Frage: OSX Server im Active Directory (Windows Server)

[Qriz]

Hallo,

ich verwalte ein Netzwerk mit knapp 100 Macs und 100 PCs und einigen hundert Nutzern. Diese loggen sich aktuell an egal welchem Gerät über ActiveDirectory (Windows Server 2012) ein. Über den Windows Server werden auch weitere Services wie eMail, Lync, etc. verwaltet.

Darüber kann ich leider die Macs nicht mit Updates versorgen, geschweige denn Einstellungen vornehmen (das läuft noch alles händisch bzw. über Images).

Deshalb die Idee der Synchronisation des OSX Servers (Mountain Lion) mit dem ActiveDirectory:
1) Macs mit dem OSX Server verbinden um somit remote Updates einzuspielen
2) Netzlaufwerke automatisch beim Start einbinden
3) auf dem OSX Server eingerichtete Drucker automatisch beim Start hinzufügen

Ist das möglich?
Verzeiht meine laienhafte Frage - ich bin völlig neu im Thema OSX-Server, komme aus der Windows-System-Welt und hatte bis vor einer Woche noch keinen OSX-Server in der Hand.

Besten Dank für eure Hilfe

 

[bvk]

Sollte alles gehen wie du möchtest aber vielleicht etwas anders als du denkst.
Dein Active Directory ist der Verzeichnisdienstmaster, der OSX Server holt sich alles nötige von dort und nimmt automatisch auch DNS von dort. Dann werden die Macs an den Mac Server gebunden und erhalten von dem alles was sie brauchen. Trotzdem können sie nach wie vor auf Freigaben oder Druckerfreigaben des Win Server auch direkt zugreifen falls gewünscht. Was sie standardmäßig nicht können ist NTFS schreiben, geht aber mit Zusatzsoftware.
Ansonsten geht da sehr viel, aber es wird nicht alles so gehen wie du es von Win gewohnt bist. Ich habe die Erfahrung gemacht dass sich die Win Admins da schwer tun. Viele Dinge sind mit dem Macserver sehr simpel zu machen, da kommt man als Win Admin nicht drauf, oder man muss Unix können wenns komplexer sein muss und da haben die meisten auch Schwierigkeiten.
Ich empfehle dir jemand zu Rate zu ziehen der das kann damit es nicht an einem kleinen Fehlerchen scheitert. In der Regel kennen sich Leute die einen Mac Server professionell aufsetzen auch in heterogenen Netzwerken gut aus.
Die Kosten dafür werden sich in Grenzen halten, ich schätze einen halben Tag wenn überhaupt für den Server mit Auspacken und Inbetriebnahme, dazu kommt noch die Bindung der Clients an den neuen Server. Aber auch das geht blitzartig und ohne Neustarts man muss aber an jeden Client für 2 Minuten ran.
Vorher einen Plan zu haben was man will ist natürlich unerläßlich, aber sicher selbstverständlich, und eine mindestens 3 Updates hinter sich habende OS X Version auch!

Zum Testen: das Client System des mac = Server, es gibt nur eine App für die Einrichtung verschiedener Dienste für ca 15 oder 19 € zu kaufen. Das ganze kostet also nichts im Gegensatz zu deinen Win Lizenzkosten und ist unlimited, also auch keine Userlizenzen:
Zum Testen: den billigsten MacMini, wenn alles tut kann man je nach Bedarf eine stärkere Maschine nehmen, oder ein Raid dranhängen.
Grüße BvK

 

[Andi]

Hallo Qriz,

was läuft über Images? Wenn Du auf 100 Macs das System nur "geklont" hast, wirst Du Probleme mit der Anbindung ans OD bekommen.

Gruß Andi

 

[Qriz]

@bvk, @Andi

Danke für eure Antworten. Ich verwende einen aktuellen MacMini, der bereits als Server konfiguriert ist.
Ich habe auch bereits das "Magic Triangle" eingerichtet um den Test-iMac über AD mit Windows und OD mit dem MacMini-OSX-Server zu binden. In der Nutzerliste des OSX-Servers und auch im WorkGroup Manager tauchen nun alle Nutzer, Nutzergruppen und Geräte der ActiveDirectory auf.
Dem Test-iMac habe ich bei der Einrichtung von OD eine eigene Bezeichnung zur Identifizierung geben müssen. Alle anderen iMacs, die wir haben sind geklont und mit identischen Images bespielt.

Getestet habe ich bereits den verbundenen Test-iMac über den WorkGroup Manager (Geräte) zu "kontrollieren" (Menüpunkte ein-/ausblenden, etc. – funktioniert) und habe auch eine neue Nutzergruppe in OD erstellt und darin eine Gruppe der AD hinzugefügt (funktioniert ebenso). Eingeloggt war ich jeweils mit einem AD-TestNutzer.

Was nicht funktioniert hat:
Drucker verwalten (2 Netzwerkdrucker sind auf dem OSX Server eingerichet). Es funktioniert nur, wenn die Checkbox "Auch Drucker die am Mac angeschlossen sind" aktiviert ist – dann werden allerdings die 2 verwalteten + noch einmal die gleichen "selbst gefundenen" Drucker angezeigt (also doppelt). Sobald ich diese Checkbox nicht markiere wird kein einziger Drucker mehr auf dem Client angezeigt. Alle anderen Kombinationen funktionieren auch nicht. Selbst nur die verwalteten anzeigen führt zu keinem Ergebnis. Jemand eine Idee?

Was ich gerne wissen würde:
Wie man ein/mehrere Netzlaufwerk/e auf dem Client automatisch einbindet, habe ich noch nicht heraus gefunden.

Was mich noch interessiert (ist bei der Recherche aufgekommen):
Kann man auch einzelne Programme nachinstallieren oder entfernen?
Kann man automatisch auf allen iMacs das Installieren neuer Images anstoßen, die dann gleich vom Server kontrolliert werden?

Wichtig ist evtl. noch:
Auf dem Server läuft 10.8 Mountain Lion und auf dem Test-iMac 10.6 (und allen anderen iMacs, Update vorerst nicht vorgesehen). Der DNS läuft unter Windows, ist vom OSX Server und iMac in beide Richtungen erreichbar. Im AD sind keine Drucker vorkonfiguriert, auch nicht für Windows Rechner. Es sollten dementsprechend keine weiteren Drucker übertragen werden.

Ich habe Unix-Erfahrung und scheue mich auch nicht vor dem Terminal – bin bloß nicht wirklich erfahren damit.

Besten Dank für eure Hilfe

 

[Andi]

Hallo Qriz,

Dem Test-iMac habe ich bei der Einrichtung von OD eine eigene Bezeichnung zur Identifizierung geben müssen.

wie ist das zu verstehen? Wie hast Du den angebunden? Normal ist zuerst OD dann AD oder Du musst den Suchpfad per Hand anpassen. Wie schon angemerkt ein TestiMac nutzt nix wenn der Rest geklont ist und Du die nicht anbinden kannst.
Binde mal zwei Klons an das OD ob das überhaupt geht. Zu den Druckern das doppelte könnte das Bonjour sein wenn der Drucker das selbst macht. Netzwerkshares einbinden geht mit dem Workroupmanger. User/Grupenbasiert unter Einstellungen->Anmeldung->Objekte.
Zu den Programmen - das ist so am Server nicht vorgesehen aber auch nicht unmöglich. Besser wäre eine SoftwareverteilungsSW. Macs installieren geht über NetBoot und NetInstall- bzw. NetRestoreImages. Die erzeugt man mit dem System-Image-Dienstprogramm in /System/Library/CoreServices

Gruß Andi

 

[Qriz]

@ Andi
Damit war gemeint, dass ich eine Client ID vergeben musste - diese ist aber scheinbar nicht der richtige identifier, sondern nur die Bezeichnung, die dann auf dem OSX-Server in der Geräteliste auftaucht.

Ich habe jetzt auch das von dir beschriebene Problem, dass ich nur einen Mac hinzufügen kann - bei den anderen erhalte ich den Fehler, dass der Computer bereits verbunden ist.

Das habe ich versucht über einige ergooglete Terminal-Befehle zu lösen, die die keychain löschen und Kerberos manipulieren - das hat aber auch zu keinem Erfolg geführt. Ich weiss nicht, wie ich die feste ID des iMacs, die durch die geklonten Images entstanden ist, ändern kann. Eine Installation von neuen Images, die mit dem System-Image-Tool einer neueren Version erzeugt wurde, soll den Fahler angeblich nicht mehr produzieren.
Hier wäre ich über Erfahrungen/ einen Lösungsansatz sehr dankbar.

Was gelöst ist:
Die doppelten Drucker kamen wohl von alten Benutzern, die Drucker auf dem mac eingerichtet haben. Ich habe nun bei allen Test-Macs (es sind jetzt mehrere) diese Profile und auch die hinterlegten Druckerprofile manuell restlos gelöscht. Jetzt klappt alles, wie es soll. Ich muss trotzdem den Haken bei "an den Mac angeschlossene Drucker" beibehalten, sonst tauchen gar keine Drucker auf. Hier eine Idee?

Was noch interessant ist:
Mit Netinstall habe ich mich heute schon ein wenig beschäftigt - sieht sehr interessant aus, hier wäre ein Tutorial oder ein paar Tipps nicht schlecht, da man damit wohl auch ein komplett gestripptes Image (ohne Nutzer/Computerinformationen) und mit vorinstallierten Programmen erzeugen kann?

Ich habe gelesen, dass man mit Apple Remote Desktop 3, Programme nachträglich auf alle Macs im Netzwerk ausrollen kann - auch mit Installationsroutine. Wäre perfekt, wenn das Problemlos funktioniert. Weißt du, wie das abläuft? Kann ich damit einfach auf alle OD Clients zugreifen oder muss es auf allen Clients installiert sein? Wenn es nur einmal für den Server gekauft werden muss sind die 70€ mehr als verkraftbar.
Hast du da Erfahrungen?

Das Einrichten der Netzlaufewerke probiere ich gleich - wir haben noch neuere iMacs mit Mountain Lion - da will ich noch mal eben schauen, wie die auf das AD/OD-Problem und die Drucker reagieren.

Besten Dank für eure Antworten

 

[Andi]

Hallo Qriz,

ich versteh' nur Bahnhof. Was für eine Client ID? Was hast Du Dir denn genau ergoogelt? Zu den anderen Sachen habe ich schon Erfahrung und Tipps bereit. Eventuell beschreibst Du etwas näher was Du wann wie und mit welcher Lizenz installieren willst. Da kann man dann bessere Vorschläge machen. Stehen Neuanschaffungen im Raum eventuell 10.9 usw. Ich würde jetzt erstmal mal das Domänenproblem lösen. Beschreibe auch mal das Netzwerk und DNS DHCP konfig. usw.

Gruß Andi

 

[Qriz]

Hey Andi,

mit Client-ID meinte ich die Computer-ID, die man beim Einbinden des Clients ins OD angeben kann (s. Screenshot http://imgur.com/bD1AF8k).
Ergooglet habe ich mir folgendes: http://www.peachpit.com/articles/article.aspx?p=1433734&seqNum=5
Schau dir nur den unteren Teil an. Damit dachte ich, lässt sich diese ominöse, unsichtbare feste "ID" des iMacs aufheben und dieser gibt sich dann automatisch eine neue, die nicht mehr mit den anderen geklonten iMacs überein stimmt.

Einmal kurz zusammenfassend:
AD läuft auf Windows Server 2012. Windows 2008 Domaincontroller mit DNS + DHCP, alle Rechner holen sich die IPs und die Namen werden auch korrekt aufgelöst (getestet in beide Richtungen). Es gibt natürlich noch etliche weitere Server, Objekte und Dienste in dieser Umgebung, darauf möchte ich aber nicht eingehen, da der Teil zur Funktion reicht.
Ich habe hier viele Windows Clients, einige iMacs mit OSX 10.6.8 und iMacs mit OSX 10.8.2. Der Server ist ein MacMini mit OSX Server 10.8.5.
Login der User an allen Rechnern funktioniert über AD schon lange reibungslos – was bisher eher vernachlässigt wurde ist das Geräte-und OS-Management der Macs. Da lese ich mich gerade ein – da bisher nichts in die Richtung unternommen.
OSX Mavericks auf allen Macs ist angedacht – hängt aber sehr stark davon ab, was ich bis dahin herausfinde und wie optimal/übergreifend das Geräte-Management läuft.

Der Plan:
Die User werden weiterhin über die AD verwaltet und können sich darüber einloggen (ob es direkt geschieht oder vom OSX Server synchronisiert wird ist mir egal, so lange die Performance nicht nachlässt). Jeder Mac erhält ein Image, eben dieses, Updates und die Programme die darauf laufen werden zentral vom OSX-Server verwaltet und neue Software ausgerollt, so dass diese auf jedem iMac verfügbar ist. Der OSX Server stellt aber keinerlei Speicherplatz zur Verfügung uns soll auch keinerlei Traffic weiterleiten. File-Server, etc. sind vom Win 2012er verwaltet. Der OSX-Server soll wie gesagt nur als Ansprechpartner für die Mac-Clients dienen um diese entsprechend auszustatten. Gleichzeitig möchte ich über den OSX-Server über Gruppen kontrollieren können, wer welche Drucker/Netzlaufwerke/etc. sehen kann.

Was bisher geschehen ist:
OSX Server aufgesetzt. OD eingerichtet und AD auf OSX Server hinzugefügt. Auf allen iMacs zusätzlich zur AD die OD hinzugefügt (aber NICHT eingebunden!) – ich kontrolliere also aktuell die Drucker nicht über das Gerät sondern über den User der AD. Afaik wird bei einem Login des AD-Users in der OD geschaut, welche Drucker er sehen soll und fertig.
Die 10.6 Klone haben alle Ihre ominöse identische ID, die ich noch nicht finden und ändern konnte – bei den 10.8 Klonen konnte ich zwar das Einbinden ohne Fehler ausführen – allerdings werden diese noch nicht am OSX-Server gelistet. Das schaue ich mir morgen noch einmal genauer an.

Jetzt kennst du die Baustellen etwas ausführlicher . Ich lerne jeden Tag mehr dazu – über direkte Hilfe bin ich mehr als glücklich.

Besten Dank für deine Antwort

 

[Andi]

Hallo Qriz,

naja die Computer-ID wird vom vergebenen Hostnamen abgeleitet. Da musst Du Dich an erlaubte Zeichen halten. Denke das ist bei AD ähnlich. K. A. wie eure Namenskonventionen sind. Sauberes DNS ist wichtig. Uhrzeit sollten die Clients u. OD-Master vom DC bekommen oder anderer TimeServer. Die Apple TimeServer sind nicht grad die zuverlässigsten. Wenn Du einen schon ans AD gebundenen Client an das OD bindest den Suchpfad ändern. /System/Library/CoreServices/Verzeichnisdienste.app -> Suchpfad -> (local)/LDAPv3/Active Direcotry bei beiden Authentifizierung und Kontakte. Die ominöse ID findest Du /Dienstprogramme/Schlüsselbundverwaltung.app -> System -> com.apple.kerberos.kdc -> Zertifikat öffnen -> Erweiterung -> Fingerabdrücke die sind durch das klonen bei allen Clients gleich und daraus wird eine Hardware-UUID generiert die dann eben nicht Unique ist. "Unterer Teil" hat damit nix zu tun eher etwas drüber nur so radikal wie da beschrieben kannst Du nicht vorgehen. Du musst das Zertifikat und beide Schlüssel entfernen und /var/db/krb5kdc und mit /usr/libexec/configureLokalKDC den LKDC neu einrichten. security ist das CL-Tool für den Schlüsselbund. Warum 10.8 Klone keine Schwierigkeiten machen hängt vermutlich mit der Klonmethode zusammen, über die Du dich ausschweigst. Das SIU ist auch nicht ohne. Die Automator Workflows passen nur zu den entsprechenden Images. Das ist spärlich Dokumentiert und nur weil am Ende alle Haken grün sind und Erfolgreich ein Image erzeugt wurde muss das noch lange nicht so wie von Dir gewünscht/erhofft funktionieren. Der NetBoot selbst kann auch schwierig werden. Im selben Subnet kein Problem daher die Frage nach dem Netzwerk. Mit bless kannst Du einen NetBoot Server in einem anderen Subnet für einmaliges Booten zuweisen. Der findet den dann aber Multicast muss möglich sein. Helper-IPs oder wie auch immer das müssen eure "Kabelbuben" machen. Für das Client-Management hast Du Dir eine "schlechte" Zeit ausgesucht. Die 10.6er Clients musst Du über den WGM (Arbeitsgruppenmanager) verwalten die 10.7-10.8 Clients kannst Du wahlweise WGM oder PM (Profilmanager) wobei ich meine da werden nicht alle MCX (kommen vom WGM liegen beim Client in /Library/Managed Preferences/) unterstützt. 10.9 wird vermutlich nur noch Profile vom PM unterstützen /var/db/ConfigurationProfiles/. Für die Netzlaufwerke gilt dann Profilmanager -> OS X -> Anmeldeobjekte -> Netzwerk-Aktivierungen. Das Apple Remote Desktop Admin kann man nutzen und ist für das Geld wohl in Ordnung. Gehirnschmalz muss man aber trotzdem aufwenden. Für die Menge an Clients geht's gerade noch so. Das ist eher was für Schulen. Der Agent ist auf den Clients schon vorinstalliert. Systemeinstellungen->Freigaben->Entfernte Verwaltung. Hier gilt auch selbes Subnet schön - anderes Subnet Scan. Das Problem haben andere Tools aber auch. Über ldap AD siehst Du am Mac nur die ersten 1000 Objekte also nicht wundern. Man kann sich mit Wide-Area-Bonjour behelfen das ist aber nicht ganz trivial wenn es dynamisch sein soll. Statisch geht es auch am WinDNS. Bei Mac OS X Server habe ich es auch nur bis 10.6.4 hinbekommen bzw. später noch nicht weiter probiert. Je nachdem wie euer "Mixed Environment" aufgebaut wurde kannst Du oft gegen Kanten stoßen. Achso Kerberos 10.6 MIT ab wann weiß ich nicht aber 10.8 Heimdal. Apple ändert wie sie lustig sind...

Gruß Andi