3
Kommunikation zwischen Open LDAP PDC und Win2003 Server
Hallo,
ich arbeite für eine Schule, an der ein neues System angeschafft wurde. Dummerweise hat uns die zuständige Firma im Stich gelassen, was die Serverkonfiguration angeht. Wir haben mittlerweile zwar schon viel herausfinden können, aber eben auch nicht alles. Unser derzeitiges Problem ist folgendes:
System:
1x Open LDAP Server, der Primary Domain Controller ist
1x Windows 2003 Server (SP1), auf dem nur Terminal Server läuft (er soll Secondary Domain Controller sein)
Problem:
1. Wir bekommen es nicht hin, ein Active Directory auf dem Win 2003 als SDC zu installieren. Wir bekommen die folgende(n) Fehlermeldung(sdetails):
Damit haben wir uns eigentlich auch abgefunden, obwohl es echt an allen Ende nervt, wie z.B. bei den GPOs. Nun soll jeder Nutzer des Open LDAP Servers aber mit seinem eigenen Benutzernamen und Passwort am Win 2003 Server über RDP anmelden können. Das klappt jetzt soweit prinzipiell auch, da der Win2003 mittlerweile der Domain des PDC angehört. Man kann nun einfach im Anmeldefenster die Domain zum Anmelden einstellen und dann können sich die Nutzer so anmelden,
2. allerdings erscheint dann bei jedem Anmelden 2 Fehlermeldungen, dass Windows weder das servergespeicherte noch das lokale Profil laden konnte und deshalb ein temporäres Profil erstellt.
Nun zu den Fragen:
1. Wisst Ihr, wie wir vielleicht doch noch das Active Directory als SDC zum Laufen kriegen?
2. Wie können wir ohne ein AD angeben, wo ein Profil liegt? - Am liebsten wären uns servergespeicherte, aber notfalls tun es auch lokale.
3. Im Notfall könnten auch alle Benutzer auf ein und dasselbe Profil geleitet werden. Wichtig ist, dass diese Fehlermeldungen verschwinden.
4. Wisst Ihr, wie man ohne AD sinnvoll Sicherheitseinstellungen treffen kann? Denn die GPOs funktionieren ja nur mit AD sinnvoll. Sprich in unserem Fall mit GPO Lokal stellen wir für alle Nutzer dasselbe ein und es ist unpraktisch, wenn man dem Remote angemeldeten Administrator ebenso wie den Usern verbietet, den Server herunterfahren zu dürfen.
Am liebsten wäre uns natürlich eine Lösung, die ermöglicht das AD zum Laufen zu bringen und dann die Probleme behebt, aber wir sind auch für alle anderen Hilfestellungen dankbar!
ich arbeite für eine Schule, an der ein neues System angeschafft wurde. Dummerweise hat uns die zuständige Firma im Stich gelassen, was die Serverkonfiguration angeht. Wir haben mittlerweile zwar schon viel herausfinden können, aber eben auch nicht alles. Unser derzeitiges Problem ist folgendes:
System:
1x Open LDAP Server, der Primary Domain Controller ist
1x Windows 2003 Server (SP1), auf dem nur Terminal Server läuft (er soll Secondary Domain Controller sein)
Problem:
1. Wir bekommen es nicht hin, ein Active Directory auf dem Win 2003 als SDC zu installieren. Wir bekommen die folgende(n) Fehlermeldung(sdetails):
Der Domänenname "wichern-schule" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:
Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domänencontrollers für die Domäne "wichern-schule" verwendet wird:
Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Es handelt sich um die Abfrage des Dienstidentifizierungeintrags (SRV) für _ldap._tcp.dc._msdcs.wichern-schuleDamit haben wir uns eigentlich auch abgefunden, obwohl es echt an allen Ende nervt, wie z.B. bei den GPOs. Nun soll jeder Nutzer des Open LDAP Servers aber mit seinem eigenen Benutzernamen und Passwort am Win 2003 Server über RDP anmelden können. Das klappt jetzt soweit prinzipiell auch, da der Win2003 mittlerweile der Domain des PDC angehört. Man kann nun einfach im Anmeldefenster die Domain zum Anmelden einstellen und dann können sich die Nutzer so anmelden,
2. allerdings erscheint dann bei jedem Anmelden 2 Fehlermeldungen, dass Windows weder das servergespeicherte noch das lokale Profil laden konnte und deshalb ein temporäres Profil erstellt.
Nun zu den Fragen:
1. Wisst Ihr, wie wir vielleicht doch noch das Active Directory als SDC zum Laufen kriegen?
2. Wie können wir ohne ein AD angeben, wo ein Profil liegt? - Am liebsten wären uns servergespeicherte, aber notfalls tun es auch lokale.
3. Im Notfall könnten auch alle Benutzer auf ein und dasselbe Profil geleitet werden. Wichtig ist, dass diese Fehlermeldungen verschwinden.
4. Wisst Ihr, wie man ohne AD sinnvoll Sicherheitseinstellungen treffen kann? Denn die GPOs funktionieren ja nur mit AD sinnvoll. Sprich in unserem Fall mit GPO Lokal stellen wir für alle Nutzer dasselbe ein und es ist unpraktisch, wenn man dem Remote angemeldeten Administrator ebenso wie den Usern verbietet, den Server herunterfahren zu dürfen.
Am liebsten wäre uns natürlich eine Lösung, die ermöglicht das AD zum Laufen zu bringen und dann die Probleme behebt, aber wir sind auch für alle anderen Hilfestellungen dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 17894
Url: https://administrator.de/contentid/17894
Printed on: April 23, 2024 at 13:04 o'clock
3 Comments
Latest comment
schreib doch mal genauer, was das für ein netz ist, auf was für maschinen welche dienste laufen. ich befürchte aber fast, dass ihr kein ad auf nem sdc hinbekommt. das wird doch nur vom pdc auf den sdc repliziert, oder?
Das Netz besteht aus 2 Computerräumen mit 15 Rechnern pro Raum (Mac Mini), einem Serverraum mit einem XServe und einem Windows 2003 Server. Alle in einem 100 Mbit Netz, die Server sind über 1 Gbit angebunden. Die Clients melden sich für viele Aufgaben nur am Xserve (Open LDAP, PDC, DNS) an. Das funktioniert problemlos. Nun ist es in der Umgebung aber für manche Programme nötig, Windows zur Verfügung zu haben. Deswegen verwenden wir den Terminal Server und den Microsoft Remote Desktop Clent for Mac um so eine Windows Umgebung zu simulieren.
Wenn ich es richtig verstanden habe, ist ein SDC nur eine Replikation des PDC, ja. Wenn Du sagst, dass das nicht geht, ist es denn möglich ein AD als irgendetwas anderes außer PDC zum Laufen zu bekommen? Der Windows 2003 Server muss hierarchisch einfach unter dem XServe liegen.
Wenn ich es richtig verstanden habe, ist ein SDC nur eine Replikation des PDC, ja. Wenn Du sagst, dass das nicht geht, ist es denn möglich ein AD als irgendetwas anderes außer PDC zum Laufen zu bekommen? Der Windows 2003 Server muss hierarchisch einfach unter dem XServe liegen.
Ach übrigens, hat uns ein Mac und Windows Fachmann, glaubhaft erklärt, dass eine AD Anbindung an einen solchen Open LDAP Server möglich sei, aber relativ verzwickt und dass das so einiges mit Kerberos zu tun habe. Dummerweise lebt dieser Techniker in Süddeutschland und ist deshalb für uns (die Fahrt mitgerechnet) deutlich zu teuer.
