Schon lang suchte ich einen Rechner, welcher

a) klein ist
b) wenig Strom verbraucht
c) kaum Geräusche macht

damit ich diesen als Domain Controller und Fileserver einsetzen kann. Die Micro, Nano, Pico Boards von VIA hatten es mir angetan und würden bzgl. der Aufgabe auch leistungsmäßig sehr gut passen. Leider sind diese für meine Begriff schon recht teuer und gerade für die kleinsten Varianten gibt es keine, aus meiner Sicht, brauchbaren Gehäuse.

Der "Zufall" bescherte mir einen Asus eeepc 4G. Ich war/bin von diesem Gerät sehr begeistert, da er gerade in Besprechungen wesentlich besser als ein Standardnotebook zu gebrauchen ist. Klein und unaufdringlich wie er ist, kann man sowohl seinen gegenüber sehen, als auch seine Notizen machen. Im Gegensatz zu einem ausgewachsenen Notebook lässt er sich auch, aufgrund seines Gewichtes und der mitgelieferten Tasche, wunderbar transportieren. Nur die Akkulaufzeit ist für einen ganzen Tag in Besprechungen mehr als schlecht.

Doch genug vom eeepc, darum geht es hier gerade nicht oder doch? Irgendwie schon, nur nicht um seine Klasse als Notebook, sondern um seine Eigenschaften als Server

Hinsichtlich der obigen Anforderungen ist er der nahezu, für meine Anforderungen, perfekte Server. Ich setze ihn seit einiger Zeit als solchen ein und für 299 Euro zzgl. 60€ für 2GB Arbeitsspeicher verrichtet er ohne Murren seinen Dienst. Windows Server 2003 lässt sich ohne Probleme, WLAN benötige ich nicht, installieren und hat keinerlei Probleme bzgl. der Hardware. Die Performance ist, als DC oder Fileserver mehr als ausreichend. Möchte man ihn als Fileserver betreiben kommen natürlich die Kosten für Strom und Anschaffung eines entsprechenden USB-Laufwerks hinzu. Ich persönlich habe derzeit die Buffalo DriveStation Duo 1.0TB im Raid 1 in Betrieb.

Wie es mit dem Dauerbetrieb über einen längeren Zeitraum aussieht kann ich derzeit nicht sagen. Ich hoffe aber, dass er einige Zeit durchhalten wird. Es wird eine Mitteilung von meiner Seite geben, wenn der eeepc seinen Dienst versagt. In der Zwischenzeit mach ich Backup's, um für den Fall der Fälle gerüstet zu sein.

Ich möchte keine Werbung machen aber diese Tool hat bisher gehalten was es verspricht. Sowohl das Einspielen eines früheren Images als auch das Klonen von Festplatten funktioniert hervorragend. Meine neue Festplatte, siehe vorigen Beitrag, habe ich problemlos verwenden können. Es stellte sich für mich sogar eine Sonderproblematik, da ich für die SATA Platte keinen Slot frei hatte, musste ich das Klonen über meine Ultrabay-Platte erledigen.

1. Klonen der internen Festplatte auf Ultrabay-Festplatte
2. Booten mit Ultrabay-Festplatte
3. Klonen der Ultrabay-Festplatte auf neue interne Festplatte
4. Finales Booten mit der neuen internen Platte
   

Eine wirklich problemlose Angelegenheit.

Ein Wehrmutstropfen bleibt bzgl. dieser Software. Sie kommt mit dem Onboard-Raid meines Desktops nicht klar. Daran sollten die Damen und Herren arbeiten. Zumindest sollte die Möglichkeit existieren, entsprechende Treiber nachzuladen.

hatte ich heute.

Es ist immer so eine Sache mit der Kindererziehung. Man darf die Dinge nicht dem Selbstlauf überlassen und sollte seinen Kindern versuchen etwas beizubringen. Klassisch zählt dazu: Im Garten irgend etwas bauen, damit das handwerkliche Geschick und die Koordinationsfähigkeit geschult wird, Besuch von kulturellen Einrichtungen und dergleichen.

Unter diesem Motto stand der heutige Tag und ich hätte nie gedacht, dass er soviel Anklang findet. Das Thema: Build your own computer and configure a domain controller.

12.00 Uhr - 15.00 Uhr: Mainboard ausbauen, neues Mainboard einbauen und korrekt verkabeln
16.00 Uhr - 19.00 Uhr: DC konfigurieren und über Vor- und Nachteile von Rechtebeschränkungen diskutieren.

Ich hätte im Leben nicht gedacht, das ich damit einmal Glanz in den Augen eines Kindes erzeugen kann. Wahrscheinlich ist das modernes Budenbauen. Ich hoffe, das wir bald von diesem Administrationkram wegkommen und zu den wirklich interessanten Sachen übergehen können: Die Programmierung.

Neues von der Front!

Endlich, ich habe es geschafft. Die Debian-Installation hat wunderbar funktioniert und das aus meiner Sicht geniale Installationsverfahren hat sofort für viel Freude und Wiedererkennungseffekt gesorgt.

Nachdem ich alle benötigten Pakete installiert hatte; erstmal die Wohlfühlsoftware ala vim und dann die Dinge zum Verrichten der Arbeit, konnte das Konfigurieren losgehen. Zuerst wurde Kerberos konfiguriert, damit die Authentifizierung mit dem DC klappen kann. Das bedeutet Realm einrichten, Passwordserver bekanntgeben und hoffen das es funktioniert. Welch wunder, es ging

Als nächstes kam dann die winbind- und Sambakonfiguration dran. Mit korrektem Kerberos eigentlich kein Problem aber man glaubt nicht, welcher Unsinn so im Netz kursiert. Zum Teil von der ganz üblen Sorte. Nach einigem hin und her habe ich es dann zum laufen bekommen.

Ich konnte den "Rechner" in der Domain anmelden und wbinfo -u listete mir alle Domainnutzer auf. Der Zugrifftest vom Windowsclient funktionierte natürlich nicht; Mist. Die Rechner wird korrekt aufgelistet und ein Blick auf die Freigaben offenbart mir das gewünschte Bild. Leider erfordert er beim Aufrufen der Freigabe eine Authentifizierung. Hallo? Genau das sollte doch nicht passieren!

Wie es immer ist: Es beginnt die Suche nach der Nadel im Heuhaufen.

• Kerberos (Check)
• Winbind - Test mit wbinfo -u und wbinfo -g (Check)
• Samba - Alles unnötige rausgelöscht, Kommentare entfernt - sieht gut aus (Check)

Nix geändert, kann nicht gehen. Mist!

Also habe ich den Computer wieder aus der Domain rausgeschmissen und ihn erneut hinzugefügt. Nix geht. Test mit kinit und klist, ich bekomme gültige Tickets. Warum geht es nicht? Nochmal die Sambakonfiguration durchschauen und alle Einstellungen welche auf Rechtebeschränkung abzielen auskommentieren. Ups, es geht! Soviel zu obiger Behauptung: Alles unnötige rausgelöscht.

Das Problem war letztlich eine Einstellung in der smb.conf.

valid users = %S

Hmm... komisch, überall wird es so empfohlen/angegeben. Wie dem auch sei, jetzt funktioniert es erstmal. Warum %S nicht klappt muss und werde ich noch herausfinden.

Wenigstens kann ich, wenn auch nur auf Umwegen, einen neuen Merksatz ableiten:

Merksatz 4.0
Wenn der Wagen nicht läuft, solltest du erst nach den Zündkerzen sehen und nicht gleich den Motor austauschen.

Heute habe ich mir den Network Storage Link for USB gekauft. Warum? Ehrlich gesagt wusste ich das zum Kaufzeitpunkt nicht genau. Es war nur mehr die Wage Hoffnung, einen Fileserver mit geringsten (Geld)Mitteln aufzusetzen und dieser sollte natürlich auch noch in meiner neuen Windows-Domain verfügbar sein.

Nachdem ich mir einen DC aufgesetzt habe, möchte ich auch Homeverzeichnisse, Bilder und Musik als Speicherort per Logonscript mit einbinden aber, die Dateien sollen nicht in einer virtuellen Maschine gespeichert werden. Mein Maxtor Shared Storage wäre/ist dafür schon sehr gut geeignet. Leider besitzt dieses keine Domainunterstützung, so dass eine separate Authentifierzung notwendig ist. Sehr unschön

Mit dem obigen Gerät kann ich externe USB Festplatten im Netzwerk, leider wieder mit separater Authentifizierung/Autorisierung, verfügbar machen. Das kann mein Shared Storage auch. Ich bin also dem Ziel keinen Schritt näher, wäre da nicht die Möglichkeit, ein spezielles Debian zu installieren.

Der Plan: Das System per Samba in die Domain einbinden und das Maxtor Shared Storage in der Zukunft nur noch als Backupmedium nutzen.

Momentan läuft noch die Debian-Installation aber ich schaue voller Hoffnung in die Zukunft, sofern ich Samba mit kompiliertem ADS Support installiert bekomme. Schau mer mal. Ich werde berichten, wie das Aufsetzen und Einbinden funktioniert hat.

So long..
Wilko

Nachdem ich einen DC aufgesetzt habe, wollte ich natürlich auch die vorhandenden (virtuellen) Maschinen in die Domain aufnehmen. Bei Rechnern, welche mittels Installation von CD aufgesetzt wurden funktioniert dies auch wunderbar. Bei virtuellen Maschinen deren Installation auf Basis eine Images, ohne weitere Vorbereitungen/Maßnahmen, erfolgte, kommt es naturgemäß zu Problemen. Die Rechner besitzen alle die gleiche SID und das mag der DC nun überhaupt nicht.

Also mit dem Tool NewSid dem Rechner eine SID verpasst und dann funktioniert es auch mit dem Aufnehmen in die Domain. Soweit so gut.

Nach dem notwendigen Reboot und dem obligatorischen Blick in das Eventlog wird mir fast schwarz vor Augen. Da lächelt mich doch diese (siehe Bild) schöne Fehlermeldung an. Der Blick auf die Eigenschaften offenbarte mir folgenden Text:

Unable to get the private bytes memory limit for the W3WP process. The ASP.NET cache will be unable to limit its memory use, which may lead to a process restart.

Was bedeutet das denn nun schon wieder? Nach einigen Ursachenforschungen kam dann folgendes heraus; Natürlich hat sich auch die SID der Accounts geändert und das verursacht beim IIS Probleme, da im konkreten Fall die Gruppe IIS_WPG nicht mehr die nötigen Rechte auf die Applikationpools besitzt. Ist zwar komisch, da NETWORK SERVICE und die anderen Accounts in der Metabase des IIS korrekt eingetragen wurden aber was solls, dass klärt sich sicher auch noch auf. Abgesehen von den Leichen, die ehemaligen Accounts mit nun "ungültiger" SID, sowie der fehlenden Gruppe waren die Einstellungen der IIS Metabase korrekt.

Die Fehlerbehebung erfolgte dann in zwei Schritten.

1. Entfernung der ungültigen Accounts aus der Metabase
2. Hinzufügen von IIS_WPG mit den nötigen Rechten.

Beides kann mittels dem Script Metaacl.vbs durchgeführt werden. Der Aufruf zum Hinzufügen von IIS_WPG sieht dann folgendermaßen aus:

cscript Metaacl.vbs "IIS://LocalHost/W3SVC/AppPools" <RECHNER>\IIS_WPG U

Das U steht für die zu setzenden Rechte, in diesem Fall für "Unsecure properties read" und genau diese Einstellung ist nötig. Nach dieser Prozedur sah mein Eventlog, abgesehen von den Problemen welche sich ergeben wenn ein installierter Team Foundation Server in eine Domain gehoben wird, richtig gut aus. Doch dazu später mehr.

Endlich gibt es das Windows Mobile 6 Update für meinen Treo 750. Ich warte darauf nun schon seit längerem, damit ich das Feature "Internetfreigabe" benutzen kann. Somit erspare ich mir das lästige Einwählen, welches leider auch noch mit Fehlern behaftet ist. Leider hat sich Palm, nachdem sie Anfang Oktober das Update für den Treo 750v veröffentlicht haben, sehr viel Zeit mit der Veröffentlichung für den "normalen" Treo gelassen.

Aus diesem Grunde habe ich in den letzen Wochen immer mein Sync-Kabel mit nach München genommen. Das Update lässt sich nur damit einspielen. Naja, es kam wie es kommen musste. Natürlich hatte ich es in dieser Woche nicht eingepackt. Da stand ich nun: den Updater auf der Festplatte, den Treo in der Hand aber kein Kabel. Das war die längste Woche seit langem.

Nun hat die Ärgerei ein Ende, das Bangen während der Installation ist vorbei und die ersten Tests mit der "Internetfreigabe" liefen hervorragend. Ich blicke nun voller Hoffnung auf die kommende Woche. Jetzt genieße ich noch meinen schnellen DSL Anschluß, bis es dann wieder heißt:

Wir fahren nach Berlin München.

Ein Windows Server 2003 erlaubt von Haus aus zwei RDP Verbindungen. Durch Unachtsamkeit oder bei Netzwerkproblemen kann es dazu kommen, dass die Verbindung zum Server abbricht und dieser die Sitzungen weiterhin offen lässt.

Das kann zur Konsequenz haben, dass keine weiteren Verbindungen mittels Remote Desktop möglich sind. In diesem Fall ist guter Rat teuer, denn die Frage lautet; Wie trenne ich nun diese unnötigen Verbindungen? Ein Zugriff auf den Server ist ja nicht mehr möglich.

Windows Server 2003 erlaubt, wenn man keine zusätzlichen Lizenzen erworben hat, zwei Remotesitzungen und eine Konsolensitzung. Über den Terminalserverclient (Remote Desktop) kann man eine Verbindung zur Konsole erzwingen. Somit hat man wieder Zugriff auf den Server. Die entsprechende Kommandozeile sieht folgendermaßen aus:

mstsc.exe /v:[Server] /console

Nach Eingabe der Anmeldeinformationen ist der Zugriff auf die Konsole hergestellt und die Sitzungen können über den Terminalserver-Manager problemlos beendet werden.

Wer auf die gut gemeinten Sprechblasen in der Taskleiste von Windows XP verzichten möchte, kann diese über eine einfache Einstellung in der Registry ausschalten.

Im Registrierungseditor einfach den Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

suchen und einen neuen Eintrag mit dem Namen EnableBalloonTips erzeugen. Der Eintrag muß vom Typ DWORD sein. Um die Sprechblasen abzuschalten vergibt man für diesen Eintrag einfach den Wert 0. Wer hätte es gedacht, der Wert 1 schaltet die Tips wieder ein.