möchte mich wieder an das Forum wenden, weil ich Hilfe brauche, kann sein, dass ich mich lächerlich mache, aber ich weiß nicht weiter. Bin in einer kleinen Firma als Admin-Praktikant, der Admin, der vor mir da war und den UC Server eingerichtet hat, ist nicht aufzufinden, darum muss ich alles per Selbststudium rausfinden. Ich selbst bin noch kein Superprofi, bin noch am lernen und Univention kenne ich erst seit einigen Monaten.
Ich muss einen UC Backup Server einrichten, was an sich kein Problem ist, die Sache ist nur, dass er an einem anderen Standort steht. Habe schon sehr viel recherchiert, aber nichts wirklich nützliches zu meinem Anliegen gefunden.
Gesichert werden müssen alle Daten vom UCS-Master per VPN auf ein UCS-Backup (der im zweiten Büro im anderen Gebäude steht). Der UCS-Master ist in einer Domäne mit insgesamt 5 festen Windows-Clients.
Meine Fragen sind:
Kann der UC-Backup Server (muss noch aufgesetzt werden) von einem anderen Standort der Domäne (ist eine UCS Domäne mit AD) beitretten?
Geht der Backup auch ohne Domänenbeitritt?
Welche VPN-Lösung wäre optimal für dieses Szenario?
Die VPN-Lösung soll kostenfrei sein, weil das im Rahmen eines Praktikums ist. Kenne bis jetzt OpenVPN4UCS, Bareos und SEP sesam, weiß aber nicht, welches besser ist.
Ich glaube im Moment fehlt noch Verständnis für die Server Rollen daher würde ich zunächst hier starten: http://docs.software-univention.de/handbuch-4.1.html#introduction:Was_ist_Univention_Corporate_Server. Als nächstes müsste man prüfen was genau die Anforderungen sind. Ein “UCS-Backup” ist nicht als Serverrolle gedacht um Datenbackups drauf zu fahren, sondern soll als Backup für Domänendaten (LDAP, etc.) dienen - der Backup zum “UCS-Master”. Ein Datenbackup würde man vermutlich eher auf einem sogenannten “UCS-Member” (oder falls die Software das benötigt auch ein “UCS-Slave”) durchführen.
Die Namen der Serverrollen “master”, “backup”, “slave”, “member” haben also erstmal nichts mit der Funktion zu tun -> merken.
Wenn es ein Datenbackup an einem anderen Standort geben soll ist das erstmal kein Problem. Voraussetzung: die Standorte sind in der gleichen Domäne über VPN verbunden:
master an Standort A
member an Standort B
VPN zwischen beiden Standorten
Den member dann über VPN in den master joinen und dort die Backupsoftware installieren. Der Datentransfer funktioniert dann über VPN. Ich kann aber leider keine Empfehlung zu VPN oder Backupsoftware geben, das müsste man an die Bedürfnisse anpassen und sich vermutlich auch tief einlesen.
herzlichen Dank für deine Antwort, jetzt sehe ich etwas durch.
Genau die Information hat mir gefehlt, habe mich zu sehr auf UCS-Backup konzentriert und die anderen Serverrollen außer Acht gelassen.
Habe FritzBox vom Standort A mit der Fritzbox vom Standort B per VPN verbunden. Aber irgendwie haut es noch nicht hin.
Am Standort A, wo der DC Master steht, sind auf der Fritzbox DHCP und DNS ausgeschaltet, am Standort B aber nicht, wenn ich es auch ausschalte, dann hat ja niemand am Standort B Internetzugang?
Kann man beim aktuellen Installer nicht mehr die Netzwerkkonfiguration manuell angeben? Dann würde ich einfach den DC Master als DNS-Server mit der FritzBox verteilen.
Für den Join ist eine funktionale Netzwerk und vor allem DNS Erreichbarkeit ein Muss. Wenn man aus Netz B schon nicht das Netz A pingen kann, scheint ein Routing Problem zu bestehen? Der master ist ja der Joinpartner, der muss auf jeden Fall erreichbar sein, sonst braucht man am Joinvorgang nicht weiter debuggen (das Problem liegt dann eher am Netzwerk). Es wäre auch möglich den member an Standort A direkt in den master zu joinen (mit der richtigen Netzwerkkonfiguration) und erst danach zu Standort B zu bringen - ABER: das behebt nur das Join Problem, nicht die Connection Issues von Netz B nach A. Der Member könnte trotz Join Status im aktuellen Zustand nicht mit dem master kommunizieren (und auch nicht Backups machen).
Habe gerade bei der FritzBox am Standort B in Einstellungen -> Internet-Zugangsdaten den Master als DNS Server eingestellt, statische Route zum Netzwerk am Standort B erstellt und bei Heimnetzwerk-Einstellungen den Master als Lokalen DNS-Server eingestellt und kann den Master jetzt anpingen, aber nur über die IP, über Hostname geht es nicht.
Bei der Installation des Memberservers bin ich bis Domänenbeitritt gekommen (zum ersten Mal kam nach “Einer bestehenden UCS-Domäne beitreten” sofort die
Serverrolle-Auswahl), er hat den Master erkannt und auch seinen kompletten Hostnamen angezeigt.
Domänenbeitritt klappt aber nicht, kommt die Meldung “ping to master failed”, obwohl ich per Konsole auf dem Memberserver Standort B den Master Standort A anpingen kann.
Ahja, eine Sache noch, hab bei der Memberserver-Installation keine Software-Komponente mitinstalliert, dachte man kann es auch später nachinstallieren, aber in der UCS-Console vom Memberserver im Browser gibt es gar kein App-Center.
Wie gesagt, DNS muss funktionieren. Wenn der master nicht per name pingbar ist, wird auch der Join fehlschlagen.
Ggf. ist es wirklich eine Option den member an Standort A zu joinen und dann rüber zu tragen - den Joinstatus wird er nicht unbedingt verlieren, wenn der master noch per IP erreichbar ist. Zumindest ist es wert das mal zu versuchen. Dann kommts noch drauf an, ob die verwendeten Programme auch mit der IP Kommunikation zurecht kommen.
Hmmm … ich denke, das an den VPN-Einstellungen etwas nicht passt.
Beide Standorte haben unterschiedliche Netzwerkadressbereiche ?
Also Standort A z.B. 192.168.9.0
Standort B z.B. 192.168.10.0
Soll denn sämtlicher Netzwerkverkehr aus Standort B über den Standort A laufen ?
Oder soll die Fritzbox bei Standort B nur den Verkehr zu Standort A über das VPN schicken und
die “normalen” Internetanfragen über den INet-Zugang von Standort B ?
Hast Du denn die Einrichtung des VPN Zuganges der Fritzboxen über die FritzBox-Web-Oberfläche eingerichtet oder das
VPN-Tool von AVM benutzt ?
Ping funktioniert auf einmal mit IP und mit Hostname, egal ob vom memberserver oder einem anderen Computer vom Standort B.
Bei dem Versuch der Domäne über UCS-Console im Browser mit dem Memberserver beizutreten, kommt jetzt andere Meldung:
“binddn for user Administrator not found”
Wenn ich in der Text-Konsole direkt am Memberserver denn Befehl “univention-ldapsearch” ausführe,
kommt “Can’t contact LDAP server (-1)”
[quote=“O. Bertgen”]
Beide Standorte haben unterschiedliche Netzwerkadressbereiche ?[/quote]
Ja, war immer so und das ist auch die Voraussetzung für VPN mit FritzBoxen
[quote=“O. Bertgen”]Oder soll die Fritzbox bei Standort B nur den Verkehr zu Standort A über das VPN schicken und
die “normalen” Internetanfragen über den INet-Zugang von Standort B ?[/quote]
Ja, die FritzBox soll bei Standort B nur den Verkehr zu Standort A über das VPN schicken und
die “normalen” Internetanfragen über den INet-Zugang von Standort B
[quote=“O. Bertgen”]
Hast Du denn die Einrichtung des VPN Zuganges der Fritzboxen über die FritzBox-Web-Oberfläche eingerichtet oder das
VPN-Tool von AVM benutzt ?[/quote]
Habe es über die FritzBox-Web-Oberfläche eingerichtet.
Damit das funktioniert, müsste der unter “ldap/server/name” (respektive “ldap/server/ip”) eingetragene Server auf dem Port “ldap/server/port” erreichbar sein. Diese Variablen setzen unter anderem /etc/ldap/ldap.conf.
Einfache Testmöglichkeit:
# nc -v -z name.des.masters 7389
erwartetes Resultat:
Connection to name.des.masters 7389 port [tcp/*] succeeded!
Vielen Dank für den Tip, Herr Ahrnke, bin noch nicht dazu gekommen es zu testen, weil ich es jetzt alles von vorne gemacht habe.
Habe an der FritzBox am Standort B nur in den Heimnetz-Einstellungen als lokalen DNS-Server den Master von Standort A gesetzt. Danach könnte ich sofort den Master von Standort A mit einem Windows 10-Rechner von Standort B anpingen, sowohl über IP als auch über Hostname. Der Domänenbeitritt mit dem Windows 10-Rechner klappte auch sofort.
Als nächstes habe ich die Installation des UCS-Memberservers am Standort B gestartet und er hat den Master sofort erreicht, hat sein Hostname angezeigt und die IP, davor lief der Domänenbeitritt nur bis 3%, jetzt aber bis 86%.
Danach kam der Fehler:
binddn for user Administrator not found
Habe danach noch mit weiteren Admin-Accounts versucht die Installation durchzuführen und mit jedem der gleiche Fehler…
Habe nirgendwo ein ähnliches Problem gefunden und nur noch eine Woche bis das Projekt fertig sein muss, glaube werde am Arbeitsplatz übernachten.
Habe heute den Domänenbeitritt nochmal gestartet und auf einmal ging es, habe nichts geändert, der Memberserver läuft jetzt, aber einloggen dauert ewig und Samba hat er nicht installiert.
Der komplette Join.log ist im Anhang, waren zu viele Zeichen. Wie es aussieht, sind alle meine bisherige Domänenbeitritts-Versuche auch mitdrin.
Der Ping vom Memberserver über IP geht immer und über Hostname mal ja, mal nein.
Man kann doch sicher Samba4 manuell installieren oder?
Diesen Befehl ausgeführt, Resultat war erfolgreich.
Kann es sein, dass es auf dem Memberserver am Standort B die Samba-Installation nicht klappt, weil auf dem Master am Standort A Probleme mit SSL gibt und ich den connector/s4/ldap/ssl='no' gesetzt habe, weil kein Zertifikatpfad angegeben ist und ich den SSL Zertifikat nicht finden kann. Dazu habe ich ein anderes Thema "Neuerstellte Benutzer Anmeldungsproblem" vor einiger Zeit erstellt. Hängt es evtl. zusammen?
