wenn Sie das CloneTool von CRANIX nicht benutzen wollen, nehmen Sie Geräte, die in die Domäne aufgenommen werden müssen, in die vordefinierte Gerätekonfiguration Win10-64-Domain auf.

== Räume ==

Räume können über die Adminoberfläche unter Netzwerk -> Räume verwaltet und erstellt werden.
Beim Anlegen können/müssen folgende Angaben gemacht werden:

{|class="wikitable" style="text-align: lef;"
! Parametername !! Syntax !! Verfügbare Werte !! obligatorisch !! änderbar !! Verweis
|-
| Name || max 32 Zeichen. Nur DNS-konforme Zeichen || alles außer vorhandene Namen || Ja || Nein || [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen]
|-
| Beschreibung || max. 64 Zeichen. || alles außer vorhandene Namen || Ja || Ja
|-
| Raumtyp || || ClassRoom, ComputerRoom, Library, Laboratory, TechnicalRoom || Ja || Ja || Hat nur informelle Bedeutung
|-
| HWConfig || || Müssen vorher definiert sein || Ja || Ja || Default in diesem Raum. Wichtig für die Erstellung von Softwaresets.
|-
| Raumkontrolle || || no, inRoom, allTeachers, sysadminsOnly || Ja || Ja
|-
| Anzahl der Geräte || || 4,8,16,32,64,128,512,1024,2048,4096 || Ja || Nein
|-
| Reihen || || 1-30 || Ja || Ja
|-
| Plätze || || 1-30 || Ja || Ja
|-
| Netzwerk || || Ist vordefiniert || Ja || Nein
|}

===Raumkontrolle===
Zur Zeit gibt es folgende Einstellungen für die Raumkontrolle:
* '''inRoom''' Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden.
* '''no''' In diesen Räumen gibt es keine Möglichkeit für die Raumkontrolle. Geräte aus solchen Räumen haben immer Zugriff auf alle Dienste des Servers. Für diese Räume kann man keine Raumzugriffregel erstellen. Allerdings kann man für diese Räume Firewallregel setzen, um den Zugriff auf das Internet aus diesen Räumen zu steuern.
* '''allTeachers''' Diese Räume können durch Lehrer kontrolliert werden, wenn sie im selben Raum oder in einem Raum mit Raumkontrolle '''no''' sind.
* '''sysadminsOnly''' Diese Räume können nur durch Systemadministratoren kontrolliert werden.

Systemadministratoren können für Räume mit Raumkontrolle '''inRoom''', '''allTeachers''' und '''sysadminsOnly''' einen Zugriffszeitplan erstellen. Dh. zu bestimmten Zeitpunkten wird die Firewall in einen definierten Zustand gesetzt oder bestimmte Aktionen an den Clients werden ausgeführt.

===Raumaktionen===
Über das Action-Icon können folgende Aktionen für alle Geräte in den ausgewählten Räumen ausgeführt werden:
* '''Einschalten''' Funktioniert nur mit Geräten, bei denen in BIOS/Firmware WOL erlaubt ist.
* '''Ausschalten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''neu starten''' Funktioniert nur mit Geräten, auf denen '''cranix-client''' installiert ist.
* '''Klonen starten''' PXE-Bootkonfiguration für die FatClient-Geräte werden geschrieben.
* '''Klonen anhalten''' PXE-Bootkonfiguration für die FatClient-Geräte werden gelöscht.
* '''öffnen''' D.h. Bildschirm und Tastatur wieder freigeben.
* '''schließen''' Bildschirm und Tastatur sperren.
* '''abmelden''' Angemeldete Benutzer abmelden.
* '''löschen''' Raum und alle Geräte im Raum werden gelöscht.

== Geräte ==
Klickt man unter '''Netzwerk''' -> '''Räume''' auf den Namen eines Raumes erhält man eine Liste mit den, in diesem Raum registrierten, Geräten. Man kann alle oder einzelne Geräte markieren und unter '''Aktionen''' folgende Funktionen mit den gewählten Rechnern ausführen:
* Eine CSV-Liste der gewählten Geräte herunterladen.
* Die gewählten Geräte löschen.
* Für die gewählten Geräte die Hardwarekonfiguration des Raumes setzen.
Bei einzelnen Geräten kann man durch das Klicken der Icons in der Zeile des Gerätes folgende Aktionen ausführen:
* Das Gerät über WOL einschalten
* Das Gerät bearbeiten. Das benötigt man meistens, wenn die Netzwerkkarte eines Rechners ausgetauscht werden muss. In diesem Fall reicht es hier nur die MAC-Adresse der neuen Karte einzutragen. Weiterhin kann man die Serial- oder Inventarnummer sowie die Platzierung des Rechners im Raum anpassen.
* Den Rechner als Klonemaster markieren. Da in einer Hardwarekonfiguration nur ein Gerät als Klonemaster markiert sein darf, wird der aktuelle Klonemaster abgewählt.
* DHCP-Parameter setzten. Man kann hier dem Rechner individuelle DHCP-Parameter setzten. '''Wichtig: Setzt man hier einen Parameter falsch, führt das ggf. dazu, dass der DHCP-Server nicht startet. Bitte diese Funktion nur dann benutzen, wenn Sie 100%-ig wissen, was Sie tun.'''
* Das Gerät löschen

===Geräte manuell registrieren===
Klickt man unter '''Netzwerk''' -> '''Räume''' beim entsprechenden Raum auf das '''+''' Zeichen, kann ein Gerät dem Raum hinzugefügt werden.

Wird die Registrierung von einem nicht registrierten Rechner ausgeführt, erkennt der Server die '''MAC-Adresse''' des Clients und trägt diese in das entsprechende Feld ein. Ist das nicht der Fall muss die '''MAC-Adresse''' manuell eingetragen werden. Das Feld '''MAC-Adresse''' ist ein Textfeld. Es können mehrere MAC-Adressen eingetragen werden. In diesem Fall werden der MAC-Adressen der Reihe nach die nächste freie IP-Adresse im Raum zugewiesen.

Man muss eine freie '''IP-Adresse wählen'''. Dadurch wird auch der dazugehörige vordefinierte Name gesetzt. Man kann den vordefinierten Namen auch ändern, man muss jedoch sowohl die DNS als auch die Microsoft Rechnernamenskonventionen einhalten: [https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and Namenskonventionen in Active Directory für Computer] '''Wichtig''' Wurden mehrere MAC-Adressen eingetragen, darf der vordefinierte Name nicht geändert werden.

Standardmäßig wird als '''Hardwarekonfiguration''' die des Raumes gesetzt, diese kann jedoch geändert werden.

Hat der Rechner eine WLAN-Karte die auch benutzt wird, muss deren MAC-Adresse in das Feld '''WLAN-MAC-Adresse''' eingetragen werden. Wurde eine '''WLAN-MAC-Adresse''' eingetragen, kann auch nur eine '''MAC-Adresse''' angegeben werden.

Die Felder '''Seriennummer''' und '''Inventarnummer''' können bei Bedarf ausgefüllt werden.

===Geräte importieren===
Geräte können von der Kommandozeile als Benutzer '''root''' mit folgenden Befehl aus einer CSV-Datei importiert werden:
crx_api_upload_file.sh devices/import <Dateiname>
Die Datei hat folgendes Format:

* In der ersten Zeile muss ein Header stehen.
* Feldseparator ist ";" (Semikolon).
* Groß/Klein-Schreibung ist irrelevant.
* Reihenfolge ist irrelevant.
* Folgende Felder müssen vorhanden sein:
:* room -> hier muss der Name des Raumes stehen in dem das Gerät aufgenommen werden muss. Der Raum muss schon existieren.
:* mac MAC-Adresse des Gerätes.
Weitere mögliche Felder.:
:* ip
:* name
:* hwconf -> hier muss der Name der Gerätkonfiguration stehen. Die Gerätkonfiguration muss schon existieren.
:* row
:* place
:* wlanmac
:* wlanip
:* serial
:* inventary
:* owner -> hier muss der Benutzername (uid) des Eigentümers stehen

Hier ist eine ganz einfache Beispieldatei:
room;mac
edv1;AA:BB:CC:DD:EE:01
edv1;AA:BB:CC:DD:EE:02
edv1;AA:BB:CC:DD:EE:03
edv1;AA:BB:CC:DD:EE:04

===Hardwarekonfigurationen von Geräten ändern===

#Wenn nötig neue Hardwarekonfigurationen anlegen
#Geräte -> Gerät suchen -> bearbeiten -> Hardwarekonfigurationen wählen

Will man mehrere Rechner in einem Raum umstellen, kann man wie folgt vorgehen:
#Wenn nötig neue Hardwarekonfigurationen anlegen
#Räume -> Raum suchen -> Bearbeiten -> Hardwarekonfigurationen wählen
#Räume -> Geräte -> zu ändernde Geräte wählen -> globale Aktion -> Hardwarekonfiguration des Raumes setzten

===Salt-Minion Konfiguration manuell bearbeiten===
#Dienst salt-minion auf dem betroffenen Client anhalten.
#c:\salt\conf\minion anpassen (id: und ggf master:). Wichtig ist, dass die id: eines Clients der FQHN also Rechnername.DNS-Domainname ist.
#Alle Dateien in C:\salt\conf\pki\mimion\ löschen.
#Auf dem Server mit dem Befehl '''salt-key -d "minion.name"''' den Schlüssel des Minions löschen, wenn dieser vorhanden ist.
#Dienst salt-minion auf dem Client starten.

==CloneTool==
Der CRANIX verfügt über ein eingebautes Werkzeug zum Klonen von PCs. Dieses Werkzeug unterstützt auch NTFS Partitionen und das Klonen von mehreren Festplatten und Partitionen.
<div class=warningbox>WICHTIG Da die Verwendung von Masterrechner zu mehr Problemen geführt hat, als er hätte vermeiden können, gibt es ab '''CRANIX 4-3''' keine Masterrechner mehr. Das heißt: von allen Rechner können Images gezogen werden.</div>
Die so erstellte Partitionimages und die Partitionierung kann nun auf Rechner mit der selben Hardwarekonfiguration übertragen werden. In folgenden Schritten muss ein Rechner als Masterrechner vorbereitet werden:

===Windowsrechner für Klonen vorbereiten===
*Den lokalen Administrator aktivieren! Öffnen Sie dazu einen Terminal (Eingabeaufforderung) mit der Option "Als Administrator ausführen" und führen Sie folgenden Befehl aus: <code>net user administrator * /active:yes</code>
*<div class=warningbox>'''Melden Sie sich als lokaler Administrator an!''' Die Verwaltung der Clients funktioniert nur dann, wenn Sie die folgenden Schritte als Benutzer '''Administrator''' ausführen.</div>
*Starten Sie die Kommandozeile oder PowerShell (WIN+X) oder über Start->Ausführen "CMD" mit STRG+UMSCHALT+ENTER.
*Hybernatemodus abschalten: <code>powercfg /h off</code>
*Bitlocker deaktivieren: <code>manage-bde -off c:</code>
*Rechner an CRANIX registrieren: http://admin. Das machen Sie in der Administrationsoberfläche über '''Räume''' oder '''Geräte'''.
*Alle Updates installieren.
*Das [https://repo.cephalix.eu/Downloads/ClientSetup_py3.exe CRANIX Client Setupprogram] herunterladen.
*Rechner vom Netzwerk trennen, sonst wird der Rechner in die Domäne aufgenommen. Vor dem Clonen darf der Rechner nicht in der Domäne sein.
*ClientSetup.exe auf dem Master installieren. ClientSetup im silent mode installieren: <br><code>ClientSetup_py3.exe /i /passive MinionName=<hostname>.<dns-domainname>.</code><br> Alternativ können Sie den Installer per Doppelklick starten und den Minionnamen ins Feld '''Minionname''' eintragen. Der auf dem CRANIX-Server eingetragene Minionname des FQHN des Rechners. Also ''hostname''.''dns-domainname''.<br>'''WICHTIG rechner- drucker und domainnamen IMMER klein schreiben!!!'''
*Rechner auschalten.
*Rechner mit Netzwerk verbinden.
*Neustart über das Netzwerk ins CloneTool.
*Starten Sie nun '''Rechner klonen'''.
*Als erstes müssen Sie die zu klonenden Partitionen auswählen
*Geben Sie den zu klonenden Partitionen eine Beschreibung.
*Anschließend müssen zu den Partitionen verschiedene Angaben gemacht werden:
*Betriebssystem: Win10, WinBoot, Linux, Data
*Bei Win10 müssen Sie daneben angeben, ob der Rechner in die Domäne aufgenommen werden muss oder nicht.
*Anschließend muss ein Imagingtool ausgewählt werden. '''Zpartclone''' bietet den besten Durchsatz und Komprimierung. Welches Tool mit Ihrer Hardware bzw. Netzwerk am besten zusammenarbeitet müssen Sie selber ermitteln. '''dd''' und '''dd_rescue''' erstellen eine 1 zu 1 Kopie der Partitionen. '''dd_rescue''' kann auch beschädigte Partitionen lesen.
*Wenn alle Partitionen geklont wurden, können Sie mit der Übertragung der Images auf den anderen Rechnern anfangen.

===Rechner wiederherstellen===
Es gibt mehrere Möglichkeiten einen Rechner über das CloneTool wiederherstellen.
====Manuelle Wiederherstellung====
*Rechner über Netzwerk starten.
*CloneTool auswählen.
*Melden Sie sich als Administrator an.
*Seit CRANIX-4-1 können Rechner direkt im CloneTool registriert werden. Merkt das CloneTool, das Sie sich an einem nicht registrierten Rechner angemeldet haben, werden Sie zur Registrierung weitergeleitet. Bitte beachten Sie, dass Sie jedoch in diesem Fall nur den vom CRANIX generierten Rechnernamen verwenden können. Möchten Sie einen eigenen Namen für den Rechner verwenden, müssen Sie die MAC-Adresse des Rechners vor dem Start des CloneTools am Server registrieren.
*Wählen Sie '''Restore'''
*Die Festplatte des Rechners wird partitioniert und die Partitionen mit dem Image bespielt.

====Automatische Wiederherstellung====
Über die Adminoberfläche kann für die Rechner eine Bootkonfiguration erstellt werden. Dadurch starten die Rechner beim nächsten Neustart automatisch in das CloneTool und starten das '''Restore'''. Anschließend starten die Rechner neu im installierten Betriebssystem. Diese Bootkonfigurationen können Sie unter '''Räume''' oder '''Geräte''' erstellen. Klicken Sie auf ⋮ neben dem Raum oder Gerät den oder das Sie wiederherstellen wollen und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Alternativ können Sie mehrere Rechner bzw. Räume auswählen. Klicken Sie anschließend oben Rechts auf ⋮ und wählen Sie '''Klonen starten''' aus dem Kontextmenü. Da in diesem Fall das Klonen auf jedem Rechner separat gestartet wird, können auf einmal mehrere Rechner aus verschiedenen Gerätekonfigurationen wiederhergestellt werden.
Tritt ein Fehler während des Klonvorgangs auf, können die erstellten Bootkonfigurationen gelöscht werden, damit die Rechner nicht wieder in das CloneTool starten. Das macht man wieder im Kontextmenü mit dem Menüpunkt '''Klonen anhalten'''.

====Multicast Klonen====
Wenn Ihr Netzwerk das anbietet, können Sie mehrere Rechner aus der selben Gerätekonfiguration über UDP-Multicast klonen. Der Vorteil dieses Verfahrens ist, dass das Image nur einmal an mehrere Geräte gesendet wird. Das heißt für die Geschwindigkeit des Klonens spielt es überhaupt keine Rolle wie viel Rechner Sie auf einmal klonen wollen. Der Nachteil von Multicast Klonen ist jedoch, dass die Switche dementsprechend konfiguriert werden müssen. Weiterhin genügt nur eine fehlerhafte Komponente (Netzwerkkarte, Netzwerkkabel, Switchport ...) und der ganze Klonvorgang wird ausgebremst. Multicast Klonen funktioniert nur über automatische Wiederherstellung. Bei Multicast Klonen ist es sehr wichtig, dass die zu wiederherstellenden Rechner die selbe Gerätekonfiguration haben, deshalb wird Multicast Klonen über den Menüpunkt '''Gerätekonfiugrationen''' in folgenden Schritten gestartet:
#'''Gerätekonfiugrationen'''
#Betroffene Gerätekonfiugration bearbeiten.
#Untere Menütab '''Mitglieder''' wählen
#Nun werden die Geräte raumweise gruppiert aufgelistet. Sie können oben rechts die Gruppierung ändern.
#Die zu klonenden Rechner auswählen.
#Rechts oben mit dem grünen Ikon '''Multicast Klonen starten''' werden die benötigte Bootkonfigurationen erstellt.
#Rechts oben mit dem roten Ikon '''Multicast Klonen anhalten''' können die Bootkonfigurationen bei Bedarf gelöscht werden.

===Klonen von Laptops===
Laptops kann man genau so wie andere Rechner über ihren Ethernet-Anschluss geklont werden. Damit die Laptops auch dann identisch behandelt werden, wenn sie über WLAN mit dem CRANIX-Server verbunden sind, müssen ihre WLAN-Netzwerkkarten auch mit der permanenten MAC-Adresse registriert werden. Es ist sehr wichtig, dass die WLAN-Karte so konfiguriert ist, dass sie im CRANIX-WLAN-Netz immer die gleiche MAC-Adresse verwendet.

===Klonen von Tablets über die '''cloneProxy'''===
Tablets haben nur einen WLAN-Anschluss, deshalb können diese nicht per PXE-Boot in das CloneTool gestartet werden. Allerdings kann man dieses Problem mit Hilfe eines USB-Ethernet-Adapters umgehen. Besorgt man für jedes Tablet einen separaten Adapter, kann man Tablets wie Laptops im Netz behandeln. Allerdings ist es sehr unwirtschaftlich für jedes Tablet einen separaten Adapter zu kaufen.
Weiterhin ist Chaos vorprogrammiert, da die Adapter nicht vertauscht werden dürfen, da ansonsten die Ethernet- und WLAN-Karten Zuordnung nicht mehr passt. Das bedeutet ein Rechner heißt anders, wenn er per USB-Ethernet-Adapter geklont wird, als wenn er per WLAN im Netz benutzt wird.

Um dieses Problem zu umgehen, wurde im CRANIX-4-3 eine neue Gerätekonfiguration "'''cloneProxy'''" eingeführt. Diese Gerätekonfiguration verweist auf keine Hardware, sondern weist nur das CloneTool darauf hin, dass Geräte statt der Ethernet-MAC-Adresse mit der WLAN-Karten-MAC-Adresse identifiziert werden sollen.

Eine oder mehrere USB-Ethernet-Adapter müssen in dieser Gerätekonfiguration registriert werden. Dabei spielt es keine Rolle in welchem Raum die Adapter eingetragen werden. Sie können es am einfachsten in '''SERVER_NET''' machen. Vergessen Sie nicht bei der Registration einen eindeutigen Namen und die Gerätekonfiguration '''cloneProxy''' zu zuweisen. Alternativ können Sie einen Raum für die USB-Ethernet-Adapter mit entsprechenden anzahl von Geräten und der Gerätekonfiguration '''cloneProxy''' erstellen. Dieses Vorgehen hat den Vorteil, dass Sie die USB-Ethernet-Adapter nicht im Voraus registrieren müssen. Sie können es nach dem Anmelden in CloneTool machen. Auch die MAC-Adresse der WLAN-Karte muss im Voraus registriert werden, das können Sie auch im CloneTool machen. Ein Raum mit einer entsprechenden richtigen Gerätekonfiguration muss lediglich vorher für die Tablets erstellt werden. Hier sin die Schritte zum Klonen eines Tablets ohne diese vorher zu registrieren.

#Raum 'usb-adapter' mit Gerätekonfiguration '''cloneProxy''' für die entsprechenden Anzahl von USB-Ethernet-Adapter anlegen.
#Eine neue Gerätekonfiguration für die Tablets erstellen.
#Einen Raum oder mehrere Räume für die Tablets anlegen.
#Tablet für das Klonen, wie vorher beschrieben, vorbereiten.
#Tablet über den USB-Ethernet-Adapter über PXE-Boot in CloneTool starten.
#Als Administrator in CloneTool anmleden.
#USB-Ethernet-Adapter in Raum 'usb-adapter' registrieren
#Tablet in einem, für die Tablets angelegten Raum registrieren.
#Rechner klonen.
'''WICHTIG''' Der Klonvorgang läuft über den USB-Ethernet-Adapter ab. Dieser darf erst nach dem Neustart des Gerätes entfernt werden.

Bei der Wiederherstellung muss das Tablet auch über ein USB-Ethernet-Adapter gestartet werden. Bitte beachten Sie, das je nach dem ob Sie das Klonen mit einem nicht registrierten USB-Ethernet-Adapter und/oder WLAN-Karte machen, müssen Sie das Tablet zwei, ein oder kein mal registrieren. Bei der Registrierung der WLAN-Karte steht oben ein Hinweis darauf. Bitte bei der Registrierung im CloneTool unbedingt alle Hinweise mitlesen!

====Surface klonen====
Surface ist ein Tablet von Microsoft und sollte im Prinzip genau so wie andere Tablets mit Hilfe eines USB-Ethernet-Adapters geklont werden können. Allerdings gibt es 2 Probleme.
#Laut [https://docs.microsoft.com/de-de/surface/ethernet-adapters-and-surface-device-deployment Microsoft] unterstützt das Surface zwar auch USB-Ethernet-Adapter von Drittanbieter. Allerdings ist ein PXE-Boot nur mit originalem Microsoft Produkten möglich.
#Wir haben das PXE-Boot mit einem Surface Pro mit Surface USB 3,0-Gigabit-Ethernet-Adapter (USB-A) getestet. PXE-Start funktionierte zwar, auch die UFEI-Startdatei grub.efi wurde geladen, aber danach war Schluss. Der Bootprozess ging nicht weiter. Auch die Umstellung einige Firmware Parameter haben nicht geholfen.
Deshalb haben wir einen anderen Weg gesucht und gefunden. Das [https://repo.cephalix.eu/Downloads/CRANIX-4-3-x86_64.iso CRANIX Installations-CD] beinhaltet den Menüpunkt '''CloneTool'''. Dieser wurde genau für Geräte die nicht über PXE starten können entwickelt. Diese ISO muss auf ein USB-C-Stick geschrieben werden und das Surface muss so eingestellt werden, dass dieses vom USB starten kann. Damit das Surface von USB starten und geklont werden kann müssen Sie folgende Schritte ausführen:
<gallery heights=200px widths=260px>
Surface_firmware_secure_boot.png|Secure Boot
Surface_firmware_tpm.png|TPM Einstellungen
Surface_firmware_bootorder.png|Bootreihenfolge
Surface_firmware_reboot.png|Reboot
CRANIX-DVD-Boot.png|Bootmenü
</gallery>

#BitLocker im Windows deaktivieren: https://www.wintotal.de/tipp/bitlocker-deaktivieren/
#Die üblichen Einstellungen vornehmen:
##Den lokalen Administrator aktivieren!
##net user administrator * /active:yes
##Melden Sie sich als lokaler Administrator an!
##Hybernatemodus abschalten: powercfg /h off
#Tablet herunterfahren.
#USB-C-Stick mit dem CRANIX und einen USB-A-Ethernet-Adapter anstecken.
#Tablet so einschalten, dass die Firmware (Bios) gestartet wird:
##Halten Sie die Lauter-Taste gedrückt.
##Drücken Sie die Ein/Aus-Taste, und lassen Sie sie wieder los.
#Nun müssen Sie in der Firmware folgende Einstellungen unternehmen:
##Security -> Secure boot -> Change Configuration -> none
##Security -> Trusted Plattform -> off
##Boot order -> USB an erste Stelle setzten.
##Die Firmware verlassen.
#Anschließend startet Surface vom USB-Stick und Sie können das CloneTool aus dem Bootmenü auswählen.

===Über WLAN klonen===
Das geht doch gar nicht. In erster Linie ist das wirklich unmöglich, da man zur Zeit noch nicht über WLAN PXE booten kann. Man kann jedoch das CloneTool auch über das CRANIX-Installationsmedium starten und so das Klonen über den WLAN-Adapter durchführen. Das setzt jedoch eine SEHR stabile WLAN-Infrastruktur voraus.

*Erstellen Sie ein [[Installation#Installationsmedium_erstellen|CRANIX-Installationsmedium]].
*Booten Sie das Gerät über das CRANIX-Installationsmedium und starten Sie das Bootmenü CloneTool.
*Das Bootsystem erkennt und aktiviert die WLAN-Karte des Gerätes, wenn dieses nicht mit einer Netzwerkkabel mit dem Netzwerk verbunden ist.
*Das Bootsystem fragt nach der SSID des WLANs und nach den Zugangsdaten.
*Anschließend gelangt man zum CloneTool, als wäre man über Ethernet verbunden und kann das CloneTool, wie gewohnt benutzen.
*Bevor Sie sich am CloneTool anmelden und das Klonen starten, müssen Sie das CRANIX-Installationsmedium entfernen, wenn Sie über einen USB-Stick gebootet haben, sonst wird dieser auch als Festplatte erkannt.

== Drucker ==
Der CRANIX bietet die Möglichkeit Netzwerkdrucker im System zu registrieren: die Drucker können Räumen bzw. Rechnern als Standard oder als sonstiger Drucker zugewiesen werden. Weiterhin kann der CRANIX für Windows-Clients die Drucktertreiber bereitstellen. Im CRANIX können die Drucker direkt über die Adminoberfläche registriert und bearbeitet werden. Das geschieht unter dem Menü '''Geräte''' -> '''Drucker'''. Ein direkter Zugriff auf das Druckersystem CUPS ist nur direkt auf dem CRANIX-Server selbst unter der URL https://localhost:631 möglich. Allerdings sollte das im normal Fall nicht erforderlich sein.
Bitte beachten Sie den Unterschied zwischen Drucker und Druckerwarteschlange. Unter Drucker verstehen wir ein Druckergerät. Unter Druckerwarteschlange verstehen wir die Freigabe, unter der man von einem Client auf einen Drucker erreichen und Druckaufträge senden kann. Zu einem physikalischen Druckergerät können mehrere Druckerwarteschlangen existieren. Das kann zB. erforderlich sein, wenn man für einen Farbdrucker die Möglichkeit schwarz-weiß zu drucken auch anbieten möchte. Oder wenn ein Drucker auf verschiedene Medien (A3/A4) drucken kann. In solchen Fällen kann man für den selben Drucker mehrere Druckerwarteschlangen mit verschiedenen Einstellungen definieren.
Im ersten Reiter des Menüs '''Drucker''' erhält man eine Liste der vorhanden Druckerwarteschlangen mit ihrem aktuellen Status. Hier können folgende Aktionen durchgeführt werden:
* Klickt man auf den Namen der Druckerwarteschlange kann man diese bearbeiten.
* Bereitstellung der Druckertreiber für Windows-Clients aktivieren und deaktivieren.
* Druckerwarteschlange deaktivieren. Will man zB. wegen Wartungsarbeiten den Zugriff auf eine Druckerwarteschlange sperren, kann man die Annahme von Druckaufträgen deaktivieren.
* Druckerwarteschlange zurücksetzten.
* Druckerwarteschlange löschen. Löscht man eine Druckerwarteschlange wird das Druckergerät nur dann gelöscht, wenn nur eine Druckerwarteschlange zu diesem Gerät existiert.
===Drucker anlegen===
Zum Anlegen eines Druckergerätes werden folgende Parameter benötigt:
* Name
* MAC-Adresse
* Raum in dem das Gerät registriert wird. Bitte beachten Sie, dass es hier nicht um den Raum geht, in dem die Druckerwarteschlange(n) des Gerätes bereitgestellt werden soll! Es empfiehlt sich die Drucker im SERVER_NET oder in einem, separat für die Drucker angelegtem Raum zu registrieren.
* Druckertreiber. Für das setzen der Druckertreiber gibt es 2 Möglichkeiten. Entweder lädt man direkt eine PPD-Druckerbeschreibungsdatei hoch oder man wählt den Hersteller und das Model des Druckers. Taucht der zu installierende Drucker in der Liste nicht auf kann man in den meisten Fällen einen generischen Druckertreiber wählen. Wählen Sie dazu beim Hersteller '''Generic''' und als Model die Druckersprache. Für den meisten S/W Drucker eignet sich ''Generic PCL 5e Printer'' und für die Farbdrucker ''Generic PCL 6/PCL XL Printer''

Beim Anlegen eines Druckers werden folgende Aktionen ausgeführt:
# Ein Gerät wird mit der Gerätekonfiguration <b>Printer</b> im gewählten Raum mit der gegebenen MAC-Adresse angelegt
# Eine Druckerwarteschlange wird mit dem Namen des Druckergeräts in CUPS angelegt.
# Die Druckerwarteschlange in CUPS wird aktiviert.
# Die Verteilung von Druckertreiber für Windows-Clients wird aktiviert.
Die Druckerwarteschlange wird mit folgenden Standarparameter konfiguriert:
* Papiergröße A4
* Fehlerbehandlung: Druckerauftrag löschen
* Druckerwarteschlange ist aktiv und nimmt Aufträge an.

<b>Wichtig</b> Damit die Verteilung der Windows-Druckertreiber funktioniert muss
ein [[Anpassungsmöglichkeiten#Ein_Gruppenrichtlinienobjekt_erstellen|Gruppenrichtlinienobjekt erstellt]] werden.

===Druckerwarteschlange anlegen===
Im dritten Reiter des Menüs '''Drucker''' kann man weitere Druckerwarteschlange zu den vorhandenen Druckergeräten anlegen. Anstatt MAC-Adresse und Raum muss man hier ein vorhandenes Druckergerät auswählen. Sonst gilt das Gleiche wie beim Anlegen eines Druckers. In diesem Fall wird nur eine Druckerwarteschlange in CUPS und SAMBA angelegt.

===Druckerwarteschlange zu Räumen oder Rechner zuweisen===
Da es in einem Netzwerk mehrere Druckerwarteschlangen gibt und nicht alle von überall benutzt werden sollten, kann man die Druckerwarteschlangen Räumen oder Geräten zuweisen. Dies geschieht unter dem Menüpunkt ''Netzwerk -> Räumen''. Hier klickt man auf den Namen des Raumes. Will man für einen Raum den Standarddrucker oder die Sonstigen Drucker festlegen muss man auf den zweiten Reiter ''Drucker'' klicken. Nun gelten diese Einstellungen für alle Windows-Clients in diesem Raum. Will man für einen Client spezielle Einstellungen festlegen, muss man auf Details/Bearbeiten beim Gerät drücken. Im unterem Feld kann man den Standard- oder die Sonstigen- Drucker festlegen.

Die angelegten Druckerwarteschlangen können jedoch auch direkt von den Clients benutzt werden.
Auf Windows-Clients ist es möglich unter der URL '''\\admin\<Druckerwarteschlangename>''' verbunden werden. Wurde die Treiberverteilung aktiviert, wird beim ersten Verbindungsaufbau der Druckertreiber auf Windows-Clients aktiviert.
Um die Drucker von Linux- oder MAC-Clients nutzen zu können muss man die Globale Variable CUPS_SERVER folgendermaßen setzen:
CUPS_SERVER=admin

===Druckertreiber auf dem Server hinterlegen===
Man kann beim Einrichten eines Druckers eine eigene ppd-Datei hochladen. Diese ppd-Datei wird jedoch nur für den eingerichteten Drucker hinterlegt. Will man einen Druckertreiber für später angelegten Drucker auch bereitstellen, muss man folgende Schritte ausführen:
# Sich als '''root''' anmelden.
# Druckerttreiberdatei packen: gzip <Ppd-Datei>.ppd
# Gepackte Datei nach /usr/share/cups bewegen: mv <Ppd-Datei>.ppd /usr/share/cups
# Datei dem System bekannt geben: /usr/share/cranix/tools/CreatePrinterPpd.pl

===Treiberloses Drucken mit Windows-Client über IPP ab Version 10===
Hier ist ein kompakter, praxisnaher Artikel für dein Setup mit CUPS und Windows 11:

====🖨️ Drucken per IPP: CUPS einrichten & Windows 11 anbinden====

'''🔧 1. CUPS-Server für IPP konfigurieren'''

Damit Clients per **IPP (Internet Printing Protocol)** drucken können, muss CUPS Netzwerkzugriffe erlauben und Drucker freigeben. Dafür muss man die Datei <code>/etc/cups/cupsd.conf</code> anpassen.

'''🔓 Zugriff erlauben'''
Stelle sicher, dass CUPS auf allen Interfaces lauscht:

Listen 0.0.0.0:631
oder
Port 631

'''🌐 Zugriff im Netzwerk erlauben'''

<Location />
Allow @LOCAL
</Location>
<Location /admin>
Allow @LOCAL
</Location>
<Location /printers>
Allow @LOCAL
</Location>

👉 Optional (offener, unsicherer):
Allow all

'''📢 Drucker freigeben'''

In derselben Datei:
Browsing On
BrowseLocalProtocols dnssd
DefaultShared Yes

'''🔄 CUPS neu starten'''

systemctl restart cups

''🔎 2. IPP-URL des Druckers''

CUPS stellt Drucker typischerweise unter folgender URL bereit:

http://<server>:631/printers/<druckername>

'''Auf einem CRANIX-Server:'''

http://printserver:631/printers/hp-laserjet

Test im Browser:

http://printserver:631/printers

====💻 3. Windows 11: IPP-Drucker per Kommandozeile hinzufügen====

'''⚙️ Feature aktivieren (falls nötig)'''

dism /online /Enable-Feature /FeatureName:Printing-Foundation-InternetPrinting-Client

'''🚀 Drucker hinzufügen (PowerShell)'''

powershell
Add-Printer -Name "hp-laserjet" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "http://printserver:631/printers/hp-laserjet"
👉 Das ist der wichtigste Schritt.

'''🔐 Optional: IPPS (verschlüsselt)'''

powershell
Add-Printer -Name "CUPS_Drucker" `
-DriverName "Microsoft IPP Class Driver" `
-ConnectionName "https://printserver:631/printers/hp-laserjet"

⚠️ Bei selbstsignierten Zertifikaten kann es zu Fehlern kommen.

'''🧪 4. Verbindung testen'''

powershell
Test-NetConnection 192.168.1.10 -Port 631

==Softwareverteilung==
Die Softwareverteilung erfolgt durch Installationssets. Die Installationssets verbinden Softwarepakete mit Installationszielen. Installationsziele können Räume, Rechnerkonfigurationen oder einzelne Rechner sein.
#Als erstes müssen die zu installierende Softwarepakete heruntergeladen werden: ''Administration'' -> ''Software'' -> ''Pakete herunterladen''. Abwarten bis die Pakete geladen sind.
#Anschließend kann man unter ''Installationsset erstellen'' aus den heruntergeladenen Softwarepaketen und aus den Installationszielen Installationssets erstellen.
#Zum Schluss wird für jeden Rechner durch die Auswertung der Installationssets je ein Salt-State-File erstellt: "/srv/salt/crx_device_<Gerätename>.sls". Es ist durchaus möglich, dass ein Gerät seine Softwarepakete aus verschiedenen Installationssets erhält.
Wichtig ist zu wissen, dass nur FatClients in die Softwareverteilung einbezogen werden. Also müssen die Rechner einer Hardwarekonfiguration zugewiesen sein, in der der Gerätetyp als FatClient definiert wurde.

==WLAN==
Die Dienste des CRANIX-Servers können selbstverständlich auch über WLAN erreicht werden. Der Server bietet verschiedene Möglichkeiten WLAN Geräte ins Netz einzubinden. Voraussetzung ist immer eine gut funktionierende WLAN-Infrastruktur. Ist der Einsatz von mehreren Accesspoints erforderlich, müssen diese unbedingt über Hardware- oder Softwarecontroller (besser Hardware) zentral verwaltetet (managed) werden.
Wir können Sie natürlich bei, Planung, Beschaffung so wie Aufbau und Inbetriebnahme des WLAN-Netzwerks unterstützen, bzw. diese Schritte nach Ihren Anforderungen/Vorstellungen ausführen.

===WPA2-PSK===
Will man den WLAN-Zugang über WPA2-PSK (pre-shared key) bereitstellen müssen am CRANIX-Server keine weitere Einstellungen vorgenommen werden. Die Geräte können, wie Geräte mit Ethernetadaptern registriert werden. In diesem Fall können private Geräte nicht automatisch zu Benutzern zugeordnet werden, deshalb empfehlen wir für die Verwaltung von privaten Geräten (BYOD) den Einsatz des Radiusprotokolls (i.F).

===WPA2-Enterprise Radius===
Der CRANIX-Server bietet auch einen Radiusserver für die personalisierte Anmeldung im WLAN an. Wenn Sie den Radiusserver benutzen wollen müssen Sie das Paket cranix-radius als Benutzer root auf dem Server installieren:
zypper install cranix-radius
Nach der Installation müssen noch folgende Konfigurationsschritte durchgeführt werden:
'''Setzen des Radius-Secrets''' Diese liegt am Ende der Datei '''/etc/raddb/clients.conf'''. Nach der Installation des Paketes wird ein Client-Eintrag '''server-net''' in dieser Datei erstell, der den Zugriff für Accesspoints aus dem Servernetz mit dem Passwort '''testing123-1''' festlegt. Sie sollten dieses Passwort unbedingt ändern und den Radiusdients neu starten. Anschließend müssen Sie alle Accespoints im Raum SERVER_NET registrieren und die Radiuseinstellungen setzen. Diese sind wie folgt:
DNS-Name des Radiusservers: admin
Radius-Secret: was Sie gesetzt haben
Port: 1812
Accounting Port: 1813
Wenn erforderlich, können Sie für die Access-Points einen eigenen Raum anlegen um diesen zB. gesonderten Internetzugriff zu gewähren. In diesem Fall müssen Sie den Client-Eintrag '''server-net''' in der Datei '''/etc/raddb/clients.conf''' anpassen oder einen neuen Eintrag erstellen. Legen Sie diesen Raum mit Raumkontrolle '''no''' an, damit Sie für diesen Raum feste Firewallregeln setzen können.

Nun ist das WLAN-Netz einsatzbereit und jeder Benutzer kann sich mit Benutzername und Passwort anmelden. Nach der Anmeldung bekommen die nicht registrierten Geräten eine IP-Adresse aus dem ANON_DHCP-Raum, wenn dort noch genug IP-Adressen zur Verfügung stehen. Registrierte Geräte, bekommen die ihnen bei der Registrierung zugewiesene IP-Adressen.

In erster Linie können nur Systemadministratoren Geräte an CRANIX-Server anmelden. Das ist natürlich sehr viel Arbeit, die vor allem in Schulen nicht zu bewältigen ist. Um diese Arbeit zu erleichtern wurden die sog. AdHocLan Räume eingeführt.

==AdHocLan==
Mit dem AdHocLan Modul ist es möglich, dass die Benutzer ihre privaten Geräten im Intranet selbst registrieren. Dabei spielt es keine Rolle ob es sich um WLAN oder normalen Netzwerkanschluss handelt. Der Vorteil von dieser Methode ist, dass der Systemadministrator sich nicht um die Registrierung der einzelnen Geräte (i.d.R. BYOD) kümmern muss. Die Benutzer können ihre eigenen Geräte selber verwalten: Löschen bzw. die MAC-Adresse ändern. Weiterhin werden beim Löschen eines Benutzers auch seine Geräte gelöscht.
Um AdHocLan nutzen zu können muss ein Systemadministrator AdHocLan-Räume erstellen und diese Benutzergruppen zuweisen. Beim Anlegen eines AdHocLan Raumes müssen folgende Parameter angegeben werden:
*'''Name''' Der Name des Raumes
*'''Beschreibung''' Eine kurze Beschreibung des Raumes
*'''Gerätekonfiguration''' Hier sollte für privaten Geräten BYOD stehen.
*'''Gerät pro Benutzer''' Wie viele Geräte einzelne Benutzer in diesem Raum registrieren dürfen.
*'''Anzahl der Geräte''' Max. Anzahl an Geräten, die registriert werden können pro Raum. Diese Zahl sollte Größer sein als "'''Gerät pro Benutzer'''" * "'''Anzahl der Benutzer in der Gruppe'''".
*'''Raumkontrolle''' Wie soll der Zugang im Raum kontrolliert werden.
*'''Gruppen''' Hier muss man die Gruppen auswählen, deren Mitglieder in diesem Raum Geräte registrieren dürfen.
*'''Nur für Schüler''' Diese sollten dann auf '''yes''' gesetzt werden, wenn Sie den Zugriff für Schüler über solche Gruppen ermöglichen möchten, in denen auch Lehrer Mitglieder sind.

Steht einem Benutzer mindestens ein AdHocLan-Raum für die Registrierung von privaten Geräten zur Verfügung, kann der Benutzer über die Administrationsoberfläche unten Profile -> Geräte, private Geräte registrieren, löschen oder ändern.

Nach der Installation des Paketes cranix-radius stehen zwei weitere Systemvariablen zur Verfügung, womit die automatische Registrierung der WLAN-Geräte gesteuert wird.
* '''RADIUS_REGISTER_DEVICE''' Ist diese Variable auf "yes" gesetzt, werden neue Geräte bei der Anmeldung an WLAN automatisch registriert, wenn dem angemeldeten Benutzer zu Registrierung ein AdHocLan zur Verfügung steht.
* '''FORCE_REGISTER_DEVICE''' Diese Variable steuert was mit einem Gerät passiert, das nach der Anmeldung an WLAN nicht automatisch registriert werden kann. Das kann der Fall sein, wenn ein Benutzer zu keinem AdHocRaum zugewiesen ist, oder wenn dieser schon die maximalen Anzahl der Geräten registriert hat. Ist diese Variable auf "yes" gesetzt, bekommen solche Geräte nach der Anmeldung an WLAN keine IP-Adresse und können überhaupt nicht benutzt werden. Anderenfalls bekommen sie eine IP-Adresse aus dem ANON_DHCP-Raum und der Benutzer kann über die Administrationsoberfläche seine alten Geräte löschen, um das neue registrieren zu können.
* '''AUTO_UPDATE_MAC_ADDRESS''' Ist diese Variable auf "yes" gesetzt, kann ein Benutzter auch dann ein neues Gerät registrieren, wenn er eigentlich die Zahl '''Gerät pro Benutzer''' überschritten hat. In diesem Fall wird die MAC-Adresse des zuletzt registrierten Gerätes durch die neue MAC-Adresse ersetzt. Dies ist nötig, da iOS und Android Geräte ihre MAC-Adresse von Zeit zu Zeit ändern. Dieses Verhalten kann man zwar ändern, das schaffen allerdings nicht alle Benutzer.

'''WICHTIG''' Ist ein Benutzer in der Gruppe Systemadministratoren, funktioniert für ihn die automatische Registrierung von privaten Geräten nicht. Der Grund dafür ist, dass Systemadministratoren sehr oft testen, melden sich an fremden Geräten ins WLAN ein usw... Im Laufe ihrer Arbeit, würden sie Unmengen an Geräten besitzen, die gar nicht ihnen gehören. Systemadministratoren müssen ihre privaten Geräte manuell über die Administrationsoberfläche registrieren.

====AdHocLan Raum für Lehrer====
In einer Schule gibt es 120 Lehrer. Jeder darf 4 Geräte registrieren. Das ergibt maximal 480 Geräte. Deshalb muss man einen Raum mit folgenden Parameter anlegen:
*'''Name''' lehrer-lan
*'''Beschreibung''' Raum für private Geräte der Lehrkraft
*'''Gerät pro Benutzer''' 4
*'''Anzahl der Geräte''' 512
*'''Raumkontrolle''' no
Anlegen. Raum Bearbeiten und die Gruppe teachers (Lehrer) dem Raum zuweisen.
Anschließend muss man in der Firewall die entsprechenden Ausgangsregel dem Raum zuweisen. Möchten man dem Raum direkten Internetzugang gewähren, muss folgende ''ausgehende Firewallregel'' erstellt werden:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' all
*'''Ziel''' 0/0
Will man nur Web-Zugang erlauben, müssen 2 ''ausgehende Firewallregeln'' erstellt werden:
Regel für http-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 80
*'''Ziel''' 0/0
Regel für https-Zugriffe:
*'''Art''' Room
*'''Quelle''' Raum auswählen
*'''Protokoll''' TCP
*'''Port''' 443
*'''Ziel''' 0/0

Selbstverständlich ist es möglich, dass die Geräte aus AdHocLan-Räumen den Schulproxy nutzen. Dazu muss in der Proxy-Konfiguration des Gerätes/Browsers einer der folgenden Einstellungen gemacht werden:

#Automatische Internet-Proxyerkennung
#Konfigurationsadresse/ Adresse des Proxykonfigurationsscriptes http://admin/proxy.pac
#Proxy-Server: ''proxy'' Proxy-Server-Port: 8080

Bitte beachten Sie, dass ein Zugriff von Mailclients auf externe Mailserver nur mit direktem Internetzugang möglich ist.

====AdHocLan Raum für Schüler====

Für die Schüler kann man analog, wie bei den Lehrern, einen großen AdHocLan Raum anlegen. Dieser Raum darf natürlich nicht kontrollierbar sein. Wäre eine dynamische Raumkontrolle für die Lehrer möglich, würde das immer alle Schüler betreffen. Der Zugriff ins Internet muss über feste Firewallregeln oder über den Proxy geregelt werden. In bestimmten Schulen kann jedoch diese Lösung ausreichen.

Der CRANIX-Server bietet jedoch die Möglichkeit, die privaten Geräten der Schüler klassenweise in virtuellen Räumen zu ordnen. Bei Import der Schüler werden die eigenen Geräte in die neuen Klassenräume umgezogen. Ob und wie die AdHocLan-Klassenräume erstellt werden, wird durch folgende globalen Variablen geregelt:

* '''CRANIX_MAINTAIN_ADHOC_ROOM_FOR_CLASSES''' schaltet diese Funktion ein.
* '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER''' gibt an, wie viele Rechner ein Benutzer registrieren darf.
* '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' gibt an, wie viele Geräte in einem Raum registriert werden können. Diese Zahl muss eine Potenz von 2 sein. Erlaubte Werte sind also 8,16,32,64,128. Diese Zahl ergibt sich aus der Maximalen Klassengröße und dem Wert von '''CRANIX_CLASS_ADHOC_DEVICE_PRO_USER'''. Sind maximal 25 Schüler in einer Klasse und jeder Schüler darf 2 Geräte registrieren, muss als '''CRANIX_CLASS_ADHOC_DEVICE_COUNT''' als 64 gewählt werden.
* '''CRANIX_CLASS_ADHOC_NET''' Hat der CRANIX mehrere interne Netze, muss man hier angeben, welches Netz für die Klassen-AdHoc-Räume benutzt werden soll. Ist diese Variable nicht gesetzt, wird das Netz '''CRANIX_NETWORK/CRANIX_NETMASK''' verwendet.

Hat man diese Werte gesetzt, muss noch das Script '''/usr/share/cranix/tools/handle_class_adhoc_rooms.py''' als Benutzer '''root''' auf dem CRANIX ausgeführt werden. Damit werden die AdHocLan-Klassenräume für alle vorhandenen Klassen angelegt. Die Räume werden mit Raumkontrolle '''allTeachers''' erstellt, damit jeder Lehrer jeden Klassenraum kontrollieren kann.

==Gefilterter Internetzugang==
Vor allem in Schulen ist es unerlässlich, dass man den Internetzugang kontrolliert indem bestimmte Internetseiten nicht erreichbar gemacht werden. Dafür bietet der CRANIX-Server 2 Möglichkeiten: Proxy-Filterung und DNS-Filterung.

===Proxy-Filterung===
Nach der Installation des CRANIX-Servers wird der Proxy-Server squid, mit dem Contentfilter squidGuard installiert. Dieser Lösung bietet einen gefilterten, protokollierten Internetzugang. Der Contentfilter squidGard ordnet mehrer Millionen Internetseiten in Kategorien. Über die Administrationsoberfläche von CRANIX können Systemadministratoren einen Basisfilter zusammen stellen. Je nach Benutzerrolle können verschiedene Kategorien erlaubt und verboten sein. Dabei spielen folgende Kategorien besondere Rolle:
* '''Eigene White-Liste''' Die von squidGuard gelieferte Listen können nicht geändert werden. Möchte man den Zugriff auf eine Domäne erlauben, die jedoch in eine gesperrte Liste eingeordnet wurde, muss man diese hier eintragen. Der Zugriff auf die Domänen in der eigenen White-Liste ist für jede Benutzerrolle immer erlaubt.
* '''Eigene Black-Liste''' Die hier eingetragene Domänen sind für alle Benutzerrollen gesperrt.
* '''CEPHALIX-Liste''' Das ist eine White-Liste, die für alle Benutzerrollen erlaubt ist. Diese Liste kann jedoch nur von einem zentralen CEPHALIX-Server verwaltet werden. Der lokale Systemadministrator kann diese Liste nicht bearbeiten.
* '''in-addr''' Mit dieser Kategorie kann der Zugriff direkt auf IP-Adressen in der URL erlaubt oder verboten werden.
* '''all''' Das ist immer die letzte Kategorie. Ist dieser erlaubt, sind alle Zugriff die nicht explizit durch Kategorien verboten sind erlaubt. Ist diese Kategorie für eine Benutzerrolle verboten, haben die betroffene Benutzer nur Zugriff auf die explizit durch Kategorien erlaubten Seiten Zugriff.
Die Proxy-Filterung hat folgende Vorteile:
* Hohe Sicherheit, da nur http und https Zugriffe ins Internet erlaubt sind. (Nichtmal Pingen geht :-)
* Alle Zugriffe werden protokolliert.
* Man kann für die verschiedene Benutzerrollen verschiedene Filter erstellen.
Die Proxy-Filterung hat folgende Nachteile:
* Greift man auf verschlüsselte gesperrte Seiten, wird man nicht auf eine Blockseite weitergeleitet sondern erhält man ein Timeout. Das kann zu Verwirrungen führen.
* Verschiedene Video-Dienste sind durch Proxy nicht erreichbar. Deshalb muss man für diese Dienste extra Firewall- und Proxy-Pac-Regeln erstellen. Im Falle von Teams von Microsoft sind das bis zu Hundert Regel.
* MDM-Dienste benötigen auch direkten ungefilterten Internetzugang.

====Proxy-Konfiguration auf den Clients====
Der DHCP-Server vom CRANIX veröffentlicht im Netz über ein DHCP-Option, dass es im Netz einen Proxy-Server gibt, der über ein Proxy-Konfigurationsdatei benutzt werden sollt. Diese Datei ist über die URL '''http://admin/proxy.pac''' erreichbar.
Weiterhin ist auch der A-Record für wpad im DNS-Server von CRANIX gesetzt. Dadurch ist die selbige Konfigurationsdatei auch über die URL '''http://wpad.<Domainname>/wpad.dat''' erreichbar.
Beide Veröffentlichungsmethoden sind standardisiert und kennen die meisten moderne Clients. Das heißt prinzipiell ist es nicht erforderlich an den Clients die Proxy-Konfiguration einzustellen, da die diese automatisch erkennen können. Sollte das doch nicht der Fall sein, gibt es je nach Gerät bzw. Betriebssystem folgende Möglichkeiten:
* '''iOS''' Einstellungen -> WLAN -> beim betroffenen WLAN-SID -> Proxy konfigurieren -> Automatisch -> URL: http://admin/proxy.pac
* '''Win10'''

===DNS-Filterung===
Durch die Installation des Paketes '''cranix-unbound''' wird die DNS-Filterung eingeschaltet. Für diesen Dienst kann man eine Black-Liste von Domänen erstellen, die nicht erreichbar sein dürfen. Diese Domänen werden auf die Proxy-IP-Adresse des CRANIX-Servers aufgelöst und werden dadurch die Zugriffe auf diese Domänen auf eine Sperrseite weitergeleitet. Grundsätzlich ist in allen Räumen das direkte Internet eingeschaltet. D.h. man hat von allen Räumen vollen Zugriff auf alle IP-Adressen via alle Protokolle und Ports im Internet.

Während der Installation des Paketes '''cranix-unbound''' wird für jeden Raum, der mit einer dynamische Zugangskontrolle ( Kontrolle im Raum ist nicht ''no'' ) konfiguriert ist, eine Standardzugangsregel gesetzt, die alle Zugriffe inkl. direktes Internet erlaubt. Für Räume die mit Raumkontrolle ''no'' angelegt worden sind, muss man manuell Firewallregel anlegen. Alternativ können Sie vor der Installation in solchen Räumen die Raumkontrolle aud ''sysadminsOnly'' setzen. Weiterhin wir die automatische Proxykofigurationsdatei so umgeschrieben, das für alle Rechner mit allen Zielen direktes Internet eingestellt ist. Das erspart die erneute Konfiguration der vorhandenen Clients.
In Räumen mit dynamischer Zugangskontrolle können Lehrer den Internetzugang bei Bedarf sperren.

Die Black-Liste der gesperrten Domänen wird anhand der Proxy-Kategorien und der eigenen Black-, White- und CRANIX-Listen erstellt. Der grundsätzliche Unterschied zum Proxy-Zugang ist, dass bei der DNS-Filterung alles erlaubt ist was nicht verboten wurde. Deshalb gibt es bei DNS-Filterung keine positiv-Listen. Die Konfiguration der DNS-Filterung kann man über die Administrationsoberfläche als Systemadministrator '''Sicherheit''' -> '''DNS-Filterung''' erledigen. Das Paket ''cranix-unbound'' liefert eine Vorkonfiguration, die die Suchmaschinen bzw. YouTube zu '''SafeSearch''' Modus zwingt. Vor allem bei YouTube hat das zu Problem geführt. Deshalb haben wird das '''SafeSeraach'''-Modus konfigurierbar gemacht. Unter Sicherheit -> DNS-Filter gibt es nun einen zusätzlichen Reiter SafeSearch aktivieren. Hier kann man das SafeSearch-Modus für die verschiedene Dienste einzeln ein- bzw. ausschalten.

<div class=warningbox>'''SafeSearch''' Ist für ein Dienst (Ding, YouTube, Google) das SafeSearch-Modus aktiviert, hat nur der Dienstanbieter Einfluss darauf, was in ihren Diensten erreichbar oder gesperrt ist. Sie selber kategorisieren die Inhalte und man kann von außen das nicht beeinflussen. Sind Ihre Meinung nach zu viele Inhalte zBp. über YouTube nicht erreichbar, ist die Einzige Möglichkeit SafeSearch für YouTube zu deaktivieren. Man muss jedoch beachten, dass in diesem Fall alle Inhalten auf YouTube (auch Gewalt, Pornografie) erreichbar sind.</div>

'''WICHTIG''' Man sollte beachten, dass das Neustarten des Dienstes etwas 10 Sekunden lang dauert. Während dieser Zeit ist keine Namensauflösung im Netz möglich. Deshalb sollte man Änderungen nicht im laufenden Betrieb unternehmen. Die Konfigurationsseite ist so gestaltet, dass man erst alle Änderungen durchführen und anschließend den Dienst neu starten muss.

'''WICHTIG''' Der DNS-Filter ist ein separater Dienst, der auf die IP-Adresse des Proxy-Servers auf dem UDP-Port 53 lauscht. Deshalb muss die IP-Adresse des Proxy-Servers als <code>dns forwarder</code> in der Samba-Konfiguration in <code>[global]</code>-Sektion eingetragen werden. Das geschieht automatisch bei der Installation des Paketes '''cranix-unbound'''. Der Unbound-Server wiederum nutzt den Server 8.8.8.8 bzw. den Server, der vor der Installation in der Samba-Konfiguration als "dns forwarder" eingetragen war, als DNS-Forwader. Wenn Sie diese Einstellung ändern müssen, ändern Sie den Eintrag <code>forward-zone</code> in der Datei <code>/etc/unbound/conf.d/cranix.conf</code>.

Da bei DNS-Filterung grundsätzlich alle Internetzugriffe erlaubt sind, ist die Protokollierung der Zugriffe sehr wichtig. Dafür wurde ein Dienst entwickelt, der alle Internetzugriff in die Datei '''/var/log/cranix-internet-access.log''' schreibt. Diese hat folgendes Format:
Zeitpunkt;Benutzer;IP des Clients;IP des Ziels;IP-Protokoll;Port auf dem Zielrechner
Um die Datenmenge in vernünftigen Rahmen zu halten werden pro Minute nur ein Zugriff mit den selben Parametern protokolliert. Weiterhin wird bei der Installation ein Logrotate-Konfiguration ( ''/etc/logrotate.d/crx-fw-watcher'' ) mit folgenden Parameter hinterlegt:
* Maximales Alter der Logdateien: 180 Tage
* Maximale Anzahl der Logdateien: 20
* Maximale Größe der Logdateien: 4MiB
Vorteile der DNS-Filterung:
* Alle Dienste in Internet sind nun schmerzfrei erreichbar.
* Die Clients benötigen keine besondere Konfiguration. ''Plug and Play'' ist wirklich möglich.
Nachteile der DNS-Filterung:
* Alles ist erlaubt, was nicht verboten ist.
* Positivlisten können nicht verwendet werden.

==Fehlersuche==
Leider gehört die Suche nach Fehler im Netzwerk zum Alltag jeder Systemadministrator. Hier möchten wir einige Fehler Ihrer Symptomen und Behebung und wie man diese Probleme in der Zukunft vermeiden kann, beschreiben.

===Schleife im Netzwerk===
Das ist einer der häufigsten Probleme im Netzwerken. Eine Schleife im Netzwerk entsteht dadurch, dass zwei Ports im Netzwerk direkt miteinander verbunden werden. Dabei spielt es keine Rolle, ob sich diese Ports auf dem selben Switch befinden oder nicht.

Das wichtigste Symptomen einer Netzwerkschleife ist, dass an sich alles mehr oder weniger funktioniert, allerdings dauert alles wesentlich länger. Man kann sogar den Server erreichen, man kann sich evtl anmelden und surfen. Aber die Anmeldung dauert bei allen Benutzer mehrere Minuten und das Öffnen von Webseiten geht auch nicht zügig. Oft landet man in einem Time-Out.

Man kann anhand der Logs des DHCPD-Servers erkennen, ob es sich eine Schleife im Netzwerk befindet. Normaler weise sendet jeder Rechner 2 DHCP-Anfragen wenn dieser gestartet wird: Eine beim PXE-Boot und eine beim Starten des Betriebssystems, wenn die Netzwerkkarte aktiviert wird.

===Überprüfung der Konnektivität eines Windows-Rechners===
Dass ein Windows-Rechner läuft und man sich am Rechner anmelden kann, heißt noch lange nicht, dass dieser mit dem Netzwerk verbunden ist. Hat man sich einmal an einem Windows-Arbeitsplatz erfolgreich angemeldet, werden seine Anmeldedaten lokal gespeichert. Deshalb kann man sich später an diesem Rechner auch dann anmelden, wenn der CRANIX-Server nicht erreichbar ist.

Konflikt zwischen Linux-Dateisystem-ACLs und Windows-Berechtigungen (NTFS) lösen

2026-03-13T13:14:07Z

Admin: Die Seite wurde neu angelegt: „Das Problem ist ein klassischer Konflikt zwischen Linux-Dateisystem-ACLs und der Art und Weise, wie Samba Windows-Berechtigungen (NTFS) darauf abbildet. Wenn ein Windows-Client eine Datei speichert, berechnet Samba standardmäßig eine neue "Maske" basierend auf den eingehenden Windows-Rechten. Das schränkt oft die effektiven Rechte ein, die du mühsam über `setfacl` konfiguriert hast. ==Die Lösung: `smb.conf` anpassen== Du musst Samba mitteilen, das…“

Das Problem ist ein klassischer Konflikt zwischen Linux-Dateisystem-ACLs und der Art und Weise, wie Samba Windows-Berechtigungen (NTFS) darauf abbildet. Wenn ein Windows-Client eine Datei speichert, berechnet Samba standardmäßig eine neue "Maske" basierend auf den eingehenden Windows-Rechten. Das schränkt oft die effektiven Rechte ein, die du mühsam über `setfacl` konfiguriert hast.

==Die Lösung: `smb.conf` anpassen==

Du musst Samba mitteilen, dass es die Maske nicht jedes Mal neu berechnen soll, sondern die Linux-ACL-Vererbung respektieren muss.

===Masken-Berechnung deaktivieren===

Füge diese Zeilen zu deiner spezifischen Freigabe (Share) in der `/etc/samba/smb.conf` hinzu (oder im Bereich `[global]`, falls es für alle gelten soll):

[deine-freigabe]
# Linux-ACL-Maske vor Neuberechnung schützen
map acl inherit = Yes
store dos attributes = Yes

# Wichtig: Samba daran hindern, die Maske zu "korrigieren"
inherit acls = Yes
inherit permissions = Yes

===Die "radikale" Option (falls das obige nicht reicht)===

Wenn Windows die Maske immer noch überschreibt, kannst du Samba zwingen, die Maskenberechnung komplett zu ignorieren:

# Verhindert, dass Windows das 'mask'-Bit ändert
acl group control = Yes

===Warum das passiert: Das Problem der "effektiven Rechte"===

Bei Linux-POSIX-ACLs definiert die **Maske** die maximalen Berechtigungen, die ein Benutzer oder eine Gruppe (außer dem Besitzer) haben kann.

Wenn ein Windows-Client eine Datei speichert, sendet er spezifische NTFS-Berechtigungen. Samba versucht, diese perfekt zu übersetzen. Wenn der Windows-Nutzer nicht explizit "Vollzugriff" sendet, berechnet Samba eventuell eine restriktivere Maske (z. B. `r--`). Diese "blindet" dann deine Linux-Standard-ACLs (z. B. `rwx`), was dazu führt, dass die effektiven Rechte nur noch `r--` sind.

===Empfohlene Best-Practice Konfiguration===

Für einen modernen Samba-Server, der mit Linux-ACLs arbeitet, sollte deine Freigabe etwa so aussehen:

{|class="wikitable" style="text-align: left;"
! Parameter !! Wert !! Warum?
|-
| <code>vfs objects || <code>acl_xattr || Speichert NTFS-ACLs in erweiterten Attributen.
|-
| <code>map acl inherit || <code>Yes || Überträgt Windows-Vererbung auf Linux-ACLs.
|-
| <code>inherit acls || <code>Yes || Stellt sicher, dass neue Dateien die Standard-ACL des Ordners erben.
|}

==Änderungen anwenden==

*Konfiguration bearbeiten:
sudo nano /etc/samba/smb.conf
*Syntax testen:
testparm
*Samba neu starten:
sudo systemctl restart smbd

'''Ein kleiner Tipp:''' Für bereits existierende Dateien, bei denen die Maske bereits "kaputt" ist, musst man diese einmalig auf der Linux-Seite korrigieren:
sudo setfacl -R -n -m m::rwx /pfad/zum/ordner
(Das -n verhindert, dass die Maske sofort wieder neu berechnet wird).

FAQs

2026-03-13T12:59:22Z

Admin:

== Windows Domain Probleme ==
=== Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergestellt werden kann. ===
Laut [https://support.microsoft.com/de-de/help/2771040/the-trust-relationship-between-this-workstation-and-the-primary-domain Microsoft Support] ist die einzige Lösung, den Rechner aus der Domäne zu nehmen und wieder beizutreten. Diesen Prozess kann man mit dem OSS schneller erledigen, wenn das OssClient-Programm installiert ist. Mit folgendem Befehl kann man einen Client aus der Domäne nehmen. Dieser Befehl startet den Client auch neu. Nach dem Neustart tritt der Client wieder in die Domäne und startet erneut.
oss_unjoin_client.sh <clientname>

=== Profile können nicht gelesen oder geschrieben werden. ===
# Als erstes löschen Sie das Profil der betroffenen Benutzer: Adminoberfläche -> Benutzer -> suchen -> markieren -> Aktion -> Profil löschen
# Auf die Freigabe Profiles müssen die ACLs repariert werden<br><code>setfacl --restore /usr/share/cranix/setup/profiles-acls</code>
# Wenn das alles nicht hilft, müssen auf den Windows-Clients die lokal gespeicherte Profile und deren Einträge im Registry gelöscht werden. Die Profile selbst finden man unter <code>C:\Users</code> und die Einträge in Registry sind unter folgendem Registriepfad zu finden:<br><code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList</code>

== Client Probleme ==
=== Server musste neu aufgesetzt werde und die Clients arbeiten nicht mit dem neuen Server ===
Wenn Sie den CRANIX-Server völlig neu aufsetzten und nicht aus dem Backup wiederherstellen, funktioniert die Domänen- und Salt-Verbindung nicht. Der Grund dafür ist, dass die Domäne eine neue SID und der Sal-Master einen neuen ssh-Key erhalten hatte. In diesem Fall müssen Sie an den Clients folgende Schritte ausführen:
#Client mit dem selben Namen registrieren.
#In der Diensteverwaltung salt-minion anhalten.
#Die Dateien im Verzeichnis '''C:\salt\conf\pki\minion''' löschen
#Rechner aus der Domäne in die Arbeitsgruppe '''WORKGROUP''' nehmen.
#Rechner neu starten.

=== Direkter Internetzugang funktioniert nur mit Verzögerung ===
Bitte beachten Sie, dass beim Umstellung auf direkten Internetzugang nur der Server diese Einstellung ändert. D.h. Der Server lässt nun alle Zugriffe aus dem Raum direkt ins Internet zu. Da bei den Clients nach wie vor der Proxy eingestellt ist, versuchen sie weiterhin über den Proxy ins Internet zu gehen.
Wird der Proxy-Zugang gesperrt, führt das zur Timeouts. Erst wenn dieser abgelaufen ist versucht der Browser direkt und nicht über den Proxy auf das Internet zugreifen. Eine Abhilfe schafft, wenn man in Browser der Proxy abgeschaltet wird. Prinzipiell könne man auch die proxy.pac-Datei dynamisch anpassen, allerdings bringt das auch nicht viel, da diese erst beim Starten des Browsers ausgelesen wird. Also ein Neustart des Browser wäre in diesem Fall auch erforderlich.
Da seit OSS-4-0 der Server über salt die "volle" Kontrolle über die Clients hat, arbeiten wir zur Zeit an einer Lösung die durch Ändern des Registryeintrages die Proxyeinstellungen ändert.

== Wichtige Befehle ==
Auf den Klients von CRANIX/OSS 4-0 ist das Management-Programm '''salt''' installiert. Mit dessen Hilfe kann man wichtig Programme vom CRANIX-Server aus auf den Klients ausführen:

'''Angemeldeten Benutzer abfragen'''
salt <minion> crx_client.loggedIn

'''Angemeldeten Benutzer abmelden'''
salt <minion> crx_client.logOff

'''Computer sperren'''
salt <minion> crx_client.locClient

'''Computer entsperren'''
salt <minion> crx_client.unLocClient

'''Windowsupdates verbieten'''
salt <minion> crx_client.disableUpdates

'''Windowsupdates erlauben'''
salt <minion> crx_client.enableUpdates

'''WICHTIG''' mit der o.g. Befehlen kann man nur die lokal angemeldeten Benutzern verwalten. Benutzer die sich per RDP angemeldet haben kann man direkt mit dem QWINSTA erfassen. In beiden Fällen spielt es keine Rolle ob es sich um lokalen oder vom Domänen-Benutzer handelt.

'''Laufende Prozesse abfragen'''
salt <minion> cmd.run tasklist

'''SALT-Logdateien von Clients holen'''
salt <minions> cp.push 'c:\salt\var\log\salt\minion'
Auf dem Server:
/var/cache/salt/master/minions/<minionname>/

'''Firewall-Status abfragen'''
salt <minion> cmd.run 'netsh advfirewall show allprofiles'

'''Remote Desktop Zugriff erlauben'''
salt <minion> cmd.run 'reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f'
salt <minion> cmd.run 'net start TermService'
salt <minion> cmd.run 'netsh advfirewall firewall set rule group="remote desktop" new enable=yes'

'''Ein Port in Firewall nach innen öffnen'''
salt <minion> firewall.add_rule 'Regelname' 'Port' 'Protokol'

'''Alle laufende salt-Prozesse auf dem Client (Minion) beende'''
salt <minion> saltutil.kill_all_jobs

'''Liefert die lokal gespeicherte "Grains" von Clients'''
salt-run cache.grains <minion>

[[Konflikt zwischen Linux-Dateisystem-ACLs und Windows-Berechtigungen (NTFS) lösen]]

Integration von Schild NRW-3

2026-03-07T17:49:06Z

Admin:

==Installation==

Nun ist es soweit. Das Installationsscript für SVWS ist fertig und kann [http://downloads.cephalix.eu/install-svws-on-cranix.sh install-svws-on-cranix.sh] heruntergeladen werden. Das Script erledigt folgende Aufgaben:

* aktualisiert das cranix-java Pakete.
* installiert alle nötigen Pakete
* lädt das aktuelle Installationspaket herunter
* erstellt die nötigen Verzeichnisse
* erstellt die Konfiguration für SVWS anhand der CRANIX-Server-Konfiguration
* erstellt ein Zertifikat für SVWS. Dieses ist 5 Jahre lang gültig. Es ist möglich mit offiziellen Zertifikaten zu arbeiten. Wenn Sie das vorhaben, wenden Sie sich an uns: [mailto://support@cephalix.eu support@cephalix.eu]
* erstellt eine Datenbank ('''svwsdb''') und einen Datenbank-Benutzer ('''svwsadmin''').
* Am Ende wird die Administrative URL und das Passwort des Benutzers '''svwsadmin''' ausgegeben. '''Notieren Sie bitte sorgfältig diese Angaben!'''
So installieren Sie nun SVWS auf Ihrem CRANIX-Server:

Melden Sie sich als Benutzer root am CRANIX-Server an und führen Sie folgende Schritte aus. Die einzige Frage die Sie beantworten müssen, ist die Name Ihrer Ortschaft:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh

Nun können Sie anschließend SVWS über ein Webrowser administrieren:

* Öffnen Sie im Browser '''https://<IP-Oder-Name-des-CRANIX-Servers>:8443/admin'''
* Melden Sie sich als Benutzer '''svwsadmin''' an.
* Wählen Sie die Datenbank '''svwsdb''' aus und führen Sie '''In Konfiguration aufnehmen aus'''. Tragen Sie hier den Benutzername '''svwsadmin''' und dessen Passwort ein.
* Melden Sie sich ab und wieder an.
* Nun können Sie eine neue leere Schema in der Datenbank '''svwsadmin''' erstellen, vorhandene Datenbank importieren oder Backup einspielen.

Um die Daten zu Importiere oder eine leere Schema anzulegen können Sie sich auch als Datenbankbenutzer "root" anmelden. Dessen Passwort finden Sie in der Datei svwsadmin /root/.my.cnf.
Mit dem Datenbenkbenutzer '''root''' können Sie beliebige Datenbanken erstellen und auch Löschen. Seien Sie also äußerst vorsichtig! Benutzen Sie diesen Benutzer nur um die Daten zu importieren oder eine leere Schema anzulegen. Auf keinen Fall dürfen Sie die Datenbank CRX anfassen. Das ist die zentrale Datenbank des CRANIX-Servers. Verwenden Sie die erstellte Datenbank '''svwsdb''', es sei denn Sie möchten mehrere Schild-NRW-3 Installieren.

<gallery>
SVWS-Admin-Anmeldung.png|SVWS-Admin-Anmeldung
SVWS-svwsdb-auswählen.png|SVWS-svwsdb-auswählen
SVWS-svwsdb-in-Konfiguration-Aufnehmen.png|svwsdb in Konfiguration Aufnehmen
SVWS-Fehlermeldung-zu-ignorieren.png|Fehlermeldung durch Abbrechen zu ignorieren
</gallery>

Sie können sich an die Administrationsoberfläche von SVWS auch als Benutzer '''root''' anmelden. Dessen Passwort finden Sie in der Datei/root/.my.cnf. So können Sie selber eigene Datenbanken anlegen, wenn Sie zBp mehrere Schulen auf einem CRANIX-Server verwalten. '''ACHTUNG''' in diesem Fall haben Sie vollen Zugriff auf allen Datenbanken auf dem Server. Bitte keine vorhanden Datenbanken in SVWS integrieren. Die Datenbanken '''CRX''' und '''kea_dhcp4''' werden von dem CRANIX-Server benutzt und dürfen nicht manuell geändert werden.

==Update==
Erscheint eine neue Version von SVWS, müssen Server und Klients aktualisiert werden. Das Update des Servers können Sie mit unserem Installationsscript erledigen. Gehen Sie dazu wie folgt vor:
# Laden Sie bitte unser aktuelles Installationsscript herunter.
# Überprüfen Sie ob das Script in der gewünschten Version angepasst ist. In der sechsteb Zeil muss hinter '''SVWS_VERSION=''' die richtige Version stehen. Sollte das nicht der Fall sein, kontaktieren Sie uns bitte mit einer E-Mail an [mailto://support@cephalix.eu support@cephalix.eu] und '''führen Sie keine weitere Schritte aus!'''
# Aktualisieren Sie die Software auf den Klients.
# Führen Sie das Skript mit dem Parameter --update aus:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh --update

==Entfernen==
Ruft man das Installationsscript mit dem Parameter --clean auf, wird die SVWW Installation von Ihrem Server entfernt und die Datenbank gelöscht. Vorher wird jedoch ein Backup der Datenbank im Homeverzeichnis von root erstellt.

Integration von Schild NRW-3

2026-03-07T17:35:11Z

Admin:

==Installation==

Nun ist es soweit. Das Installationsscript für SVWS ist fertig und kann [http://downloads.cephalix.eu/install-svws-on-cranix.sh install-svws-on-cranix.sh] heruntergeladen werden. Das Script erledigt folgende Aufgaben:

* aktualisiert das cranix-java Pakete.
* installiert alle nötigen Pakete
* lädt das aktuelle Installationspaket herunter
* erstellt die nötigen Verzeichnisse
* erstellt die Konfiguration für SVWS anhand der CRANIX-Server-Konfiguration
* erstellt ein Zertifikat für SVWS. Dieses ist 5 Jahre lang gültig. Es ist möglich mit offiziellen Zertifikaten zu arbeiten. Wenn Sie das vorhaben, wenden Sie sich an uns: [mailto://support@cephalix.eu support@cephalix.eu]
* erstellt eine Datenbank (svwsdb) und einen Datenbank-Benutzer (svwsadmin).
* Am Ende wird die Administrative URL und das Passwort des Benutzers svwsadmin ausgegeben. '''Notieren Sie bitte sorgfältig diese Angaben!'''
So installieren Sie nun SVWS auf Ihrem CRANIX-Server:

Melden Sie sich als Benutzer root am CRANIX-Server an und führen Sie folgende Schritte aus. Die einzige Frage die Sie beantworten müssen, ist die Name Ihrer Ortschaft:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh

Nun können Sie anschließend SVWS über ein Webrowser administrieren:

* Öffnen Sie im Browser '''https://<IP-Oder-Name-des-CRANIX-Servers>:8443/admin'''
* Melden Sie sich als Benutzer '''svwsadmin''' an.
* Um die Daten zu Importiere oder eine leere Schema anzulegen können Sie sich auch als Datenbankbenutzer "root" anmelden. Dessen Passwort finden Sie in der Datei svwsadmin /root/.my.cnf.
Mit dem Datenbenkbenutzer '''root''' können Sie beliebige Datenbanken erstellen und auch Löschen. Seien Sie also äußerst vorsichtig! Benutzen Sie diesen Benutzer nur um die Daten zu importieren oder eine leere Schema anzulegen. Auf keinen Fall dürfen Sie die Datenbank CRX anfassen. Das ist die zentrale Datenbank des CRANIX-Servers. Verwenden Sie die erstellte Datenbank '''svwsadmin''', es sei denn Sie möchten mehrere Schild-NRW-3 Installieren.

<gallery>
SVWS-Admin-Anmeldung.png|SVWS-Admin-Anmeldung
SVWS-svwsdb-auswählen.png|SVWS-svwsdb-auswählen
SVWS-svwsdb-in-Konfiguration-Aufnehmen.png|svwsdb in Konfiguration Aufnehmen
SVWS-Fehlermeldung-zu-ignorieren.png|Fehlermeldung durch Abbrechen zu ignorieren
</gallery>

Sie können sich an die Administrationsoberfläche von SVWS auch als Benutzer '''root''' anmelden. Dessen Passwort finden Sie in der Datei/root/.my.cnf. So können Sie selber eigene Datenbanken anlegen, wenn Sie zBp mehrere Schulen auf einem CRANIX-Server verwalten. '''ACHTUNG''' in diesem Fall haben Sie vollen Zugriff auf allen Datenbanken auf dem Server. Bitte keine vorhanden Datenbanken in SVWS integrieren. Die Datenbanken '''CRX''' und '''kea_dhcp4''' werden von dem CRANIX-Server benutzt und dürfen nicht manuell geändert werden.

==Update==
Erscheint eine neue Version von SVWS, müssen Server und Klients aktualisiert werden. Das Update des Servers können Sie mit unserem Installationsscript erledigen. Gehen Sie dazu wie folgt vor:
# Laden Sie bitte unser aktuelles Installationsscript herunter.
# Überprüfen Sie ob das Script in der gewünschten Version angepasst ist. In der sechsteb Zeil muss hinter '''SVWS_VERSION=''' die richtige Version stehen. Sollte das nicht der Fall sein, kontaktieren Sie uns bitte mit einer E-Mail an [mailto://support@cephalix.eu support@cephalix.eu] und '''führen Sie keine weitere Schritte aus!'''
# Aktualisieren Sie die Software auf den Klients.
# Führen Sie das Skript mit dem Parameter --update aus:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh --update

==Entfernen==
Ruft man das Installationsscript mit dem Parameter --clean auf, wird die SVWW Installation von Ihrem Server entfernt und die Datenbank gelöscht. Vorher wird jedoch ein Backup der Datenbank im Homeverzeichnis von root erstellt.

Integration von Schild NRW-3

2026-03-07T16:48:09Z

Admin:

==Installation==

Nun ist es soweit. Das Installationsscript für SVWS ist fertig und kann [http://downloads.cephalix.eu/install-svws-on-cranix.sh install-svws-on-cranix.sh] heruntergeladen werden. Das Script erledigt folgende Aufgaben:

* aktualisiert das cranix-java Pakete.
* installiert alle nötigen Pakete
* lädt das aktuelle Installationspaket herunter
* erstellt die nötigen Verzeichnisse
* erstellt die Konfiguration für SVWS anhand der CRANIX-Server-Konfiguration
* erstellt ein Zertifikat für SVWS. Dieses ist 5 Jahre lang gültig. Es ist möglich mit offiziellen Zertifikaten zu arbeiten. Wenn Sie das vorhaben, wenden Sie sich an uns: [mailto://support@cephalix.eu support@cephalix.eu]
* erstellt eine Datenbank (svwsdb) und einen Datenbank-Benutzer (svwsadmin).
* Am Ende wird die Administrative URL und das Passwort des Benutzers svwsadmin ausgegeben. '''Notieren Sie bitte sorgfältig diese Angaben!'''
So installieren Sie nun SVWS auf Ihrem CRANIX-Server:

Melden Sie sich als Benutzer root am CRANIX-Server an und führen Sie folgende Schritte aus. Die einzige Frage die Sie beantworten müssen, ist die Name Ihrer Ortschaft:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh

Nun können Sie anschließend SVWS über ein Webrowser administrieren:

* Öffnen Sie im Browser '''https://<IP-Oder-Name-des-CRANIX-Servers>:8443/admin'''
* Melden Sie sich als Benutzer '''svwsadmin''' an.

<gallery>
SVWS-Admin-Anmeldung.png|SVWS-Admin-Anmeldung
SVWS-svwsdb-auswählen.png|SVWS-svwsdb-auswählen
SVWS-svwsdb-in-Konfiguration-Aufnehmen.png|svwsdb in Konfiguration Aufnehmen
SVWS-Fehlermeldung-zu-ignorieren.png|Fehlermeldung durch Abbrechen zu ignorieren
</gallery>

Sie können sich an die Administrationsoberfläche von SVWS auch als Benutzer '''root''' anmelden. Dessen Passwort finden Sie in der Datei/root/.my.cnf. So können Sie selber eigene Datenbanken anlegen, wenn Sie zBp mehrere Schulen auf einem CRANIX-Server verwalten. '''ACHTUNG''' in diesem Fall haben Sie vollen Zugriff auf allen Datenbanken auf dem Server. Bitte keine vorhanden Datenbanken in SVWS integrieren. Die Datenbanken '''CRX''' und '''kea_dhcp4''' werden von dem CRANIX-Server benutzt und dürfen nicht manuell geändert werden.

==Update==
Erscheint eine neue Version von SVWS, müssen Server und Klients aktualisiert werden. Das Update des Servers können Sie mit unserem Installationsscript erledigen. Gehen Sie dazu wie folgt vor:
# Laden Sie bitte unser aktuelles Installationsscript herunter.
# Überprüfen Sie ob das Script in der gewünschten Version angepasst ist. In der sechsteb Zeil muss hinter '''SVWS_VERSION=''' die richtige Version stehen. Sollte das nicht der Fall sein, kontaktieren Sie uns bitte mit einer E-Mail an [mailto://support@cephalix.eu support@cephalix.eu] und '''führen Sie keine weitere Schritte aus!'''
# Aktualisieren Sie die Software auf den Klients.
# Führen Sie das Skript mit dem Parameter --update aus:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh --update

==Entfernen==
Ruft man das Installationsscript mit dem Parameter --clean auf, wird die SVWW Installation von Ihrem Server entfernt und die Datenbank gelöscht. Vorher wird jedoch ein Backup der Datenbank im Homeverzeichnis von root erstellt.

Integration von Schild NRW-3

2026-03-07T16:35:53Z

Admin:

==Installation==

Nun ist es soweit. Das Installationsscript für SVWS ist fertig und kann [http://downloads.cephalix.eu/install-svws-on-cranix.sh install-svws-on-cranix.sh] heruntergeladen werden. Das Script erledigt folgende Aufgaben:

* aktualisiert das cranix-java Pakete.
* installiert alle nötigen Pakete
* lädt das aktuelle Installationspaket herunter
* erstellt die nötigen Verzeichnisse
* erstellt die Konfiguration für SVWS anhand der CRANIX-Server-Konfiguration
* erstellt ein Zertifikat für SVWS. Dieses ist 5 Jahre lang gültig. Es ist möglich mit offiziellen Zertifikaten zu arbeiten. Wenn Sie das vorhaben, wenden Sie sich an uns: [mailto://support@cephalix.eu support@cephalix.eu]
* erstellt eine Datenbank (svwsdb) und einen Datenbank-Benutzer (svwsadmin).
* Am Ende wird die Administrative URL und das Passwort des Benutzers svwsadmin ausgegeben. '''Notieren Sie bitte sorgfältig diese Angaben!'''
So installieren Sie nun SVWS auf Ihrem CRANIX-Server:

Melden Sie sich als Benutzer root am CRANIX-Server an und führen Sie folgende Schritte aus. Die einzige Frage die Sie beantworten müssen, ist die Name Ihrer Ortschaft:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh

Nun können Sie anschließend SVWS über ein Webrowser administrieren:

* Öffnen Sie im Browser '''https://<IP-Oder-Name-des-CRANIX-Servers>:8443/admin'''
* Melden Sie sich als Benutzer '''svwsadmin''' an.

<gallery>
SVWS-Admin-Anmeldung.png|SVWS-Admin-Anmeldung
SVWS-svwsdb-auswählen.png|SVWS-svwsdb-auswählen
SVWS-svwsdb-in-Konfiguration-Aufnehmen.png|svwsdb in Konfiguration Aufnehmen
SVWS-Fehlermeldung-zu-ignorieren.png|Fehlermeldung durch Abbrechen zu ignorieren
</gallery>

Sie können sich an die Administrationsoberfläche von SVWS auch als Benutzer '''root''' anmelden. Dessen Passwort finden Sie in der Datei/root/.my.cnf. So können Sie selber eigene Datenbanken anlegen, wenn Sie zBp mehrere Schulen auf einem CRANIX-Server verwalten. '''ACHTUNG''' in diesem Fall haben Sie vollen Zugriff auf allen Datenbanken auf dem Server. Bitte keine vorhanden Datenbanken in SVWS integrieren. Die Datenbanken '''CRX''' und '''kea_dhcp4''' werden von dem CRANIX-Server benutzt und dürfen nicht manuell geändert werden.

==Update==
Erscheint eine neue Version von SVWS, müssen Server und Klients aktualisiert werden. Das Update des Servers können Sie mit unserem Installationsscript erledigen. Gehen Sie dazu wie folgt vor:
# Laden Sie bitte unser aktuelles Installationsscript herunter.
# Überprüfen Sie ob das Script in der gewünschten Version angepasst ist. In der sechsteb Zeil muss hinter '''SVWS_VERSION=''' die richtige Version stehen. Sollte das nicht der Fall sein, kontaktieren Sie uns bitte mit einer E-Mail an [mailto://support@cephalix.eu support@cephalix.eu] und '''führen Sie keine weitere Schritte aus!'''
# Aktualisieren Sie die Software auf den Klients.
# Führen Sie das Skript mit dem Parameter --update aus:

wget http://downloads.cephalix.eu/install-svws-on-cranix.sh
chmod 755 install-svws-on-cranix.sh
./install-svws-on-cranix.sh --update

Wie arbeiten an der optimalen Integration von Schild-NRW-3 in den CRANIX Server.
Folgendes muss man bei der Installation des SVWS-Server auf einen CRANIX-Server beachten:
* Der SVWS-Server verwendet java-21-openjdk. Dieses muss nachinstalliert werden.
* Der cranix-api verwendet java-11-openjdk. Erst in der Version cranix-java-15.6-150601.20251204 wird dieser mit dem vollen Pfad aufgerufen. Also muss diese Version installiert werden. (crx_update.sh)
* Auf dem CRANIX-Server ist schon der MariaDB Server installiert und konfiguriert. Bei der Installation von SVWS Server darf MariaDB nicht installiert werden. Das root-Passwort von MariaDB auf dem CRANIX-Server entnehmen Sie aus der Datei /root/.my.cnf

[[Installation des SVWS-Servers]]

Verbindung mit Dateibrowser

2026-01-21T20:46:48Z

Admin:

Am einfachsten geht der Zugriff auf die eigene Dateien mit Hilfe des Dateibrowsers Nautilus von Gnome.
# Andere Orte
# Mit Server verbinden. Je nach dem ob der Fileserver auf Ihrem Server schon ausgelagert ist müssen Sie hier <code>smb://fileserver/homes</code> oder <code>smb://admin/homes</code> eintragen.
# Als registrierter Benutzer anmelden.
# Benutzername und Passwort eintragen.
# Passwort sollte nur auf Privaten Rechner gespeichert werden!
<gallery heights=200px widths=260px>
Gnome-Datei-Explorer-öffnen,png.png|Gnome-Datei-Explorer-öffnen
Gnome-Datei-Explorere-Andere-Orte.png|Gnome-Datei-Explorere-Andere-Orte
Gnome-Datei-Explorer-Verbindung.png|Gnome-Datei-Explorer-Verbindung
Gnome-Datei-Explorer-Anmelden.png|Gnome-Datei-Explorer-Anmelden
</gallery>

Verbindung mit Dateibrowser

2026-01-21T20:46:11Z

Admin: Die Seite wurde neu angelegt: „Am einfachsten geht der Zugriff auf die eigene Dateien mit Hilfe des Dateibrowsers Nautilus von Gnome. # Andere Orte # Mit Server verbinden. Je nach dem ob der Fileserver auf Ihrem Server schon ausgelagert ist müssen Sie hier <code>smb://fileserver/homes</code> oder <code>smb://admin/homes</code> eintrage. # Als registrierter Benutzer anmelden. # Benutzername und Passwort eintragen. # Passwort sollte nur auf Privaten Rechner gespeichert werden! <gallery…“

Am einfachsten geht der Zugriff auf die eigene Dateien mit Hilfe des Dateibrowsers Nautilus von Gnome.
# Andere Orte
# Mit Server verbinden. Je nach dem ob der Fileserver auf Ihrem Server schon ausgelagert ist müssen Sie hier <code>smb://fileserver/homes</code> oder <code>smb://admin/homes</code> eintrage.
# Als registrierter Benutzer anmelden.
# Benutzername und Passwort eintragen.
# Passwort sollte nur auf Privaten Rechner gespeichert werden!
<gallery heights=200px widths=260px>
Gnome-Datei-Explorer-öffnen,png.png|Gnome-Datei-Explorer-öffnen
Gnome-Datei-Explorere-Andere-Orte.png|Gnome-Datei-Explorere-Andere-Orte
Gnome-Datei-Explorer-Verbindung.png|Gnome-Datei-Explorer-Verbindung
Gnome-Datei-Explorer-Anmelden.png|Gnome-Datei-Explorer-Anmelden
</gallery>

Datei:Gnome-Datei-Explorer-Anmelden.png

2026-01-21T20:44:43Z

Admin:

Gnome-Datei-Explorer-Anmelden

Datei:Gnome-Datei-Explorer-Verbindung.png

2026-01-21T20:44:15Z

Admin:

Gnome-Datei-Explorer-Verbindung

Datei:Gnome-Datei-Explorere-Andere-Orte.png

2026-01-21T20:43:28Z

Admin:

Gnome-Datei-Explorere-Andere-Orte

Datei:Gnome-Datei-Explorer-öffnen,png.png

2026-01-21T20:42:22Z

Admin:

Gnome-Datei-Explorer-öffnen

Volle Integration eines Linux-Clients

2026-01-21T20:36:33Z

Admin: Die Seite wurde neu angelegt: „Um einen Linux-Client voll in die Domäne eines CRANIX-Servers zu integrieren müssen 2 Dienste konfiguriert werden: NFS für den Zugriff auf das Dateisystem und SSSD um die CRANIX-Benutzer auf den Client bereit zu stellen: 1. NFS. Auf dem CRANIX-Server muss der NFS Server installiert und konfiguriert werden: zypper -n install nfs-kernel-server echo '/home *(rw,acl,no_root_squash,no_subtree_check,async)' >> /etc/exports systemctl enable nfs-server.ser…“

Um einen Linux-Client voll in die Domäne eines CRANIX-Servers zu integrieren müssen 2 Dienste konfiguriert werden: NFS für den Zugriff auf das Dateisystem und SSSD um die CRANIX-Benutzer auf den Client bereit zu stellen:

1. NFS. Auf dem CRANIX-Server muss der NFS Server installiert und konfiguriert werden:
zypper -n install nfs-kernel-server
echo '/home *(rw,acl,no_root_squash,no_subtree_check,async)' >> /etc/exports
systemctl enable nfs-server.service
systemctl start nfs-server.service
2. Auf dem Client muss die Freigabe in /etc/fstab eingebunden werden:
echo 'admin:/home /home nfs rw,acl 0 0' >> /etc/fstab
mount -a
3. SSSD-Server ist auf dem CRANIX-Server schon installiert. Dieser muss nur auf den Clients eingebunden werden. Dazu muss das sssd Paket installiert und die sssd-Konfiguration erstellt werden. Man kann eigentlich die sssd Konfiguration <code> /etc/sssd/sssd.conf</code> vom CRANIX-Server nehmen. Diese sieht ungefähr so aus:
[sssd]
domains = default
config_file_version = 2
services = nss,pam
debug_level = 9

[nss]
filter_groups = root
filter_users = root

[pam]

[domain/default]
debug_level = 9
ldap_tls_reqcert = never
auth_provider = ldap
id_provider = ldap
ldap_schema = ad
override_shell = /bin/bash
ldap_id_use_start_tls = False
ldap_user_shell = /bin/bash
ldap_search_base = ###BASEDN###
ldap_uri = ldap://admin
enumerate = true
ldap_default_bind_dn = CN=ossreader,CN=Users,###BASEDN###
ldap_default_authtok = ossreader
ldap_referrals = false
ldap_user_object_class = user
ldap_user_name = cn
ldap_group_object_class = group
ldap_user_home_directory = unixHomeDirectory
case_sensitive=False
[autofs]
Lediglich ###BASEDN### muss angepasst werden. Weiterhin müssen folgende Befehle ausgeführt werden:
chmod 600 /etc/sssd/sssd.conf
systemctl enable sssd
systemctl start sssd
pam-config --add --sss
Passen Sie weiterhin <code>/etc/nsswitch.conf</code> an:
...
passwd: compat sss
group: compat sss
...

Linuxrechner am CRANIX ab Version 4.0

2026-01-21T20:16:30Z

Admin:

In erster Linie unterstützen wir die automatische Installation von openLeap-Clients. Die so installierten Rechner sind automatisch in der AD/LDAP Domain von CRANIX per sssd integriert. Dazu muss das Paket cranix-autoyast installiert und konfiguriert werden. Es ist jedoch mögliche, einen beliebigen Linux Client mit dem CRANIX Server zu verbinden. Dafür gibt es 2 Möglichkeiten:

# [[Volle Integration eines Linux-Clients]]
# [[Verbindung mit Dateibrowser]]

Konfiguration von Linux Clients mit SaltStack
* [[Umgang mit salt]]
* [[Automatische Konfiguration mit salt]]
* [[salt Rechnerauswahl]]

Erfassung der An- und Abmeldungen von Client-Rechner Benutzern am Server

* [[CRANIX_session]]

== Anmeldeprobleme von Netzwerk-Benutzern verhindern ==
Bei Samba AD ist standardmäßig ein Gültigkeitszeitraum von 365 Tagen für Benutzerpassworte eingestellt. Nach diesem Zeitraum verliert ein Passwort seine Gültigkeit und der Benutzer kann sich nicht mehr anmelden. Dieses Verhalten kann mit dem Befehl

samba-tool domain passwordsettings set --max-pwd-age=0

abgeschaltet werden.

Die aktuelle Einstellung kann mit

samba-tool domain passwordsettings show

angezeigt werden.

Datei:SVWS-Fehlermeldung-zu-ignorieren.png

2025-12-18T12:55:30Z

Admin:

SVWS-Fehlermeldung-zu-ignorieren

Datei:SVWS-svwsdb-in-Konfiguration-Aufnehmen.png

2025-12-18T12:53:41Z

Admin:

svwsdb in Konfiguration Aufnehmen

Datei:SVWS-svwsdb-auswählen.png

2025-12-18T12:39:39Z

Admin:

SVWS-svwsdb-auswählen

Datei:SVWS-Admin-Anmeldung.png

2025-12-18T12:36:47Z

Admin:

SVWS-Admin-Anmeldung

Installation

2025-12-17T10:11:23Z

Admin: /* Manuelle Installation des Systems */

= Installationsmedium erstellen=
Je nach dem in welcher Umgebung der CRANIX Server installiert wird, muss man das Installationsmedium von verschiedenen Orten herunterladen.
<br>
Das aktuelle Basis-Image befindet sich unter [http://downloads.cephalix.eu/CRANIX.iso CRANIX.iso].
Wenn Sie einen CRANIX-Care Vertrag mit uns haben oder Sie uns mit der Fertigstellung eines angepassten Image für Ihre Umgebung beauftragt haben: senden wir Ihnen eine individuelle URL für den Download.

Haben Sie einen eigenen CEPHALIX-Server für die Verwaltung Ihrer CRANIX-Server, dann können Sie das Installationsmedium von Ihrem CEPHALIX-Server herunterladen. Mehr dazu finden Sie in der Dokumentation des CEPHALIX-Servers.

Brennen Sie die .ISO-Datei auf einen DVD-Rohling oder kopieren Sie es auf ein USB-Stick. Unter SUSE-Linux geht das am einfach mit dem '''dd''' Befehl:
*Melden Sie sich als Benutzer '''root''' an.
*USB-Stick anstecken
*Device für USB-Stick ermitteln:
grep -Ff <(hwinfo --disk --short) <(hwinfo --usb --short)
*Image kopieren. /dev/sdX müssen Sie mit dem ermittelten Device ersetzen.
dd if="CRANIX.iso" of=/dev/sdX bs=4M status=progress && sync

= Das Bootmenü auf dem Installationsmedium =
[[Datei:Installation-Bootmenue.png|mini|Bootmenü]]
<div class="warningbox">Bei einer Installation von einem USB-Stick muss das Installationsmedium nach dem Reboot, der nach der Installation der Pakete folgt, entfernt werden. Ansonsten wird die Installation nach dem Reboot nicht als Installationsmedium erkannt und die erforderlichen Paketen werden während der Konfiguration nicht nach installiert.</div>
Bei einer Standardinstallation müssen Sie das zweite Menüpunkt '''Installation''' wählen.

Erhielten Sie das Installationsmedium von uns oder von einem CEPHALIX-Server: müssen Sie den dritten oder vierten Menüpunkt wählen je nach Installationsmedium.

'''Update''' ist für die Migration von OSS-3-4-2 gedacht. Migration von OSS-4-X oder anderen CRANIX-Versionen erfolgt über Online-Update.

Darüber hinaus können Sie das Installationsmedium zum Starten vom '''CloneTool''' auf nicht netzwerkbootfähigen Rechner verwenden.

= Automatische Installation =
Wenn Sie eine Automatische Installation gestartet haben, startet das openSUSE Installationsprogramm, analysiert und erkennt die Hardware. Nach kurze Zeit zeigt das Programm die erkannten Festplatten. Sie müssen nun manuell die Festplatte auswählen, auf die der CRANIX-Server installiert werden soll.

Erfolgt die Installation von DVD haben Sie nichts weiteres zu tun. Je nach Rechnerleistung ist Ihr System nach 20-40 Minuten nach mehreren Reboots fertig. Sie dürfen während der Installation das Installationsmedium nicht entfernen!

Erfolgt die Installation von USB schaltet das System nach der Installation der Pakete aus. Bevor Sie den Server neu einschalten, um die Installation fortzusetzen: müssen Sie den USB-Stick entfernen. Hat Ihr Server keinen Internetzugang müssen Sie eventuell den USB-Stick wieder anschließen, wenn das Installationsprogramm es verlangt.

= Manuelle Installation des Systems =
Im ersten Schritt müssen die Online-Repositorys aktiviert werden. Machen Sie hier keine Änderungen, damit die Installation ohne Probleme durchgeführt werden kann.<br>
Anschließend muss die Systemrolle ausgewählt werden.<br>
Im nächsten Schritt können Sie die ,durch die Systemrolle vorgegebene, Partitionierung manuell anpassen. Für CRANIX und CEPHALIX Server wird die Partitionierung mit Hilfe von LVM erstellt. Das heißt: die Partitionen können durch das Einsetzten von weiteren Festplatten vergrößert werden. Wenn Sie die Partitionierung ändern möchten, lesen Sie bitte die Dokumentation unter [https://documentation.suse.com/de-de/sles/15-SP6/html/SLES-all/cha-expert-partitioner.html Festplatte vorbereiten: Expertenmodus]. '''btrfs''' bietet zwar eine Menge Vorteile, bedarf jedoch einer regelmäßigen Pflege. Deshalb verwenden wir diese nicht in der Standardpartitionierung und können keine Hilfe bei Problemen mit '''btrfs''' anbieten.<br>
Wenn nötig können die Zeit Einstellungen angepasst werden. '''WICHTIG:''' Die Systemzeit darf auf keinen Fall in der Zukunft liegen. Das führt meistens zu einer nicht funktionsfähigen Installation.
<gallery heights=200px widths=260px>
Installation-Online-Repositorys.png|Online-Repositorys aktivieren
Installation-Liste-der-Online-Repositorys.png|Liste der Online-Repositorys
Installation-Systemrolle.png|Systemrolle auswählen
Installation-Partitionierung.png|Partitionierung
Installation-Zeitzone.png|Zeitzone
</gallery>
Anschließend muss für den Benutzer '''root''' ein sicheres Passwort festgelegt werden. Zum Schluss erhalten Sie eine Übersicht über die Installation.
<gallery heights=200px widths=260px>
Installation-Rootpasswort.png|Rootpasswort festlegen
Installation-Uebersicht.png|Zusammenfassung der Installation
Installation-Paketinstallation.png|Installationsprozess
</gallery>
Nach der Installation der Paketen wird das System neu gestartet. Anschließend muss die Konfiguration des Servers durchgeführt werden. Das heißt Domänenname, Art des Institutes, Netzwerkkonfiguration und das Passwort des Domainadministrators müssen festgelegt werden.

<gallery heights=200px widths=260px>
Installation-Select-Language.png|Sprache wählen
Installation-Read-Config.png|Konfiguration laden
Installation-CRANIX-Configuration.png|CRANIX Grundkonfiguration
Installation-Configure-Network.png|Konfiguration der Netzwerkkarten
Installation-Administrator-Passswod.png|Domain-Administrator Passwort
</gallery>

Datei:Installation-Administrator-Passswod.png

2025-12-17T10:10:53Z

Admin:

Domain-Administrator Passwort

Datei:Installation-Configure-Network.png

2025-12-17T10:09:37Z

Admin:

Gateway Konfiguration

Datei:Installation-CRANIX-Configuration.png

2025-12-17T10:08:32Z

Admin:

CRANIX Konfiguration

Datei:Installation-Read-Config.png

2025-12-17T10:06:36Z

Admin:

Konfiguration laden

Datei:Installation-Select-Language.png

2025-12-17T10:05:36Z

Admin:

Sprache wählen

Integration von Schild NRW-3

2025-12-08T07:16:50Z

Admin:

Wie arbeiten an der optimalen Integration von Schild-NRW-3 in den CRANIX Server.
Folgendes muss man bei der Installation des SVWS-Server auf einen CRANIX-Server beachten:
* Der SVWS-Server verwendet java-21-openjdk. Dieses muss nachinstalliert werden.
* Der cranix-api verwendet java-11-openjdk. Erst in der Version cranix-java-15.6-150601.20251204 wird dieser mit dem vollen Pfad aufgerufen. Also muss diese Version installiert werden. (crx_update.sh)
* Auf dem CRANIX-Server ist schon der MariaDB Server installiert und konfiguriert. Bei der Installation von SVWS Server darf MariaDB nicht installiert werden. Das root-Passwort von MariaDB auf dem CRANIX-Server entnehmen Sie aus der Datei /root/.my.cnf

[[Installation des SVWS-Servers]]

Installation

2025-12-05T12:02:24Z

Admin: /* Manuelle Installation des Systems */

= Installationsmedium erstellen=
Je nach dem in welcher Umgebung der CRANIX Server installiert wird, muss man das Installationsmedium von verschiedenen Orten herunterladen.
<br>
Das aktuelle Basis-Image befindet sich unter [http://downloads.cephalix.eu/CRANIX.iso CRANIX.iso].
Wenn Sie einen CRANIX-Care Vertrag mit uns haben oder Sie uns mit der Fertigstellung eines angepassten Image für Ihre Umgebung beauftragt haben: senden wir Ihnen eine individuelle URL für den Download.

Haben Sie einen eigenen CEPHALIX-Server für die Verwaltung Ihrer CRANIX-Server, dann können Sie das Installationsmedium von Ihrem CEPHALIX-Server herunterladen. Mehr dazu finden Sie in der Dokumentation des CEPHALIX-Servers.

Brennen Sie die .ISO-Datei auf einen DVD-Rohling oder kopieren Sie es auf ein USB-Stick. Unter SUSE-Linux geht das am einfach mit dem '''dd''' Befehl:
*Melden Sie sich als Benutzer '''root''' an.
*USB-Stick anstecken
*Device für USB-Stick ermitteln:
grep -Ff <(hwinfo --disk --short) <(hwinfo --usb --short)
*Image kopieren. /dev/sdX müssen Sie mit dem ermittelten Device ersetzen.
dd if="CRANIX.iso" of=/dev/sdX bs=4M status=progress && sync

= Das Bootmenü auf dem Installationsmedium =
[[Datei:Installation-Bootmenue.png|mini|Bootmenü]]
<div class="warningbox">Bei einer Installation von einem USB-Stick muss das Installationsmedium nach dem Reboot, der nach der Installation der Pakete folgt, entfernt werden. Ansonsten wird die Installation nach dem Reboot nicht als Installationsmedium erkannt und die erforderlichen Paketen werden während der Konfiguration nicht nach installiert.</div>
Bei einer Standardinstallation müssen Sie das zweite Menüpunkt '''Installation''' wählen.

Erhielten Sie das Installationsmedium von uns oder von einem CEPHALIX-Server: müssen Sie den dritten oder vierten Menüpunkt wählen je nach Installationsmedium.

'''Update''' ist für die Migration von OSS-3-4-2 gedacht. Migration von OSS-4-X oder anderen CRANIX-Versionen erfolgt über Online-Update.

Darüber hinaus können Sie das Installationsmedium zum Starten vom '''CloneTool''' auf nicht netzwerkbootfähigen Rechner verwenden.

= Automatische Installation =
Wenn Sie eine Automatische Installation gestartet haben, startet das openSUSE Installationsprogramm, analysiert und erkennt die Hardware. Nach kurze Zeit zeigt das Programm die erkannten Festplatten. Sie müssen nun manuell die Festplatte auswählen, auf die der CRANIX-Server installiert werden soll.

Erfolgt die Installation von DVD haben Sie nichts weiteres zu tun. Je nach Rechnerleistung ist Ihr System nach 20-40 Minuten nach mehreren Reboots fertig. Sie dürfen während der Installation das Installationsmedium nicht entfernen!

Erfolgt die Installation von USB schaltet das System nach der Installation der Pakete aus. Bevor Sie den Server neu einschalten, um die Installation fortzusetzen: müssen Sie den USB-Stick entfernen. Hat Ihr Server keinen Internetzugang müssen Sie eventuell den USB-Stick wieder anschließen, wenn das Installationsprogramm es verlangt.

= Manuelle Installation des Systems =
Im ersten Schritt müssen die Online-Repositorys aktiviert werden. Machen Sie hier keine Änderungen, damit die Installation ohne Probleme durchgeführt werden kann.<br>
Anschließend muss die Systemrolle ausgewählt werden.<br>
Im nächsten Schritt können Sie die ,durch die Systemrolle vorgegebene, Partitionierung manuell anpassen. Für CRANIX und CEPHALIX Server wird die Partitionierung mit Hilfe von LVM erstellt. Das heißt: die Partitionen können durch das Einsetzten von weiteren Festplatten vergrößert werden. Wenn Sie die Partitionierung ändern möchten, lesen Sie bitte die Dokumentation unter [https://documentation.suse.com/de-de/sles/15-SP6/html/SLES-all/cha-expert-partitioner.html Festplatte vorbereiten: Expertenmodus]. '''btrfs''' bietet zwar eine Menge Vorteile, bedarf jedoch einer regelmäßigen Pflege. Deshalb verwenden wir diese nicht in der Standardpartitionierung und können keine Hilfe bei Problemen mit '''btrfs''' anbieten.<br>
Wenn nötig können die Zeit Einstellungen angepasst werden. '''WICHTIG:''' Die Systemzeit darf auf keinen Fall in der Zukunft liegen. Das führt meistens zu einer nicht funktionsfähigen Installation.
<gallery heights=200px widths=260px>
Installation-Online-Repositorys.png|Online-Repositorys aktivieren
Installation-Liste-der-Online-Repositorys.png|Liste der Online-Repositorys
Installation-Systemrolle.png|Systemrolle auswählen
Installation-Partitionierung.png|Partitionierung
Installation-Zeitzone.png|Zeitzone
</gallery>
Anschließend muss für den Benutzer '''root''' ein sicheres Passwort festgelegt werden. Zum Schluss erhalten Sie eine Übersicht über die Installation.
<gallery heights=200px widths=260px>
Installation-Rootpasswort.png|Rootpasswort festlegen
Installation-Uebersicht.png|Zusammenfassung der Installation
Installation-Paketinstallation.png|Installationsprozess
</gallery>
Nach der Installation der Paketen wird das System neu gestartet. Anschließend muss die Konfiguration des Servers durchgeführt werden. Das heißt Domänenname, Art des Institutes, Netzwerkkonfiguration und das Passwort des Domainadministrators müssen festgelegt werden.

<gallery heights=200px widths=260px>
Installation-Rootpasswort.png|Rootpasswort festlegen
Installation-Uebersicht.png|Zusammenfassung der Installation
Installation-Paketinstallation.png|Installationsprozess
</gallery>

Datei:Installation-Partitionierung.png

2025-12-05T11:57:47Z

Admin: