Server-Appliance

Tobias · 28. März 2019 um 07:57

Hi,

yeah, neues Feature: wir könnten MS-DOS Clients und windows 3.11 (for workgroups) einbinden!

ich glaube archaische Parallelen lassen sich zu hauf ziehen, die Frage ist, wie wir damit jetzt umgehen:

kann die Sambadomäne SCHULE heißen, und die DNS-Domäne meine-netbios-inkompatible-schule.de ? So hat es ja jedenfalls in der 6.x funktioniert.
muss es so bleiben wie es ist? Dann kann ich scheinbar meine externe DNS nicht intern haben und müsste mir eine entsprechende Domäne registrieren, z.B. schule.meine-netbios-inkompatible-schule.de das ist aber schon eine Einschränkung die ziemlich random erscheint.
gibt es eine Lösung dazwischen? z.B. dass die Domäne intern schule.meine-netbios-inkompatible-schule.de heißt, Extern aber meine-netbios-inkompatible-schule.de und wir so Krücken machen wie der FQDN des Servers heißt server.schule.meine-netbios-inkompatible-schule.de mit CNAME server.meine-netbios-inkompatible-schule.de so dass man von außen nicht unbedingt die zusätzliche subdomain schule sieht? Das riecht nach Ärger…

VG, Tobias

thomas · 28. März 2019 um 08:21

Tja, gute Frage. Die reiche ich gleich mal an @Maurice weiter.

VG, Thomas

Maurice · 28. März 2019 um 10:35

Siehe: Active Directory: Best Practices for Internal Domain and Network Names | Microsoft Learn

Best Practice ist: schule.meine-domain.de

Das hat aber vor und nachteile und muss jeder für ich entscheiden.

VG, Maurice

thomas · 28. März 2019 um 11:14

Hi @Maurice,

die Frage war mMn ob wir die Sambadomäne konfigurierbar machen, sodass sie nicht zwingend vom Namen der Internetdomäne abhängt.

VG, Thomas

Maurice · 28. März 2019 um 13:05

Hi Thomas,

nein das würde ich absolut nicht machen. Das ist nicht sauber und kann zu Problemen führen.

VG, Maurice

Cgsman · 28. März 2019 um 14:03

Hallo,

Das hier habe ich dazu noch gefunden:
https://support.microsoft.com/de-de/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and

Gruß Christoph G.

Tobias · 28. März 2019 um 16:10

Hi Maurice,

abgesehen davon, dass es mir sauer aufstößt, dass uns eine Altlast von MS auf einem Linuxserver die Namenskonvention aufzwingt und mich zwingt tech-artikeln von MS zu lesen…

… abgesehen davon, kommen die zum ähnlich/selben Schluss wie mein letzter von drei Vorschlägen:

z.B. dass die Domäne intern schule.meine-netbios-inkompatible-schule.de heißt, Extern aber meine-netbios-inkompatible-schule.de und wir so Krücken machen wie der FQDN des Servers heißt server.schule.meine-netbios-inkompatible-schule.de mit CNAME server.meine-netbios-inkompatible-schule.de so dass man von außen nicht unbedingt die zusätzliche subdomain schule sieht? Das riecht nach Ärger…

Mein Schluss war hier, dass das nach Ärger riecht, aber MS empfiehlt das so:

The internal domain is a subdomain of the external domain. Microsoft strongly recommends this option. For more information, see Using an Internal Subdomain .

Example: An organization with an external namespace contoso.com uses the internal namespace corp.contoso.com.

Ich bin für eine klare Empfehlung, sonst denkt sich jeder selbst in die Materie und ist am Ende doch unsicher, ob das der richtige Weg war. Mit der Betonung auf war, weil es eben nur eine Neuinstallation gibt, wenn die Domäne gewechselt werden muss.

„das hatten wir jetzt jahrelang“ zählt wohl nicht als Argument, oder?

Ich mache das Fass „Top-Level Domäne .lan“ nicht wieder auf, will aber hinweisen, dass dieselbe Hilfeseite auch sagt:

In the past, lots of people chose to use a dummy, unofficial TLD (top-level-domain) for their internal network, like domain. lan , domain .local of domain .internal (and also domain.internalhost)
But this can get you in serious trouble.

Ok. Fazit für die einzelnen services:

von außen:
server.meine-oldschool-schule.de (nicht erreichbar)
cloud.meine-oldschool-schule.de - für die Cloud
moodle.meine-oldschool-schule.de - für Moodle
mail.meine-oldschool-schule.de - für Mails

aber intern heißen die:
server.schule.meine-oldschool-schule.de (SELMA, CUPS)
cloud.schule.meine-oldschool-schule.de (cloud intern)
moodle.schule.meine-oldschool-schule.de (moodle intern)
...

Bleibt die Frage, was eigentlich intern und extern ist? Was ist denn mit WLAN-Geräten, die in grün stehen? → cloud.schule.meine-oldschool-schule.de
Was ist mit WLAN-Geräten, die in „blau“ stehen ?

Noch ein Vorschlag für die Corporate Identity: warum nennen wir die SAMBA/NetBIOS-Domäne nicht "linuxmuster" ? Dann könnte die nicht-standardkonforme interne Domäne: linuxmuster.net.lan heißen, der server heißt server.linuxmuster.net.lan und die Cloud cloud.linuxmuster.net.lan Und wer es standardkonform wie extern machen will, der macht, wie oben zusammengefasst nur, "schule" durch "linuxmuster" ersetzt.
? ?

Sorry, das ist ja, was sowieso implementiert ist, nur ohne das „net“

VG, Tobias

Tobias · 28. März 2019 um 16:14

Nachdem die standardinstallation „linuxmuster.lan“ einrichtet würde ich die Best Practice für eine externe Domäne so formulieren: linuxmuster.meine-oldschool-schule.de

tjordan · 28. März 2019 um 17:20

Am besten ist, du tust so, als hättest einen MS DC vor dir und vergisst was man vorher anders machen konnte.

Ziel des Samba Projekts ist ja genau das: MS Funktionalität ohne MS. Und da ist man ziemlich dicht dran. Mit allen Vor- und Nachteilen…

Man kommt auch um das Thema GPO nicht drum rum.

So dumm wie man sich dabei vorkommt. Die MS techsheets helfen einem dabei über so manche Klippe.

Viele Grüße
Thomas

baumhof · 28. März 2019 um 18:50

Hallo Tobias,

Nachdem die standardinstallation “linuxmuster.lan” einrichtet würde ich
die Best Practice für eine externe Domäne so formulieren:
linuxmuster.meine-oldschool-schule.de

… ich verstehe nicht.
Genau das geht ja nicht, weil die 15 Zeichen hier aufhören
meine-oldschool

… oder hab ich es nicht kapiert?

Es ist ja schön wenn Microsoft so deutlich sagt, dass der die interne
Domain gleich der externen sein soll.
Wenn sie dann aber gleichzeitig das auf 15 Zeichen begrenzen: wie soll
das gehen?
Wer ist den gut in Kombinatorik?
Wir haben 26 Buchstaben und 15 Stellen: Zahlen dürfen nciht rein (oder?)
Was ist das dann?
26 hoch 15, oder? (Mathestudium ist lange her…)

LG

Holger

Tobias · 28. März 2019 um 19:26

Hi Holger,

nee MS empfiehlt ja eben nicht die intern = externe, sondern:

die externe (meine-oldschool-schule.de) und die interne sei die subdomäne
linuxmuster.meine-oldschool-schule.de

wobei dann die subdomäne so gewählt wird, dass der erste Teil (linuxmuster) eben auch als NetBIOS-Name, spricht 15 Zeichen max usw., verwendet werden kann.

Deren Beispiel: my-nice-domain.com vs. corp.my-nice-domain.com und CORP ist dann die SAMBA/AD-Domäne.

naja, selbst das würde ne weile reichen…
VG, Tobias

baumhof · 28. März 2019 um 19:57

Hallo Tobias,

nee MS empfiehlt ja eben /nicht/ die intern = externe, sondern:

die externe (meine-oldschool-schule.de
http://meine-oldschool-schule.de) und die interne sei die subdomäne
linuxmuster.meine-oldschool-schule.de
http://linuxmuster.meine-oldschool-schule.de

wobei dann die subdomäne so gewählt wird, dass der erste Teil
(linuxmuster) eben auch als NetBIOS-Name, spricht 15 Zeichen max usw.,
verwendet werden kann.

OK: also wäre die interne Domain eben nur
linuxmuster
und nicht
linuxmuster.meine-oldschool-schule.de

Dann reichen 15 Zeichen schon sehr weit.
Aber ist das den so?
Ich hab in meinen Testumgebunden normalerweise
lmn.lan
verwendet.
Die Sambadomain war dann aber lmn.lan und nicht nur lmn.

26 hoch 15, oder?
naja, selbst das würde ne weile reichen…

… nicht wenn man davon ausgeht, dass Domains aus Wörtern bestehen und
nicht aus Zufallszeichen.
Dann wird die Zahl schnell klein.

LG

Holger

Tobias · 28. März 2019 um 20:08

Hi Holger,

Nein, die interne DNS-Domäne wäre tatsächlich linuxmuster.meine-oldschool-schule.de
Die Samba-Domäne wäre nur das Wort LINUXMUSTER, so wie bisher eben auch SCHULE. Das ist ja die „Domäne“, wenn ihr immer von „der computer muss sich an der Domäne anmelden“ redet.
Ich rede bei linuxmuster.meine-oldschool-schule.de von dem Fully Qualified Domain Name, nicht von dem Samba-Quatsch.
Von extern gesehen brauchen wir ja gar keine Samba-Domäne, da brauchen wir nur den FQDN und der wäre eben nur „meine-oldschool-schule.de“, weil das z.B. von Belwue so vorgegeben ist, oder man die gekauft hat.

Der Schlamassel fing ja nur damit an, weil die Entwickler das allererste Wort in der FQDN als Samba-Domänennamen haben wollen, d.h. deswegen ging meine humboldt-gymnasium.ka.schule-bw.de schief. nicht wegen der Gesamtlänge, sondern wegen dem „humboldt-gymnasium“, was eben länger als 15 Zeichen ist.
Und deswegen migriere ich jetzt eben auf „linuxmuster.humboldt-gymnasium.ka.schule-bw.de“ als FQDN intern und LINUXMUSTER als Samba-Domäne und server.linuxmuster.humboldt-gymnasium.ka.schule-bw.de als FQHostname des servers. na servus.
Tobias

zefanja · 28. März 2019 um 23:54

Wir haben einfach DNS Overrides in der Firewall, damit die Services von außen wie von innen unter der gleichen Domain erreichbar sind (bzw. zeigt der „interne“ DNS Eintrag auf die Lokale IP, der externe DNS Eintrag auf die öffentliche IP.

Tobias · 29. März 2019 um 08:12

Hi

verstehe ich das richtig:
intern: FQHN cloud.meine-oldschool-schule.de → 172.16.17.1
extern: FQHN cloud.meine-oldschool-schule.de → externe Schul-IP
obwohl die Domäne intern linuxmuster.meine-oldschool-schule.de heißt.
letzteres hat ja auswirkungen überall, z.B. wg des search den derDHCP-Server an clients übergibt. Wenn die „ping cloud“ machen, wird das nach cloud.linuxmuster.meine… aufgelöst.
Ebenso muss man das dem Apache auf dem die nextcloud läuft beibringen, dass beide Domänen ok sind. Und vermutlich betrifft das vor allem auch den reverse proxy.

Aber, wenn du sagst, dass das „einfach“ ist, dann glaub ich dir das (ohne ironie).
VG, Tobias

zefanja · 29. März 2019 um 12:37

Naja, vielleicht war das Beispiel nicht so treffend, da die meisten Services nicht in GRÜN, sondern in der DMZ stehen mit der linuxmuster nicht viel zu tun hat.

Ja.

Nein, wenn in GRÜN heißt sie cloud.linuxmuster.meine-oldschool-schule.de. Bei uns betrifft das aber nur einige wenige Dienste, die nur von 1-2 Leuten verwendet werden. Alles andere steht in der DMZ.

Ansonsten hast du Recht. Der Reverse Proxy kümmert sich nur um die Anfragen von außen, die internen DNS-Einträge zeigen direkt auf den Server in der DMZ.

vG Stephan

thomas · 24. Juli 2019 um 15:01

Moin!

Release 20190724 der lmnv7-Server-Appliance mit aktualisierten Paketen ist verfügbar.

VG, Thomas

j.engeland · 24. Juli 2019 um 15:17

Hallo Thomas,

nur zu meinem Verständnis:
Solange apt dist-upgrade aus “deb https://archive.linuxmuster.net lmn7/”
bei mir gelaufen ist, hab ich denselben Stand und auch wenn ich noch in
der Testphase mit mir allein auf ihnen bin, sollte ich nicht alle VMs
ersetzen?

(Ich frag wegen der vorgenommenen Adress-Verbiegungen …)

Gruß Jürgen

thomas · 24. Juli 2019 um 15:39

Hi!

Nein, wer schon installiert hat, muss jetzt nicht nochmal von vorn anfangen.

VG, Thomas

Tobias · 1. August 2019 um 19:49

Hi @thomas,

die ausgelieferte OVA scheint automatische Upgrades zu machen.
@toheine und ich waren der Meinung, dass das keine so gute Idee ist, und @toheine hat das auch in die Doku explizit aufgenommen.

Was ist denn die Meinung der (bzw. des) Entwicklers?
Auto-updates oder keine Auto-updates?
VG, Tobias

P.S. Die Sicherheitskollegen an der Uni rieten mir zu Autoupgrades “lieber geht ein System kaputt, als das es wg. ner zero-day geschichte gekapert wird.” Reparieren kann man es immer schnell…
Aber ob das bei der Schule so auch die Proiorität sein sollte…