UCS 4 als zusätzliche AD-DC einrichten

In unseren Aussenstellen möchten wir zusätzliche AD-Domaincontroller auf UCS Basis einsetzen. Diese sollen auch die vorhandenen NAS Systeme ablösen.

Dabei sollen erst einmal die vorhandenen Windows 2008 DCs aktiv bleiben.

Wie richtige ich die UCS-Systeme am sinnvollsten ein?

Moin,

eine Mischung aus Windows-AD-Controllern und UCS-AD-Controllern wird momentan nicht unterstützt. UCS kann als AD-Member-Server joinen (siehe Anleitung für UCS 4 oder UCS 3.2), aber bietet dann selber keine Domänendienste an, ist also für Ihre Situation nicht hilfreich.

Früher gab es außerdem mal Informationen, wie man einen UCS-AD-Controller in einer AD-Domäne betreibt – allerdings ist und bleibt das offiziell nicht unterstützt, und ich kann nicht einmal sagen, ob die beschriebenen Schritte mit UCS 4 überhaupt noch funktioniere (der Artikel war für UCS 3 geschrieben). Wenn Sie abenteuerlustig sind, gute Backups und starke Nerven haben, so können Sie sich diesen Artikel ja mal anschauen. Aber wie gesagt: nicht unterstützt, eigene Verantwortung.

Danke, ich glaube dazu fehlt mir tatsächlich der Mut.

Hallo,

das Thema interessiert, so glaube ich, viele und berührt m.E. ein grundsätzliches Verständnisproblem.

Laut UCS-Handbuch, Kapitel 9.4.2, scheint es möglich zu sein, UCS als Domain-Server in einer Windows-AD-Domäne als “Mitglieds-Server” zu betreiben. Ich denke, viele wollen auch erst einmal die Windows-Server als Domaincontroller weiterlaufen lassen. Die Antwort von Herrn Bunkus lässt dies nun zweifelhaft erscheinen. Für mich stellen sich deshalb folgende Fragen:

  1. Worin besteht der Unterschied zwischen UCS-AD-Controller und UCS-AD-Member-Server?
  2. Wenn es diesen Unterschied gibt, wie installiert man einen UCS-AD-Member-Server (laut Handbuch muss der erste UCS ein Domain-Master sein).
  3. Wie verhält sich der UCS (als Master- und/oder Member-Server) wenn die Windows-AD-Server nicht zur Verfügung stehen (nach meinem Verständnis müsste der UCS zumindest über LDAP seine Dienste der Domäne und den Clients weiter zur Verfügung stellen) ?

Danke für Ihre Antworten

Sie müssen zwischen bei einem UCS-Server zwei Rollen unterscheiden: die Rolle im UCS-Umfeld und die Rolle im AD-Umfeld. Diese beiden sind (leider) ähnlich benannt, aber es gibt sie in verschiedenen Kombinationen.

Das UCS-Umfeld bzw. die UCS-Domäne kennt drei Domänencontroller-Typen: Master, Backup und Slave. Jede UCS-Domäne hat genau einen Master, potenziell mehrere Backups und Slaves.

Wichtig ist, dass die UCS-Domäne erst einmal nichts mit der Window-Welt zu tun hat.

Für die Funktionalität in der Windows-Welt gibt es nun Samba 4, das als Windows-AD-Controller fungieren kann oder als Windows-AD-Mitgliedsserver.

Um diese zwei Welten zu verbinden, gibt es in UCS Komponenten, die die Daten synchronisieren.

Zum Thema »UCS-Server in einer AD-Domäne«: hier ist es so, dass die Rolle im AD-Umfeld eines UCS-Servers die eines AD-Domänencontrolles nur dann ausüben kann, wenn alle anderen AD-Domänencontroller ebenfalls UCS-Systeme sind – aber eben nicht zusammen mit einem Windows-AD-Domänencontroller.

Gibt es hingegen Windows-AD-Domänencontroller, so ist das UCS bzgl. der AD-Rolle momentan immer ein Memberserver.

Die Rolle in der UCS-Domäne hingegen ist die eines UCS Domänencontroller Master, Backup oder Slave.

  1. Wenn es diesen Unterschied gibt, wie installiert man einen UCS-AD-Member-Server (laut Handbuch muss der erste UCS ein Domain-Master sein).

Ja, das ist kein Widerspruch, wie ich eben ausgeführt habe. Die Rolle im AD ist ein Member-Server, im UCS hingegen ein UCS Master.

  1. Wie verhält sich der UCS (als Master- und/oder Member-Server) wenn die Windows-AD-Server nicht zur Verfügung stehen (nach meinem Verständnis müsste der UCS zumindest über LDAP seine Dienste der Domäne und den Clients weiter zur Verfügung stellen) ?

Ihre Frage ergibt nur Sinn, wenn UCS im AD als Memberserver vorhanden ist. Fällt dann der Windows-AD-Server aus, so kann der UCS-AD-Memberserver keine Anmeldeinformationen für die Windows-Welt zur Verfügung stellen. Was er aber sehr wohl kann und auch macht, ist weiterhin die Anmeldeinformationen für die UCS-Domäne bereitzustellen – sprich für Dienste wie Postfix, Zarafa etc., die direkt mit dem UCS-LDAP-Verzeichnis authentifizieren.

Herzlichen Dank!
Ihre Erläuterungen helfen mir sehr weiter.

Mastodon