UC Member Server am anderen Standort per VPN

german

#1

Hallo zusammen,

möchte mich wieder an das Forum wenden, weil ich Hilfe brauche, kann sein, dass ich mich lächerlich mache, aber ich weiß nicht weiter. Bin in einer kleinen Firma als Admin-Praktikant, der Admin, der vor mir da war und den UC Server eingerichtet hat, ist nicht aufzufinden, darum muss ich alles per Selbststudium rausfinden. Ich selbst bin noch kein Superprofi, bin noch am lernen und Univention kenne ich erst seit einigen Monaten.

Ich muss einen UC Backup Server einrichten, was an sich kein Problem ist, die Sache ist nur, dass er an einem anderen Standort steht. Habe schon sehr viel recherchiert, aber nichts wirklich nützliches zu meinem Anliegen gefunden.

Gesichert werden müssen alle Daten vom UCS-Master per VPN auf ein UCS-Backup (der im zweiten Büro im anderen Gebäude steht). Der UCS-Master ist in einer Domäne mit insgesamt 5 festen Windows-Clients.

Meine Fragen sind:

  • Kann der UC-Backup Server (muss noch aufgesetzt werden) von einem anderen Standort der Domäne (ist eine UCS Domäne mit AD) beitretten?
  • Geht der Backup auch ohne Domänenbeitritt?
  • Welche VPN-Lösung wäre optimal für dieses Szenario?

Die VPN-Lösung soll kostenfrei sein, weil das im Rahmen eines Praktikums ist. Kenne bis jetzt OpenVPN4UCS, Bareos und SEP sesam, weiß aber nicht, welches besser ist.

Hoffentlich kann mir jemand ein paar Tips geben.

Beste Grüße
Morimystes


#2

Ist das überhaupt möglich oder habe ich oben kompletten Blödsinn geschrieben?

Beste Grüße
Morimystes


#3

Ich glaube im Moment fehlt noch Verständnis für die Server Rollen daher würde ich zunächst hier starten: http://docs.software-univention.de/handbuch-4.1.html#introduction:Was_ist_Univention_Corporate_Server. Als nächstes müsste man prüfen was genau die Anforderungen sind. Ein “UCS-Backup” ist nicht als Serverrolle gedacht um Datenbackups drauf zu fahren, sondern soll als Backup für Domänendaten (LDAP, etc.) dienen - der Backup zum “UCS-Master”. Ein Datenbackup würde man vermutlich eher auf einem sogenannten “UCS-Member” (oder falls die Software das benötigt auch ein “UCS-Slave”) durchführen.

Die Namen der Serverrollen “master”, “backup”, “slave”, “member” haben also erstmal nichts mit der Funktion zu tun -> merken.

Wenn es ein Datenbackup an einem anderen Standort geben soll ist das erstmal kein Problem. Voraussetzung: die Standorte sind in der gleichen Domäne über VPN verbunden:

  • master an Standort A
  • member an Standort B
  • VPN zwischen beiden Standorten

Den member dann über VPN in den master joinen und dort die Backupsoftware installieren. Der Datentransfer funktioniert dann über VPN. Ich kann aber leider keine Empfehlung zu VPN oder Backupsoftware geben, das müsste man an die Bedürfnisse anpassen und sich vermutlich auch tief einlesen.


#4

Hallo Thorp-Hansen,

herzlichen Dank für deine Antwort, jetzt sehe ich etwas durch.
Genau die Information hat mir gefehlt, habe mich zu sehr auf UCS-Backup konzentriert und die anderen Serverrollen außer Acht gelassen.

Beste Grüße
Morimystes


#5

Bin dabei den Memberserver am Standort B aufzusetzen,
was muss ich im Menü

auswählen?

Am Standort B ist noch nichts, nur der Memberserver soll da stehen.

  • Wenn ich eine neue Domäne erstelle, kann er danach nicht mehr der Domäne vom Standort A beitretten oder?
  • Wenn ich “Keine Domäne benutzen” wähle kommt ein Validierungsfehler - “Das primäre Netzwerkgerät muss existieren”
  • Und einer bestehenden Domäne kann er nicht beitretten, weil am Standort B nichts gibt

Beste Grüße
Morimystes


#6

Du mußt die 3. Option wählen. Und du mußt bei der Installation einen DNS-Server der Domäne angeben und es muß eine Verbindung zu diesem möglich sein.


#7

Habe FritzBox vom Standort A mit der Fritzbox vom Standort B per VPN verbunden. Aber irgendwie haut es noch nicht hin.

Am Standort A, wo der DC Master steht, sind auf der Fritzbox DHCP und DNS ausgeschaltet, am Standort B aber nicht, wenn ich es auch ausschalte, dann hat ja niemand am Standort B Internetzugang?


#8

Kann man beim aktuellen Installer nicht mehr die Netzwerkkonfiguration manuell angeben? Dann würde ich einfach den DC Master als DNS-Server mit der FritzBox verteilen.


#9

Funktioniert denn das Anpingen des DC-Masters von irgendeinem Rechner aus dem Netzwerk von Standort B aus ?


#10

Nein, funktioniert nicht.

Kann man, habe ich auch gemacht, aber es passiert nichts.

Daran habe ich auch gedacht, aber egal, wo ich das in Einstellungen von FritzBox Standort B einstelle, ändert sich nichts.

Der VPN-Status auf beiden FritzBoxen steht auf grün, das Netzwerk der Gegenseite wird auch angezeigt.

Beste Grüße
Morimystes


#11

Für den Join ist eine funktionale Netzwerk und vor allem DNS Erreichbarkeit ein Muss. Wenn man aus Netz B schon nicht das Netz A pingen kann, scheint ein Routing Problem zu bestehen? Der master ist ja der Joinpartner, der muss auf jeden Fall erreichbar sein, sonst braucht man am Joinvorgang nicht weiter debuggen (das Problem liegt dann eher am Netzwerk). Es wäre auch möglich den member an Standort A direkt in den master zu joinen (mit der richtigen Netzwerkkonfiguration) und erst danach zu Standort B zu bringen - ABER: das behebt nur das Join Problem, nicht die Connection Issues von Netz B nach A. Der Member könnte trotz Join Status im aktuellen Zustand nicht mit dem master kommunizieren (und auch nicht Backups machen).


#12

Natürlich hast du Recht.

Habe gerade bei der FritzBox am Standort B in Einstellungen -> Internet-Zugangsdaten den Master als DNS Server eingestellt, statische Route zum Netzwerk am Standort B erstellt und bei Heimnetzwerk-Einstellungen den Master als Lokalen DNS-Server eingestellt und kann den Master jetzt anpingen, aber nur über die IP, über Hostname geht es nicht.

Bei der Installation des Memberservers bin ich bis Domänenbeitritt gekommen (zum ersten Mal kam nach “Einer bestehenden UCS-Domäne beitreten” sofort die
Serverrolle-Auswahl), er hat den Master erkannt und auch seinen kompletten Hostnamen angezeigt.

Domänenbeitritt klappt aber nicht, kommt die Meldung “ping to master failed”, obwohl ich per Konsole auf dem Memberserver Standort B den Master Standort A anpingen kann.

Ahja, eine Sache noch, hab bei der Memberserver-Installation keine Software-Komponente mitinstalliert, dachte man kann es auch später nachinstallieren, aber in der UCS-Console vom Memberserver im Browser gibt es gar kein App-Center.


#13

Wie gesagt, DNS muss funktionieren. Wenn der master nicht per name pingbar ist, wird auch der Join fehlschlagen.

Ggf. ist es wirklich eine Option den member an Standort A zu joinen und dann rüber zu tragen - den Joinstatus wird er nicht unbedingt verlieren, wenn der master noch per IP erreichbar ist. Zumindest ist es wert das mal zu versuchen. Dann kommts noch drauf an, ob die verwendeten Programme auch mit der IP Kommunikation zurecht kommen.


#14

Hmmm … ich denke, das an den VPN-Einstellungen etwas nicht passt.

Beide Standorte haben unterschiedliche Netzwerkadressbereiche ?

Also Standort A z.B. 192.168.9.0
Standort B z.B. 192.168.10.0

Soll denn sämtlicher Netzwerkverkehr aus Standort B über den Standort A laufen ?

Oder soll die Fritzbox bei Standort B nur den Verkehr zu Standort A über das VPN schicken und
die “normalen” Internetanfragen über den INet-Zugang von Standort B ?

Hast Du denn die Einrichtung des VPN Zuganges der Fritzboxen über die FritzBox-Web-Oberfläche eingerichtet oder das
VPN-Tool von AVM benutzt ?


#15

Ping funktioniert auf einmal mit IP und mit Hostname, egal ob vom memberserver oder einem anderen Computer vom Standort B.
Bei dem Versuch der Domäne über UCS-Console im Browser mit dem Memberserver beizutreten, kommt jetzt andere Meldung:
“binddn for user Administrator not found”

Wenn ich in der Text-Konsole direkt am Memberserver denn Befehl “univention-ldapsearch” ausführe,
kommt “Can’t contact LDAP server (-1)”

[quote=“O. Bertgen”]
Beide Standorte haben unterschiedliche Netzwerkadressbereiche ?[/quote]

Ja, war immer so und das ist auch die Voraussetzung für VPN mit FritzBoxen

[quote=“O. Bertgen”]Oder soll die Fritzbox bei Standort B nur den Verkehr zu Standort A über das VPN schicken und
die “normalen” Internetanfragen über den INet-Zugang von Standort B ?[/quote]

Ja, die FritzBox soll bei Standort B nur den Verkehr zu Standort A über das VPN schicken und
die “normalen” Internetanfragen über den INet-Zugang von Standort B

[quote=“O. Bertgen”]
Hast Du denn die Einrichtung des VPN Zuganges der Fritzboxen über die FritzBox-Web-Oberfläche eingerichtet oder das
VPN-Tool von AVM benutzt ?[/quote]

Habe es über die FritzBox-Web-Oberfläche eingerichtet.

Beste Grüße
Morimystes


#16

Damit das funktioniert, müsste der unter “ldap/server/name” (respektive “ldap/server/ip”) eingetragene Server auf dem Port “ldap/server/port” erreichbar sein. Diese Variablen setzen unter anderem /etc/ldap/ldap.conf.

Einfache Testmöglichkeit:

# nc -v -z name.des.masters 7389

erwartetes Resultat:

Connection to name.des.masters 7389 port [tcp/*] succeeded!

Viele Grüße,
Dirk Ahrnke


#17

Vielen Dank für den Tip, Herr Ahrnke, bin noch nicht dazu gekommen es zu testen, weil ich es jetzt alles von vorne gemacht habe.

Habe an der FritzBox am Standort B nur in den Heimnetz-Einstellungen als lokalen DNS-Server den Master von Standort A gesetzt. Danach könnte ich sofort den Master von Standort A mit einem Windows 10-Rechner von Standort B anpingen, sowohl über IP als auch über Hostname. Der Domänenbeitritt mit dem Windows 10-Rechner klappte auch sofort.

Als nächstes habe ich die Installation des UCS-Memberservers am Standort B gestartet und er hat den Master sofort erreicht, hat sein Hostname angezeigt und die IP, davor lief der Domänenbeitritt nur bis 3%, jetzt aber bis 86%.

Danach kam der Fehler:

binddn for user Administrator not found

Habe danach noch mit weiteren Admin-Accounts versucht die Installation durchzuführen und mit jedem der gleiche Fehler…

Habe nirgendwo ein ähnliches Problem gefunden und nur noch eine Woche bis das Projekt fertig sein muss, glaube werde am Arbeitsplatz übernachten.

Kann mir vielleicht jemand helfen?

Beste Grüße
Morimystes


#18

Na dann bitte mal das vollständige join.log posten.


#19

Habe heute den Domänenbeitritt nochmal gestartet und auf einmal ging es, habe nichts geändert, der Memberserver läuft jetzt, aber einloggen dauert ewig und Samba hat er nicht installiert.
Der komplette Join.log ist im Anhang, waren zu viele Zeichen. Wie es aussieht, sind alle meine bisherige Domänenbeitritts-Versuche auch mitdrin.
Der Ping vom Memberserver über IP geht immer und über Hostname mal ja, mal nein.

Man kann doch sicher Samba4 manuell installieren oder?

Beste Grüße
Morimystes
JoinLog.txt (66.3 KB)


#20

Diesen Befehl ausgeführt, Resultat war erfolgreich.

Kann es sein, dass es auf dem Memberserver am Standort B die Samba-Installation nicht klappt, weil auf dem Master am Standort A Probleme mit SSL gibt und ich den connector/s4/ldap/ssl='no' gesetzt habe, weil kein Zertifikatpfad angegeben ist und ich den SSL Zertifikat nicht finden kann. Dazu habe ich ein anderes Thema "Neuerstellte Benutzer Anmeldungsproblem" vor einiger Zeit erstellt.
Hängt es evtl. zusammen?

Beste Grüße
Morimystes