Univention Corporate Server 4.1

  • Einleitung
Die aktuelle Version des Univention Corporate Server (kurz: UCS) ist 4.1 und stellt die Grundlage dieses Berichtes. Ich möchte hier ein paar (subjektive) Eindrücke über die Distribution wiedergeben.
Die Codebasis von 4.1 ist aktuell Debian Wheezy und wird mit Version 4.2, welche voraussichtlich im April 2017 erscheint, auf Debian Jessie aktualisiert. UCS bringt eine Vielzahl an Möglichkeiten zum Aufbau eines heterogenen, oder auch homogenen, Netzwerkes mit sich. Hervorzuheben sind hier besonders die hervorragende Unterstützung von Microsofts Active-Directory, die einfache Installation von zusätzlicher Software über den integrierten App-Store und die in weiten Teilen gut durchdachte Web-Oberfläche zum Administrieren der Dienste.

  • Download
Beginnen wir mit der Vorbereitung. Ich habe 2 Wege gefunden um an das Iso-Image zur Installation zu gelangen:

1. Der offizielle Weg

Unter https://www.univention.de/download/ findet man den Downloadbereich. Hier gibt es die Option zwischen einem Iso und einem vorgefertigten Image für VMWare bzw. Virtualbox.
Unabhängig von der Auswahl fragt Univention danach ein paar Informationen ab, die der Nutzer optional angeben kann. Einzig das Häckchen zur Zustimmung der Lizenzbedingungen muss gesetzt sein um den Download zu starten.

2. Der direkte Weg

Unter https://updates.software-univention.de/download/ucs-cds/ lassen sich die einzelnen Versionen direkt herunterladen. Hier fand ich im untersten Ordner (ucs4.1-4/) mein gewünschtes Iso.

Nachdem die 1,2 GB große Datei herunterladen war, wurde mit KVM eine VM vorbereitet. Meine Vorgaben für das System waren 8 GB Festplatte, 1 GB Ram und ein zugeordneter Kern. Die Angaben zum Betriebssystem und der Version lauteten Linux und „Generic 2.6.25 or later kernel with virtio“.

  • Installation

Text-Modus

Der Bildschirm begrüßt einen mit folgenden Dialog:
01_ucs_bootscreen_advanced
Meine Wahl fiel auf den Text-basierten Installationsmodus (Start in text mode) welchen man unter „Advanced options“ findet. Die Möglichkeit die Netzwerkeinstellungen selbst festzulegen ist hier gegeben, nach der Grundinstallation hat man dann die Auswahl zwischen der Fortsetzung über das Fenster in der VM, oder per Browser, was mich ein bisschen an die „network-console“ von Debian erinnert hat und in diesem Fall wesentlich komfortabler ist.

Der nächste Bildschirm sollte all denen bekannt sein die Debian kennen. Es folgt die Sprachauswahl für das System.
02_inst_sprache

Nach der Einstellung von Sprache, Standort, Tastatur-Layout und dem Setzen des Root-Passworts, wird die Festplatte partitioniert. Da es sich um ein Testsystem handelt wurde von mir nur eine Partition, neben der Swap-Partition eingerichtet. Im produktiven Einsatz ist davon dringend abzuraten.
04_inst_partion_05

Nachdem das Grundsystem installiert wurde erscheint eine wichtige Information:
04_inst_abschluss
Hier sehen wir die URL unter der die weitere Einrichtung des Servers, nach einem Reboot, fortgeführt werden kann.

Graphischer Modus

Nach dem Reboot geht es im Browser weiter und man ruft die Adresse für die Weboberfläche auf. Die Meldung (Dies ist keine sichere Verbindung) kann ignoriert und bestätigt werden, da es sich um ein selbstsigniertes SSL-Zertifikat handelt, das bei der Grundinstallation angelegt wurde.
02_ucs_inst_webinterface_login
Die Anmeldung erfolgt mit root und dem im Text-Modus gesetzten Passwort.

Es erfolgt die (zweite) Einrichtung der Sprache. Wer es sich in der Zwischenzeit anders überlegt hat, aus was für Gründen auch immer, kann an dieser Stelle die vorherigen Einstellungen zu Sprache, Standort und Tastatur-Layout korrigieren.
03_ucs_inst_webinterface_sprache

Der interessante Teil beginnt mit dem Klick auf „Weiter“.
04_ucs_inst_webinterface_netzwerk_ipdns
Das gesetzt Häckchen für „IP-Adresse automatisch beziehen (DHCP)“ wird entfernt. Die Einstellungen setze ich in der Regel manuell.

Im nächsten Bildschirm wird die Domäne eingerichtet. Da in meiner Test-Umgebung noch keine Domäne vorhanden ist, wähle ich die erste Option.
05_ucs_webinterface_domain_01
Bei Auswahl der Optionen 2 oder 3 müssen nachfolgend gegebenenfalls weitere Angaben zum Netzwerk gemacht werden.

Weiter geht es mit den Kontaktinformationen:
06_ucs_webinterface_domain_02
Wer noch keine Lizenz hat muss eine E-Mail-Adresse angeben. An diese Adresse wird ein kostenloser Lizenzschlüssel (Core-Version) geschickt, welcher importiert werden muss um Zugriff auf das Univention-Repository zu erhalten. Das Root-Passwort, das später auch zur Anmeldung des Administrator-Accounts verwendet wird, kann hier ebenfalls noch einmal geändert werden.

Es folgen die Angaben zum Namen der Domäne (hier „example.com“, der UCS-Server heißt kurz „ucs“). Die LDAP-Basis, abhänging vom FQDN, wird automatisch entsprechend angepasst.
07_ucs_webinterface_fqdn

Der letzte Punkt der Installation betrifft die Auswahl der Komponenten. Aus Gewohnheit wähle ich hier nichts aus und installiere alles was benötigt wird nach der Installation über die Web-Oberfläche oder per Kommandozeile.
08_ucs_webinterface_software

Abschließend folgt eine Zusammenfassung mit der Option einer Aktualisierung. In seltenen Fällen hatte die Aktivierung der Option bei mir zur Folge, das die Installation mit einem Fehler beendet wurde. Darum setzte ich an dieser Stelle meist kein Häckchen und führe ein „univention-upgrade“ nach Fertigstellung per Kommandozeile aus, oder aktualisiert über das Web-Interface.
09_ucs_webinterface_zusammenfassung

Ist die Installation und Einrichtung erfolgreich beendet worden, teilt einem die Installationsroutine folgendes mit:
10_ucs_webinterface_fertigstellen
Hat man am Anfang die Text-basierte Installation gewählt, ist nun kein weiterer Neustart notwendig.
Wenn, wie in meinem Fall, bei der Installation eine andere IP-Adresse gesetzt wurde (192.168.22.100) , die sich von der während der Installation verwendeten unterscheidet (192.168.22.123), sollte das beim nächsten Aufruf des Web-Interface beachtet werden.
Die Standard-Installation, über die rein graphische Oberfläche, wird jetzt zu einem Reboot des Systems auffordern und nach dem Neustart eine kurze Übersicht zeigen wie man auf die Web-Oberfläche zugreifen kann.

  • Erste Schritte

Lizenz importieren & Aktualisierung

Bevor das Web-Interface geöffnet wird, starte ich die Kommandozeile und hole die Systemaktualisierung nach. Vorher muss jedoch die Lizenzdatei importiert werden. Die Lizenzdatei habe ich per scp ins root-Verzeichnis kopiert.
13_ucs_konsole_upgrade
Alternativ kann man auch zuerst die Web-Oberfläche starten, wo nach der ersten Anmeldung ein Begrüßungsassistent erscheint, über den die Lizenzdatei importiert werden kann. Die Lizenzdatei findet Ihr in Eurem E-Mail-Postfach, das während der Installation angegeben wurde.

So weit, so gut …

Jetzt wird das Web-Interface geöffnet. Nach der Anmeldung mit dem Nutzer „Administrator“ (hat das selbe Passwort wie root) sieht man eine übersichtliche und aufgeräumte Oberfläche.
13_ucs_webinterface
Von diesem Punkt an können fast alle Einstellungen über die graphische Oberfläche vorgenommen werden. Bei Problemen ist das Handbuch (https://docs.software-univention.de/de/ucs4.1.html) die erste Anlaufstelle. Findet sich hier keine Lösung sollte man sich die „Cool Solutions“ (http://wiki.univention.de/index.php?title=Category:Cool_Solutions_Repos ..) anschauen, oder im Forum (http://forum.univention.de/) eine Anfrage stellen.

Installation AD-kompatibler Domain-Controller

Der letzte Punkt dieses Berichts befasst sich mit der Erweiterung unser Domäne um Active-Directory Funktionen damit sich Windows-Clients registrieren können und Zugriff auf die Netzwerkdienste des Servers erhalten.
Um AD-Kompatibilität herzustellen installiert man unter SoftwareApp Center die App „Active Directory-kompatibler Domänencontroller“ (rot markiert).
18_ucs_appcenter

Die Installation könnte von hier aus kaum einfacher sein. Mit nur 3 Klicks ist die „App“ installiert.
20_ucs_addc_installiert

Als nächstes wird ein neuer Nutzer angelegt. Dazu in der Übersicht den Punkt Benutzer aufrufen und „Hinzufügen“ wählen. Zum schnellen ausprobieren genügt die Angabe zu Nachname und Benutzername.
21_ucs_nutzer

Passwort setzen und bestätigen, Klick auf „Benutzer anlegen“, Fertig.
22_ucs_nutzer_passwort

Auf einem Windows-Client werden die Systemeigenschaften aufgerufen und dem PC mitgeteilt das er jetzt Mitglied der Domäne "example.com" ist.
23_win7_domain

Eingabe der Login-Daten des Administrators.
24_win7_domain_credentials

Willkommen in der Domäne.
25_win7_domain_willkommen

Es folgt der obligatorische Neustart von Windows. Wenn dieser vollzogen ist, kann sich der zuvor angelegte Nutzer anmelden.
26_win7_domain_anmeldung

Ein Klick auf den Start-Button zeigt den vollen Namen des Nutzers, wie er auf dem UCS-Server angelegt wurde.
screenshot_win7_2017-03-09_11:00:02

ENDE

Content-Key: 331770

Url: https://administrator.de/contentid/331770

Ausgedruckt am: 17.09.2021 um 14:09 Uhr

Mitglied: MOS6581
MOS6581 14.03.2017 um 09:03:51 Uhr
Goto Top
Tolles Tutorial - danke! Hat von euch schon mal jemand probiert, den UCS in eine 2012R2-Domäne zu heben? Habe mit verschiedenen Installationen und Versionen getestet, bin aber immer wieder gescheitert... Ist UCS als Windows DC-Alternative grundsätzlich empfehlenswert?

lG MOS
Mitglied: Valexus
Valexus 14.03.2017 um 21:12:29 Uhr
Goto Top
Moin,

Hatte UCS 4.1 in einer 2012r2 Domäne laufen aber nur als Zarafa Mailserver und nicht als DC. Lief bei uns ohne Probleme.

VG
Val
Mitglied: 132798
132798 23.03.2017 um 15:29:48 Uhr
Goto Top
Hey,

mein Name ist Valentin und ich arbeite bei Univention in Bremen.

Was genau hast du denn versucht zu machen? Ging es darum einen UCS in die AD-Domäne als Member aufzunehmen oder einen AD-Takeover von dem UCS aus durchzuführen?
Welche Fehler hast du erhalten?

Durch die Integration von Samba kann UCS vielfältige Services für Windows zur Verfügung stellen, ist durch die automatisch Replizierung von LDAP zu Samba/AD außerdem weiter einfach zu administrieren. Eine ausführliche Beschreibung der Services die UCS für Windows zur Verfügung stellen kann findest du in der offiziellen Dokumentation: https://docs.software-univention.de/handbuch-4.1.html#windows:Services_f ...


Viele Grüße,
Valentin
Mitglied: DaPedda
DaPedda 21.04.2017 aktualisiert um 23:26:14 Uhr
Goto Top
Servus,

auch ich habe heute den UCS 4.2 getestet und finde Mängel:

der UCS wird im AD nicht als Domain-Controller angezeigt, im erstmaligen Setup des UCS kommt nicht der Punkt: Backup-Domaincontroller. Erst wenn man den UCS löscht, wird der Punkt angeboten. Dummerweise lässt er sich dann aber nicht mehr in der Domäne integrieren.


Schade, ich hatte Hoffnungen.

Gruße, Peter
Mitglied: 132798
132798 24.04.2017 um 10:44:07 Uhr
Goto Top
Hallo Peter,

kannst du dein Problem etwas genauer beschreiben?
Hast du versucht den UCS als Mitglied in eine bestehende AD-Domäne zu joinen oder mit dem UCS ein neues AD aufbauen und einen Backup in diese zu integrieren?

Viele Grüße,
Valentin
Mitglied: DaPedda
DaPedda 24.04.2017 aktualisiert um 19:47:18 Uhr
Goto Top
Servus Valentin,

ich habe eine neue Windows Domäne erstellt und versucht, einen UCS als zweiten DC zu integrieren. Grundsätzlich funktioniert der Join und ich empfange am UCS auch alle Objekte, welche ich im AD neu anlege. Was mich irritiert ist folgendes: der UCS wird in der OU Computer angelegt, nicht in der OU Domänen Controller. Kann es sein, wenn es der erste UCS in der Domäne ist, das er nicht da rein will sondern der Master sein möchte? So was ähnliches habe ich im Handbuch raus lesen können.
Wenn ich dann das Objekt des UCS aus dem AD entferne und den UCS neu installiere, dann wird mir angeboten, den UCS als Domänen Backup Server zu installieren. Allerdings bekommt er dann das Join zur Domäne nicht mehr hin. Es bleibt mir dann nur, die komplette Domäne (Testumgebung *gg*) zu löschen und von vorne an zu fangen.
Evtl. sollte ich das Problem im Univention Forum posten?

Viele Grüße,

Peter

P.S.: Version 4.2 wird eingesetzt
Mitglied: 132798
132798 27.04.2017 um 18:03:40 Uhr
Goto Top
Hey Peter,

ja poste das Problem gerne mal auf help.univention.de, dann können dir auch meine Kollegen ebenfalls helfen. So wie ich es verstehe willst du einen UCS in eine AD-Domäne joinen, die von einem Windows Master kontrolliert wird? Du willst also diesen Teil der Doku umsetzen: https://docs.software-univention.de/handbuch-4.2.html#ad-connector:ad-me ..., richtig?

Poste mir gerne den Link von deinem Post in help.univention.de hier. Dann verfolge ich die Sache dort weiter :) face-smile

Viele Grüße,
Valentin
Heiß diskutierte Beiträge
question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler? gelöst BirdyBVor 1 TagFrageNetzwerke39 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS24 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 1 TagAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Windows Server 2012 R2 frisst SSDs (cbs.log)drahtbrueckeVor 1 TagFrageWindows Server14 Kommentare

Hallo, ich habe vor etwa 2 Monaten eine nur etwa 3 Monate alte SSD gegen eine neue getauscht (Samsung OEM Datacenter SSD SM883) in einem ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server20 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...

question
2 Netzwerkkarten für 2 verschieden Netze auf einem Windows-ServerglasscolaVor 19 StundenFrageWindows Server6 Kommentare

Hallo zusammen, im Rahmen meiner Bachelorthesis baue ich ein Labor auf, das folgend aussieht. Ich habe einen Server und auf ihm laufen 2 VMs (1 ...

info
Phishingwelle Volksbanklcer00Vor 1 TagInformationSicherheit10 Kommentare

Hallo zusammen, bei uns häufen sich gerade Phishing-Emails mit Ziel Volks-Raiffeisen-Bank. Geködert wird zum Teil auch mit der Erwähnung der SecureGo Smartphone-App. Grüße lcer ...