3.2. Domänenbeitritt#
Ein UCS-System muss und Ubuntu- oder Windows-System können nach der Installation der Domäne beitreten. Sie können auch andere Unix-Systeme der Domäne hinzufügen. Weitere Informationen finden Sie unter Extended domain services documentation [5].
3.2.1. Domänenbeitrittsprozess#
Der Primary Directory Node sollte die neueste Version ausführen. Ein UCS-System, das der Domäne beitritt, muss die gleiche Version oder eine ältere Version verwenden. Da dies zu Kompatibilitätsfehlern führt, treten Sie keiner Domäne mit einer neueren Version bei. Wenn ein Computer beitritt, führt das primäre System folgende Aktionen durch:
Erstellt ein Computerkonto.
Synchronisiert die TLS-Zertifikate.
Kopiert LDAP-Daten falls erforderlich.
Danach werden die Join-Skripte ausgeführt. Installierten Softwarepakete verwenden sie, um Objekte zum Verzeichnisdienst hinzuzufügen. Weitere Informationen finden Sie unter Join-Skripte und Unjoin-Skripte.
Das UCS System protokolliert den Domänenbeitritt auf dem Client in /var/log/univention/join.log. Um Fehler zu analysieren, überprüfen Sie diese Datei. Der Primary Directory Node speichert zugehörige Beitrittsvorgänge in /home/<Join-Account>/.univention-server-join.log.
Sie können den Prozess für den Domänenbeitritt jederzeit wiederholen. Möglicherweise müssen Sie ein System nach größeren Änderungen am Primary Directory Node, z. B. Änderungen an Schlüsselsystemeinstellungen, erneut der Domäne hinzufügen.
3.2.2. Wie UCS-Systeme Domänen beitreten#
Ein UCS-System kann einer existierenden Domäne auf drei Arten beitreten:
Während der Installation im Univention Installer, siehe Modus: Einer bestehenden UCS-Domäne beitreten.
Nach der Installation mit dem Befehl univention-join, siehe Nachfolgende Domänenbeitritte mit univention-join.
Über das Verwaltungsmodul Domänenbeitritt in der Management UI, siehe Einer Domäne über das Verwaltungsmodul beitreten.
3.2.2.1. Nachfolgende Domänenbeitritte mit univention-join#
Der Befehl univention-join ordnet ein Nubus für UCS System einer Nubus für UCS Domäne zu. Er akzeptiert Befehlszeilenargumente oder interaktive Eingabeaufforderungen. Führen Sie diesen Befehl nach der Installation und vor Abschluss des Domänenbeitritts aus. Der Befehl fordert erforderliche Einstellungen interaktiv an, oder geben Sie diese stattdessen als Befehlszeilenoptionen an. Dies funktioniert gut für automatisierte oder entfernte Einstellungen.
Die folgenden Optionen sind verfügbar. Die meisten sind optional. Der Befehl fordert fehlende Werte an.
- -dcname <HOSTNAME>#
Das System erkennt den Primary Directory Node automatisch durch DNS. Wenn die automatische Erkennung fehlschlägt, z. B. wenn ein Replica Directory Node eine andere DNS-Domäne hat, können Sie den Hostnamen des Primary Directory Node direkt mit diesem Parameter angeben. Geben Sie den Hostnamen als vollständig qualifizierten Namen ein, z. B.
primary.example.com.
- -dcaccount <ACCOUNTNAME>#
Das Beitrittskonto ist das Benutzerkonto, das zum Hinzufügen von Systemen zur UCS-Domäne verwendet wird. Standardmäßig verwenden Sie den Benutzer
Administratoroder ein Mitglied derDomain AdminsoderDC Backup HostsGruppen. Sie können mit diesem Parameter ein anderes Beitrittskonto angeben.
- -dcpwd <FILE>#
Geben Sie das Passwort mit diesem Parameter an. Der Befehl liest das Passwort aus der angegebenen Datei.
- -verbose#
Dieser Parameter fügt zusätzliche Debug-Ausgaben zu den Log-Dateien hinzu. Sie können diese Ausgabe überprüfen, um Fehler zu analysieren.
3.2.2.2. Einer Domäne über das Verwaltungsmodul beitreten#
Sie können einer Nubus für UCS Domäne auch über das Verwaltungsmodul Domänenbeitritt beitreten. Der Benutzer Administrator existiert noch nicht auf einem System, das nicht beigetreten ist. Melden Sie sich stattdessen als Benutzer root bei der Management UI an. Weitere Informationen zum Passwort finden Sie unter Root-Passwort festlegen.
Wie beim Beitritt über die Befehlszeile geben Sie den Benutzernamen und das Passwort eines Kontos, das Mitglied in der Domain Admins Gruppe ist. Das System findet den Primary Directory Node über DNS. Sie können ihn auch manuell eingeben.
Verwenden Sie die Option Erneut beitreten, um den Domänenbeitritt jederzeit zu wiederholen.
3.2.2.3. Join-Skripte und Unjoin-Skripte#
Das System führt Skripte während des Domänenbeitritts und während dem Entfernen von Software aus:
- Join-Skripte
Das UCS-System führt Join-Skripte während des Domänenbeitritts aus. Sie können einen Druckserver in der Domäne registrieren, DNS-Einträge anpassen oder andere Konfigurationsänderungen vornehmen. Das System speichert sie in
/usr/lib/univention-install/.- Unjoin-Skripte
Unjoin-Skripte machen Änderungen rückgängig, die Join-Skripte angewendet haben. Das UCS-System führt sie aus, wenn Sie Softwarekomponenten deinstallieren und speichert sie in
/usr/lib/univention-uninstall/.
Jedes Skript gehört zu einem Softwarepaket und hat eine Versionsnummer. Wenn eine neue Paketversion ein aktualisiertes Setup benötigt, erhöht sich auch die Skriptversion.
Bemerkung
Join-Skripte und Unjoin-Skripte sind spezifisch für UCS-Systeme. Windows-, Ubuntu- und macOS-Systeme verwenden diesen Mechanismus nicht während des Domänenbeitritts.
Überprüfung und Ausführung von Skripten
Verwenden Sie univention-check-join-status, um zu überprüfen, ob Skripte ausgeführt werden müssen. Dieser Befehl identifiziert Skripte, die noch nicht ausgeführt wurden oder eine ältere Version haben.
Wenn ausstehende Skripte vorhanden sind, zeigt das Verwaltungsmodul Domänenbeitritt eine Warnmeldung an, wenn Sie es öffnen. Um alle ausstehenden Join-Skripte auszuführen, klicken Sie auf Alle ausstehenden Join-Skripte ausführen.
Um alle Skripte von der Befehlszeile aus auszuführen, verwenden Sie univention-run-join-scripts. Das System überprüft automatisch, ob jedes Skript bereits ausgeführt wurde.Wenn Sie univention-run-join-scripts auf einem anderen System als dem Primary Directory Node ausführen, fragt der Befehl nach Benutzername und Passwort. Wenn Sie diesen Befehl auf dem Primary Directory Node ausführen, verwenden Sie zur Anmeldung die Option --ask-pass.
Das System erfasst jeden Skriptnamen und seine Ausgabe in /var/log/univention/join.log.
3.2.3. Windows Domänenbeitritte#
Microsoft Windows Systeme können einer Nubus für UCS Domäne beitreten. Der Beitritt verwendet Samba mit Active Directory Unterstützung.
3.2.3.1. Überblick über Windows-Domänenbeitritt und Anforderungen#
Samba ermöglicht es Nubus für UCS, Microsoft Windows Systeme zu unterstützen. Dieser Abschnitt beschreibt das Beitrittsverfahren für Windows 11 als Beispiel. Der Prozess ist ähnlich für andere Windows-Versionen und für Windows Server Systeme, die auch als Member Server beitreten können. UCS unterstützt Windows Systeme nicht als Domain Controller. Weitere Informationen zu Windows in einer Nubus für UCS Domäne finden Sie unter Services für Windows im UCS Handbuch [3].
Wichtig
Nur Windows-Versionen mit Domänenfunktionalität können der Nubus für UCS Domäne beitreten. Windows Home Editionen können keiner Domäne beitreten.
Wenn ein Windows-Client beitritt, erstellt Nubus für UCS ein Rechnerkonto. Weitere Informationen finden Sie unter Rechner Modul in Nubus Handbuch 1.x [4]. Sie können die MAC-Adresse, IP-Adresse, Netzwerk, DHCP und DNS über Verwaltungsmodule vor oder nach dem Beitritt konfigurieren.
Um der Domäne beizutreten, verwenden Sie das lokale Administrator Konto.
Domänenbeitritte dauern eine Weile. Brechen Sie den Prozess nicht vorzeitig ab. Nach erfolgreichem Beitritt wird ein Bestätigungsfenster mit der Meldung Willkommen in der Domäne <Ihr Domänenname> angezeigt. Um den Beitritt zu bestätigen, klicken Sie OK. Um die Änderungen anzuwenden, starten Sie den Windows-Computer neu.
Für Regeln zu Domänennamen für Windows-Clients, siehe Namenskonvention für Domänennamen.
Wichtig
Für einen Domänenbeitritt gegen einen Domain Controller basierend auf Samba/AD konfigurieren Sie die DNS-Einstellungen auf dem Client, um Einträge aus der Nubus für UCS Domäne zu auflösen. Überprüfen Sie, dass die Systemzeit auf dem Client mit der Zeit auf dem Domain Controller übereinstimmt.
3.2.3.2. Unterstützte Windows-Versionen#
Nubus for UCS unterstützt die folgenden Microsoft Windows Versionen zum Beitritt in eine UCS Domäne:
Windows 10
Windows 11
Windows Server in den Versionen 2012, 2016, 2019 und 2022
3.2.3.3. Windows 11#
Um mit Windows 11 einer Nubus für UCS Domäne beizutreten, benötigen Sie die Pro, Education oder Enterprise Edition. Folgen Sie diesen Schritten:
Öffnen Sie das Start Menü oder drücken Sie die Windows Taste. Suchen Sie nach
Systemeinstellungim Feld Suchen.Navigieren Sie zu . Scrollen Sie nach unten und klicken Sie auf Domäne oder Arbeitsgruppe. Wählen Sie .
Aktivieren Sie die Option Domäne.
Geben Sie den Domänennamen in das Eingabefeld ein. Verwenden Sie den vollständigen Domänennamen, z. B.
mydomain.intranet. Klicken Sie OK.Geben Sie den Benutzernamen und das Passwort eines Kontos ein, das Mitglied der Gruppe
Domain Adminsist. Der Standardname für Domänenbenutzer für Administratorkonten istAdministrator.Um den Domänenbeitritt zu starten, klicken Sie OK.
3.2.3.4. Windows 10#
Nur die Pro und Enterprise Editionen von Windows 10 können einer Domäne beitreten. Um Windows 10 einer Nubus für UCS Domäne beizutreten, folgen Sie den Schritten unter Windows 11.
3.2.3.5. Windows Server 2012 / 2016 / 2019 / 2022#
Um mit Windows Server einer Nubus für UCS Domäne beizutreten, folgen Sie diesen Schritten:
Öffnen Sie das Start Menü.
Navigieren Sie zu . Klicken Sie .
Aktivieren Sie die Option Domäne. Geben Sie den Domänennamen im Eingabefeld für den Domänenbeitritt ein. Klicken Sie OK.
Geben Sie im Feld Name
Administratorein. Geben Sie im Feld Passwort das Passwort vonuid=Administrator,cn=users,LDAP base DNein.Um den Domänenbeitritt zu starten, klicken Sie OK.
3.2.4. Ubuntu Domänenbeitritte#
Univention stellt den Univention Domain Join Assistant bereit, ein GUI- und Befehlszeilen-Werkzeug zum Hinzufügen von Ubuntu und Linux Mint Clients zu einer Nubus für UCS Domäne. Der Assistent konfiguriert LDAP, DNS, Kerberos und Login (PAM/SSSD) für Sie. Sie müssen nichts manuell einrichten.
Installationsschritte, unterstützte Versionen und Verwendungsdetails finden Sie in der Univention Domain Join Assistant Dokumentation.
3.2.5. macOS-Domänenbeitritte#
Um mit einem macOS-Client einer Nubus für UCS Domäne beizutreten, folgen Sie diesen Schritten:
Öffnen Sie in den Systemeinstellungen die Einstellung Benutzer & Gruppen.
Klicken Sie das Schloss-Symbol und geben Sie die Anmeldedaten für ein lokales Administrator Konto ein.
Öffnen Sie aus dem Menü das Directory Utility, wie Sie in Abb. 3.1 sehen können.
Abb. 3.1 Domänenbeitritt eines macOS-Systems#
Aktivieren Sie im Bereich Erweiterte Optionen die Einstellung Mobilen Account bei Anmeldung erstellen. Ein mobiles Konto ermöglicht es Ihnen, sich mit Ihrem Domänenkonto beim macOS-System anzumelden, auch wenn die Domäne nicht verfügbar ist.
Geben Sie den Domänennamen im Feld Active Directory Domain ein.
Geben Sie den Rechnernamen des macOS-Clients im Feld Computer ID ein.
Um den Domänenbeitritt zu starten, klicken Sie Einbinden …. Geben Sie den Benutzernamen und das Passwort für ein Konto in der
Domain AdminsGruppe ein, z. B.Administrator.
3.2.5.1. Domänenbeitritt in der Befehlszeile#
Sie können auch dsconfigad in der Befehlszeile verwenden. Siehe Listing 3.1 für den vollständigen Befehl. Für weitere Optionen führen Sie dsconfigad -help aus.
$ dsconfigad -a <MAC HOSTNAME> \
-domain <FQDN> \
-ou "CN=Computers,<LDAP base DN>" \
-u <Domain Administrator> \
-mobile enable