FAQs: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 73: | Zeile 73: | ||
salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f' | salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f' | ||
salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable' | salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable' | ||
+ | salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /v UserAuthentication /t REG_DWORD /d "0" /f' | ||
'''Ein Port in Firewall nach innen öffnen''' | '''Ein Port in Firewall nach innen öffnen''' |
Aktuelle Version vom 12. September 2024, 10:12 Uhr
Inhaltsverzeichnis
1 Externer Zugriff auf den AD-LDAP-Server
Grundsätzlich ist der Samba-Server so konfiguriert, dass dieser nur auf 127.0.0.1 und auf der interne IP-Adresse lauscht. Damit man von extern auch Zugriff hat, müssen FW_FORWARD_MASQ Regeln gesetzt werden: Angenommen die interne IP-Adresse Ihres Server ist 172.16.0.2. Sie möchte dem Server moodle.irgendwo.edu ldap-Zugriff erlauben, dann müssen Sie folgende Regel setzten:
FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389"
Möchten Sie auch ldaps Zugriff gewähren, brauchen Sie folgenden Regel:
FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389 moodle.irgendwo.edu/32,172.16.0.2,tcp,636"
Möchten Sie allen Server aus dem Internet ldaps Zugriff gewähren, brauchen Sie folgende Regel:
FW_FORWARD_MASQ="0/0,172.16.0.2,tcp,636"
2 Windows Domain Probleme
2.1 Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergestellt werden kann.
Laut Microsoft Support ist die einzige Lösung, den Rechner aus der Domäne zu nehmen und wieder beizutreten. Diesen Prozess kann man mit dem OSS schneller erledigen, wenn das OssClient-Programm installiert ist. Mit folgendem Befehl kann man einen Client aus der Domäne nehmen. Dieser Befehl startet den Client auch neu. Nach dem Neustart tritt der Client wieder in die Domäne und startet erneut.
oss_unjoin_client.sh <clientname>
2.2 Profile können nicht gelesen oder geschrieben werden.
- Als erstes löschen Sie das Profil der betroffenen Benutzer: Adminoberfläche -> Benutzer -> suchen -> markieren -> Aktion -> Profil löschen
- Auf die Freigabe Profiles müssen die ACLs repariert werden
setfacl --restore /usr/share/cranix/setup/profiles-acls
- Wenn das alles nicht hilft, müssen auf den Windows-Clients die lokal gespeicherte Profile und deren Einträge im Registry gelöscht werden. Die Profile selbst finden man unter
C:\Users
und die Einträge in Registry sind unter folgendem Registriepfad zu finden:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
3 Client Probleme
3.1 Server musste neu aufgesetzt werde und die Clients arbeiten nicht mit dem neuen Server
Wenn Sie den CRANIX-Server völlig neu aufsetzten und nicht aus dem Backup wiederherstellen, funktioniert die Domänen- und Salt-Verbindung nicht. Der Grund dafür ist, dass die Domäne eine neue SID und der Sal-Master einen neuen ssh-Key erhalten hatte. In diesem Fall müssen Sie an den Clients folgende Schritte ausführen:
- Client mit dem selben Namen registrieren.
- In der Diensteverwaltung salt-minion anhalten.
- Die Dateien im Verzeichnis C:\salt\conf\pki\minion löschen
- Rechner aus der Domäne in die Arbeitsgruppe WORKGROUP nehmen.
- Rechner neu starten.
3.2 Direkter Internetzugang funktioniert nur mit Verzögerung
Bitte beachten Sie, dass beim Umstellung auf direkten Internetzugang nur der Server diese Einstellung ändert. D.h. Der Server lässt nun alle Zugriffe aus dem Raum direkt ins Internet zu. Da bei den Clients nach wie vor der Proxy eingestellt ist, versuchen sie weiterhin über den Proxy ins Internet zu gehen. Wird der Proxy-Zugang gesperrt, führt das zur Timeouts. Erst wenn dieser abgelaufen ist versucht der Browser direkt und nicht über den Proxy auf das Internet zugreifen. Eine Abhilfe schafft, wenn man in Browser der Proxy abgeschaltet wird. Prinzipiell könne man auch die proxy.pac-Datei dynamisch anpassen, allerdings bringt das auch nicht viel, da diese erst beim Starten des Browsers ausgelesen wird. Also ein Neustart des Browser wäre in diesem Fall auch erforderlich. Da seit OSS-4-0 der Server über salt die "volle" Kontrolle über die Clients hat, arbeiten wir zur Zeit an einer Lösung die durch Ändern des Registryeintrages die Proxyeinstellungen ändert.
4 Wichtige Befehle
Auf den Klients von CRANIX/OSS 4-0 ist das Management-Programm salt installiert. Mit dessen Hilfe kann man wichtig Programme vom CRANIX-Server aus auf den Klients ausführen:
Angemeldeten Benutzer abfragen salt <minion> crx_client.loggedIn
Angemeldeten Benutzer abmelden salt <minion> crx_client.logOff
Computer sperren salt <minion> crx_client.locClient
Computer entsperren salt <minion> crx_client.unLocClient
Windowsupdates verbieten salt <minion> crx_client.disableUpdates
Windowsupdates erlauben salt <minion> crx_client.enableUpdates
WICHTIG mit der o.g. Befehlen kann man nur die lokal angemeldeten Benutzern verwalten. Benutzer die sich per RDP angemeldet haben kann man direkt mit dem QWINSTA erfassen. In beiden Fällen spielt es keine Rolle ob es sich um lokalen oder vom Domänen-Benutzer handelt.
Laufende Prozesse abfragen salt <minion> cmd.run tasklist
SALT-Logdateien von Clients holen salt <minions> cp.push 'c:\salt\var\log\salt\minion' Auf dem Server: /var/cache/salt/master/minions/<minionname>/
Firewall-Status abfragen salt <minion> cmd.run 'netsh advfirewall show allprofiles'
Remote Desktop Zugriff erlauben salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f' salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable' salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP" /v UserAuthentication /t REG_DWORD /d "0" /f'
Ein Port in Firewall nach innen öffnen salt <minion> firewall.add_rule 'Regelname' 'Port' 'Protokol'
Alle laufende salt-Prozesse auf dem Client (Minion) beende salt <minion> saltutil.kill_all_jobs
Liefert die lokal gespeicherte "Grains" von Clients salt-run cache.grains <minion>