OS X High Sierra Server 5.4 Netzwerkbenutzer

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • OS X High Sierra Server 5.4 Netzwerkbenutzer

    Hallo,

    ich habe meine iMac's inkl. meines MacMini Servers auf High Sierra umgestellt und nun habe ich große Probleme. Die Installation hat irgendwie nicht richtig funktioniert. Dies führte dazu, dass ich die drei Geräte via USBBootStick komplett neu installiert habe. Auf dem MacMini habe ich die Server.app installiert und das Netzwerk inkl. NTP und DNS konfiguriert. Bis zu dieser Stelle lief alles wunderbar. Die DNS Auflösung funktioniert in beide Richtungen und den NTP Eintrag habe ich ebenfalls aktualisiert.

    Nun wollte ich via Migrationsassistent meine Netzwerkbenutzer aus dem TimeMachine-Backup wieder zurücksichern und erhielt ich die Aussage, dass dies nicht möglich sei. Nun gut - dachte ich mir - ist ja weiter auch nicht so schlimm. Ärgerlich ja, aber alle notwendigen Daten liegen sowieso auf einem NAS. Deshalb begann ich die Netzwerkbenutzer neu anzulegen und an dieser Stelle war ich erst einmal ratlos, da ich ich Freigabe in der Server.app nicht mehr gefunden habe! Mittlerweile ist diese vollständig in die Systemeinstellungen gewandert; auch gut dachte ich mir, aber dem war nicht so.

    Netzwerkbenutzer lassen sich anlegen. Aber egal was ich nun als Homeverzeichnis auswähle - eine Anmeldung am Client (iMac's) mit den Neztwerkbenutzeraccounts ist nicht möglich.

    Was vergesse ich bzw. wo liegt hier mein Denkfehler. Ehrlich bei El Catipan war dies einfacher und irgendwie auch übersichtlicher.

    Vielen Dank für Eure Hilfe.

  • Kann mir wirklich niemand helfen?

    Ich habe mein Problem eingegrenzt. Es liegt einfach am Homeverzeichnis. Wo legt man dieses normalerweise an und welche Rechte müssen dort eingerichtet werden. Ich habe bereits nachgelesen, dass dieses Verzeichnis nicht im Rootverzeichnis der HDD erstellt werden darf, da Apple wohl die Rechtestruktur bzgl. der Zugriffe eingeschränkt hat!

  • In diesem Artikel geht es um das von Microsoft verwendete Active Directory und nicht um Apples Open Directory. Auch wird beschrieben wie das lokale (also auf dem Client vorhandene) Verzeichnis erstellt und verwaltet wird.

    Dies hat leider nur am Rande etwas mit meiner Frage zu tun. Dennoch vielen Dank t-no.

    Vielleicht hat ja jemand eine Client- Server Konfiguration am Laufen und kann mir den entsprechenden Tipp geben oder vielleicht eine kurzgehaltene Beschreibung wie dies zu konfigurieren ist. Ich verstehe überhaupt nicht warum hier, im vom OD angelegtem Benutzerverzeichnis, Rechtsprobleme entstehen können?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Uwe Schmidt ()

  • Hallo Uwe,

    bitte zukünftig nicht per E-Mail Fragen stellen. Es ist durchaus möglich, dass andere Mitglieder hier Interesse an Deinen Ausführungen haben und evtl. schon eine Lösung parat haben.

    Folgende Vorgehensweise würde ich wählen:

    - Logfiles lesen und prüfen
    - interne Firewall abschalten
    - Servername und Netzwerkkonfiguration überprüfen
    - Zertifikate auf Gültigkeit prüfen
    - DNS Auflösung überprüfen
    - FileSharing; Ordner bzgl. der vergebenen Rechte prüfen
    - OpenDirectory löschen und neu anlegen

    Wenn Du weiterhin Probleme hast, solltest Du den Server neu aufsetzen. Es geht auch ohne nur dann müsstest Du händisch die Zertifikatsverwaltung aufräumen und hiervon kann ich nur abraten. Hierzu wird viel Wissen vorausgesetzt und dies hier zu beschrieben würden den Rahmen des Forums definitiv überschreiben.

    Viel Glück

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von OSXDev ()

  • Hallo OSXDev,

    sorry - ich wußte mir einfach nicht mehr zu helfen.

    Ich habe den Server nun neu aufgesetzt. Lt. den Informationen die mir vorliegen muss wohl zwingend eine Reihenfolge bei der Aktivierung der Dienste eingehalten werden. Kannst Du mir bestätigen, dass ich hiermit richtig liege?

    - OS X 10.13
    - Server App
    - Netzwerkeinstellungen
    - DNS
    - User anlegen
    - Filesharing

    Weitere Dienste benötige ich nicht. Gibt es etwas worauf ich noch achten muss?

    Nochmals Danke und Entschuldigung.

    P.S.: Es war wirklich unbedacht Dich direkt anzuschreiben. Dieses Forum ist ja keine Hotline, daran habe ich wirklich nicht gedacht.

  • Hallo Uwe,

    alles gut! Die Reihenfolge stimmt. Zwei Dinge sind jedoch noch zu beachten:

    - HDD/Partition solltest Du händisch löschen; nicht zwingend notwendig. Falls die HDD jedoch fehlerhaft sein sollte wird dies gleich zu Beginn der Installation angezeigt.
    - eine feste IP-Adresse verwenden

    Ich selbst verwende High Sierra im Serverbereich noch nicht. Im übrigen mag ich nicht zwangsweise mit einer Festplattenverschlüsselung beglückt werden. Sicherlich kann man diese über einen Umweg aussen vor lassen. Aber den Aufwand mag ich i.A. nicht investieren. Ganz nach dem Motto: "Never touch a running SYSTEM." :thumbsup:
    Auch glaube ich, dass Du hier einem Irrtum unterliegst. Es ist nicht zwingend notwendig, dass der Server die gleiche OS X Version wie Deine Clients haben muss. :D
    Für den Fall, dass es wieder nicht funktioniert, rate ich Dir dazu das Backup - welches Du hoffentlich angelegt hattest - zurückzuspielen.

  • Das wusste ich tatsächlich nicht. Ich war der Meinung, dass Client und Server immer die gleiche OS X Version verwenden müssen. :/

    Ein Backup habe ich mit TimeMachine erstellt. Aber der Ehrgeiz hat mich nun mal gepackt und nun probiere ich erst noch einmal aus, ob es mit den Rechten im Benutzerverzeichnis nun nach der erneuten Clean-Installation funktioniert. Ansonsten würde ich das Backup einspielen. Funktioniert hoffentlich einfacher als ein User im OD anzulegen. ?(

    Ein Administrator hat mir mitgeteilt, dass bevor ich den User am Client anmelde, diesen zuvor am Server anmelde und dort alle meine Einstellungen einpflegen soll. Lt. Unterlagen von Apple sollte man sich aber nicht mit dem Useraccount am Server anmelden. Welches ist denn nun die richtige Vorgehensweise? :?:

  • Beides trifft zu, jedoch nur in Teilen. Der Server sollte nicht als Arbeitsplatz verwendet werden. Eine Anmeldung am Server hat zur Folge, dass die Profildaten im Home Folder für weitere Zugriffe gesperrt werden. Auch nach einem erfolgreichem Logout befindet sich der Home Folder noch im Zugriff der Systemaccounts.

    Zum testen ob ein Account funktioniert wie erwartet kann dieser in der Tat am Server angemeldet werden. Dieses Vorgehen sollte aber nur in sehr kleinen Umgebungen Anwendung finden. Da der Server nach dem Logout neugestartet werden sollte, da ansonsten der Netzwerkaccount für eine Anmeldung am Client nicht uneingeschränkt zur Verfügung steht.

    Als Serveradmin kannst Du auch die Freigabe des Home Folders per Befehlssequence im Terminal erzwingen. Für Anfänger ist es jedoch sicherer und einfacher den Server neu zu starten. Bitte für diesen Fall daran denken alle Anwender vor dem Reboot zu informieren.

  • Okay den Server habe ich nun vollständig neu installiert.

    Nachfolgende Dienste wurden in der Server.app konfiguriert und laufen ohne Probleme:
    - DNS (DNS Auflösung funktioniert in beide Richtungen. )
    - Wiki
    - Webseiten
    - Open Directory

    Filesharing habe ich den Systemeinstellungen konfiguriert und nun habe ich ein Verständnisproblem! Innerhalb der Server.app beim User kann ich ebenfalls Freigaben einrichten. Muss ich hier eine neue Freigabe für meinen User anlegen oder reicht es wenn ich die bereits in den Systemeinstellungen angelegte Freigabe wähle? Muss ich den freigegebenen Verzeichnis weitere Rechte bzw. User hinzufügen?

    Wäre wirklich prima wenn mir hier jemand den Zusammenhang kurz erläutern könnte.

  • Hallo zusammen,

    ich habe den Apple-Support kontaktiert um meine Fragen loszuwerden. Da mir hier so gut geholfen wurde möchte ich meine Ergebnisse hier auch allen mitteilen.

    - High Sierra installierte auf meinen Mac's automatisch das AFPS Dateisystem. Dieses hat eine Besonderheit! Es richtet automatisch eine Verschlüsselung von SSD HDDs ein. Soweit man diese Mac's nicht mit einem Open Directory verwendet, soweit ist dies auch nicht von Belang. Andernfalls bekommt man auf dem Server doch einige Probleme bzgl. der Freigaben (mit SMB) für die Netzwerkaccounts.
    Mir wurde geraten diese auf eine externe HDD welche mit HPFS+ (Journal eingeschaltet) auszulagern. Auch muss zwingend in der Freigabe die Open-Directory-Gruppe nachträglich mit Read + Write - Rechten eingetragen werden. Nicht vergessen die lokale Administratorengruppe ebenfalls mit R+W-Rechten einzutragen.

    - In diesem Zuge musste ich meine Clients ebenfalls neu aufsetzen, weil der lokale root Account sich durch das hinzufügen und wieder löschen des OD nicht mehr deaktivieren lies.

    - Wie von OSXDev schon angemerkt muss eine feste IP-Adresse zwingend verwendet werden. Auch darf der DNS-Name nach dem erstmaligen aktivieren des OD nicht mehr angepasst werden! Des Weiteren muss auch die DNS-Auflösung zwingend über einen externen Provider also aus dem Internet heraus funktionieren! Auch wenn der Server nur für ein internes Netzwerk eingesetzt wird.

    Dies war mir mir so nicht bewusst. Fazit: Finger weg von High Sierra.

    Ich bin nun dabei mein Backup von El Capitan auf meinem Server wieder einzuspielen und hoffe es funktioniert genauso tadellos wie zuvor. Meine Clients werde ich wohl auch wieder mit El Capitan und versuchsweise mal mit Sierra versehen. Die Erfahrungen hierzu werde ich dann ebenfalls hier posten.

    Eigentlich bin ich ganz schön enttäuscht. Denn das Geld was Apple für seine Geräte und den Service veranschlagt ist ja nicht gerade ein Taschengeld und da könnte man ruhig erwarten, dass es Anleitungen zur Installation von Netzwerkaccounts mit freigegebnen Home Folders bei Apple direkt gibt. Auch sollten dort Hinweise aufgeführt werden. Wann, welche Herausforderungen zu erwarten sind.

    Grüße Uwe

    P.S.: Hätte ich fast vergessen. Am Rande wurde auch erwähnt, dass das nicht mehr unterstützte AFP-Protokoll "harmonischer" mit dem OD und Home Folder agiere. :(

  • Uwe Schmidt schrieb:

    ...

    - High Sierra installierte auf meinen Mac's automatisch das AFPS Dateisystem. Dieses hat eine Besonderheit! Es richtet automatisch eine Verschlüsselung von SSD HDDs ein. Soweit man diese Mac's nicht mit einem Open Directory verwendet, soweit ist dies auch nicht von Belang. Andernfalls bekommt man auf dem Server doch einige Probleme bzgl. der Freigaben (mit SMB) für die Netzwerkaccounts.
    Mir wurde geraten diese auf eine externe HDD welche mit HPFS+ (Journal eingeschaltet) auszulagern. Auch muss zwingend in der Freigabe die Open-Directory-Gruppe nachträglich mit Read + Write - Rechten eingetragen werden. Nicht vergessen die lokale Administratorengruppe ebenfalls mit R+W-Rechten einzutragen.


    ...

    P.S.: Hätte ich fast vergessen. Am Rande wurde auch erwähnt, dass das nicht mehr unterstützte AFP-Protokoll "harmonischer" mit dem OD und Home Folder agiere. :(
    @Uwe: Deine Aussagen haben mich bewegt einen OS X Server 5.4 aufzusetzen und diese zu validieren. Apple ist zwar konsequent in der Umsetzung bzw. Abkündigung von Eigenschaften bzw. Produkten, respektive Diensten, jedoch wird dies dann offiziell angekündigt und zwar mit zeitlichem Vorlauf.

    Das unter High Sierra die Verschlüsselung evtl. zum Problem wird ist hinreichend kommuniziert worden. Hat jedoch auf ein laufendes OD keinen Einfluss. Zu bedenken ist hier nur, dass die Home Verzeichnisse der OD User Accounts besser auf einem externen HDD-Raid-System untergebracht werden. Dies war aber schon immer so; Stichwort: Sicherheit.

    Bzgl. des abgekündigtem AFP-Protokolls kann ich Dir mitteilen, dass Du dieses auch weiterhin für die Verwaltung der Verzeichnisse des OD's verwenden kannst. Im Augenblick kann ich Dir hierzu nur raten, denn nach meinen Erkenntnissen verläuft der LDAP-Zugriff via SMB nicht einwandfrei. Zumindest ist es mir nicht gelungen einen Netzwerkaccount dazu zu bewegen mit diesem reibungslos zu funktionieren! Es kam genau zu Deinem Eingangs geschilderten Symptomen bzgl. Anmeldung usw.. Freigaben muss man wie zuvor innerhalb der Server-App administrieren. Rechte werden seitens des System verwaltet. Also nicht händisch angepasst werden!

    Fazit: Einsatz von OD respektive Netzwerkaccounts z.Z. nur in Verbindung mit dem AFP-Protokoll fehlerfrei möglich. :thumbsup:

  • Super - habe nun Deinen Rat befolgt und eine zweite Partition auf dem Server eingerichtet. Diese habe ich mit HFS+ Journaled formatiert.
    Einen Ordner genannt HomeFolders angelegt und die Freigabe im System eingerichtet.
    In der ServerApp habe ich Accounts angelegt und diesen den freigegeben Ordner angegeben.

    Bin überwältigt! Alles läuft wieder einwandfrei. Spendiere Dir mal einen guten .

    P.S.: Mit SMB hat die Anmeldung am Client nicht funktioniert. Ist immer hängen geblieben oder es lies sich keine App konfigurieren.

    Mal ganz im Ernst Was Apple hier abgeliefert hat ist schon eine Glanzleistung. Wenn ich meine zeitlichen Aufwendungen mal kumuliere dann .....

    Aber egal. Gibt bestimmt noch mehr Suchende und die sind bestimmt froh wenn sie dieses Forum und die Infos finden.