Hallo Liste, ich will meinen guten alten server mal wieder neu machen, und könnte ein paar tips gebrauchen... Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;) Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2... Hat irgendwer tips für mich? bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
Am Sa, den 20.11.2004 schrieb Mathias Homann um 10:51:
Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;)
Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire
Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2...
Hat irgendwer tips für mich?
Wie wärs mit einem Debian? Bye Michael -- The nice thing about Windows is - It does not just crash, it displays a dialog box and lets you press 'OK' first. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Am Samstag, 20. November 2004 10:59 schrieb Michael Raab:
Am Sa, den 20.11.2004 schrieb Mathias Homann um 10:51:
Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;)
Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire
Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2...
Hat irgendwer tips für mich?
Wie wärs mit einem Debian?
Wäre auch mein Vorschlag. Debian stable mit automatischem Sicherheitsupdate - und er läuft und läuft und läuft ... :-) -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Michael Raab sagte:
Am Sa, den 20.11.2004 schrieb Mathias Homann um 10:51:
Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;)
Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire
Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2...
Hat irgendwer tips für mich?
Wie wärs mit einem Debian?
nein danke. wie du geflissentlich ignoriert hast fragte ich nach suse. ich möchte nämlich alles möglichst schnell wieder am laufen haben und nicht wochenlang rumfummeln bis alles läuft... bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
nein danke. wie du geflissentlich ignoriert hast fragte ich nach suse. ich möchte nämlich alles möglichst schnell wieder am laufen haben und nicht wochenlang rumfummeln bis alles läuft...
Trotz meines Rates habe ich vor ca. 3 Monaten nen Router mit FW, Apache2, Mailserver und Faxserver aufgesetzt. Version: 9.1. Zufriedenheit: TOP! Nur irgendwann gibts keine Updates mehr dafür ;-( Das selbe Problem hatte ich mit 8.0! Das ist ärgerlich. Und wenn Du von 8 auf 9.1 gehst, dann ist alles anders :-( was bei Debain nicht unbedingt der Fall ist... Deshalb beiße ich mich wirklich einwenig in den Hintern, dass ichs nicht genommen habe... Grund? Wie bei Dir... es sollte schnell gehen... Aber wenn Du Zeit hast kannst Dus ja mal auf nem Testserver machen... Stück für Stück. Gruß Bernd
Am Samstag, 20. November 2004 14:09 schrieb Mathias Homann:
Michael Raab sagte:
Am Sa, den 20.11.2004 schrieb Mathias Homann um 10:51:
Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;)
Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire
Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2...
Hat irgendwer tips für mich?
Wie wärs mit einem Debian?
nein danke. wie du geflissentlich ignoriert hast fragte ich nach suse. ich möchte nämlich alles möglichst schnell wieder am laufen haben und nicht wochenlang rumfummeln bis alles läuft...
SuSE-Enterprise-Server Reinstecken, wohlfühlen - und bei Fragen und Problemen: Novell/SuSE hilft kompetent. Kostet natürlich auch ein wenig ;-) -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Wie wärs mit einem Debian?
Genau das wollte ich eben auch sagen! :D Mit Debian ist man nicht so eingefahren, bekommt lange Updates und kann sich alles aussuchen... einziger Nachteil... wer schon immer SuSE benutzt hat tut sich anfags einwenig schwer... Aber man darf auch hier den Lern-Faktor nicht vergessen ;-) Gruß Bernd
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi Mathias Homann, *, Mathias Homann wrote on Sat Nov 20, 2004 at 10:51:31AM +0100:
Hat irgendwer tips für mich? Fuer nen SuSE Server wuerd ich dir zu SuSE 9.0 raten... einfach weil in 9.1 und vermutlich auch 9.2 die Ethernetkarte mit einer PCI ID belegt ist, was einen Wechsel der Karte schwierig gestaltet. Zumal ich dann nen Monitor und ne Tastatur brauche um meine IP Konfiguration neu zu schreiben.
Allerdings wuerd ich bei nem Server auch zu einem Debian raten. - -- - --------------------------------------------------------------------- Rainer 'Ny' Bendig | http://UnresolvedIssue.org | GPG-Key: 0xCC7EA575 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFBnyButpAZoWtAN98RAuYSAJ9EqXcT54aH3i4jetBWKMzBqac6zACaA99X B4IF9ztUvgaLUWJLLloc6UY= =0x2P -----END PGP SIGNATURE-----
"Mathias Homann"
Hallo Liste,
ich will meinen guten alten server mal wieder neu machen, und könnte ein paar tips gebrauchen...
Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;)
Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire
Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2...
So lange du nur Serverapplikationen und ein ausgereiftes Dateisystem installierst, kannst du eigentlich alle SuSE Distributionen einsetzen.Also kein X, kein KDE oder sonstiges, nur Runlevel 3. Aus Gründen der Aktualität würde ich auch einen Versuch mit SuSE-9.2 wagen. Es könnte aber Probleme mit dem 2.6er Kernel geben, daher würde ich bei einem Server lieber noch bei 2.4.x bleiben. Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden. Wenn du aber Samba-3.x als File- Print- und Authentifizierungsserver für W2K Clients und höher einsetzen möchtest, solltest du auch OpenLDAP und vielleicht sogar Heimdal Kerberos installieren. Statt Leafnode würde ich INN verwenden, da meines Wissens Leafnode keine Serverfunktionen hat. Bei Apache scheiden sich die Geister, ob Version 1 oder 2 mußt du selbst entscheiden. In meinem kleinen Testnetz läuft Version 2 bisher ohne Probleme. Postfix ist eigentlich problemlos. Auf der Cyrus Mailingliste wird gelegentlich über Performanceprobleme geklagt, aber das ist meines Erachtens nur ein Konfigurationsfehler, da hier BerkeleyDB nicht genügend Cache bereitgestellt wird. Wenn deine Hardware das mitmacht, läuft so ein System mit hohen uptimes. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hi Dieter Kluenter, *, Dieter Kluenter wrote on Sat Nov 20, 2004 at 12:03:01PM +0100:
Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden. Wenn du aber Dann frage ich mich was bei uns im Firmennetz eigentlich laeuft...
-- --------------------------------------------------------------------- Rainer 'Ny' Bendig | http://UnresolvedIssue.org | GPG-Key: 0xCC7EA575
Rainer Bendig aka Ny
Hi Dieter Kluenter, *,
Dieter Kluenter wrote on Sat Nov 20, 2004 at 12:03:01PM +0100:
Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden. Wenn du aber
Dann frage ich mich was bei uns im Firmennetz eigentlich laeuft...
Dann frage dich, oder einen Anderen, ich kann das nicht erraten :-) -Dieter Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Am Samstag, 20. November 2004 12:39 schrieb Dieter Kluenter:
Rainer Bendig aka Ny
writes: Hi Dieter Kluenter, *,
Dieter Kluenter wrote on Sat Nov 20, 2004 at 12:03:01PM +0100:
Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden. Wenn du aber
Dann frage ich mich was bei uns im Firmennetz eigentlich laeuft...
Dann frage dich, oder einen Anderen, ich kann das nicht erraten :-)
Na gut, Samba kann nur als /leicht abgespeckter/ PDC laufen, einiges geht halt nicht. Die grundlegenden PDC-Funktionen laufen aber inzwischen sehr gut (Authentifizierung, Freigaben, Rechteverwaltung, rooming Profiles, ..). Was definitiv nicht geht ist ADS. Da hat *x eigene Mechanismen. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo,
-----Original Message----- From: Dieter Kluenter [mailto:dieter@dkluenter.de] Sent: Saturday, November 20, 2004 12:03 PM To: suse-linux@suse.com Subject: Re: Welche SuSE für server?
SuSE-9.2 wagen. Es könnte aber Probleme mit dem 2.6er Kernel geben, daher würde ich bei einem Server lieber noch bei 2.4.x bleiben. Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden.
Samba geht nur als PDC. SDC ist nur möglich, wenn der PDC auch ein Samba ist. Was (leider) nicht geht, ist Samba als SDC neben einem MS-PDC einzusetzen. Gruss Jens
"Jens M. Guessregen"
Hallo,
-----Original Message----- From: Dieter Kluenter [mailto:dieter@dkluenter.de] Sent: Saturday, November 20, 2004 12:03 PM To: suse-linux@suse.com Subject: Re: Welche SuSE für server?
SuSE-9.2 wagen. Es könnte aber Probleme mit dem 2.6er Kernel geben, daher würde ich bei einem Server lieber noch bei 2.4.x bleiben. Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden.
Samba geht nur als PDC. SDC ist nur möglich, wenn der PDC auch ein Samba ist. Was (leider) nicht geht, ist Samba als SDC neben einem MS-PDC einzusetzen.
Samba geht *nicht* als Primary Domain Controller, sondern nur als Meber Server in einer Domain. Die Gründe dazu habe ich schon oft genug auf dieser Liste dargelegt. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter,
Dieter Kluenter
Samba geht *nicht* als Primary Domain Controller, sondern nur als Meber Server in einer Domain. Die Gründe dazu habe ich schon oft genug auf dieser Liste dargelegt.
Ohne Dir persönlich auf die Füße treten zu wollen, so ist Deine Antwort grundsätzlich nicht richtig ;-) Auch wenn Samba 2/3 grundsätzlich nicht die volle Funktionalität eines echten Windows NT4-Primary Domain Controllers darstellen kann, so kenne ich aus dem Arbeitsumfeld meines Windows-Arbeitgebers genügend Firmen, die sehr wohl Samba2/3 als PDC in Betrieb haben und damit völlig ausreichend zufrieden sind. Windows NT4: Samba *geht* als PDC. Samba *geht* als BDC, wenn der PDC auch Samba ist. Samba *geht nicht* als BDC, wenn der PDC windows ist. Samba *geht* als Member-Server. Windows 2000/2003 Samba *geht nicht* als DC. Samba *geht* als Member-Server. Vielleicht spalte ich nur Haare, die von den Zähnen in die Suppe gefallen sind. Imho ist jedoch folgende Aussage besser: "Samba 2/3 kann in spezialisierten Umgebungen nicht als PDC eingesetzt werden, weil ..." bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE, Securityfocus and Webmin - Mailinglist mboxes http://www.mewes.tv/mbox/
Martin Mewes
Hallo Dieter,
Dieter Kluenter
wrote : Samba geht *nicht* als Primary Domain Controller, sondern nur als Meber Server in einer Domain. Die Gründe dazu habe ich schon oft genug auf dieser Liste dargelegt.
Ohne Dir persönlich auf die Füße treten zu wollen, so ist Deine Antwort grundsätzlich nicht richtig ;-)
Auch wenn Samba 2/3 grundsätzlich nicht die volle Funktionalität eines echten Windows NT4-Primary Domain Controllers darstellen kann, so kenne ich aus dem Arbeitsumfeld meines Windows-Arbeitgebers genügend Firmen, die sehr wohl Samba2/3 als PDC in Betrieb haben und damit völlig ausreichend zufrieden sind.
Windows NT4: Samba *geht* als PDC. Samba *geht* als BDC, wenn der PDC auch Samba ist. Samba *geht nicht* als BDC, wenn der PDC windows ist. Samba *geht* als Member-Server.
Wenn man davon ausgeht, daß das Konzept des Primary Domain Controllers bei einem NT4 Server nur begrenzt verfügbar ist, also nur Fileserver, Anmeldeserver, ohne KRB5 und ohne LDAP, ohne ausgeklügelte Gruppenkontrollen usw., hast du hier Recht. Der Anspruch von Samba war immer, nur Fileserver- und Printserver- Dienste bereitzustellen und nicht primär eine zentale Anwenderverwaltung bereitzustellen (obwohl das mit Samba3 als NT4 Ersatz heute möglich ist).
Windows 2000/2003 Samba *geht nicht* als DC. Samba *geht* als Member-Server.
etwas anderes habe ich auch nie gesagt.
Vielleicht spalte ich nur Haare, die von den Zähnen in die Suppe gefallen sind. Imho ist jedoch folgende Aussage besser:
"Samba 2/3 kann in spezialisierten Umgebungen nicht als PDC eingesetzt werden, weil ..."
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter,
Dieter Kluenter
Wenn man davon ausgeht, daß das Konzept des Primary Domain Controllers bei einem NT4 Server nur begrenzt verfügbar ist, also nur Fileserver, Anmeldeserver, ohne KRB5 und ohne LDAP, ohne ausgeklügelte Gruppenkontrollen usw., hast du hier Recht. Der Anspruch von Samba war immer, nur Fileserver- und Printserver- Dienste bereitzustellen und nicht primär eine zentale Anwenderverwaltung bereitzustellen (obwohl das mit Samba3 als NT4 Ersatz heute möglich ist).
*unterschreib*
Windows 2000/2003 Samba *geht nicht* als DC. Samba *geht* als Member-Server.
etwas anderes habe ich auch nie gesagt.
Habe ich auch nur der Vollständigkeit halber dabei geschreibselt.
"Samba 2/3 kann in spezialisierten Umgebungen nicht als PDC eingesetzt werden, weil ..."
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
*unterschreib* // dann haben wir uns ja wieder lieb ;-) // bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE, Securityfocus and Webmin - Mailinglist mboxes http://www.mewes.tv/mbox/
Dieter Kluenter sagte:
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script... aber das bilde ich mir warscheinlich nur ein. bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
"Mathias Homann"
Dieter Kluenter sagte:
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...
Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:
"Mathias Homann"
writes: Dieter Kluenter sagte:
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...
Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt.
Ähm, da misch ich mich doch auch noch mal ein :-) Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt. Was ich selbst bisher praktisch noch nicht gemacht habe ist, ob man sich von einem Samba-PDC aus Vertrauensbeziehungen als Vertrauender aufbauen kann. Das müsste aber auch gehen, denn man kann sich ja IIRC (?) auch mit einem Linux bei installiertem Samba 3.0 an einer W2k-Domain als Client anmelden. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Houdek
Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:
"Mathias Homann"
writes: Dieter Kluenter sagte:
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...
Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt.
Ähm, da misch ich mich doch auch noch mal ein :-)
Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt. [...]
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC). -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:
Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt.
[...]
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Ein PDC (Primary Domain Controller) ist ein Ding aus Windows-NT4 Zeit und hat nichts mit Kerberos zu tun. Das Konzept seit Active Directory ist ein Multi-Master Modell. Dort gibt es zwar noch DCs aber keinen Primary DC (1) mehr. Einen PDC kann Samba recht gut emulieren. Mit nem DC (Active Directory) hat es halt noch so seine Probleme. (1) Ja, es gibt auch noch den Begriff PDC im ActiveDirectory. Doch das ist nur ein Emulator der auf einem DC läuft um die "alte" Welt an die "neue" zu binden. -- Andreas
Andreas Winkelmann
Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:
Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt.
[...]
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Ein PDC (Primary Domain Controller) ist ein Ding aus Windows-NT4 Zeit und hat nichts mit Kerberos zu tun. Das Konzept seit Active Directory ist ein Multi-Master Modell. Dort gibt es zwar noch DCs aber keinen Primary DC (1) mehr.
http://www.microsoft.com/resources/documentation/windowsserv/2003/all/techre... -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Am Sonntag, 21. November 2004 15:19 schrieb Dieter Kluenter:
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Ein PDC (Primary Domain Controller) ist ein Ding aus Windows-NT4 Zeit und hat nichts mit Kerberos zu tun. Das Konzept seit Active Directory ist ein Multi-Master Modell. Dort gibt es zwar noch DCs aber keinen Primary DC (1) mehr.
http://www.microsoft.com/resources/documentation/windowsserv/2003/all/techr ef/en-us/w2k3tr_ad_dctrl_over.asp
Ja, und? -- Andreas
Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:
Matthias Houdek
writes: Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:
"Mathias Homann"
writes: Dieter Kluenter sagte:
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...
Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt.
Ähm, da misch ich mich doch auch noch mal ein :-)
Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt.
[...]
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Was hat ein PDC mit Kerberos zu tun? Ich dachte immer, das verwendet M$ erst im Active Directory. Dort wird ja auch dieser PDC- und WINS-Kram nur noch aus Kompatibilitätsgründen mitgeschleift (emuliert?). IMHO wird der Begriff "Domäne" als Ersatz für die oberste(n) OU-Ebene auch nur noch aus Gewohnheit beibehalten. Damit weiß der halt der eingefleischte NT-Admin sofort was anzufangen ;-). Immerhin kann ja hier auch eine Domäne selbst weitere Domänen enthalten - unter NT undenkbar. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Houdek
Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:
Matthias Houdek
writes: Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:
"Mathias Homann"
writes:
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Was hat ein PDC mit Kerberos zu tun? Ich dachte immer, das verwendet M$ erst im Active Directory. Dort wird ja auch dieser PDC- und WINS-Kram nur noch aus Kompatibilitätsgründen mitgeschleift (emuliert?). IMHO wird der Begriff "Domäne" als Ersatz für die oberste(n) OU-Ebene auch nur noch aus Gewohnheit beibehalten. Damit weiß der halt der eingefleischte NT-Admin sofort was anzufangen ;-). Immerhin kann ja hier auch eine Domäne selbst weitere Domänen enthalten - unter NT undenkbar.
Active Directory ist nur der LDAP Teil des W2K/W2003 Servers, Kerberos wird von Microsft auch Identity Service bezeichniet http://search.microsoft.com/search/results.aspx?View=en-us&p=1&c=4&st=b&qu=Domain+controller&swc=4&na=33&cm=512 http://www.microsoft.com/windowsxp/using/networking/expert/crawford_december... http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise... -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Am Sonntag, 21. November 2004 15:15 schrieb Dieter Kluenter:
Matthias Houdek
writes: Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:
Matthias Houdek
writes: Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:
"Mathias Homann"
writes: Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Was hat ein PDC mit Kerberos zu tun? Ich dachte immer, das verwendet M$ erst im Active Directory. Dort wird ja auch dieser PDC- und WINS-Kram nur noch aus Kompatibilitätsgründen mitgeschleift (emuliert?). IMHO wird der Begriff "Domäne" als Ersatz für die oberste(n) OU-Ebene auch nur noch aus Gewohnheit beibehalten. Damit weiß der halt der eingefleischte NT-Admin sofort was anzufangen ;-). Immerhin kann ja hier auch eine Domäne selbst weitere Domänen enthalten - unter NT undenkbar.
Active Directory ist nur der LDAP Teil des W2K/W2003 Servers, Kerberos wird von Microsft auch Identity Service bezeichniet
Hm, Active Directory ist doch aber noch etliches mehr. Die komplette Verwaltungsstruktur ist gewaltig erweitert, und im reinen W2k-Betrieb (also ohne die Komplatibilität zu NT) kann man z.B. auch mit den zusätzlichen "universal groups" ausgefeilte Rechte-Strukturen basteln. Außerdem ist doch Kerberos auch erst seit W2k eingesetzt, oder? NT-PDC verschlüsseln doch mit MD5 (IIRC? - ich bin hier nur Halbäugiger unter Blinden; ich erfreue mich dran, dass es klappt. *g*)). -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
participants (9)
-
Andreas Winkelmann
-
Bernd Schwendele
-
Dieter Kluenter
-
Jens M. Guessregen
-
Martin Mewes
-
Mathias Homann
-
Matthias Houdek
-
Michael Raab
-
Rainer Bendig aka Ny