FAQs: Unterschied zwischen den Versionen

Aus CEPHALIX/CRANIX
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 18: Zeile 18:
 
=== Profile können nicht gelesen oder geschrieben werden. ===
 
=== Profile können nicht gelesen oder geschrieben werden. ===
 
# Als erstes löschen Sie das Profil der betroffenen Benutzer: Adminoberfläche -> Benutzer -> suchen -> markieren -> Aktion -> Profil löschen
 
# Als erstes löschen Sie das Profil der betroffenen Benutzer: Adminoberfläche -> Benutzer -> suchen -> markieren -> Aktion -> Profil löschen
# Auf die Freigabe Profiles müssen von einem Windows-Client folgende ACLs gesetzt werden:
+
# Auf die Freigabe Profiles müssen die ACLs repariert werden<br><code>setfacl --restore /usr/share/cranix/setup/profiles-acls</code>
 +
# Wenn das alles nicht hilft, müssen auf den Windows-Clients die lokal gespeicherte Profile und deren Einträge im Registry gelöscht werden. Die Profile selbst finden man unter <code>C:\Users</code> und die Einträge in Registry sind unter folgendem Registriepfad zu finden:<br><code>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList</code>
  
 
== Client Probleme ==
 
== Client Probleme ==
Zeile 72: Zeile 73:
 
   salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'
 
   salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'
 
   salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable'
 
   salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable'
 +
  salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /v UserAuthentication /t REG_DWORD /d "0" /f'
  
 
   '''Ein Port in Firewall nach innen öffnen'''
 
   '''Ein Port in Firewall nach innen öffnen'''
Zeile 78: Zeile 80:
 
   '''Alle laufende salt-Prozesse auf dem Client (Minion) beende'''
 
   '''Alle laufende salt-Prozesse auf dem Client (Minion) beende'''
 
   salt <minion> saltutil.kill_all_jobs
 
   salt <minion> saltutil.kill_all_jobs
 +
 +
  '''Liefert die lokal gespeicherte "Grains" von Clients'''
 +
  salt-run cache.grains <minion>

Aktuelle Version vom 12. September 2024, 10:12 Uhr

1 Externer Zugriff auf den AD-LDAP-Server

Grundsätzlich ist der Samba-Server so konfiguriert, dass dieser nur auf 127.0.0.1 und auf der interne IP-Adresse lauscht. Damit man von extern auch Zugriff hat, müssen FW_FORWARD_MASQ Regeln gesetzt werden: Angenommen die interne IP-Adresse Ihres Server ist 172.16.0.2. Sie möchte dem Server moodle.irgendwo.edu ldap-Zugriff erlauben, dann müssen Sie folgende Regel setzten:

 FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389"

Möchten Sie auch ldaps Zugriff gewähren, brauchen Sie folgenden Regel:

 FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389 moodle.irgendwo.edu/32,172.16.0.2,tcp,636"

Möchten Sie allen Server aus dem Internet ldaps Zugriff gewähren, brauchen Sie folgende Regel:

 FW_FORWARD_MASQ="0/0,172.16.0.2,tcp,636"

2 Windows Domain Probleme

2.1 Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergestellt werden kann.

Laut Microsoft Support ist die einzige Lösung, den Rechner aus der Domäne zu nehmen und wieder beizutreten. Diesen Prozess kann man mit dem OSS schneller erledigen, wenn das OssClient-Programm installiert ist. Mit folgendem Befehl kann man einen Client aus der Domäne nehmen. Dieser Befehl startet den Client auch neu. Nach dem Neustart tritt der Client wieder in die Domäne und startet erneut.

 oss_unjoin_client.sh <clientname>

2.2 Profile können nicht gelesen oder geschrieben werden.

  1. Als erstes löschen Sie das Profil der betroffenen Benutzer: Adminoberfläche -> Benutzer -> suchen -> markieren -> Aktion -> Profil löschen
  2. Auf die Freigabe Profiles müssen die ACLs repariert werden
    setfacl --restore /usr/share/cranix/setup/profiles-acls
  3. Wenn das alles nicht hilft, müssen auf den Windows-Clients die lokal gespeicherte Profile und deren Einträge im Registry gelöscht werden. Die Profile selbst finden man unter C:\Users und die Einträge in Registry sind unter folgendem Registriepfad zu finden:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

3 Client Probleme

3.1 Server musste neu aufgesetzt werde und die Clients arbeiten nicht mit dem neuen Server

Wenn Sie den CRANIX-Server völlig neu aufsetzten und nicht aus dem Backup wiederherstellen, funktioniert die Domänen- und Salt-Verbindung nicht. Der Grund dafür ist, dass die Domäne eine neue SID und der Sal-Master einen neuen ssh-Key erhalten hatte. In diesem Fall müssen Sie an den Clients folgende Schritte ausführen:

  1. Client mit dem selben Namen registrieren.
  2. In der Diensteverwaltung salt-minion anhalten.
  3. Die Dateien im Verzeichnis  C:\salt\conf\pki\minion löschen
  4. Rechner aus der Domäne in die Arbeitsgruppe WORKGROUP nehmen.
  5. Rechner neu starten.

3.2 Direkter Internetzugang funktioniert nur mit Verzögerung

Bitte beachten Sie, dass beim Umstellung auf direkten Internetzugang nur der Server diese Einstellung ändert. D.h. Der Server lässt nun alle Zugriffe aus dem Raum direkt ins Internet zu. Da bei den Clients nach wie vor der Proxy eingestellt ist, versuchen sie weiterhin über den Proxy ins Internet zu gehen. Wird der Proxy-Zugang gesperrt, führt das zur Timeouts. Erst wenn dieser abgelaufen ist versucht der Browser direkt und nicht über den Proxy auf das Internet zugreifen. Eine Abhilfe schafft, wenn man in Browser der Proxy abgeschaltet wird. Prinzipiell könne man auch die proxy.pac-Datei dynamisch anpassen, allerdings bringt das auch nicht viel, da diese erst beim Starten des Browsers ausgelesen wird. Also ein Neustart des Browser wäre in diesem Fall auch erforderlich. Da seit OSS-4-0 der Server über salt die "volle" Kontrolle über die Clients hat, arbeiten wir zur Zeit  an einer Lösung die durch Ändern des Registryeintrages die Proxyeinstellungen ändert.

4 Wichtige Befehle

Auf den Klients von CRANIX/OSS 4-0 ist das Management-Programm salt installiert. Mit dessen Hilfe kann man wichtig Programme vom CRANIX-Server aus auf den Klients ausführen:

 Angemeldeten Benutzer abfragen
 salt <minion> crx_client.loggedIn
 Angemeldeten Benutzer abmelden
 salt <minion> crx_client.logOff
 Computer sperren
 salt <minion> crx_client.locClient
 Computer entsperren
 salt <minion> crx_client.unLocClient
 Windowsupdates verbieten
 salt <minion> crx_client.disableUpdates
 Windowsupdates erlauben
 salt <minion> crx_client.enableUpdates


WICHTIG mit der o.g. Befehlen kann man nur die lokal angemeldeten Benutzern verwalten. Benutzer die sich per RDP angemeldet haben kann man direkt mit dem QWINSTA erfassen. In beiden Fällen spielt es keine Rolle ob es sich um lokalen oder vom Domänen-Benutzer handelt.

 Laufende Prozesse abfragen
 salt <minion> cmd.run tasklist
 SALT-Logdateien von Clients holen
 salt <minions> cp.push 'c:\salt\var\log\salt\minion'
 Auf dem Server:
 /var/cache/salt/master/minions/<minionname>/
 Firewall-Status abfragen
 salt <minion> cmd.run 'netsh advfirewall show allprofiles'
 Remote Desktop Zugriff erlauben
 salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'
 salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable'
 salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /v UserAuthentication /t REG_DWORD /d "0" /f'
 Ein Port in Firewall nach innen öffnen
 salt <minion> firewall.add_rule 'Regelname' 'Port' 'Protokol'
 Alle laufende salt-Prozesse auf dem Client (Minion) beende
 salt <minion> saltutil.kill_all_jobs
 Liefert die lokal gespeicherte "Grains" von Clients
 salt-run cache.grains <minion>