Hallo,
plane im Sommer den Umzug unseres ARKTUR-Schulserver auf LMN.
Installation am Server hat soweit funktioniert. Aufnahme des Clients (XP) (ohne Linbo) in die Domäne ebenfalls.
Melde ich mich nun unter einem Nutzernamen (Schüler) am Client an, kann ich von dort nicht mehr ins Internet. Ohne Domänenanmeldung klappt es von diesem Client.
Muss ich wie bei Arktur im Browser einen Proxyeintrag vornehmen (DHCP ist aktiviert)?
“ping server” geht, aber “ping www.heise.de” nicht
An der Schulkonsole ist alles auf AN gestellt (Intranet und Internet.
in Windows XP (mutig, mutig … WannaCry-Patch aus dem Mai 2017
eingespielt?) sind die Proxy-Einstellungen benutzerspezifisch.
Du kannst diese per Gruppenrichtlinie einstellen oder von einem
Vorlagenbenutzer kopieren. Per DHCP übergeben geht an Windows nicht,
weil dessen Client zu doof dazu ist, alle dokumentierten Parameter zu
übernehmen. Bei Arktur musste ich das nie einstellen, weil wir nicht ihn
als Proxy benutzt haben, sondern einen vorgelagerten transparenten.
In linuxmuster ist der Proxy von ipfire normalerweise (auch) nicht
transparent. Du kannst diesen transparent stellen, solange Du keine
Authentifizierung benötigst und damit leben kannst, dass er mit Tor
verhältnismäßig leicht zu umgehen ist. Wir haben allerdings
ausschließlich Linux-Clients, an denen sich LDAP-Benutzer anmelden, so
dass ich nicht wirklich weiß, ob der Vorlagenbenutzer pgmadmin für
Windows-Clients dasselbe leistet wie linuxadmin für Linux-Clients.
Stell doch mal versuchsweise den Proxy von ipfire für GRUEN auf
transparent. Dann müsstest Du auch als Domänenbenutzer surfen können.
kleine Nachfrage:
Welchen Grund hast Du, deinen veralteten Arktur mit veralteten
XP-Clients auf die (mit Ubuntu 12.04 als Basis ebenfalls als veraltet
anzusehende) LMN 6.2 umzustellen?
Linbo?
Hallo Jürgen,
die XP-Maschine ist ein alter Laptop auf dem ich probehalber das XP frisch installiert habe. Soll also später nicht zur Anwendung kommen. Wenn das Problem mit WIN7/10 nicht auftritt… wunderbar. (Habe hier zu Hause keine Prof zum Testen).
ist bei mir standardmäßig schon gewesen.
Wenn ich als Proxy 10.16.1.254 (ipfire) den Port 801 eingebe meckert ipfire per website “… Zugriff verweigert…mangelnde Zugriffsrechte”. Port 800 kommt gar nichts.
läuft ohne Probleme und ich bin dann sofort auf der Konsole von ipfire
baumhof:
Am Ende sollte die MAC oder die IP des Clients auf dem IPFire im
Advanced Proxy unter AllowedIPs bzw. AllowedMACs auftauchen.
müssten die Clients nicht auch unter auf ipfire unter Netzwerk->Hosts
bearbeiten stehen? Da ist bei mir gähnende Leere?
wurde die Maschine mittels import_workstations aufgenommen?
Läuft import_workstations ohne Probleme durch?
Fehlermeldungen?
Geht ein ping vom Client aus auf 8.8.8.8 ?
wenn ich Thorsten richtig verstanden habe, ist auf dem Client mit einem
lokalen Benutzer alles OK, nur mit den LDAP-Benutzern geht es nicht.
Damit wären die Firewall-Einstellungen und DNS raus, weil sich diese auf
den Client und nicht auf das Benutzerprofil beziehen.
Stimmen die Proxy-Einstellungen im Profil der LDAP-Benutzer auf dem Client?
Ist irgendwas in den Proxy-Einstellungen auf ipfire falsch oder gesperrt?
läuft ohne Probleme und ich bin dann sofort auf der Konsole von ipfire
|baumhof: Am Ende sollte die MAC oder die IP des Clients auf dem
IPFire im Advanced Proxy unter AllowedIPs bzw. AllowedMACs
auftauchen.|
müssten die Clients nicht auch unter auf ipfire unter Netzwerk->Hosts
bearbeiten stehen? Da ist bei mir gähnende Leere?
In Netzwerk, Hosts stehen nur händische DNS-Einträge.
wurde die Maschine mittels import_workstations aufgenommen?
Läuft import_workstations ohne Probleme durch?
Hierbei werden IP-Adressen bei den Firewallgruppen in AllowedIPs
eingetragen.
wenn ich Thorsten richtig verstanden habe, ist auf dem Client mit einem
lokalen Benutzer alles OK, nur mit den LDAP-Benutzern geht es nicht.
… das ist seltsam.
Damit wären die Firewall-Einstellungen und DNS raus, weil sich diese auf
den Client und nicht auf das Benutzerprofil beziehen.
sehe ich nicht so: es kann immernoch eine falsche Firewall Einstellung sein.
Stimmen die Proxy-Einstellungen im Profil der LDAP-Benutzer auf dem Client?
er hat mit Proxyeinstellungen rumexperementiert:
Wenn ich als Proxy 10.16.1.254 (ipfire) den Port 801 eingebe meckert
ipfire per website “… Zugriff verweigert…mangelnde Zugriffsrechte”.
Port 800 kommt gar nichts.
Ist irgendwas in den Proxy-Einstellungen auf ipfire falsch oder gesperrt?
es sieht nach einer Proxyauthentifizierung aus die nicht funktioniert.
Nun kann er auf dem IPFire unter Advanced Proxy ganz unten mal die Auth
Einstellungen überprüfen (abschalten).
Und oben schauen, ob der Proxy den auch transparent ist … oder er zieht
einmal den IPFire wieder gerade mit dem Rundumschlag (ist ja noch ein
Testsystem):
linuxmsuter-ipfire --setup --first
(auf dem Server eintippen).
Hallo,
vielen Dank erstmal für die umfassende Hilfe.
Möchte nochmal kurz zusammenfassen:
LMN 6.2 nach Anleitung auf Server installiert
WINXP Prof wurde dann neu auf einem Laptop installiert (mit DHCP)
über PXE-Boot registriert und auf der Console mittels import_workstations importiert
surfen klappte dann auf diesem Client (IP: 10.16.100.12)
Client erfolgreich in Domäne aufgenommen
nun klappt surfen nicht mehr (mit lokaler Anmeldung funktioniert es immer noch)
ping server und ping ipfire geht (internes Netz DNS funktioniert)
ping 8.8.8.8 geht nicht
Version: ipfire 2.19 update 102
Authentifizierungseinstellung: KEINE
bei erlaubten Subnetzen: 172.16.16.0/24 (Keine Haken dahinter gesetzt)
uneingeschränkte IP-Adresse: 10.16.1.1
uneingeschränkte MAC-Adressen: leer
gesperrte IP-Adressen: leer
Vlt. kann einer von euch hier noch was entdecken. Werde morgen vormittag nochmal den Versuch mit linuxmuster-ipfire --setup --first wagen. Wir haben heute Abschlussfeier mit unseren Absolventen.
vergleiche bitte, was Du in Systemsteuerung, Internetoptionen,
Verbindungen, LAN für Proxy-Einstellungen hast.
Ich vermute immer noch, dass es dort zwischen lokalem Benutzer und
"Domänenbenutzer" einen Unterschied gibt.
Wenn es so sein sollten, müssten wir als nächstes herausfinden woher ein
"Domänenbenutzer" die offenbar falschen Einstellungen bekommt.
Hallo,
vielen Dank erstmal für die umfassende Hilfe.
Möchte nochmal kurz zusammenfassen:
LMN 6.2 nach Anleitung auf Server installiert
WINXP Prof wurde dann neu auf einem Laptop installiert (mit DHCP)
über PXE-Boot registriert und auf der Console mittels
import_workstations importiert
surfen klappte dann auf diesem Client (IP: 10.16.100.12)
Client erfolgreich in Domäne aufgenommen
nun klappt surfen nicht mehr (mit lokaler Anmeldung funktioniert es
immer noch)
Damit ist es definitiv ein Problem im Benutzerprofil.
ping server und ping ipfire geht (internes Netz DNS funktioniert)
ping 8.8.8.8 geht nicht
Klar. Den lassen Proxy und Firewall nicht durch.
Version: ipfire 2.19 update 102
Authentifizierungseinstellung: KEINE
Dann spielt das Benutzerkonto, mit dem man angemeldet ist, keine Rolle
dabei, ob der Proxy einen surfen lässt.
bei erlaubten Subnetzen: 172.16.16.0/24 (Keine Haken dahinter gesetzt)
Da stehen bei mir GRUEN und BLAU (bei Dir 10.16.0.0/12 und
192.168.1.0/24?) auch drin, ORANGE (172.16.16.0/24) jedoch nicht.
Wenn das der Unterschied sein sollte, wunderte mich allerdings, dass Du
mit einem lokalen Konto surfen kannst.
habe heute einen Laptop mit WIN10 Prof erfolgreich ins Netzwerk integriert. Surfen klappt mit und ohne Domäne. Vlt. war Jürgens Anfangsverdacht, WinXP “ist zu doof”, doch der Grund.
Ich habe nichts am System verändert und es funktioniert, so dass ich jetzt auch nicht den dringenden Wunsch verspüre, die Ursache der Probleme des Probe-XP-Rechners aufzuspüren. Da fehlen mir einfach die notwendigen Kenntnisse.
Nun kann ich diese Woche mit dem Aufbau des neuen Schulnetzwerkes vor Ort beginnen.
Respekt und Dank für euer geduldiges Beraten. Ich freu mich auf eine gute Zusammenarbeit!
Wenn die aktuell von Dir eingesetze Windows-Version tut, was sie soll,
würde ich mir an Deiner Stelle keine weiteren Gedanken mehr über die
Unzulänglichkeiten vergangener Versionen machen. Windows 3.1 ist auch
nicht in der Lage, DNR so zu benutzen, wie es der MS-Client 3.0 im
unterlagerten DOS 5.0 kann