Schon lang suchte ich einen Rechner, welcher

a) klein ist
b) wenig Strom verbraucht
c) kaum Geräusche macht

damit ich diesen als Domain Controller und Fileserver einsetzen kann. Die Micro, Nano, Pico Boards von VIA hatten es mir angetan und würden bzgl. der Aufgabe auch leistungsmäßig sehr gut passen. Leider sind diese für meine Begriff schon recht teuer und gerade für die kleinsten Varianten gibt es keine, aus meiner Sicht, brauchbaren Gehäuse.

Der "Zufall" bescherte mir einen Asus eeepc 4G. Ich war/bin von diesem Gerät sehr begeistert, da er gerade in Besprechungen wesentlich besser als ein Standardnotebook zu gebrauchen ist. Klein und unaufdringlich wie er ist, kann man sowohl seinen gegenüber sehen, als auch seine Notizen machen. Im Gegensatz zu einem ausgewachsenen Notebook lässt er sich auch, aufgrund seines Gewichtes und der mitgelieferten Tasche, wunderbar transportieren. Nur die Akkulaufzeit ist für einen ganzen Tag in Besprechungen mehr als schlecht.

Doch genug vom eeepc, darum geht es hier gerade nicht oder doch? Irgendwie schon, nur nicht um seine Klasse als Notebook, sondern um seine Eigenschaften als Server

Hinsichtlich der obigen Anforderungen ist er der nahezu, für meine Anforderungen, perfekte Server. Ich setze ihn seit einiger Zeit als solchen ein und für 299 Euro zzgl. 60€ für 2GB Arbeitsspeicher verrichtet er ohne Murren seinen Dienst. Windows Server 2003 lässt sich ohne Probleme, WLAN benötige ich nicht, installieren und hat keinerlei Probleme bzgl. der Hardware. Die Performance ist, als DC oder Fileserver mehr als ausreichend. Möchte man ihn als Fileserver betreiben kommen natürlich die Kosten für Strom und Anschaffung eines entsprechenden USB-Laufwerks hinzu. Ich persönlich habe derzeit die Buffalo DriveStation Duo 1.0TB im Raid 1 in Betrieb.

Wie es mit dem Dauerbetrieb über einen längeren Zeitraum aussieht kann ich derzeit nicht sagen. Ich hoffe aber, dass er einige Zeit durchhalten wird. Es wird eine Mitteilung von meiner Seite geben, wenn der eeepc seinen Dienst versagt. In der Zwischenzeit mach ich Backup's, um für den Fall der Fälle gerüstet zu sein.

Natürlich möchte man, nachdem die Domain aufgesetzt wurde auch zentrale Distributionpoints für die Software haben. Insbesondere der Virenscanner ist für mich in der Domain ein Mußkriterium. Die Fragestellungen sind dabei:

• Welcher Client hat überhaupt eine entsprechende Software installiert
• Wann wurde zuletzt ein Fullscan durchgeführt
• Auf welchem Stand sind die Signaturen

Ich persönlich verwende seit Jahren Kaspersky Anti Virus. Der Rest meiner Familie, naja, unterschiedlichste freie Programme aber wenigstens verwenden sie eines.

Diese Heterogene Infrastrukutur ist natürlich problematisch. Also kurz ein paar Programme evaluiert. Ein Paar stimmt in diesem Fall wirklich; McAfee und Kaspersky. Norton kann  mich seit einiger Zeit nicht mehr begeistern.

McAfee: Die für mich Interessante Variante ist relativ teuer und besitzt eine Remoteadministration. Diese liegt leider nicht bei mir Lokal sondern auf einem McAfee-Server. Laut McAfee ist diese für kleine Firmen ohne ständiges IT Personal gedacht. Für Firmen, welche nicht im IT-Bereich tätig sind,  ist das sicher interessant.  Für mich vollkommen inakzeptabel. Die Features sind soweit vollständig.

Kaspersky: Das Kaspersky Administration Kit ist kostenlos. Das ist schon mal ne super Sache. Die Verwendung von vorhanden Linzenen ist möglich und für mich somit sehr interessant. Zur Administration wird ein SQL Server (2000 und 2005 inkl. Express und MSDE) oder eine MySQL Datenbank verwendet. Die Installation gestaltet sich denkbar einfach. Einzig mit den Rechten des Serviceaccounts für den Administrationsservice bestehen auf meiner Seite noch Unklarheiten.

Letztlich habe ich mich für Kaspersky entschieden. Interne Administration, hoher Wiedererkennungseffekt (subjektiver Faktor) und relativ günstige Lizenzen ( ca. 38 € netto pro Lizenz ) und keine Kosten für die zentrale Administration.

Praktischer Einsatz

Man kann, bei entsprechenden Lizenzen, auch Serverbetriebssysteme scannen. Interessant und das Keyfeature, welches ich wollte: Clients lassen sich Remote mit der Software bestücken und die Definition von Policies ist zentral, in meinem Netzwerk, möglich. Wann, Was und Wer wird gescannt lässt sich zentral konfigurieren. Ein einsichtiger Überblick über den Stand der Dinge ist vorhanden. Überprüfung des EMailpostfachs ebenso wie Spam und Spywareschutz. Selbst an Notebooks, welche geraume Zeit nicht im Netzwerk waren, wurde gedacht. Diese können bei connect zur Domain, soweit die Software einen Stand oberhalb des erlaubten Bereiches signalisiert, automatisch gescannt werden.

Bisher kann ich dieses Paket nur empfehlen. Wie der Dauereinsatz verläuft wird sich zeigen. Ich werde in diesem Kanal davon berichten.

So long...
Wilko

Neues von der Front!

Endlich, ich habe es geschafft. Die Debian-Installation hat wunderbar funktioniert und das aus meiner Sicht geniale Installationsverfahren hat sofort für viel Freude und Wiedererkennungseffekt gesorgt.

Nachdem ich alle benötigten Pakete installiert hatte; erstmal die Wohlfühlsoftware ala vim und dann die Dinge zum Verrichten der Arbeit, konnte das Konfigurieren losgehen. Zuerst wurde Kerberos konfiguriert, damit die Authentifizierung mit dem DC klappen kann. Das bedeutet Realm einrichten, Passwordserver bekanntgeben und hoffen das es funktioniert. Welch wunder, es ging

Als nächstes kam dann die winbind- und Sambakonfiguration dran. Mit korrektem Kerberos eigentlich kein Problem aber man glaubt nicht, welcher Unsinn so im Netz kursiert. Zum Teil von der ganz üblen Sorte. Nach einigem hin und her habe ich es dann zum laufen bekommen.

Ich konnte den "Rechner" in der Domain anmelden und wbinfo -u listete mir alle Domainnutzer auf. Der Zugrifftest vom Windowsclient funktionierte natürlich nicht; Mist. Die Rechner wird korrekt aufgelistet und ein Blick auf die Freigaben offenbart mir das gewünschte Bild. Leider erfordert er beim Aufrufen der Freigabe eine Authentifizierung. Hallo? Genau das sollte doch nicht passieren!

Wie es immer ist: Es beginnt die Suche nach der Nadel im Heuhaufen.

• Kerberos (Check)
• Winbind - Test mit wbinfo -u und wbinfo -g (Check)
• Samba - Alles unnötige rausgelöscht, Kommentare entfernt - sieht gut aus (Check)

Nix geändert, kann nicht gehen. Mist!

Also habe ich den Computer wieder aus der Domain rausgeschmissen und ihn erneut hinzugefügt. Nix geht. Test mit kinit und klist, ich bekomme gültige Tickets. Warum geht es nicht? Nochmal die Sambakonfiguration durchschauen und alle Einstellungen welche auf Rechtebeschränkung abzielen auskommentieren. Ups, es geht! Soviel zu obiger Behauptung: Alles unnötige rausgelöscht.

Das Problem war letztlich eine Einstellung in der smb.conf.

valid users = %S

Hmm... komisch, überall wird es so empfohlen/angegeben. Wie dem auch sei, jetzt funktioniert es erstmal. Warum %S nicht klappt muss und werde ich noch herausfinden.

Wenigstens kann ich, wenn auch nur auf Umwegen, einen neuen Merksatz ableiten:

Merksatz 4.0
Wenn der Wagen nicht läuft, solltest du erst nach den Zündkerzen sehen und nicht gleich den Motor austauschen.

Heute habe ich mir den Network Storage Link for USB gekauft. Warum? Ehrlich gesagt wusste ich das zum Kaufzeitpunkt nicht genau. Es war nur mehr die Wage Hoffnung, einen Fileserver mit geringsten (Geld)Mitteln aufzusetzen und dieser sollte natürlich auch noch in meiner neuen Windows-Domain verfügbar sein.

Nachdem ich mir einen DC aufgesetzt habe, möchte ich auch Homeverzeichnisse, Bilder und Musik als Speicherort per Logonscript mit einbinden aber, die Dateien sollen nicht in einer virtuellen Maschine gespeichert werden. Mein Maxtor Shared Storage wäre/ist dafür schon sehr gut geeignet. Leider besitzt dieses keine Domainunterstützung, so dass eine separate Authentifierzung notwendig ist. Sehr unschön

Mit dem obigen Gerät kann ich externe USB Festplatten im Netzwerk, leider wieder mit separater Authentifizierung/Autorisierung, verfügbar machen. Das kann mein Shared Storage auch. Ich bin also dem Ziel keinen Schritt näher, wäre da nicht die Möglichkeit, ein spezielles Debian zu installieren.

Der Plan: Das System per Samba in die Domain einbinden und das Maxtor Shared Storage in der Zukunft nur noch als Backupmedium nutzen.

Momentan läuft noch die Debian-Installation aber ich schaue voller Hoffnung in die Zukunft, sofern ich Samba mit kompiliertem ADS Support installiert bekomme. Schau mer mal. Ich werde berichten, wie das Aufsetzen und Einbinden funktioniert hat.

So long..
Wilko

Nachdem ich einen DC aufgesetzt habe, wollte ich natürlich auch die vorhandenden (virtuellen) Maschinen in die Domain aufnehmen. Bei Rechnern, welche mittels Installation von CD aufgesetzt wurden funktioniert dies auch wunderbar. Bei virtuellen Maschinen deren Installation auf Basis eine Images, ohne weitere Vorbereitungen/Maßnahmen, erfolgte, kommt es naturgemäß zu Problemen. Die Rechner besitzen alle die gleiche SID und das mag der DC nun überhaupt nicht.

Also mit dem Tool NewSid dem Rechner eine SID verpasst und dann funktioniert es auch mit dem Aufnehmen in die Domain. Soweit so gut.

Nach dem notwendigen Reboot und dem obligatorischen Blick in das Eventlog wird mir fast schwarz vor Augen. Da lächelt mich doch diese (siehe Bild) schöne Fehlermeldung an. Der Blick auf die Eigenschaften offenbarte mir folgenden Text:

Unable to get the private bytes memory limit for the W3WP process. The ASP.NET cache will be unable to limit its memory use, which may lead to a process restart.

Was bedeutet das denn nun schon wieder? Nach einigen Ursachenforschungen kam dann folgendes heraus; Natürlich hat sich auch die SID der Accounts geändert und das verursacht beim IIS Probleme, da im konkreten Fall die Gruppe IIS_WPG nicht mehr die nötigen Rechte auf die Applikationpools besitzt. Ist zwar komisch, da NETWORK SERVICE und die anderen Accounts in der Metabase des IIS korrekt eingetragen wurden aber was solls, dass klärt sich sicher auch noch auf. Abgesehen von den Leichen, die ehemaligen Accounts mit nun "ungültiger" SID, sowie der fehlenden Gruppe waren die Einstellungen der IIS Metabase korrekt.

Die Fehlerbehebung erfolgte dann in zwei Schritten.

1. Entfernung der ungültigen Accounts aus der Metabase
2. Hinzufügen von IIS_WPG mit den nötigen Rechten.

Beides kann mittels dem Script Metaacl.vbs durchgeführt werden. Der Aufruf zum Hinzufügen von IIS_WPG sieht dann folgendermaßen aus:

cscript Metaacl.vbs "IIS://LocalHost/W3SVC/AppPools" <RECHNER>\IIS_WPG U

Das U steht für die zu setzenden Rechte, in diesem Fall für "Unsecure properties read" und genau diese Einstellung ist nötig. Nach dieser Prozedur sah mein Eventlog, abgesehen von den Problemen welche sich ergeben wenn ein installierter Team Foundation Server in eine Domain gehoben wird, richtig gut aus. Doch dazu später mehr.

Ein Windows Server 2003 erlaubt von Haus aus zwei RDP Verbindungen. Durch Unachtsamkeit oder bei Netzwerkproblemen kann es dazu kommen, dass die Verbindung zum Server abbricht und dieser die Sitzungen weiterhin offen lässt.

Das kann zur Konsequenz haben, dass keine weiteren Verbindungen mittels Remote Desktop möglich sind. In diesem Fall ist guter Rat teuer, denn die Frage lautet; Wie trenne ich nun diese unnötigen Verbindungen? Ein Zugriff auf den Server ist ja nicht mehr möglich.

Windows Server 2003 erlaubt, wenn man keine zusätzlichen Lizenzen erworben hat, zwei Remotesitzungen und eine Konsolensitzung. Über den Terminalserverclient (Remote Desktop) kann man eine Verbindung zur Konsole erzwingen. Somit hat man wieder Zugriff auf den Server. Die entsprechende Kommandozeile sieht folgendermaßen aus:

mstsc.exe /v:[Server] /console

Nach Eingabe der Anmeldeinformationen ist der Zugriff auf die Konsole hergestellt und die Sitzungen können über den Terminalserver-Manager problemlos beendet werden.