FAQs: Unterschied zwischen den Versionen

Aus CEPHALIX/CRANIX
(Die Seite wurde neu angelegt: „__TOC__ == Windows Domain Probleme == === Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergeste…“)
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
__TOC__
 
__TOC__
 +
== Externer Zugriff auf den AD-LDAP-Server ==
 +
Grundsätzlich ist der Samba-Server so konfiguriert, dass dieser nur auf 127.0.0.1 und auf der interne IP-Adresse lauscht. Damit man von extern auch Zugriff hat, müssen FW_FORWARD_MASQ Regeln gesetzt werden:
 +
Angenommen die interne IP-Adresse Ihres Server ist 172.16.0.2. Sie möchte dem Server moodle.irgendwo.edu ldap-Zugriff erlauben, dann müssen Sie folgende Regel setzten:
 +
  FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389"
 +
 +
Möchten Sie auch ldaps Zugriff gewähren, brauchen Sie folgenden Regel:
 +
  FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389 moodle.irgendwo.edu/32,172.16.0.2,tcp,636"
 +
 +
Möchten Sie allen Server aus dem Internet ldaps Zugriff gewähren, brauchen Sie folgende Regel:
 +
  FW_FORWARD_MASQ="0/0,172.16.0.2,tcp,636"
 +
 
== Windows Domain Probleme ==
 
== Windows Domain Probleme ==
 
=== Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergestellt werden kann. ===
 
=== Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergestellt werden kann. ===
Zeile 24: Zeile 35:
  
 
== Wichtige Befehle ==
 
== Wichtige Befehle ==
Auf den Klients von OSS 4-0 ist das Management-Programm '''salt''' installiert. Mit dessen Hilfe kann man wichtig Programme vom OSS-Server aus auf den Klients ausführen:
+
Auf den Klients von CRANIX/OSS 4-0 ist das Management-Programm '''salt''' installiert. Mit dessen Hilfe kann man wichtig Programme vom CRANIX-Server aus auf den Klients ausführen:
  
 
   '''Angemeldeten Benutzer abfragen'''
 
   '''Angemeldeten Benutzer abfragen'''
   salt <minion> oss.loggedIn
+
   salt <minion> crx_client.loggedIn
  
 
   '''Angemeldeten Benutzer abmelden'''
 
   '''Angemeldeten Benutzer abmelden'''
   salt <minion> oss.logOff
+
   salt <minion> crx_client.logOff
 +
 
 +
  '''Computer sperren'''
 +
  salt <minion> crx_client.locClient
 +
 
 +
  '''Computer entsperren'''
 +
  salt <minion> crx_client.unLocClient
 +
 
 +
  '''Windowsupdates verbieten'''
 +
  salt <minion> crx_client.disableUpdates
 +
 
 +
  '''Windowsupdates erlauben'''
 +
  salt <minion> crx_client.enableUpdates
 +
 
  
 
'''WICHTIG''' mit der o.g. Befehlen kann man nur die lokal angemeldeten Benutzern verwalten. Benutzer die sich per RDP angemeldet haben kann man direkt mit dem QWINSTA erfassen. In beiden Fällen spielt es keine Rolle ob es sich um lokalen oder vom Domänen-Benutzer handelt.
 
'''WICHTIG''' mit der o.g. Befehlen kann man nur die lokal angemeldeten Benutzern verwalten. Benutzer die sich per RDP angemeldet haben kann man direkt mit dem QWINSTA erfassen. In beiden Fällen spielt es keine Rolle ob es sich um lokalen oder vom Domänen-Benutzer handelt.
Zeile 38: Zeile 62:
  
 
   '''SALT-Logdateien von Clients holen'''
 
   '''SALT-Logdateien von Clients holen'''
   salt <minions> cp.push ‘c:\salt\var\log\salt\minion‘
+
   salt <minions> cp.push 'c:\salt\var\log\salt\minion'
 
   Auf dem Server:
 
   Auf dem Server:
 
   /var/cache/salt/master/minions/<minionname>/
 
   /var/cache/salt/master/minions/<minionname>/
  
 
   '''Firewall-Status abfragen'''
 
   '''Firewall-Status abfragen'''
   salt <minion> cmd.run "netsh advfirewall show allprofiles"
+
   salt <minion> cmd.run 'netsh advfirewall show allprofiles'
  
 
   '''Remote Desktop Zugriff erlauben'''
 
   '''Remote Desktop Zugriff erlauben'''
Zeile 51: Zeile 75:
 
   '''Ein Port in Firewall nach innen öffnen'''
 
   '''Ein Port in Firewall nach innen öffnen'''
 
   salt <minion> firewall.add_rule 'Regelname' 'Port' 'Protokol'
 
   salt <minion> firewall.add_rule 'Regelname' 'Port' 'Protokol'
 +
 +
  '''Alle laufende salt-Prozesse auf dem Client (Minion) beende'''
 +
  salt <minion> saltutil.kill_all_jobs
 +
 +
  '''Liefert die lokal gespeicherte "Grains" von Clients'''
 +
  salt-run cache.grains <minion>

Version vom 28. August 2022, 14:41 Uhr

1 Externer Zugriff auf den AD-LDAP-Server

Grundsätzlich ist der Samba-Server so konfiguriert, dass dieser nur auf 127.0.0.1 und auf der interne IP-Adresse lauscht. Damit man von extern auch Zugriff hat, müssen FW_FORWARD_MASQ Regeln gesetzt werden: Angenommen die interne IP-Adresse Ihres Server ist 172.16.0.2. Sie möchte dem Server moodle.irgendwo.edu ldap-Zugriff erlauben, dann müssen Sie folgende Regel setzten:

 FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389"

Möchten Sie auch ldaps Zugriff gewähren, brauchen Sie folgenden Regel:

 FW_FORWARD_MASQ="moodle.irgendwo.edu/32,172.16.0.2,tcp,389 moodle.irgendwo.edu/32,172.16.0.2,tcp,636"

Möchten Sie allen Server aus dem Internet ldaps Zugriff gewähren, brauchen Sie folgende Regel:

 FW_FORWARD_MASQ="0/0,172.16.0.2,tcp,636"

2 Windows Domain Probleme

2.1 Nach der Anmeldung erscheint die Fehlermeldung, dass die Vertrauensstellung mit der Domänencontroller nicht hergestellt werden kann.

Laut Microsoft Support ist die einzige Lösung, den Rechner aus der Domäne zu nehmen und wieder beizutreten. Diesen Prozess kann man mit dem OSS schneller erledigen, wenn das OssClient-Programm installiert ist. Mit folgendem Befehl kann man einen Client aus der Domäne nehmen. Dieser Befehl startet den Client auch neu. Nach dem Neustart tritt der Client wieder in die Domäne und startet erneut.

 oss_unjoin_client.sh <clientname>

2.2 Profile können nicht gelesen oder geschrieben werden.

  1. Als erstes löschen Sie das Profil der betroffenen Benutzer: Adminoberfläche -> Benutzer -> suchen -> markieren -> Aktion -> Profil löschen
  2. Auf die Freigabe Profiles müssen von einem Windows-Client folgende ACLs gesetzt werden:

3 Client Probleme

3.1 Server musste neu aufgesetzt werde und die Clients arbeiten nicht mit dem neuen Server

Wenn Sie den CRANIX-Server völlig neu aufsetzten und nicht aus dem Backup wiederherstellen, funktioniert die Domänen- und Salt-Verbindung nicht. Der Grund dafür ist, dass die Domäne eine neue SID und der Sal-Master einen neuen ssh-Key erhalten hatte. In diesem Fall müssen Sie an den Clients folgende Schritte ausführen:

  1. Client mit dem selben Namen registrieren.
  2. In der Diensteverwaltung salt-minion anhalten.
  3. Die Dateien im Verzeichnis  C:\salt\conf\pki\minion löschen
  4. Rechner aus der Domäne in die Arbeitsgruppe WORKGROUP nehmen.
  5. Rechner neu starten.

3.2 Direkter Internetzugang funktioniert nur mit Verzögerung

Bitte beachten Sie, dass beim Umstellung auf direkten Internetzugang nur der Server diese Einstellung ändert. D.h. Der Server lässt nun alle Zugriffe aus dem Raum direkt ins Internet zu. Da bei den Clients nach wie vor der Proxy eingestellt ist, versuchen sie weiterhin über den Proxy ins Internet zu gehen. Wird der Proxy-Zugang gesperrt, führt das zur Timeouts. Erst wenn dieser abgelaufen ist versucht der Browser direkt und nicht über den Proxy auf das Internet zugreifen. Eine Abhilfe schafft, wenn man in Browser der Proxy abgeschaltet wird. Prinzipiell könne man auch die proxy.pac-Datei dynamisch anpassen, allerdings bringt das auch nicht viel, da diese erst beim Starten des Browsers ausgelesen wird. Also ein Neustart des Browser wäre in diesem Fall auch erforderlich. Da seit OSS-4-0 der Server über salt die "volle" Kontrolle über die Clients hat, arbeiten wir zur Zeit  an einer Lösung die durch Ändern des Registryeintrages die Proxyeinstellungen ändert.

4 Wichtige Befehle

Auf den Klients von CRANIX/OSS 4-0 ist das Management-Programm salt installiert. Mit dessen Hilfe kann man wichtig Programme vom CRANIX-Server aus auf den Klients ausführen:

 Angemeldeten Benutzer abfragen
 salt <minion> crx_client.loggedIn
 Angemeldeten Benutzer abmelden
 salt <minion> crx_client.logOff
 Computer sperren
 salt <minion> crx_client.locClient
 Computer entsperren
 salt <minion> crx_client.unLocClient
 Windowsupdates verbieten
 salt <minion> crx_client.disableUpdates
 Windowsupdates erlauben
 salt <minion> crx_client.enableUpdates


WICHTIG mit der o.g. Befehlen kann man nur die lokal angemeldeten Benutzern verwalten. Benutzer die sich per RDP angemeldet haben kann man direkt mit dem QWINSTA erfassen. In beiden Fällen spielt es keine Rolle ob es sich um lokalen oder vom Domänen-Benutzer handelt.

 Laufende Prozesse abfragen
 salt <minion> cmd.run tasklist
 SALT-Logdateien von Clients holen
 salt <minions> cp.push 'c:\salt\var\log\salt\minion'
 Auf dem Server:
 /var/cache/salt/master/minions/<minionname>/
 Firewall-Status abfragen
 salt <minion> cmd.run 'netsh advfirewall show allprofiles'
 Remote Desktop Zugriff erlauben
 salt <minion> cmd.run 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'
 salt <minion> cmd.run 'netsh firewall set service type = remotedesktop mode = enable'
 Ein Port in Firewall nach innen öffnen
 salt <minion> firewall.add_rule 'Regelname' 'Port' 'Protokol'
 Alle laufende salt-Prozesse auf dem Client (Minion) beende
 salt <minion> saltutil.kill_all_jobs
 Liefert die lokal gespeicherte "Grains" von Clients
 salt-run cache.grains <minion>