Hallo Ralf,Danke für die umfassende Antwort; Ich möchte diese Woche mal versuchen, einige Clients an die neue Domäne zu bringen, dazu gleich eine vorweg-Frage: Nach der Installation vom tjener laufen bei mir z.Zt. 2 Server im Netz, der alte SLIXS (10.0.1.5), an dem sich nach wie vor sowohl User wie machines problemlos anmelden Können, und eben der neue tjener (2.0.1.2), wo ich eben jetzt gerne auch Maschinen anmelden möchte . Geht das überhaup?. W§äre für mich optimal, denn dann könnte ich für einen Raum (sicherheitshalber) das alte System weiterlaufen lassen, es gibt immer wieder so kleine Kurse etc. hier in der Schule während der Ferien, die halt auch PCs brauchen würden. Oder muss ich für jede weitere Arbeit mit tjener den SLIXS abschalten? Ich möchte hier nochmals auf ein paar deiner Anregungen, Fragen antworten und dann gerne in einem eigenen Thread die Anmeldung von MS Maschinen durchgehen
RalfGesellensetter schrieb:
Das ist klar, ist bei uns auch so: Server (wir haben auch noch Backupserver, alte Netware -Server im Netz, eher als Spielwiese denn produktiv) fix von 2 - 9; die Drucker von 10 - 19; und dann freie dhcp-Vergabe von 20- 254 für die RechnerOkay, DHCP hin DHCP her: In einem großen Netzwerk ist es immer gut zu wissen, welcher Rechner sich hinter welcher IP verbirgt:- Drucker befinden sich z.B. im Range 10.0.2.30 - 10.0.2.3x oder so. Wär schon blöd, wenn sich da die IP ändern tät. - Meine Terminalserver belegen die IPs 10.0.2.10 - 10.0.2.13.
- Mein EDV-Raum 1 belegt die IPs 10.0.2.100 - 10.0.2.114. So kann ich dem Raum über eine einfache Squid-Regel schnell das Internet sperren.Das ist M.E. der einzige wirkliche Grund , die IP-Adressen der Rechner zu kennen, in unserer Praxis hier haben wir aber z.Zt. darauf (Internet für einzelne Räume zu sperren) verzichtet, da das bedeuten würde, dass wir permanent für die einzelnen Lehrer herumspringen müssten, wobei die aber eh meistens das Internet brauchen. Ok hier warte ich noch auf eine ordentliche Software mit entsprechender abgestufter Benutzerverwaltung, die all das ermöglicht.
Warum ist das der "schlimmste Fall" ?, was ist daran so schlimm,außerdem, kann ich nicht die WS auch über den Namen ansprechen (hier haben wir ja sehr wohl ein System der eindeutigen Namensgebung.Wenn du deinen MAC-Adressen (so wie ihr bisher) keine feste IP zuweist (bei uns unter /etc/dhcp3/dhcpd.conf), werden die IPs rein zufällig zugeordnet (keine zusammenhängenden Bereiche) und im schlimmsten Fall kommt es irgendwann dazu, dass ein Rechner eine andere IP erhält als beim letzten Mal.
Daher werdet auch ihr wichtigen Komponenten (Druckern
z.B.) feste IPs zugewiesen haben, die außerhalb des IP-Bereiches liegen, in dem Euer DHCP-Server IPs verteilt.
Klar
Ich bin mir nicht sicher, ob ein Domänenbeitritt einer Windowsmaschine fest an eine IP geknüpft ist - ich denke eher, dass die MAC-Adresse in die SID hineinspielt.Glaube ich auch, darum brauche ich aber auch keine festen IP-Adressen. Zumindest funktioniert das auf unserem System so seit über 4 Jahren.
Da habe ich nun ja noch keinerlei Ahnung, das wäre ja wie gesagt, bei uns erst der nächste Schritt.Probleme könnte es bei Skolelinuxclients geben, falls sich deren IP und damit auch deren Hostname ändert: Aus Sicherheitsgründen (NFS!) sind von Haus aus nur solche Maschinen zugelassen, die in den Netgroups eingetragen sind (Hostname z.B. static03 oder dhcp122). Es gibt aber einen einfachen Trick, diese Sicherheitssperre zu deaktivieren, und dann ist es überhaupt kein Problem mehr, sich am Tjener anzumelden.
OK, die Skizze kommt vielleicht später, aber die Grundinformation wäre folgende: Wir haben zuerst einen IPCOP als Router (intern : 10.0.1.1 und eine 2. NIC mit offizieller Adressen nach draußen. Von dort verteilt sich dann über verschiedene Switches das 10.0.1.0-Netz mit festen Servern; z.Zeit eben v.a. der SLIXS, der durch den tjener ersetzt werden soll und festen Druckern, daran hängen die WS, die nicht-statische Adressen per DHCP erhalten. DHCP und squid werden ebenfalls am IPCOP gemacht. Die Rechner haben aber fixe Namen, die mit den Räumen verbunden sind (OR01-OR20, UR01-UR20; usw.) bzw. mit bestimmten Funktionen/ Abteilungs- Zugehörigkeiten bei Laptops (Ph01,ME01-...) All die können sich über ldap am Server anmelden. Beim Booten mit Linux(Ubuntu) haben wir einen festen lokalen User pro Maschine, Verbindungen zum Server müssen dann erst in Samba oder SSH-Sessions hergestellt werden. Das ist nicht optimal. Das Ziel wäre, dass sich unsere User mit dem gleichen Usernamen/PW sowohl bei Windows als bei Ubuntu über ldap authentifizieren können und Zugang zu ihren gleichen Datenbeständen haben.Kannst du vielleicht mal mit DIA oder Inkscape eine Skizze eures Netzwerks anfertigen? Wer macht wo DHCP und andere Dienste?
OK, es ist schon wieder länger geworden, als ich wollte, aber vielleicht erklärt es mal unsere Ausgangssituation besser. jetzt schreib ich aber gleich in neuem Thread zur konkreten Windowsanmeldung.
Grüße Alfred