Probleme beim Umstieg von SBS 2003

UCS - Univention Corporate Server
#1

Hallo,

ich habe die c’t-Edition installiert, alle Updates eingebaut und will damit meinen privaten 2003 SBS ersetzen. Mit Linux kenne ich mich eher oberflächlich aus, darum muss ich mich hier mal schlau fragen. Das drängenste Problem zuerst. Beim Mailversand über den konfigurierten Smarthost bekomme ich ein SMTP-553, also scheint die Authentifizierung nicht zu funktionieren. Da es auch beim Umzug Probleme mit dem Passwort gegeben hat (’!’ musste ersetzt werden, dann klappte es):
Gibt es generelle Probleme, wenn Sonderzeichen wie ‘!’ verwendet werden?
Wenn nicht, wo kann ich nachgucken, was der Fehler ist?

Aufgefallen ist mir, dass im mail.info angemeckert wird, dass das Zertifikat des Smarthosts (smtp.loomes.net) nicht verifiziert werden könnte. ‘untrusted issuer […] thawte.com
Wo kann ich dem Aussteller vertrauen bzw. wie diesen Fehler übergehen?

Dann habe ich noch eine Frage zu den Benutzern auf dem System. Wo kann ich nachlesen, welche Benutzer systemrelevant sind und welche ich problemlos löschen kann. Sonst komme ich mit 3 eigenen Benutzern schon an die Grenze, dass das UMC nicht mehr speichern will…

Danke im Voraus
Andreas

#2

Sich selbst antworten ist zwar unsexy, aber nachdem ich das ‘!’ aus dem Passwort entfernt habe und postmap nochmal bemühte - Mail wird verschickt. Scheint also echt daran zu liegen, dass UCS massive Probleme mit sichereren Passworten hat. :frowning:

Jetzt bleibt noch die Baustelle mit den Benutzern, aber davor muss ich den DHCP-Server noch dazu überreden, dass er Adressen vergibt und wohl das DNS glatt ziehen… grummel, grummel, grummel…

#3

Hallo,

ein generelles Problem mit Sonderzeichen in Passwörtern ist uns in UCS nicht bekannt. Es ist aber denkbar das es beim SMTP-Auth/Postmap zu Problemen kommen kann wenn Ausrufezeichen im Passwort verwendet werden. Ich habe das aktuell nicht geprüft, allerdings haben wir entsprechende Meldungen bisher von keinen anderen Kunden bekommen.

Bzgl. der Benutzer:
Die standardmäßig in UCS angelegten Benutzer sind von der Lizenzählung ausgenommen. Bzgl. der “Systembenutzer” die durch die AD Übername angelegt wurden sollten Sie die Microsoft Dokumentation konsultieren. Für die private Verwendung stellt unser Vertrieb (sales@univention.de) aber sicher auch gerne etwas größere Lizenzen aus.

Mit freundlichen Grüßen
Janis Meybohm

#4

Hallo Herr Meybohm,

mag sein, dass es an der Kombination hier liegt. Ich verwende als ‘Hardware’ für meine Spielwiese einen aktuellen ESXi-Hypervisor und manage das über den vSphere Client unter Windows 7. Installiert habe ich von der c’t-DVD. Zuerst ist es mir beim Versuch der Migration aufgefallen. Aus dem Gedächtnis, sinngemäss kam die Fehlermeldung, dass der UCS sich nicht mit dem AD verbinden könne und ein Abbruch des Scriptes. Nachdem ich in der 2k3-Domain und auf dem UCS das Passwort vom Administrator von XxXxx!xx auf XxXxx1xx geändert habe, ist das Script durchgelaufen. Ähnliches mit dem Mailpasswort. Fetchmail konnte sich verbinden (PW über das Webinterface eingetragen), Postfix erst nachdem ich auch in dem Passwort das ‘!’ ersetzt habe. Auch hier wurde das Passwort über die vSphere-Konsole eingegeben.

Und zu den Benutzern: Entweder habe ich verpennt die Lizenz einzutragen (denke ich mal) oder sie wurde wieder vergessen. Nachdem ich sie eingetragen habe, ist erst mal genug Luft. Wenn noch mehr Gadgets in unseren Gerätezoo einziehen, dann werde ich mich gerne melden. Mir geht es primär darum, dass ich die Optik bereinige und Altlasten entsorge. Gibt es im Handbuch eine Übersicht der Univention Systemaccounts und wofür sie gebraucht werden? (Ich bin neugierig, ich weiss…)

Etwas Kritik habe ich aber trotzdem:
Wenn man im DHCP-Manager die DDNS-Richtlinien verwendet, dann steigt der DHCP-Server stillschweigend aus. Ein Hinweis (auch gerne mit ‘RTFM Kapitel 4.7.11’), dass damit Univention-DHCP nicht mehr läuft, hätte mir viel Zeit erspart. Aber es übt ja. :wink:

Freundliche Grüsse
Andreas

#5

Hallo,

[quote=“andreas”]Gibt es im Handbuch eine Übersicht der Univention Systemaccounts und wofür sie gebraucht werden? (Ich bin neugierig, ich weiss…)[/quote]eine entsprechende Liste gibt es im Handbuch bisher nicht, allerdings wäre diese auch recht kurz. Für einen UCS 3.1 System mit Samba 4:
[ul]
[li]Administrator: Der standard Administrator-Account[/li]
[li]dns-master: DNS/DDNS Uodates[/li]
[li]Guest: AD “guest” Account[/li]
[li]join-backup: Zum Joinen von DC-Backups notwendig[/li]
[li]join-slave: Zum Joinen von DC-Slaves notwendig[/li][/ul]

[quote=“andreas”] Etwas Kritik habe ich aber trotzdem:
Wenn man im DHCP-Manager die DDNS-Richtlinien verwendet, dann steigt der DHCP-Server stillschweigend aus. Ein Hinweis (auch gerne mit ‘RTFM Kapitel 4.7.11’), dass damit Univention-DHCP nicht mehr läuft, hätte mir viel Zeit erspart. Aber es übt ja. ;-)[/quote]
Ggf. war die Konfiguration ungültig bzw. unvollständig. In solchen Fällen kann es dazu kommen dass der DHCP-Server nicht mehr startet. Können Sie die Richtlinie noch nachvollziehen die das Problem ausgelöst hat?

Mit freundlichen Grüßen
Janis Meybohm

#6

Hallo Herr Meybohm,

hat etwas gedauert. Ich hatte das:

eingetragen und damit ist der DHCP-Server nicht mehr gestartet. Nach diversen Suchen im Netz und in den Handbüchern hatte ich etwas gefunden, wo sinngemäss stand, mit DDNS-Aktualisierungen startet der Standardserver nicht mehr. Zurückgestellt auf ‘ererbt’ und damit alles leer gelassen und DHCP startet wieder.

Und bei der Gelegenheit habe ich noch eine Merkwürdigkeit, die ich so von Windows bzw. von meinen lückenhaften Erfahrungen mit Bind nicht kenne. Ein Laptop (Win7 home) ist in der Standard-Arbeitsgruppe Workgroup und bezieht seine Adresse via DHCP vom UCS. Ich hab dann in der Management Console sowohl unter DHCP als auch unter DNS gesucht, den Rechner aber nicht gefunden. Er hat eine (alte) Adresse (…104, Scope geht von 100-150) und wenn ich auf meinem Standardrechner (in UCS-Domain) den Namen mobil_dell pinge, dann wird die Adresse auch richtig aufgelöst. Ein nslookup findet den Schleppi nicht. Ich hab am PC sowohl den DNS-Cache geleert als auch die Adresse aus dem ARP-Cache gelöscht. Von daher gehe ich mal davon aus, dass die Auflösung schon irgendwo auf dem UCS passiert und nicht noch irgendwo lokal gespeichert war. Aber wo?

Zu den Benutzern:

Ich hab noch das ‘krbtgt’-Konto - eine zu löschende Altlast vom Windows-SBS oder braucht Samba das auch?
Da mein UCS ‘backoffice’ heisst, denke ich das ‘dns-backoffice’ der DNS-Master ist und ‘http-backoffice’ der Webserver. ‘Zarafa-backoffice’ wird dann das Dienstkonto vom Zarafa sein.
dhcp ohne irgendwas macht mich unsicher, join-backup ist noch vorhanden, join-slave hatte ich mal mehr oder weniger versehentlich gelöscht. Im Normalbetrieb und ohne weiteren DC benötige ich die wohl nicht?

Mir geht es hier um mehrere Sachen. Zum einen wird die Übersicht mit jedem Konto weniger erhöht. Und dazu hätte ich auch einen Vorschlag: Die Systemkonten könnte man doch in der Standardansicht ausblenden und nur in einer erweiterten Sicht anzeigen? Zum anderen habe ich ungerne Konten auf von aussen erreichbaren Servern, die mit Standards laufen. Ich würde ruhiger schlafen, wenn ich weiss, dass ich einzigartige Passworte habe. Am liebsten wäre mir, wenn ich bei der Installation gefragt werde, ob ich mit den defaults oder mit einem eigenen Passwort installieren will. (Wenn man paranoid ist, bedeutet das nicht, dass sie nicht hinter einem her sind…)

Freundliche Grüsse
Andreas

#7

Hallo,

das Problem mit der von Ihnen angelegten DDNS-Richtlinie kann ich nachstellen und habe entsprechend einen Bug angelegt.
Generell werden Sie in einer Umgebung mit Samba4 allerdings keine DDNS-Policy benötigen da DDNS ohne weitere Konfiguration funktioniert.

[quote=“andreas”]Und bei der Gelegenheit habe ich noch eine Merkwürdigkeit, die ich so von Windows bzw. von meinen lückenhaften Erfahrungen mit Bind nicht kenne. Ein Laptop (Win7 home) ist in der Standard-Arbeitsgruppe Workgroup und bezieht seine Adresse via DHCP vom UCS. Ich hab dann in der Management Console sowohl unter DHCP als auch unter DNS gesucht, den Rechner aber nicht gefunden. Er hat eine (alte) Adresse (…104, Scope geht von 100-150) und wenn ich auf meinem Standardrechner (in UCS-Domain) den Namen mobil_dell pinge, dann wird die Adresse auch richtig aufgelöst. Ein nslookup findet den Schleppi nicht. Ich hab am PC sowohl den DNS-Cache geleert als auch die Adresse aus dem ARP-Cache gelöscht. Von daher gehe ich mal davon aus, dass die Auflösung schon irgendwo auf dem UCS passiert und nicht noch irgendwo lokal gespeichert war. Aber wo?[/quote]Evtl. erhält das System eine IP aus einem freien DHCP-Pool? In diese Fall würde kein explizites DHCP-Objekt benötigt. Sie sollten die Anfrage des Clients sowie die darauf folgenden Entscheidungen des DHCP-Servers in der /var/log/daemon.log nachvollziehen können.
Wo der Rechnername noch aufgelöst werden kann lässt sich ohne konkretere Untersuchung wohl nicht sagen. Wenn der UCS DNS-Server auf direkte Anfragen weiterhin antwortet liegt die Vermutung nahe dass es noch ein entsprechendes DNS-Objekt im Samba4 AD gibt (standardmäßig bezieht der DNS-Server auf einem UCS Samba4-DC seine Informationen aus dem Samba-AD statt dem UCS-LDAP). Evtl. war die Synchronisation zwischen LDAP und Samba4 noch nicht abgeschlossen als Sie nach dem Objekt gesucht haben.

[quote=“andreas”]Ich hab noch das ‘krbtgt’-Konto - eine zu löschende Altlast vom Windows-SBS oder braucht Samba das auch?[/quote]Der Benutzer “krbtgt”, das Konto des Key Distribution Center wird von AD, also auch von Samba4 benötigt.

[quote=“andreas”]Da mein UCS ‘backoffice’ heisst, denke ich das ‘dns-backoffice’ der DNS-Master ist und ‘http-backoffice’ der Webserver. ‘Zarafa-backoffice’ wird dann das Dienstkonto vom Zarafa sein.[/quote]Der Benutzer “dns-” wird von UCS während der Installation angelegt und für DNS-Updates verwendet. Die Benutzer “http-” und “Zarafa-” werden meines Wissens nach nicht standardmäßig von Zarafa angelegt. Evtl. haben Sie diese im Rahmen einer SSO Anbindung von Zarafa erzeugt (Zarafa SSO für Outlook unter UCS 3 (Samba 4)).

[quote=“andreas”]dhcp ohne irgendwas macht mich unsicher, join-backup ist noch vorhanden, join-slave hatte ich mal mehr oder weniger versehentlich gelöscht. Im Normalbetrieb und ohne weiteren DC benötige ich die wohl nicht?[/quote]Eine Benutzer “dhcp” wird von UCS meines Wissens nicht angelegt. Die Benutzer “join-backup” und “join-slave” sollten Sie jedoch nicht löschen, die UCS-Systeme gehen von deren Existenz aus weshalb es ohne diese Konten zu Seiteneffekte kommen könnte die ich ohne konkrete Überprüfung nicht einschätzen kann.
Unter /var/univention-backup/ finden Sie tägliche Backups des LDAP-Verzeichnisses anhand derer Sie den “join-slave” Benutzer wieder herstellen können sollten.

[quote=“andreas”]Mir geht es hier um mehrere Sachen. Zum einen wird die Übersicht mit jedem Konto weniger erhöht. Und dazu hätte ich auch einen Vorschlag: Die Systemkonten könnte man doch in der Standardansicht ausblenden und nur in einer erweiterten Sicht anzeigen?[/quote]Das halte ich für eine gute Idee und nehme das als Feature-Request auf ([bug]31042[/bug]).

[quote=“andreas”]Zum anderen habe ich ungerne Konten auf von aussen erreichbaren Servern, die mit Standards laufen. Ich würde ruhiger schlafen, wenn ich weiss, dass ich einzigartige Passworte habe. Am liebsten wäre mir, wenn ich bei der Installation gefragt werde, ob ich mit den defaults oder mit einem eigenen Passwort installieren will. (Wenn man paranoid ist, bedeutet das nicht, dass sie nicht hinter einem her sind…)[/quote]Welche Passwörter während der Installation für die join-Konten vergeben werden, können Sie in den Dateien “/etc/*-join.secret” nachvollziehen. Diese Passwörter werden während der Installation dynamisch generiert was Sie im Join-Script 20univention-join.inst nachvollziehen können.

Mit freundlichen Grüßen
Janis Meybohm

#8

Hallo,

Zumindest nicht wissentlich. Wie gesagt, c’t-DVD durchgereicht und go. Falls irgendwelche Scripte da zugeschlagen haben - die beiden User hatte ich vorher definitiv nicht in der Domain.

Gefunden habe ich sowohl die Backups als auch die Beschreibung des Userkontos im AD darin. Gibt es irgendwo eine Restore- oder Undeletefunktion, die ich übersehen habe oder muss ich den User händisch neu mit den alten Attributen anlegen? Was bei einem User und/oder in der privaten ‘Mega-Domain’ nicht so das grosse Problem wäre, aber in einer Firmenumgebung doch in Arbeit ausarten kann. Wenn ich das im Handbuch/Wiki/Forum übersehen habe, bitte mal einen deutlichen Stubser geben.

Ich bin ja noch in der Lern- und Experimentierphase und muss mich mit diversen Konzepten erst ‘anfreunden’. Von daher bin ich z.B. erfreut, dass überhaupt Backups vom orginalen System bestehen. Verwirrend finde ich, dass mir nicht klar ist, wer bzw. was für das Backup verantwortlich ist. Auch ist mir noch die eine oder andere - hmm, sagen wir mal verbesserungswürdige Vorgehensweise aufgefallen. Als Beispiel: Im App-Center oder direkt bei der Installation, kann ich nicht mehr sagen, habe ich z.B. das Backup von SEP Sesam angewählt bzw nicht abgewählt, jedenfalls installiert. Reibungslos, alles gut. Unglücklich finde ich jetzt, dass ich das System nicht administrieren kann. Sprich, ein Webinterface gibt es nicht, das CLI ist für den Windowsumsteiger nix und den Client muss ich mir erst suchen. Ich fände es super, wenn ich entweder direkt bei der Installation gefragt werden würde, welches GUI (und am besten auch welches Clients) ich verwenden möchte und die mir durch die UMC zur Verfügung gestellt werden. Analog dazu hat MS mal standardmässig auf dem SBS bzw. Exchange Outlook-Installationspakete in einer Freigabe (‘Client-Apps’) hinterlegt. Also eine Schaltfläche im App-Center, über die man das GUI und die Clients direkt auf eine Freigabe herunterladen kann fände ich grossartig. Oder zumindest ein Hinweis an prominenter Stelle. Keine Ahnung ob ich der Einzige bin, der erst mal eine längere Zeit gebraucht hat, bis die GUI gefunden war und funktioniert hat oder es ‘Leidensgenossen’ gibt. Gleiches gibt für die Dokus. Ich finde es meganervig, wenn ich mir an x Stellen meine Handbücher zusammensuchen muss. Darum habe ich die schon immer zentral in einem Schrank gesammelt. Und nachdem Papier durch PDF abgelöst wurde, habe ich eine Freigabe dafür. Schön (und vor allem bequem) fände ich es, wenn man über das App-Center direkt an die Infos käme. Also z.B. bei den Beschreibungen der Installierten Applikationen noch ein Kapitel mit Direktlinks zu den Handbüchern, wenn sie denn nicht gleich bei der Installation auf den UCS übertragen werden.

Bitte nicht falsch verstehen, ich finde das Paket so wie es ist schon sehr toll und auch die Möglichkeit es privat oder als Communityversion zeitlich unbegrenzt kostenlos zu nutzen ist besonders. Mit meinen Anregungen möchte ich nur helfen, es noch besser und runder zu machen.

Freundliche Grüsse
Andreas

#9

Hallo,

die Benutzer http- und zarafa- sind Bestandteil der Zarafa/Samba4 Integration der c’t-Edition von UCS und werden bei entsprechender Softwareauswahl automatisch angelegt.

Zum Wiederherstellen einzelner Objekte aus einem LDAP-Backup können Sie Basis-Tools wie z.B. ldapadd verwenden. Eine zusätzliche Schnittstelle ist hier nicht implementiert.

[quote=“andreas”]Verwirrend finde ich, dass mir nicht klar ist, wer bzw. was für das Backup verantwortlich ist.[/quote]Die LDAP-Backups werden von UCS automatisch angelegt da es sich hier um eine Kernkomponente handelt. Eine externe Sicherung dieser Daten (für ein “echtes” Backup) findet allerdings nicht statt. Dies liegt wie üblich in der Verantwortung des Administrators.

[quote=“andreas”]Als Beispiel: Im App-Center oder direkt bei der Installation, kann ich nicht mehr sagen, habe ich z.B. das Backup von SEP Sesam angewählt bzw nicht abgewählt, jedenfalls installiert. Reibungslos, alles gut. Unglücklich finde ich jetzt, dass ich das System nicht administrieren kann. Sprich, ein Webinterface gibt es nicht, das CLI ist für den Windowsumsteiger nix und den Client muss ich mir erst suchen. Ich fände es super, wenn ich entweder direkt bei der Installation gefragt werden würde, welches GUI (und am besten auch welches Clients) ich verwenden möchte und die mir durch die UMC zur Verfügung gestellt werden. Analog dazu hat MS mal standardmässig auf dem SBS bzw. Exchange Outlook-Installationspakete in einer Freigabe (‘Client-Apps’) hinterlegt. Also eine Schaltfläche im App-Center, über die man das GUI und die Clients direkt auf eine Freigabe herunterladen kann fände ich grossartig. Oder zumindest ein Hinweis an prominenter Stelle. Keine Ahnung ob ich der Einzige bin, der erst mal eine längere Zeit gebraucht hat, bis die GUI gefunden war und funktioniert hat oder es ‘Leidensgenossen’ gibt.[/quote]Vielen Dank für die Hinweise. Wir haben diese bereits an den App Provider SEP weitergeleitet damit die Kollegen die Integration hier entsprechend weiterentwickeln können.

[quote=“andreas”]Gleiches gibt für die Dokus. Ich finde es meganervig, wenn ich mir an x Stellen meine Handbücher zusammensuchen muss. Darum habe ich die schon immer zentral in einem Schrank gesammelt. Und nachdem Papier durch PDF abgelöst wurde, habe ich eine Freigabe dafür. Schön (und vor allem bequem) fände ich es, wenn man über das App-Center direkt an die Infos käme. Also z.B. bei den Beschreibungen der Installierten Applikationen noch ein Kapitel mit Direktlinks zu den Handbüchern, wenn sie denn nicht gleich bei der Installation auf den UCS übertragen werden.[/quote]UCS Dokumentation finden Sie üblicherweise unter docs.univention.de. Bzgl. der Dokumentation von App Center Apps nehme ich gerne einen Verbesserungswunsch auf, sodass die Dokumentation in Zukunft klarer in der Beschreibung der App präsentiert wird.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon