Nur bei WLAN Verbindung: "Cannot resolve network address for KDC"

[echt0711]

Hallo liebe Macuser,

nach anfänglichen Schwierigkeiten und einem Wochenende voller rauschender Lüfter, hunderten Seiten Handbüchern und PDFs läuft jetzt mein 10.6.1 Server. Wir haben nach ca. 5 Versuchen nun Single Signon und einen (scheinbar?) funktionierenden OD Master mit immerhin stolzen 9 Usern. ;-)

Nun mein Problem:

Sobald ich via WLAN (Airport Extreme Station) versuche, mich am Server zu authentifizieren, bekomme ich die Fehlermeldung: Cannot resolve network address for KDC". Dieser Fehler tritt nur via WLAN auf. An meinem stationären Mac habe ich mit denselben Logindaten kein Problem.

Ich habe über folgende Programme am Client versucht, mich am Server anzumelden:
- AFP
- Adressbuch
- iCal
- Mail

Eine Vermutung habe ich, worin das Problem besteht:

Ich muss den Server offenbar als myserver.local anfahren, wenn ich über WLAN reingehe - über meinserver.meinedomain.private wird er nicht gefunden. Die .private Adresse ist jedoch die, über die ich alle anderen Macs eingerichtet habe. Ein DNS / Bonjour Problem???

Hier ist, was ich bisher versucht habe, um dem Thema auf die Schliche zu kommen:

- Ticketviewer gestartet und versucht, ein Kerberos Ticket zu bekommen für die Identität mk@MEINSERVER.DOMAIN.PRIVATE
------> Sofort kommt die Meldung, dass er den Server nicht findet.

- Dann nochmal via Ticketviewer das gleiche versucht, jedoch als Identität eingegeben mk@MEINSERVER.LOCAL
-----> Rainbowball für ca. 30 Sekunden (ziemlich genau mein LDAP Timeout ) und dann die Meldung "Cannot resolve network address for KDC..."

Es handelt sich übrigens nicht um einen Netzwerk- oder Mobile Account, das erzeugt nach meinen Tests auf dem Server (ein Mac Mini) zuviel Last. Der Useraccount liegt physikalisch auf der Platte vom MBP.

Anbei noch der Screenshot, was kinit sagt, wenn ich versuche mich zu verbinden.

Kann mir irgendwer helfen?

Es wäre schon gut nur die grob zu wissen, wonach ich überhaupt suchen muss... DNS Konfig? Airport Extreme Konfig ("NAT" anschalten?)
Ich poste euch gerne Logfiles oder Terminal-Screenshots - ich muss nur wissen, welche helfen! ;-)

Eine schöne Nacht noch und viele Grüße!

 

[Umac_de]

Das Verhalten von TicketViewer ist ganz normal.
Du musst den Benutzernamen ohne @... eingeben!

Ist auf dem Mini ebenfalls Airport aktiviert? Versucht vielleicht zur falschen Tür reinzukommen...

 

[echt0711]

Nein auf dem Mini ist kein Airport aktiviert - er hängt via Ethernet am Switch und der Switch hängt an der Airport Station.

Anbei noch ein paar Screenshots...

Um das Ding nochmal einzugrenzen:

- Macht die Macadressen-Zugriffskontrolle am Airport ein Problem?
- Darf das Airport-Netzwerk nicht "unsichtbar" sein?
- Welche DNS muss ich am Router eingeben? Die vom Miniserver oder die meines ISP?

Was ist in Sachen Ticketviewer gemeint mit "den Benutzernamen ohne @ angeben"? Wenn ich das auf dem MacBook versuche, löst er nach "meinefirma.private" auf und findet das Realm nicht. Genau das ist es ja, was nur "lokal" zu funktionieren scheint.

Ich muss entweder Kerberos beibringen, dass die .local Adresse das .private Realm ist oder ich muss es schaffen, via Airportverbindung den Server über .private anzusprechen anstatt über .local. Zumindest vermute ich, dass es daran hängt.

 

[echt0711]

Ich habe jetzt überall auf dem Laptop, wo die "private" Adresse drinstand, die IP des Servers eingetragen.

Und ich habe auch die Verbindung zur Directory (unter "Systemeinstellungen" - "Benutzer" - "Anmeldung" - "Netzwerk Account Server") auf die interne IP gestellt.
So funktioniert es nun und ich kriege auch ein Kerberos Ticket.

Was noch nicht funktioniert ist Time Machine, allerdings auf allen Clients. Es wird gemeldet, dass Benutzer-Authentification Probleme bestehen. Ich habe schon mehrfach Lese- und Schreibrechte überprüft und verschiedenen Volumes "Time Machine" Rechte via AFP vergeben. Immer das gleiche leider...

Ich scheine nach wie vor ein DNS Konfig-Problem zu haben. Hat da jemand einen Tipp für mich?

Und: sehe ich es richtig, dass ich via VPN immer meine externe IP statt der internen nehmen sollte? Das ist ja nicht gerade komfortabel, denn dann müsste ich bei iCal, Adressbuch, Mail usw. jeden Tag die IP Adressen "neu eintragen", sobald ich das interne Netz betrete...

*seufz* einen DNS Profi bitte!!

 

[Umac_de]

Also, ich habe DHCP auf dem Router deaktiviert und auf dem Server aktiviert.
Damit bekommen alle, automatisch die richtigen Einstellungen vom Server geliefert. Über VPN muss ja eh der Server die IPs zuteilen.

Wenn alles richtig konfiguriert ist, sollte der Server mit seinem FQDN in der linken Spalte des Finders auf dem Client erscheinen und nicht mehr mit seinem Bonjournamen und die Shares sind sofort automatisch eingebunden (Kein "Verbinden als ..." bzw. Doppelklick notwendig, die Verbindenschaltfläche steht sofort auf "trennen")...

Zum letzten Screenshot:
Keine Ahnung, ob localnets auch funktioniert, ich würde jedenfalls 10.0.1 eintragen...

Deine Fragen:
- Macht die Macadressen-Zugriffskontrolle am Airport ein Problem?
Denke nein. Ist aber keine gute Idee für den Fernzugriff, wenn der Server neue IPs verteilt...
- Darf das Airport-Netzwerk nicht "unsichtbar" sein?
shitegal
- Welche DNS muss ich am Router eingeben? Die vom Miniserver oder die meines ISP?
Die vom ISP.
- Was ist in Sachen Ticketviewer gemeint mit "den Benutzernamen ohne @ angeben"?
Ich muss nur Benutzernamen (ohne @) und Passwort eingeben.
Wenn ich es mit @... eingebe, funktioniert es bei mir in beiden Varianten nicht.
Vermute -> Umkehrschluss: Wenn du es mit @ eingeben musst -> bist du nicht "eingebunden".

Versuchsweise könntest du dem client auch mit einem Eintrag in /etc/hosts auf die Sprünge helfen...

 

[echt0711]

Ich habe sicherheitshalber im DNS unterhalb "localnets" noch "10.0.1" eingetragen.

Das mit dem DHCP Server ist eine gute Idee, das werde ich probieren - allerdings hab ich dazu ein paar Fragen, weil das auf dem Server doch komplexer aussieht als ich es vom Airport Router gewohnt bin:

- Kann bzw. sollte der DHCP auch die "statischen Zuordnungen" machen, also z.B. für den Switch anhand dessen Mac Adresse vergeben? Bis jetzt habe ich es nämlich so eingerichtet, dass Router, Switch und der OS X Server manuelle IPs haben und die DHCP Range geht erst bei der ".10" los. Dann hat der DHCP ca. 200 Adressen zum verteilen, danach kommen ein paar IPs, die ich nur dem VPN gebe. Passt das so? Oder würdest Du garkeine manuellen IPs irgendwo eintragen und den DHCP "statische Zuordnungen" machen lassen? Ich hab mir eine schöne Liste geschrieben, welches Gerät welche IP hat und welche Ranges für welchen Dienst reserviert sind.

- Welchen DNS trage ich beim DHCP Server ein? Den internen oder die meines ISP? Welches ist die "Standard Domain"? Intern oder wiederum die meines ISP?

- Was trage ich bei "LDAP" ein? Muss der DHCP Server die LDAP Directory kennen? Könnte es vielleicht sogar damit zusammen hängen, dass meine Clients keinen FQDN in der Seitenleiste angezeigt bekommen?

- Und die letzte Frage: Ich arbeite ja immer über einen Client auf dem Server, weil der keinen Monitor hat. In dem Moment, wo ich DHCP umstelle kriege ich doch da ein Problem oder? Wie gehe ich vor um 1. DHCP im Airport Router abzuschalten und 2. DHCP im Server anzuschalten, wenn ich das ganze von einem DHCP Client aus via z.B. Screen Sharing konfigurieren will?

Ich habe bemerkt, dass mein Problem in irgendeiner Form mit Kerberos zusammen hängt. Ich sitze gerade zuhause und bin via VPN auf dem Netzwerk. Ich komme auf alle Dienste, ausser auf AFP - und AFP erlaubt bei mir nur Kerberos als Auth. Ich bekomme auch wieder kein Ticket. Was aber geht ist Screensharing. Habe mich also auf dem Server eingewählt und nichts weiter gemacht als den Dienst AFP für den User ab- und wieder angeschaltet. Und schwupps kriege ich ein Ticket und komme auf den Server drauf via AFP... ist das nicht strange?

 

[Umac_de]

- Kann bzw. sollte der DHCP auch die "statischen Zuordnungen" machen, also z.B. für den Switch anhand dessen Mac Adresse vergeben? Bis jetzt habe ich es nämlich so eingerichtet, dass Router, Switch und der OS X Server manuelle IPs haben und die DHCP Range geht erst bei der ".10" los. Dann hat der DHCP ca. 200 Adressen zum verteilen, danach kommen ein paar IPs, die ich nur dem VPN gebe. Passt das so? Oder würdest Du garkeine manuellen IPs irgendwo eintragen und den DHCP "statische Zuordnungen" machen lassen? Ich hab mir eine schöne Liste geschrieben, welches Gerät welche IP hat und welche Ranges für welchen Dienst reserviert sind.

Du kannst alle festen IPs lassen - das ist kein Problem.

- Welchen DNS trage ich beim DHCP Server ein? Den internen oder die meines ISP? Welches ist die "Standard Domain"? Intern oder wiederum die meines ISP?

Die vom Server und vom Router (die vom ISP bindet der Router automatisch mit ein; kannst aber auch OpenDNS verwenden) -> Bild -> Domain ist kbcd.private

- Was trage ich bei "LDAP" ein? Muss der DHCP Server die LDAP Directory kennen? Könnte es vielleicht sogar damit zusammen hängen, dass meine Clients keinen FQDN in der Seitenleiste angezeigt bekommen?

Das könnte gut damit zusammenhängen.

- Und die letzte Frage: Ich arbeite ja immer über einen Client auf dem Server, weil der keinen Monitor hat. In dem Moment, wo ich DHCP umstelle kriege ich doch da ein Problem oder? Wie gehe ich vor um 1. DHCP im Airport Router abzuschalten und 2. DHCP im Server anzuschalten, wenn ich das ganze von einem DHCP Client aus via z.B. Screen Sharing konfigurieren will?

Wie gesagt, du musst auf dem Client nicht auf DHCP umstellen...
also ganz einfach -> auf dem Server DHCP konfigurieren -> auf der Airport abschalten -> auf dem Server anschalten

Ich habe bemerkt, dass mein Problem in irgendeiner Form mit Kerberos zusammen hängt. Ich sitze gerade zuhause und bin via VPN auf dem Netzwerk. Ich komme auf alle Dienste, ausser auf AFP - und AFP erlaubt bei mir nur Kerberos als Auth. Ich bekomme auch wieder kein Ticket. Was aber geht ist Screensharing. Habe mich also auf dem Server eingewählt und nichts weiter gemacht als den Dienst AFP für den User ab- und wieder angeschaltet. Und schwupps kriege ich ein Ticket und komme auf den Server drauf via AFP... ist das nicht strange?

Vielleicht bestand noch ein Ticket mit anderer IP?
Mehrfachanmeldung für dich aktiviert?

 

[echt0711]

Zitat von echt0711
- Was trage ich bei "LDAP" ein? Muss der DHCP Server die LDAP Directory kennen? Könnte es vielleicht sogar damit zusammen hängen, dass meine Clients keinen FQDN in der Seitenleiste angezeigt bekommen?

Das könnte gut damit zusammenhängen.

Okay - nur damit ich da nichts falsch mache: die LDAP-Adresse, die ich beim DHCP Server eintragen muss ist die gleiche, die ich auch in der Open Directory ("Workgroup Manager") oben links sehe, wenn ich mich angemeldet habe, oder nicht?

Also trage ich unter "LDAP-Server" konkret ein:

/LDAPv3/127.0.0.1.

Mit "Punkt" hinter der "1"?
Sorry wenn ich so genau nachfrage - bis gestern dachte ich noch, OD und LDAP ist das gleiche... ;-)

 

[Umac_de]

Okay - nur damit ich da nichts falsch mache: die LDAP-Adresse, die ich beim DHCP Server eintragen muss ist die gleiche, die ich auch in der Open Directory ("Workgroup Manager") oben links sehe, wenn ich mich angemeldet habe, oder nicht?
Also trage ich unter "LDAP-Server" konkret ein:
/LDAPv3/127.0.0.1.
Mit "Punkt" hinter der "1"?

Nix da -> mit 127.0.0.1. bezieht sich jeder Client auf sich selber...
Guckst du -> Bild 2 -> 2 Beiträge hoch

Sorry wenn ich so genau nachfrage - bis gestern dachte ich noch, OD und LDAP ist das gleiche... ;-)

LDAP ist der Serverdienst für OD...

 

[echt0711]

Danke vielmals!

Folgendes habe ich gemacht: Airportstation hat den FQDN meines Servers als LDAP Server verfüttert bekommen. Ich habe in der Seitenleiste meiner Clients aber immernoch keinen FQDN stehen. Mehr als "Servernamen" kann man dem DHCP der Airportstation auch nicht sagen. Und via WLAN habe ich auch keine Änderung - ich kann mich immernoch nicht via Kerberos anmelden, wenn ich über WLAN oder VPN auf das Netz draufschaue.

Deswegen überlege ich jetzt, tatsächlich den DHCP des Servers zu verwenden. Will mir aber vorher die IP und App Firewall nochmal genau anschauen.

Und ich habe jetzt tatsächlich 10 Minuten lang im Airport Dienstprogramm gesucht, aber keine Option gefunden um DHCP dort zu deaktivieren.
Es scheint per default zu laufen und nicht abschaltbar... zumindest dann nicht, wenn ich mich per "PPPoE" beim ISP einwählen muss.

Sollte ich da jetzt einfach die "Range" der vergebenen IP Adressen auf "eine" stellen, bzw. eine reservieren und das ist die des Servers?
Oder NAT anschalten und auf den Server leiten, DHCP garnicht weiter beachten? Oder kann man DHCP tatsächlich "abschalten" auf der Airport?
Irgendwie hatte ich mir das (schon wieder) einfacher vorgestellt...

Und ich hab noch eine Frage: was bedeutet die Verlagerung des DHCP auf den Server für unsere Angriffssicherheit von außen? Ich habe mich bisher hinter der Airport Station immer relativ sicher gefühlt... wohlgemerkt nur "gefühlt". Wenn jetzt aller Verkehr aus dem Internet erstmal auf den Server kommt, weil der auf die internen IPs verteilt? Oder habe ich da etwas falsch verstanden? Ich habe schon überlegt, eine Hardware-Firewall zu kaufen aber ich scheue noch ein wenig die Kosten für unser kleines Büronetz.

 

[echt0711]

Ich konnte das Problem lösen! Und zwar ganz ohne den DHCP des Servers verwenden zu müssen. Es war - mal wieder - eine total simple Einstellung:

In den DNS Einträgen meines MacBookPro standen neben dem DNS des Servers noch die DNS Einträge meines ISP drin. Ich habe diese rausgelöscht, so daß wirklich nur noch der DNS Dienst des Servers angefahren wird - und jetzt löst der Client die .private Domain korrekt auf! Damit funktioniert auch Kerberos und Single Signon - zumindest nachdem ich mir ein Ticket manuell hole (warum auch immer).

Habe den Tipp aus dem Apple Supportforum bekommen.

Auf soetwas muss man erstmal kommen... ;-)