1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Problem: MAC OS X - Windows Server 2003 ADS Integration

Dieses Thema im Forum "macOS & OS X" wurde erstellt von gitarrist, 21.04.06.

  1. gitarrist

    gitarrist Gast

    Hallo Zusammen,

    ich habe seit einigen Monaten einen iMAC G5 den ich privat verwende und versuche nun diesen an meinem Arbeitsplatz in ein Windows Netzwerk einzubinden. Das versuche ich aus gutem Grunde:

    Ich bin Sys-Admin an der Universität Osnabrück und verwalte ca. 200 Client-PCs (WinXP) und 5 Server (Win2003 mit Active Directory „ADS“). Da der alltägliche Windows-Wahnsinn mich an die Grenzen der Belastbarkeit bringt (ich mache das seit 20 Jahren), habe ich den Plan einer Initiative zu einem realistischen Systemwechsel bei den Client-PCs. Die Server werden bleiben wie sie sind. Realistisch ist es aber, eine ganze Reihe von Clients (vor allen Dingen Sekretariate etc.) auf MACs umzustellen.

    Nun zum Problem:

    Auch nach Wälzen von 100ten Seiten aktueller Literatur ist es mir nicht gelungen mit meinen iMAC auf einen Windows Server zuzugreifen.

    Der Zugriff auf Win-Freigaben, die keine Authentifizierung verlangen ist problemlos. Sobald eine Authentifizierung verlang wird (was natürlich Standard ist), ist jedoch keine Zugriff möglich.

    Die Integration in die ADS-Domäne an meinem Test-Server hat jedoch funktioniert. Nach dem Eintragen der ADS-Domäne in den „Verzeichnisdiensten“ des MAC OS wurde der iMAC in die ADS-Domäne Serverseitig aufgenommen (belegbar im ADS-Manager auf dem Server - dort wird sogar korrekt die Betriebssystemversion „MAC OS 10.4.6“ angezeigt)

    Ferner kann ich im Finder alle Domänen im Hause finden und mir Server-Aliasse anzeigen lassen. Sobald ich jedoch über Finder/Server-Alias auf einen Server zugreifen will, bekomme ich die Meldung:

    "Das Alias "Server" konnte nicht geöffnet werden, da das Original nicht gefunden wurde"

    bzw. bei einem Verbindungsversuch über die Verzeichnisdienste (Server - Verbinden):

    "Account oder Kennwort wurde nicht erkannt"
    (wobei sowohl Account als auch Kennwort definitiv korrekt sind)

    Interessant ist noch, dass nach der Serverseitig erfolgreichen Integration des MAC-Clients in die ADS-Domäne alle Server der anderen Domänen im Hause angezeigt werden, aber über den Finder ausgerechnet der Server der eigenen Domäne (also der eigene ADS-Controller) nicht mehr - auch nicht als "Alias" - angezeigt wird, was ich absolut nicht mehr nachvollziehen kann.

    Die Situation ist also folgende:

    - Netzwerkzugriffe sind _prinzipiell_ möglich
    - Internet funktioniert einwandfrei
    - Zugriff auf simple Windows-Freigaben (Win-Clients ohne Authentifizierung) funktioniert
    - Alle Domänen im Hause werden korrekt im Finder angezeigt
    - DNS-Services werden korrekt abgefragt
    - DHCP-Zuweisung korrekt
    - kein Zugriff auf Domänenserver (Win2003) mit Authentifizierung
    - eigener ADS-Controller/Server wird im Finder nicht angezeigt

    Hat irgendjemand eine Idee dazu? Ich weiß nicht mehr weiter. Das einzige was ich bislang zu dem Thema gefunden habe, ist, das Kollegen das gleiche Problem haben...
    Die Literatur sagt aber, dass das alles ganz „easy“ sei und problemlos funktioniert.

    Ich brauche dringend Hilfe
    Vielen Dank im Voraus
     
  2. iTosch

    iTosch Gloster

    Dabei seit:
    01.05.06
    Beiträge:
    60
    Hallo

    ich habe das gleiche Problem - allerdings auf Schulebene. Ich Darf seit einem halben Jahr die PCs an der Schule am Laufen halten. Nun möchte ich auch mit meinem ibook G4 auf das Netz zugreifen - und siehe da, die gleichen Probleme und Fehlermeldungen wie bei dir. Allerdings habe ich noch keine allzugroßen Erfahrungen mit dem ActiveDirectory auf dem WinServer 2003. - Muss mich da leider noch einarbeiten.
    Kannst du mir verraten wie ich mein iBook in der ADS eintrage? Denn das habe ich nohc nicht getan - oder besser gewagt aus angst vor Absturz des Servers (kennt man ja bei win).

    Danke
    iTosch
     
  3. iTosch

    iTosch Gloster

    Dabei seit:
    01.05.06
    Beiträge:
    60
    Hallo gittarist,

    habe heute einen Benutzer im ADS des Servers eingetragen. Ging gar nicht so schwer. Nun kann ich mich mit den vergebenen Rechten auf alle Rechner im Netzt zugreifen und auch auf den Server. Supi einfach

    Viel Erfolg dir
     
  4. cybo

    cybo Aargauer Weinapfel

    Dabei seit:
    23.05.06
    Beiträge:
    753
    Moin,

    versuch mal folgendes:

    In der Domänen Gruppenrichtlinie unter computerkonfiguration - windows einstellungen - sicherheitseinstellungen - lokale richtlinien - sicherheitsoptionen - Microsoft Netzwerk Server: Kommunikation digital signieren (immer) ----> DEAKTIVIEREN

    Gruß
    cybo
     
  5. palmetshofer

    palmetshofer Apfel der Erkenntnis

    Dabei seit:
    28.01.06
    Beiträge:
    724
    Das hat bei mir zu Hause auf dem Testserver auch funktioniert. Eig. sollte es mit
    diesem Tip funktionieren.

    Ich hab jetzt auch noch ein paar Fragen.

    1.)
    Ich habe in der Schule schon einen Account mit Username und Passwort für das AD.
    Wenn ich mich jetzt anmelde, sagt er mir ich kann mich mit diesem Namen und
    Passwort nicht anmelden, weil sie schon vergeben sind. Ich weiß jetzt nicht ob in
    der Schule die digitale Signierung eingeschalten ist oder nicht, aber wenn sie
    eingeschalten ist, würde ich nach der Analyse des oben gestellten Problems ja
    gar nicht soweit kommen, oder?
    Könnte mir mal jemand die korrekten einstellungen die ich im Verzeichnisdienst-
    programm machen muss für AD posten!? Wäre hilfreich.

    2.)
    Klingt nach einer Dummie-Frage aber das sollte Sie nicht sein. Erkläre ich dann
    noch. Mir geht es immer auf den Kecks, dass ich wenn ich mich in der Schule
    am AD anmelden will, ich immer einen DNS Server in den Netzwerkeinstellungen
    eintragen muss. Und zu Hause, muss ich dann immer alles wieder umstellen.
    Aber das eintragen des "default DNS Server" ist ja pflicht für das anmelden an
    einer Domain. Gibt es eine Möglichkeit, dies am DHCP so einzustellen, dass der
    default DNS Server automatisch an die DHCP-Clients übertragen wird?


    Soviel zu meinen Problemen ;)

    MfG Matthias
     
  6. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,
    Grundsätzlich ja, wie's der Windows-Server handhabt weiß ich allerdings nicht. Ansonsten: mach Dir Doch eine weitere Netzwerkumgebung die Du leicht umschalten kannst.

    Gruß Stefan
     
  7. ezi0n

    ezi0n Leipziger Reinette

    Dabei seit:
    07.07.05
    Beiträge:
    1.786
    klar geht das wie stk schon meinte, mir ists jetzt aber zu müssig das hier aufzuschlüssen somit hab ichs mal eben "gegoogled" http://www.wintotal.de/Artikel/w2003server3/w2003server3.php

    und nein, ich brauche keinen default DNS für eine domain anmeldung, da bei einer flachen topologie auch das windows_dom-browsing genau diese host auflösung übernehmen kann... wenn du allerding die IP Messages durch z.B. eine lokale Firewall blockst dann kommen diese windows_dom announce messages nicht aufs LAN und somit kann keine browselist erstellt werden .. die browselist wird dann auf der höchsten instanz in dem segment geführt ..
     
    palmetshofer gefällt das.
  8. palmetshofer

    palmetshofer Apfel der Erkenntnis

    Dabei seit:
    28.01.06
    Beiträge:
    724
    Danke für die fixen antworten! Werd ich gleich mal in der Schule ausprobiern.
    Ich check mal den DHCP und lass mir einen neuen Benutzer machen.
    Das digital singation dreh ich auch noch ab und notfalls stell ich den DHCP neu ein.

    EDIT:

    Zickt das OS X eigentlich rum wenn man das AD eingschalten lässt und
    das AD der Schule nicht verfügbar ist? Weil zu Hause hab ichs ja net.

    MfG Matthias
     
    #8 palmetshofer, 02.06.06
    Zuletzt bearbeitet: 02.06.06
  9. ezi0n

    ezi0n Leipziger Reinette

    Dabei seit:
    07.07.05
    Beiträge:
    1.786
    nö .. wenn kein AD verfügbar ist muss ein local fallback möglich sein, das kann man im AD zwar abschlaten, aber nur soweit ich weiss auf Windows .. also damit theoretisch den lokalen boot umgehen wenn man zB erzwingen will dass jemand nur über DFÜ, VPN, RAS oder sonstwas ins Netz kommt und das System sonst nicht nutzen kann - es sei denn er kann den "abgesicherten modus" verwenden ... habe es nicht getestet aber gehe davon aus, dass apple sowas nicht implementiert hat oder zumindest nicht default ...
     
  10. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    nachdem man im Dienstprogamm »Verzeichnisdienste« die Verwendung eines bestimmten LDAP-Servers an einen Netzwerkumgebung koppeln kann (und auch sollte), sollte das doch auch entsprechend mit Windows-AD genauso zu machen sein?!

    Gruß Stefan
     
  11. luettmatten

    luettmatten Süssreinette (Aargauer Herrenapfel)

    Dabei seit:
    10.03.05
    Beiträge:
    404
    Leider kann der Admin diese Einstellung nicht verändern. Kann es daran liegen, dass es ein Cluster-Server ist?
    Über die Registry lässt sich diese Einstellung vornehmen allerdings, setzt diese sich nach einem unbekannten Zeitraum wieder zurück. Gibt es eine andere Möglichkeit?
     

Diese Seite empfehlen