Seltsamkeiten bei 10.4.x Server

[El Capitan]

Hallo,
wir haben hier ein paar seltsame Phänomäne in unserme Testbetrieb (10.4.5 Server+Clients). Vielleich ist das Ein- oder Andere Problem ja bekannt und kann "sogar" behoben werden:

1.: Verzeichnisbindung funktioniert nicht zuverlässig. Egal, ob verschlüsselt, unverschlüsselt oder Option "Verzeichnisbindung erzwingen" aktiviert ist. Mal klappt, dann auch wieder nicht. Dann muss der Client über Verzeichnisdienste beim LDAP Server erst abmelden: Geht mit diradmin und Phantasiepasswort. Also: garkeine LDAP Anfrage vorhanden. Dann neu einbinden und es funzt wieder einige Zeit.

2.: Bei aktivem Kerberos werden Benutzerkennworte beim Zugriff auf den Server plötzlich nicht mehr erkannt. Wenn das exakt gleiche Benutzerkennwort über den Arbeitsgruppen Manager nochmals geschrieben wird, ist wieder alles paletti. Da scheint es ja wohl ein serverinternes Problem zu geben: Irgendwo gehen da mal kurz Kennwörter "verloren", oder??? Kennt jemand diese Erscheinungen???

 

[stk]

Moin,

Wenn Du vom Client aus auf den Server zugreifst achte peinlich genau darauf, das die Paketlaufzeiten stimmen. Hast Du zwischen Client und Server einen Switch, der da ggf. ein Störfaktor sein kann? Hab's schon öfters erlebt, das schon kleinste Ungereimtheiten die Paranoia des Kerberos beflügelten. Auch wichtig: identische Systemzeiten idealerweise über ntpd hergestellt.

Das der LDAP-Server korrekt läuft (insbesondere Kerberos -> Anzeige im Serveradmin unter OpenDirectory: Allgemein - dort sollte alles auf "arbeitet" stehen, bzw. NetInfo auf "nur lokal") habe ich jetzt mal unterstellt. Sprich: beim Einrichten des LDAP-Masters hast automatisch den korrekten Realm geliefert bekommen?!

Gruß Stefan

 

[El Capitan]

Hi Stafan,
Ja, Paketlaufzeit!!! Das könnte das neue Stichwort sein. Werd mal sniffen, wie das so aussieht. Alles Andere ist sonst korrekt eingestellt und funzt auch.

Nur: Punkt 2 bleibt weiter im Dunklen.

 

[pepi]

Kann auch an so Kleinigkeiten wie DHCP Pool (zu klein), mangelnden MAC Bindings, oder einem nicht ganz korrekten, unvollständigen oder garnicht vorhandenem DNS liegen.

Die üblichen Verdächtigen bei der Hardware wie Patchkabel, Switches, Patchpanels und so sollte man natürlich auch mal überprüfen.

Kannst Du die Probleme vielleicht auf ein paar bestimmte Clients einschränken und daraus Rückschlüsse ziehen?
Gruß Pepi

 

[El Capitan]

Hi,
was meinst Du mit "mangelnden MAC Bindings"????? Alles andere sonst völlig unverdächtig.

 

[pepi]

Mit "mangelnden MAC bindings" meinte ich, daß Maschinen die Ihre Netzkonfig per DHCP beziehen aber eine (quasi) statische IP haben aufgrund eines zu kleinen DHCP IP Pools rausfallen könnten.

Ich habe momentan einen Mac OS X Server (10.4.5 + Sec 2006-001) bei dem das DHCP Aging nicht funktioniert und daher bei jedem Lease und ReLease eine neue IP verbraucht wird. Damit wird der Pool sehr schnell zu klein (auch wenn er eigentlich ausreichend groß ist) wodurch es vorkommen kann, daß Maschinen "einfach so" rausfallen.


Was ergab der Kabeltest? Konntest Du es auf einzelne Maschinene einschränken?
Gruß Pepi

 

[El Capitan]

Nee, habe aus sicherheitsgründen nicht aktiviert, daß der DHCP gleich den LDAP mitliefert. Wird nicht mehr empfohlen, weil unsicher (funzt aber auch nicht), sondern mich an die IP des LDAP Servers gebunden. Der DHCP funktioniert unabhängig vom LDAP Binding und vergibt auch eine gültige IP an den Clienet.
Habe leider nur 2 Clients zum Testen und es kann so sein, daß eine Konfiguration einige Zeit funktioniert, aber die Andere nicht. Wie gesagt: Neu Verbinden geht schon, aber das kann natürlich nicht Sinn der Arie sein