Mac OS X-Domänenbeitritt

UCS - Univention Corporate Server
1

Hallo,
Ich möchte eine Mac OS X zu ein UCS dommän beitreten. Ich kann mit eine Windows 7 Maschine
reibunglos beitreten aber mit dieses Kommando in ein Mac OS X (8.2) funktioniert es nicht.

solu-mac002:~ root# dsconfigad -a solu-mac002 -domain soluprod.intranet -ou "CN=Computers,dc=soluprod,dc=intranet"   -u uid=Administrator,cn=users,dc=soluprod,dc=intranet -mobile enable
uid=Administrator,cn=users,dc=soluprod,dc=intranet's Password: 
dsconfigad: Authentication server could not be contacted. (5200)
solu-mac002:~ root#

Haben Sie Ideen?

Vielen Danken

MfG

rhino64

2

Hallo,

ich würde vermuten dass es etwas mit der DNS-Auflösung zu tun hat:

dsconfigad: Authentication server could not be contacted. (5200)

Können Sie den Master via ping erreichen und entsprechend via DNS auflösen? Verwenden Sie auf dem Mac den Master als DNS-Server?

Mit freundlichen Grüßen,
Tim Petersen

3

Hallo,
Ja es war ein DNS Problem. Die Maschine war mit eine falsche DNS konfiguriert.
Wenn die Adresse des DNS Servers richtig war, die Verbindung war sofort hergestellt.

Jetzt gibt es noch eine Frage, wie kann man die Unix Erweiterungen mit Mac OS X benutzen?

Es ist aber eine andere Geschichte.

Vielen Danken für ihre Hilfe,

rhino64

4

Ich habe dasselbe Problem, meine Umgebung:

  • UCS Server: domain.intern.company.com (nur AD und RADIUS, kein DCHP, kein DNS)
  • Mac: OSX Yosemite, Name “sanfrancisco”, im AD eingetragen. (WLAN-Zugang via RADIUS funktioniert.)
  • Ping, nslookup funktionieren problemlos

Weder Dialog-, noch Kommandozeileneinrichtung funktioniert. Fehlermeldung: “Authentication server could not be contacted. (5200)”.

Kommando:

dsconfigad -a sanfrancisco -domain intern.company.com -ou "cn=Computers, dc=domain,dc=intern,dc=company,dc=com" -u <admin-name> -mobile enable

Haben Sie noch irgendeine Idee, was da los sein könnte?

Vielen Dank für Ihre Unterstützung,
Hardy

5

Wer stellt den DNS-Server bereit? Wenn auf dem UCS-Master kein DNS-Server läuft (das ist default), müssen alle relevanten SRV-Records von Hand auf dem zuständigen DNS-Server erzeugt werden damit sie erreichbar sind. Das sind u.A. die wie folgt beschriebenen:
DNS Service Records und DNS Alias Einträge in UCS

Ob das bereits die Ursache ist lässt sich nur mutmaßen, ich halte es aber für wahrscheinlich.

Viele Grüße,
Tim Petersen

6

Nur, damit ich das richtig verstehe: Wir haben zwei Optionen:
(1) DNS auf dem UCS starten und den UCS dem vorhandenen DNS-Server bekannt machen.
(2) Diese DNS-Einträge auf dem vorhandenen DNS-Server hinzufügen mit der IP-Adresse des UCS:

  • _domaincontroller_master._tcp - Der Rechnername des UCS Domaincontroller Masters
  • _kerberos._tcp - Alle Kerberos-Server der UCS Domäne, die über TCP erreicht werden können
  • _kerberos._udp - Alle Kerberos-Server der UCS Domäne, die über UDP erreicht werden können
  • _kerberos-adm._tcp - Der einzige Kerberos-Server, der auch Passwortänderungen verarbeiten kann
  • _ldap._tcp - Alle UCS Domaincontroller Systeme
  • _pkgdb._tcp - UCS Server System, auf dem die Paketstatus-Datenbank installiert ist
    Verstehe ich das korrekt?

Zur konkreten Umgebung:

  • Der bind9 wird unter “Systemdienste” als “läuft” ausgewiesen, d.h. an sich müsste der DNS sogar laufen.
  • In den “Netzwerk-Einstellungen” sind als Domänen-DNS-Server (in dieser Reihenfolge) der UCS selbst, und dann die beiden vorhandenen DNS-Server eingetragen (mit ihren IP-Adressen).
  • Unter “Domäne > DNS” sind ebenfalls alle drei DNS-Server eingetragen (für beide Richtungen).
    Nach meinem Verständnis müsste der UCS damit korrekt gesetzt sein. In den vorhandenen DNS-Servern habe ich nun noch den UCS als weiteren Weiterleitungsserver eingetragen.

Damit bekomme ich nun eine andere Fehlermeldung, der Server wird nun aber anscheinend gefunden.

7

Nur, damit ich das richtig verstehe: Wir haben zwei Optionen:
(1) DNS auf dem UCS starten und den UCS dem vorhandenen DNS-Server bekannt machen.
(2) Diese DNS-Einträge auf dem vorhandenen DNS-Server hinzufügen mit der IP-Adresse des UCS:

  • _domaincontroller_master._tcp - Der Rechnername des UCS Domaincontroller Masters
  • _kerberos._tcp - Alle Kerberos-Server der UCS Domäne, die über TCP erreicht werden können
  • _kerberos._udp - Alle Kerberos-Server der UCS Domäne, die über UDP erreicht werden können
  • _kerberos-adm._tcp - Der einzige Kerberos-Server, der auch Passwortänderungen verarbeiten kann
  • _ldap._tcp - Alle UCS Domaincontroller Systeme
  • _pkgdb._tcp - UCS Server System, auf dem die Paketstatus-Datenbank installiert ist
    Verstehe ich das korrekt?

Zur konkreten Umgebung:

  • Der bind9 wird unter “Systemdienste” als “läuft” ausgewiesen, d.h. an sich müsste der DNS sogar laufen.
  • In den “Netzwerk-Einstellungen” sind als Domänen-DNS-Server (in dieser Reihenfolge) der UCS selbst, und dann die beiden vorhandenen DNS-Server eingetragen (mit ihren IP-Adressen).
  • Unter “Domäne > DNS” sind ebenfalls alle drei DNS-Server eingetragen (für beide Richtungen).
    Nach meinem Verständnis müsste der UCS damit korrekt gesetzt sein. In den vorhandenen DNS-Servern habe ich nun noch den UCS als weiteren Weiterleitungsserver eingetragen.

Damit bekomme ich nun eine andere Fehlermeldung, der Server wird nun aber anscheinend gefunden.

8

Ergänzung: In der Tat funktioniert nun die grundsätzliche Anbindung an den Server, allerdings ist noch kein Login möglich. Dies könnte aber mit den durch das Apple MDM ausgerollten WLAN-Profilen zu tun haben, daher ist das hier diskutierte Problem für mich erst einmal erledigt. Vielen Dank für die Unterstützung!