OSX Server als PDC für W7 PCs

Discussion:

(zu alt für eine Antwort)

Daniel Meszaros

2012-06-08 14:45:32 UTC

Hi,

bislang war in einem zu >95% von OSX-Clients genutzten Netzwerk ein OSX
SL Server im Einsatz: OD, AFP, Web/Webmail/Wiki und SMB/CIFS für die
restlichen <5% Windows-Kisten. Die Windows-Kisten griffen dabei in
W9x-Manier mit lokalen Accounts und Arbeitsgruppen zu.

Nun soll offenbar der Windows-Anteil gesteigert werden. Leider taugt
Samba aus dem OSX SL Server nach wie vor nicht als PDC für neuere
Windosen, von Lion ganz zu schweigen.

Was tun?

- Apple empfehlen u.a. pGina auf den Windows-Maschinen, was meines
Wissens nach nur authentifiziert und keine Roaming Profiles erlaubt.

- Ebenfalls möglich: Den SL Server als AD Client hinter einen Windows
Server packen und selbst als OD Master agieren lassen. Die Windosen
könnten dann am AD Server hängen und die Macs am OD. Das gemischte
Filesharing (AFP + SMB/CIFS) für beide Welten würde OSX machen.

- Dritte Option: Einen separaten Linux-Sambaserver oder eine lokale
Samba-Installation auf dem OD-Server als PDC ggü. den Windows Maschinen
auftreten zu lassen. Bei einer lokalen Samba-Installation auf dem
OD-Server wäre theoretisch ebenfalls gemischtes Filesharing (AFP +
SMB/CIFS) möglich - aber ich habe keine Ahnung, wie das mit dem
Filelocking bei parallelen Zugriffen auf beiden Protokollen aussieht.
Bei einem Linux-Sambaserver würde dann wohl AFP besser wegfallen. :-/

Welche Erfahrungen habt Ihr gemacht? Welche Richtung lohnt es sich,
genauer auszuloten? Am Liebsten würde ich den OSX Server als zentralen
Anlaufpunkt für die Macs behalten, denn die zentrale Verwaltung für die
(Mehrzahl) der (OSX-) Maschinen ist damit leicht umgesetzt.

CU,
Mészi.

Thomas Kaiser

2012-06-08 15:33:17 UTC

Permalink

Post by Daniel Meszaros
Was tun?
- Apple empfehlen u.a. pGina auf den Windows-Maschinen, was meines
Wissens nach nur authentifiziert und keine Roaming Profiles erlaubt.
- Ebenfalls möglich: Den SL Server als AD Client hinter einen Windows
Server packen und selbst als OD Master agieren lassen. Die Windosen
könnten dann am AD Server hängen und die Macs am OD. Das gemischte
Filesharing (AFP + SMB/CIFS) für beide Welten würde OSX machen.

Würde ich am Ehesten verfolgen.

Post by Daniel Meszaros
- Dritte Option: Einen separaten Linux-Sambaserver oder eine lokale
Samba-Installation auf dem OD-Server als PDC ggü. den Windows Maschinen
auftreten zu lassen. Bei einer lokalen Samba-Installation auf dem
OD-Server wäre theoretisch ebenfalls gemischtes Filesharing (AFP +
SMB/CIFS) möglich - aber ich habe keine Ahnung, wie das mit dem
Filelocking bei parallelen Zugriffen auf beiden Protokollen aussieht.

Nicht gut. Mit Netatalk 3.0 (aktueller Status: Beta 2) auf Solaris
hättest Du noch die besten Chancen, weil Du den ganzen AppleDouble-Kram
für die Mac-Clients in ZFS stopfen kannst und Netatalk 3.0 zusammen mit
Solaris' CIFS/SMB server cross-platform file-locking beherrscht.

Post by Daniel Meszaros
Bei einem Linux-Sambaserver würde dann wohl AFP besser wegfallen. :-/

Und den Preis fände ich zu hoch. Bzgl. AD-Alternativen evtl. für Dich
noch interessant: Die aktuelle iX, S. 71 ff., 90 ff.

http://www.heise.de/ix/inhalt/2012/06/71/
http://www.heise.de/ix/inhalt/2012/06/90/

Gruss,

Thomas

Juergen P. Meier

2012-06-09 05:18:57 UTC

Permalink

Post by Daniel Meszaros
Nun soll offenbar der Windows-Anteil gesteigert werden. Leider taugt
Samba aus dem OSX SL Server nach wie vor nicht als PDC für neuere
Windosen, von Lion ganz zu schweigen.

ACK.

Post by Daniel Meszaros
Was tun?

Experminentierfreudig? Samba4 nehmen (das Apple Samba gegen Samba4
ersetzen).

Post by Daniel Meszaros
- Ebenfalls möglich: Den SL Server als AD Client hinter einen Windows
Server packen und selbst als OD Master agieren lassen. Die Windosen
könnten dann am AD Server hängen und die Macs am OD. Das gemischte
Filesharing (AFP + SMB/CIFS) für beide Welten würde OSX machen.

Das ist die konservative Variante. Es gibt auch Samba4-Appliances,
wenn dir das Windows-Server Knowhow fehlt - die koennen in dieser
Variante den Windows Server ersetzen.

Hahaha, AFP unter Linux. Das ist nicht mal mehr als Gefrickel zu
bezeichnen, so instabil ist das.

Post by Daniel Meszaros
SMB/CIFS) möglich - aber ich habe keine Ahnung, wie das mit dem
Filelocking bei parallelen Zugriffen auf beiden Protokollen aussieht.
Bei einem Linux-Sambaserver würde dann wohl AFP besser wegfallen. :-/

Ausser CIFS kein anderes Filesharing - kein AFP und auch kein NFS.
Sonst bruachst du ein sehr gut und fein granular funktionierendes
Backup&Restore.

Post by Daniel Meszaros
Welche Erfahrungen habt Ihr gemacht? Welche Richtung lohnt es sich,
genauer auszuloten? Am Liebsten würde ich den OSX Server als zentralen
Anlaufpunkt für die Macs behalten, denn die zentrale Verwaltung für die
(Mehrzahl) der (OSX-) Maschinen ist damit leicht umgesetzt.

Ich kann dir leider keine Empfehlung geben, nur die Optionen nennen.

Wenn du gute Windwos-Admins hast (keine Solitaer&Minesweeper-Experten,
sondern Leute die sich wirklich auskennen statt nur bunte Zertifikate
zu haben), dann schaff dir einen Windows Server an. Wenn dir diese
Fehlen, nimm Samba4 (unter Linux oder direkt auf dem OSX-Server).

Juergen

--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Thomas Kaiser

2012-06-09 11:34:54 UTC

Permalink

Post by Juergen P. Meier

Post by Daniel Meszaros
Nun soll offenbar der Windows-Anteil gesteigert werden. Leider taugt
Samba aus dem OSX SL Server nach wie vor nicht als PDC für neuere
Windosen, von Lion ganz zu schweigen.

ACK.

Post by Daniel Meszaros
Was tun?

Experminentierfreudig? Samba4 nehmen (das Apple Samba gegen Samba4
ersetzen).

Dann ist auch das cross-platform file-locking zwischen Samba und dem
AppleFileServer futsch.

Post by Juergen P. Meier

Hahaha, AFP unter Linux. Das ist nicht mal mehr als Gefrickel zu
bezeichnen, so instabil ist das.

Aha. Weil Du Dich offensichtlich zu doof anstellst, ist "das" instabil?
"AFP unter Linux", was soll das konkret sein? Nur mal so zur Info: Es
gibt da mehrere Implementationen: Helios' EtherShare/PCShare bspw. oder
-- ohne funktionierendes File-Locking und Problemen bzgl. Mac-Metadaten
-- Netatalk/Samba. Auf was beziehst Du Dich grad?

Gruss,

Thomas

Juergen P. Meier

2012-06-11 05:24:00 UTC

Permalink

Post by Thomas Kaiser
Aha. Weil Du Dich offensichtlich zu doof anstellst, ist "das" instabil?
"AFP unter Linux", was soll das konkret sein? Nur mal so zur Info: Es
gibt da mehrere Implementationen: Helios' EtherShare/PCShare bspw. oder
-- ohne funktionierendes File-Locking und Problemen bzgl. Mac-Metadaten
-- Netatalk/Samba. Auf was beziehst Du Dich grad?

NetAtalk, kommerzielle Software habe ich nicht in die Betrachtung
mit einbezogen.

Juergen

Thomas Kaiser

2012-06-11 07:48:48 UTC

Permalink

Post by Juergen P. Meier

Post by Thomas Kaiser
Aha. Weil Du Dich offensichtlich zu doof anstellst, ist "das"
instabil? "AFP unter Linux", was soll das konkret sein? Nur mal so
zur Info: Es gibt da mehrere Implementationen: Helios'
EtherShare/PCShare bspw. oder -- ohne funktionierendes File-Locking
und Problemen bzgl. Mac-Metadaten -- Netatalk/Samba. Auf was beziehst
Du Dich grad?

NetAtalk

Dann simpel fürs Protokoll: Netatalk ist hochstabil, zumindest aktuelle
Versionen mit den richtigen Settings und dem richtigen Handling der
Sharepoints. Und Letzteres bedeutet leider nach wie vor: Innerhalb der
Sharepoints nicht abseits Netatalk hantieren, das betrifft direktes
Gewurschtel per Shell/Skripten (hier helfen aber die ad-Kommandos, siehe
[1]) als auch das mittels anderer Filesharing-Daemons wie bspw. Samba.

Das wird sich mit Netatalk 3.0 (siehe [2], [3]) und der konsequenten
Verwendung von EAs des Server-Dateisystems ändern. Die Situation unter
Solaris ist jetzt schon (d.h. mit 3.0 beta2) zufriedenstellend solange
es "nur" darum geht, einen Dateiserver für Mac- und Windows-Clients
aufzusetzen.

Für die vollständige Interaktion mit Samba unter Linux bräuchte es noch
ein überarbeitetes Samba VFS-Modul für Netatalk. Das ist meines Wissens
aber auch schon in der Mache.

Auf alle Fälle ist die These "Netatalk ist instabil" nicht haltbar.
Falls Du widersprechen wolltest, dann bitte nicht wie üblich Palaver à
la "Die Foren sind voll davon, ist doch allgemein bekannt" sondern
Fakten auf den Tisch!

Post by Juergen P. Meier
kommerzielle Software habe ich nicht in die Betrachtung mit
einbezogen.

Netatalk steckt nicht nur in irgendwelchen Billig-NAS-Systemen sondern
dito in kommerziellen Lösungen/Installationen (IBM und Novell/SuSE bspw.
setzen das in großen Installationen ein, in den Exanet-NAS-Eimern
steckt(e) es drin)

Und man kriegt für Netatalk inzwischen hervorragenden kommerziellen 3rd
Level Support "direkt von den Entwicklern" (bzw. über entsprechende
Fachhändler als Endkunde), siehe

http://www.netafp.com/netatalk-support/

Gruss,

Thomas

[1] http://netatalk.sourceforge.net/2.2/htmldocs/ad.1.html
[2] http://netatalk.sourceforge.net/3.0/ReleaseNotes-3.0-beta2.html
[3] http://netatalk.sourceforge.net/3.0/htmldocs/upgrade.html

Daniel K®ebs

2012-06-13 09:13:39 UTC

Permalink

Ist wahrscheinlich das einfachste.
Daniel

--
'Nur Dienstboten müssen ständig erreichbar sein!'

theos Vater