3.1. Domänenbeitritt

Ein UCS, Ubuntu- oder Windows-System muss nach der Installation der Domäne beitreten.

Neben UCS, Ubuntu und macOS können auch weitere Unix-Systeme in die Domäne integriert werden. Dies ist in Extended domain services documentation [2] beschrieben.

3.1.1. Domänenbeitritt von UCS-Systemen

Es gibt drei Möglichkeiten ein UCS-System einer bestehenden Domäne beitreten zu lassen:

• Direkt am Ende der Installation im Univention Installer, siehe Modus Einer bestehenden UCS-Domäne beitreten.

• Nachträglich mit dem Befehl univention-join, siehe Nachträglicher Domänenbeitritt mit univention-join.

• Durch Verwendung des UMC Moduls Domänenbeitritt, siehe Domänenbeitritt über Univention Management Console Modul.

Der Primary Directory Node sollte in der Domäne immer auf dem aktuellsten Release-Stand der installiert sein, da beim Join eines Systems in aktuellerer Version gegen einen älteren Primary Directory Node Probleme auftreten können.

Beim Beitritt eines Rechners wird für diesen ein Rechnerkonto angelegt, die SSL-Zertifikate synchronisiert und eine LDAP-Replikation angestoßen. Außerdem werden am Ende des Join-Vorgangs Join-Skripte ausgeführt. Diese registrieren anhand der auf dem System installierten Software-Pakete z.B. weitere Objekte im Verzeichnisdienst (siehe Join-Skripte / Unjoin-Skripte).

Der Domänenbeitritt wird auf Client-Seite in der Logdatei /var/log/univention/join.log aufgezeichnet, die zur Fehleranalyse herangezogen werden kann. Auf dem Primary Directory Node ausgeführte Aktionen werden in der Logdatei /home/Join-Account/.univention-server-join.log abgelegt.

Der Join-Vorgang kann jederzeit wiederholt werden. Nach bestimmten administrativen Schritten (etwa nach Änderungen wichtiger Systemeigenschaften auf dem Primary Directory Node) kann ein erneuter Beitritt der Systeme sogar zwingend erforderlich sein.

3.1.1.1. Nachträglicher Domänenbeitritt mit univention-join

univention-join fragt eine Reihe essentieller Parameter direkt ab, ist aber auch durch mehrere Parameter konfigurierbar:

-dcname <HOSTNAME>

Der Primary Directory Node wird im Regelfall durch eine DNS-Abfrage ermittelt. Wenn das nicht möglich sein sollte (z.B. weil ein Standortserver mit einer abweichenden DNS-Domäne beitreten soll), lässt sich der Rechnername des Primary Directory Node den Parameter -dcname HOSTNAME direkt angegeben werden. Der Rechnername muss dabei als vollqualifizierter Name angeben werden, also beispielsweise primary.firma.de.

-dcaccount <ACCOUNTNAME>

Als Join-Account wird ein Benutzerkonto bezeichnet, das berechtigt ist, Systeme der UCS-Domäne hinzuzufügen. Standardmäßig ist dies der Benutzer Administrator oder ein Mitglied der beiden Gruppen Domain Admins und DC Backup Hosts. Der Join-Account kann durch den Parameter -dcaccount ACCOUNTNAME übergeben werden.

-dcpwd <FILE>

Das Passwort kann durch den Parameter -dcpwd DATEI übergeben werden. Das Passwort wird dabei aus der angegebenen Datei ausgelesen.

-verbose

Mit dem Parameter -verbose werden zusätzliche Debugausgaben in die Logdateien geschrieben, die die Analyse im Fehlerfall vereinfachen.

3.1.1.2. Domänenbeitritt über Univention Management Console Modul

Der Domänenbeitritt kann auch webbasiert über das UMC-Modul Domänenbeitritt erfolgen. Da auf einem noch nicht der Domäne beigetretenen System der Administrator-Benutzer noch nicht vorhanden ist, muss die Anmeldung am Modul als Benutzer root erfolgen.

Wie bei der Durchführung über die Kommandozeile sind für Domänenbeitritt Benutzername und Passwort eines Benutzers notwendig, der berechtigt ist, Rechner der Domäne hinzuzufügen. Ebenfalls wird der Primary Directory Node über eine DNS-Abfrage automatisch ermittelt, kann aber auch explizit im angezeigten Dialogfeld eingetragen werden.

Mit der Option Erneut beitreten kann der Domänenbeitritt jederzeit erneut durchgeführt werden.

3.1.1.3. Join-Skripte / Unjoin-Skripte

Join-Skripte werden während des Domänenbeitritts aufgerufen. Beispiele für von Join-Skripten vorgenommene Änderungen sind die Registrierung eines Druckservers in der Domäne oder die Anpassung von DNS-Einträgen. Die Skripte sind Bestandteil der einzelnen Softwarepakete. Analog dazu gibt es Unjoin-Skripte, die nach der Deinstallation einer Softwarekomponente diese Änderungen wieder rückgängig machen.

Join-Skripte werden im Verzeichnis /usr/lib/univention-install/ und Unjoin-Skripte in /usr/lib/univention-uninstall/ gespeichert. Jedes Join/Unjoin-Skript verfügt über eine Version. Ein Beispiel: Ein Paket ist bereits installiert und das Join-Skript schon aufgerufen. In der neuen Version des Pakets sind nun zusätzliche Änderungen nötig und die Versionsnummer des Join-Skripts wird erhöht.

Mit dem Befehl univention-check-join-status kann geprüft werden, ob Join- oder Unjoin-Skripte aufgerufen werden müssen (entweder weil sie noch nie oder in einer älteren Version aufgerufen wurde).

Nachträgliches Ausführen von Join-/Unjoin-Skripten

Gibt es auf einem System Join- oder Unjoin-Skripte, die noch nicht ausgeführt wurden oder die nur für eine ältere Version ausgeführt wurden, wird beim Öffnen eines UMC-Moduls eine Warnmeldung ausgegeben.

Nicht ausgeführte Join-Skripte können über das UMC-Modul Domänenbeitritt aufgerufen werden, in dem der Menüpunkt Alle Skripte ausführen aufgerufen wird.

Mit dem Befehl univention-run-join-scripts lassen sich alle auf einem System installierten Join-/Unjoin-Skripte ausführen. Ob sie bereits gestartet wurden, prüfen die Skripte selbständig.

Der Name des Join/Unjoin-Skripts und die Skriptausgabe werden auch in /var/log/univention/join.log festgehalten.

Wird univention-run-join-scripts auf einer anderen Systemrolle als Primary Directory Node ausgeführt, so wird der Benutzer nach einem Benutzernamen und einem Passwort gefragt. Auf dem Primary Directory Node kann dies durch die Option --ask-pass erreicht werden.

3.1.2. Windows-Domänenbeitritt

Der Domänenbeitritt von Microsoft Windows-Systemen zu einer durch Samba bereitgestellten UCS-Domäne wird nachfolgend für Windows 11, Windows 10 und Windows 2012 / 2016 / 2019 beispielhaft beschrieben. Bei anderen Windows-Versionen funktioniert der Beitritt ähnlich. Neben den Client-Versionen können auch Windows Server-Systeme der Domäne beitreten. Windows-Server treten der Domäne als Memberserver bei. Ein Beitritt eines Windows-Systems als Domänencontroller wird nicht unterstützt. Weitere Informationen zu Windows in einer UCS-Domäne finden Sie unter Services für Windows.

Nur domänenfähige Windows-Versionen können der UCS-Domäne beitreten, d.h. ein Domänenbeitritt mit den Home-Versionen von Windows ist nicht möglich.

Beim Domänenbeitritt wird automatisch ein Rechnerkonto für den Windows-Client erstellt (siehe Verwaltung der Rechnerkonten über Univention Management Console Modul). Angaben zu MAC- und IP-Adresse, Netzwerk, DHCP oder DNS können vor oder nach dem Domänenbeitritt durch UMC-Module ergänzt werden.

Der Domänenbeitritt wird in der Regel mit dem lokalen Administrator-Konto des Windows-Systems durchgeführt.

Der Domänenbeitritt dauert einige Zeit und sollte nicht vorzeitig abgebrochen werden. Nach einem erfolgreichen Beitritt erscheint ein kleines Fenster mit der Nachricht Willkommen in der Domäne <Name Ihrer Domain>, die mit OK bestätigt werden muss. Abschließend muss der Rechner neu gestartet werden, um die Änderungen in Kraft zu setzen.

Domänennamen sollten auf 13 Zeichen beschränkt werden, da diese auf Seite der Windows-Clients ansonsten verkürzt dargestellt werden, was zu Anmeldefehlern führen kann.

Bei einem Domänenbeitritt gegen einen Domänencontroller auf Basis von Samba/AD muss die DNS-Konfiguration des Clients so eingerichtet sein, dass DNS-Einträge aus der DNS-Zone der UCS-Domäne aufgelöst werden können. Außerdem muss die Zeit auf dem Client-System mit der Zeit auf dem Domänencontroller synchronisiert sein.

3.1.2.1. Windows 11

Der Domänenbeitritt erfordert eine der Editionen Pro, Education, oder Enterprise von Windows 11. Um Windows 11 in eine UCS-Domäne zu joinen, führen sie die folgenden Schritte aus:

1. Um die Windows Systemsteuerung zu öffnen, suchen Sie nach Systemsteuerung im Feld Suchen.

2. Navigieren Sie in der Systemsteuerung zu System und Sicherheit ‣ System und klicken Sie auf Domäne oder Arbeitsgruppe. Wählen Sie Einstellungen ändern ‣ Ändern.

3. Aktivieren Sie die Option Domäne.

4. Geben Sie den Namen der Domäne in das Eingabefeld für den Domain Join ein. Verwenden Sie den vollständigen Domänennamen, zum Beispiel mydomain.intranet. Klicken Sie auf die OK Schaltfläche.

5. Geben Sie den Benutzernamen und das Passwort für das Konto eines Domänen Administrators der UCS-Domäne in die entsprechenden Eingabefelder ein. In einer UCS-Domäne ist der Standard-Benutzername des Domänen Administrators Administrator.

6. Um den Domänenbeitritt zu starten, klicken Sie auf OK.

3.1.2.2. Windows 10

Der Domänenbeitritt ist nur mit der Pro und Enterprise-Edition von Windows 10 möglich.

Die Systemsteuerung kann über das Suchfeld Web und Windows durchsuchen, welches in der Startleiste zu finden ist, gesucht und geöffnet werden. Unter System und Sicherheit ‣ System muss auf Einstellungen ändern ‣ Ändern geklickt werden.

Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Domäne in das Eingabefeld eingetragen werden. Es sollte dabei der vollständige Domänenname verwendet werden, z.B. mydomain.intranet. Nach einem Klick auf die Schaltfläche OK muss in das Eingabefeld Benutzername der Benutzername eines Domänen Administrator, standardmäßig ist dies Administrator und in das Eingabefeld Kennwort das Passwort des Domänen Administrator eingetragen werden. Abschließend kann der Domänenbeitritt mit einem Klick auf OK gestartet werden.

3.1.2.3. Windows Server 2012 / 2016 / 2019

Die Systemsteuerung kann erreicht werden, indem der Mauszeiger in die rechte untere Bildschirmecke bewegt wird. Anschließend kann unter Suchen AR Apps nach der Systemsteuerung gesucht werden. Unter System und Sicherheit ‣ System muss auf Einstellungen ändern –> Netzwerk ID geklickt werden.

Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne in das Eingabefeld eingetragen werden. Nach einem Klick auf die Schaltfläche OK muss in das Eingabefeld Name der Name Administrator und in das Eingabefeld Kennwort das Passwort von uid=Administrator,cn=users,Basis-DN eingetragen werden. Abschließend kann der Domänenbeitritt mit einem Klick auf OK gestartet werden.

3.1.3. Ubuntu-Domänenbeitritt

Univention stellt den Univention Domain Join Assistant für die Integration von Ubuntu-Clients in eine UCS-Domäne bereit. Die Dokumentation und Installationshinweise sind auf Github zu finden.

3.1.4. macOS-Domänenbeitritt

UCS unterstützt den Domänenbeitritt von macOS-Clients in eine UCS-Umgebung mit Samba 4. Diese Anleitung bezieht sich auf macOS 10.8.2.

Der Domänenbeitritt kann über das Systemeinstellungsmenü oder den Kommandozeilenbefehl dsconfigad erfolgen.

Nach erfolgtem Domänenbeitritt besteht die Möglichkeit CIFS-Freigaben zu definieren, die bei der Anmeldung eines Benutzers unterhalb von /Volumes automatisch eingehängt werden. Um dies zu erreichen, muss die folgende Zeile in die Datei /etc/auto_master eingefügt werden:

/Volumes     auto_custom

Außerdem muss die Datei /etc/auto_custom angelegt werden und die einzubindenden Freigaben dort in der folgenden Form aufgeführt werden:

<SUBFOLDER_NAME>    -fstype=smbfs    ://<FQDN>/<SHARE_NAME>

Die eingebundenen Freigaben werden nicht in der Seitenleiste des Finders angezeigt.

3.1.4.1. Domänenbeitritt über das Systemeinstellungen-Menü

In den Systemeinstellungen kann über Benutzer das Menü Anmeldeoptionen ausgewählt werden. Die Anmeldung erfolgt durch einen Klick auf das Schloss in der linken unteren Ecke, dort muss das lokale Administrator-Konto und dessen Passwort angegeben und Netzwerk-Account-Server: Verbinden angeklickt werden.

Abb. 3.1 Domänenbeitritt eines macOS-Systems

In den erweiterten Einstellungen sollte die Option Mobilen Account bei Anmeldung erstellen aktiviert werden. Sie bietet den Vorteil, das auch ohne Verbindung zur Domäne eine Anmeldung mit der Domänenbenutzerkennung erfolgen kann.

Der Domänenname muss nun im Feld Active Directory Domain und der Rechnername des macOS-Clients in das Feld Computer-ID eingetragen werden. Der Domänenbeitritt erfolgt nach einem Klick auf OK. Für den Domänenbeitritt muss ein Konto aus der Gruppe Domain Admins verwendet werden, z.B. Administrator.

3.1.4.2. Domänenbeitritt auf den Kommandozeile

Der Domänenbeitritt kann auch auf der Kommandozeile mit dem Befehl dsconfigad erfolgen:

$ dsconfigad -a <MAC HOSTNAME> \
  -domain <FQDN> \
  -ou "CN=Computers,<LDAP base DN>" \
  -u <Domain Administrator> \
  -mobile enable

Weitere Optionen werden mit dsconfigad -help angezeigt.