In diesem Artikel stellen wir Ihnen drei besondere Apps aus unserem Portfolio vor, die ganz unterschiedliche Ansätze präsentieren, wie Sie Ihre Infrastruktur über verschiedene Betriebssysteme hinweg optimieren:
Active Directory-kompatibler Domänencontroller
Eine der größten Herausforderungen in großen, heterogenen Umgebungen ist es sicherlich, Windows-, macOS- und Linux-Rechner perfekt miteinander zu verbinden. Die App Active Directory-kompatibler Domänencontroller rollt den roten Teppich für Windows- und macOS-Systeme in der Domäne aus und erweitert den Univention Corporate Server um AD-Funktionen. Als Grundlage dient Samba – eine Open-Source-Software, die die Kommunikation zwischen Unix/Linux- und Windows/macOS-Systemen ermöglicht.
Die Installation der App sorgt dafür, dass es auf dem UCS-Rechner außer dem bereits vorhandenen Verzeichnisdienst (OpenLDAP) noch einen zweiten, AD-kompatiblen Verzeichnisdienst (Samba) für die Windows-Rechner in der Umgebung gibt. Der Univention S4 Connector synchronisiert die Daten zwischen den beiden Verzeichnisdiensten. So bleiben die Daten auf allen Domänencontrollern immer aktuell und konsistent. Das sorgt für eine effiziente Organisation Ihrer Netzwerkressourcen und vereinfacht die Verwaltung erheblich. Mehr zur Synchronisierung zwischen den unterschiedlichen Systemen lesen Sie im Blogartikel Heterogene Verzeichnisdienste unter UCS: Synchronisierte Services für Linux und Windows-Umgebungen.
Diese Samba-Domäne auf Basis von Active Directory kann diverse Dienste in der Umgebung zur Verfügung stellen:
- Authentifizierungsdienst: Benutzerkonten und Gruppen pflegen Sie zentral im UCS-Management-System. Windows-Benutzer erhalten bei der Anmeldung ein Kerberos-Ticket zur weiteren Authentifizierung. Mit diesem Ticket können sie dann auf die Ressourcen der Domäne zugreifen.
- Dateidienste: UCS kann als Fileserver Verzeichnisse und Dateien im Netz bereitstellen. Administrator*innen können die Freigaben bequem über die Univention Management Console verwalten.
- Druckdienste: Mit Samba ist es möglich, unter Linux eingerichtete Drucker als Netzwerkdrucker für Windows- und macOS-Clients freizugeben. Als Grundlage dient CUPS (Common Unix Printing System); die Verwaltung läuft ebenfalls über das UCS-Management-System.
Es ist zwar möglich, alle diese Dienste auf einem Server anzubieten, die Entwickler raten jedoch dazu, Domänencontroller und Datei-/Druckserver auf unterschiedlichen UCS-Rechnern zu betreiben. Eine solche Trennung sorgt z. B. dafür, dass eine hohe Last auf dem Fileserver nicht zu Verzögerungen oder Störungen beim Authentifizierungsdienst führt.
Active Directory-Verbindung
Wenn Sie Univention Corporate Server als Mitglied einer AD-Domäne oder parallel zu dieser betreiben möchten, dann ist diese App genau die richtige. Sie richtet einen automatischen Abgleich zwischen Active Directory und UCS ein. Außerdem synchronisiert sie Verzeichnisdienst-Objekte zwischen einem Windows-Server mit AD und dem OpenLDAP-Verzeichnisdienst von UCS.
Es gibt zwei unterschiedliche Betriebsmodi für die App Active Directory-Verbindung:
- UCS als Teil (Domänen-Mitglied) einer AD-Domäne: In diesem Modus bleibt Active Directory der primäre Verzeichnisdienst in Ihrer Domäne, das heißt, es werden keine Veränderungen an der Domäne vorgenommen. Die bestehende Windows-Domäne wird um UCS-Funktionen erweitert: Sie können UCS also beispielsweise als Plattform nutzen und über das App Center installierte Anwendungen bereitstellen.
- Active Directory- und UCS-Domäne(n) im Parallelbetrieb: Benutzer, Gruppen und Passwörter werden automatisch zwischen den beiden Domänen synchronisiert. Jeder Domänen-Benutzer hat ein gleichnamiges Benutzerkonto in der UCS- und in der AD-Domäne. Der Abgleich kann sowohl uni- als auch bidirektional, also in beide Richtungen, stattfinden.
Schauen wir uns die beiden Modi etwas genauer an.
UCS als Mitglied einer Active Directory-Domäne
Im ersten Szenario wird UCS ein Mitglied in einer bestehenden AD-Domäne – quasi wie ein neuer Mitspieler in einem bestehenden Team. Hierbei übernimmt das Active Directory (AD) die Führungsrolle als Verzeichnisdienst, und das UCS-System reiht sich in den Vertrauenskreis der AD-Domäne ein. Das Tolle daran? Das UCS-System bekommt limitierten Zugang zu den Kontodaten der AD-Domäne, fast so, als hätte es einen VIP-Pass, aber eben nur für bestimmte Bereiche.
Beachten Sie, dass das UCS-System in diesem Modus nicht als eigenständiger AD-Domänencontroller agieren kann. Es liest stattdessen die Kontodaten aus dem AD aus und speichert diese lokal in seinem eigenen Verzeichnisdienst (OpenLDAP). Wichtig zu wissen: Änderungen im UCS werden nicht ins AD geschrieben.
Dieser Modus ist ideal, um eine AD-Domäne mit zusätzlichen Applikationen zu bereichern, die auf der UCS-Plattform laufen. So machen Sie unsere UCS-Apps für AD-Domänenbenutzer zugänglich, wobei die Authentifizierung weiterhin über die nativen Microsoft AD-Domänencontroller läuft.
Parallelbetrieb von AD- und UCS-Domäne
Im Modus UCS Active Directory-Connector gibt es zwei Teams, die unabhängig voneinander arbeiten, aber ihre Informationen bereitwillig teilen. Benutzer- und Gruppenobjekte zwischen einer UCS- und einer AD-Domäne werden synchronisiert – Sie entscheiden, ob der Abgleich ein- oder beidseitig sein soll.
In diesem Szenario arbeiten beide Domänen parallel und unabhängig voneinander. Das bedeutet, dass Benutzer ganz unkompliziert auf Dienste beider Domänen zugreifen können, ohne sich ständig neu anmelden zu müssen. Bei der Einrichtung des Connectors liest dieser alle Einträge aus UCS, wandelt sie in AD-Objekte um und fügt sie dann im AD hinzu oder aktualisiert sie. Umgekehrt macht er dasselbe mit den AD-Objekten für das UCS. Diese Synchronisation läuft vollautomatisch und regelmäßig alle fünf Sekunden – das Intervall können Sie selbstverständlich anpassen.
Und was, wenn auf einer Seite Funkstille ist und der Abgleich fehlschlägt? Keine Panik! Der Connector stellt das betroffene Objekt einfach zurück und versucht es später nochmal – in der Voreinstellung unternimmt er zehn Versuche. Bei einem Neustart des Connectors versucht er ebenfalls, solche zurückgestellten Änderungen noch einmal zu synchronisieren.
Weitere Informationen zu den beiden Modi, Tipps zur Einrichtung und zur weiteren Administration finden Sie in den Handbuch-Kapiteln UCS als Mitglied einer Active Directory-Domäne und Einrichtung des UCS AD-Connectors.
Active Directory Takeover
Die letzte App, die wir in diesem Artikel vorstellen, ist ein praktischer Umzugshelfer: Active Directory Takeover zieht Ihre Daten von einer AD-Domäne zu UCS um. Sie können sich das Ganze wie einen Wechsel in ein neues, modernes Büro vorstellen – dabei gilt es natürlich, alle wichtigen Dokumente und Einstellungen mitzunehmen. Die App packt Daten zu Benutzern, Gruppen und Rechnerobjekten sowie GPO-Richtlinien (Group Policy Objects) und SIDs (Security Identifiers) sorgfältig ein und bringt sie sicher in die neue Umgebung Ihrer UCS Samba/AD-Domäne. Vorhandene Windows-Clients müssen somit nicht erneut der Domäne beitreten. Anschließend können Sie den alten AD-Domänencontroller in den wohlverdienten Ruhestand schicken.
Damit der digitale Umzug in die UCS-Welt reibungslos Kisten erfolgt, gilt es ein paar Dinge zu beachten:
- Zuerst gleicht die App die Systemzeit Ihres UCS-Systems mit der des vorhandenen Active Directory ab.
- Danach erfolgt der Beitritt zur AD-Domäne, Ihr UCS-Rechner wird also offiziell Teil der AD-Domäne.
- Jetzt beginnt die eigentliche Magie: Mithilfe von Samba und dem Univention S4 Connector werden alle Ihre AD-Objekte ins UCS-OpenLDAP-Verzeichnis übertragen.
- Nachdem auf dem UCS-Server alle Benutzer, Gruppen und Rechner aus der AD-Domäne vorhanden sind, müssen zum Schluss die Dateien mit den Gruppenrichtlinien aus der SYSVOL-Freigabe des AD-Servers auf den UCS-Server kopiert werden.
- Sind alle Schritte erfolgreich erledigt, können Sie den AD-Domänencontroller herunterfahren.
Weitere Informationen zur Migration einer AD-Domäne zu UCS mit der App Active Directory Takeover beschreibt das gleichnamige Kapitel in unserem Handbuch ausführlich. Neben den notwendigen Vorbereitungen beschreibt es Schritt für Schritt den Umzug und gibt Tipps für abschließende Tests.
Erfolgreiches Netzwerken in heterogenen Umgebungen
In unserem heutigen Ausflug in die Welt der Univention-Apps haben wir Ihnen drei Schlüsselwerkzeuge vorgestellt, die die Verwaltung von Rechnern in heterogenen Umgebungen auf neue Füße stellen. Egal, ob Sie Univention Corporate Server als eigenständigen Domänencontroller nutzen möchten, eine Brücke zu einem bestehenden Active Directory schlagen oder sogar eine komplette Migration planen – wir bieten die passende Lösung.
Abschließend möchten wir Sie herzlich dazu einladen, sich mit uns und anderen UCS-Nutzern auszutauschen. Teilen Sie Ihre Erfahrungen mit den vorgestellten oder anderen Apps, stellen Sie Fragen oder erfahren Sie einfach mehr über Univention Corporate Server und die enthaltenen Anwendungen.
Besuchen Sie unser Forum Univention Help und werde Teil unserer Community!
Univention Corporate Server ist der perfekte Vermittler in heterogenen Umgebungen mit Windows-, macOS- und Linux-Rechnern.
