UCS (univention) DHCP Server ist an, aber keine Aktion

[AMDHippster]

Hallo zusammen,

ich bin gerade verzweifelt daran auf dem UCS Server, mit dem ich erfolgreich einen Active Directory Takeover ausgeführt habe, den DHCP Server zum laufen zu bringen. Ich muss mein Ausbildungsprojekt jetzt zu Hause machen wegen Corona.

Alle Nutzer, Gruppen, usw. sind korrekt übernommen. Die Windows Clients bekommen jetzt nur keine IPs mehr, und beim UCS Server sind auch zwei IPs auf den Ethernet Interface. Die 192er IP ist die des alten ADDC und nicht, bzw. nur mit einem allgemeinen Fehler unter Windows cmd anpingbar. Die andere ist normal anpingbar.

Ich dachte das bei einem AD Takeover der DHCP Server mit migriert wird. Die Univention DHCP APP war aber nicht installiert, also installierte ich diese nach. Der DHCP Server läuft, aber er weist den Client VMs keine IP zu.

Und ich verstehe nicht wieso. Es scheint einen Fehler im Konfigurationsfile zu geben; ich hatte versucht das Netz des alten ADDC nochmal neu anzulegen, aber es kam die Meldung das es schon vorhanden sei. Sieht man auf dem dritten Screenshot im grauen Hintergrund.

Ich bin nun etwas verwirrt.

 

[snaxilian]

Du hast in der Config keinen Bereich für die IP-Verteilung angegeben... So weiß der DHCP-Server nicht von welcher und bis zu welcher Adresse er IPs an anfragende Clients vergeben kann.

 

[AMDHippster]

Eigentlich sollte er automatisch den vollen Bereich nehmen. Ist jedenfalls so im Youtube Video geschildert. Aber ich werde ihm mal trotzem einen Adressraum geben.

Ergänzung (29. April 2020)

Ich habe jetzt mal eine Range vergeben.

Ergänzung (29. April 2020)

Wieso ist da noch ein 10er Subnetz? Kann ich das mal löschen?

 

[snaxilian]

im Youtube Video

Wie hilfreich, dass auf Youtube genau nur ein Video zu dem Thema zu finden ist... Wenn du dich auf Tutorials und Anleitungen beziehst verlinke immer die Quelle. Eigentlich etwas das du im Rahmen deiner Abschlussarbeit gelernt haben solltest...
Woher sollen wir wissen woher das "10er" Subnetz kommt? DHCP-Config gemäß Doku korrekt hinterlegt? Ansonsten nochmal zum Zeitpunkt vor dem Takeover zurück gehen, DHCP-Server installieren und dann Takeover durchführen. Du wirst ja garantiert Backups oder zumindest Snapshots haben als guter angehender Admin.

 

[AMDHippster]

Ansonsten nochmal zum Zeitpunkt vor dem Takeover zurück gehen, DHCP-Server installieren

Gute Idee, werde ich morgen probieren

Du wirst ja garantiert Backups oder zumindest Snapshots haben als guter angehender Admin.

Genau, ich habe Klone.

 

[AMDHippster]

So, ich habe mit einem Klon eines frisch installierten, unangetasteten ucs jetzt nochmal den AD Takeover gemacht, aber der Windows Client bekommt nach wie vor kein DHCP.

Witzigerweise sieht die Netzwerkconfig nun etwas anders aus.

Ergänzung (30. April 2020)

Von der alten Maschine, die ich ja auch noch habe, wo DHCP nach wie vor auch nicht geht, hier noch ein paar configs. Weil im Terminal da von Fehlern in der Konfigurationsdatei die Rede ist. Aber ich kann zumindest jetzt keine groben Fehler sehen.

Ergänzung (30. April 2020)

Bei der neuen steht jetzt nichts von Config Fehlern

Ergänzung (30. April 2020)

Die alte war ucs3, die neue ist jetzt ucs-5.

Ergänzung (30. April 2020)

Erinnert mich an die Geschichte wo ich mal an einem PC auch dreimal Windows 10 installieren musste bis die Grafikkarte den Bildschirm in der richtigen Hertzzahl angesteuert hat.

 

[snaxilian]

Warum fummelst du mit Uraltversionen wie ucs-3 herum? Nein, IT sind keine witzigen Geschichten denn das gute an der Informatik ist: Identisch ausgeführte Schritte liefern identische Ergebnisse. Immer und immer wieder und ist der Sinn hinter reproduzierbaren Builds in der Softwareumgebung und auch ein Admin liebt Configurationsmanagement-Tools wie Ansible, Puppet, Chef, etc. Damit kann ich hunderte Systeme aufsetzen und mich darauf verlassen, dass diese identisch aussehen.
Wenn du also ein System dreimal installierst und hast drei Ergebnisse dann haben sich Fehler oder Änderungen eingeschlichen. Sei es die Reihenfolge der Installation von Treibern oder andere Treiber per Win Update etc.

 

[AMDHippster]

Warum fummelst du mit Uraltversionen wie ucs-3 herum?

Häh nein, die Maschine heißt nur so. Ich verwende UCS 4.4

Nach der Systeminstallation muss ich erstmal Updates (Paket und Release) machen, sonst kann ich UCS Apps gar nicht installieren. Vielleicht ist dazwischen ein Update gekommen, was die andere Maschine nicht hatte.

 

[AMDHippster]

Heute kam eine Mail vom UCS Support, das es nicht gedacht ist den DHCP Server mitzuübernehmen. Da der UCS DC ja die Funktion des alten MSAD DC übernehmen soll und sich da auch die Windows Clients wieder anmelden sollen muss dies ja irgendwie möglich sein. Eine Antwort diesbezüglich von UCS steht noch aus. Vielleicht hat aber auch hier jemand eine Ahnung, wie das gehen kann.

 

[snaxilian]

Prüfen ob der DHCP des UCS ein Import bietet (GUI oder CLI).
DHCP Config auf altem Server in csv o.ä. exportieren.
Exportierte Daten an gewünschtes Import Datenformat anpassen.
Angepasste Daten importieren.
Alten DHCP Dienst stoppen und neuen starten und testen.

Das wäre jetzt grob mein erster Versuch.

 

[AMDHippster]

Ich habe den DHCP Server jetzt zum funktionieren bekommen. Man muss erst dem Interface eine IP zuweisen und dann eine Ip Range einstellen, in der die IP des Interfaces nicht enthalten ist. Außerdem muss der dhcp daemon im terminal neu gestartet werden.

Jetzt funktioniert aber DNS noch nicht, obwohl ich die IP des Servers als DNS Option eingetragen habe.

 

[snaxilian]

Korrekt, die Range eines DHCP-Servers definiert den Bereich in dem Adressen vergeben werden wenn Clients anfragen. Der Server selbst sollte natürlich eine feste/statische Adresse haben und nicht in dieser Range liegen. Das ist keine Eigenart von UCS sondern liegt in der Natur der Sache wie DHCP funktioniert. Naja in Detailfragen gibt UCS ggf. Voreinstellungen vor.

Jetzt hast du also einen laufenden LDAP Server und einen laufenden DHCP Server. Hast du denn auch den DNS Serverdienst konfiguriert?

 

[AMDHippster]

Warum kann ich keinen ping des Domänennamens machen, wenn dieser aber als primäres DNS-Suffix (automatisch) gesetzt ist. DHCP läuft ja.

 

[snaxilian]

DNS Suffix und DNS Server sind zwei unterschiedliche Paar Schuhe. Ersteres gibt an welche Domain (oder auch mehrere sind möglich) an einen Hostname angehangen werden bei der Namensauflösung sofern eben keine anliegt.

Beispiel: Du hast einen beliebigen weiteren Client in deinem Netzwerk und der PC hat als Hostname desktop-1234. Von deinem PC mit dem Hostname "Desktop-pbhnssh" machst eine CMD auf und tippst ein: "nslookup desktop-1234" dann schaut dein PC ob er auf dem Interface über das die Kommunikation läuft ein DNS suffix gesetzt ist. Falls ja, wird dies an die Suche angehangen, intern und für dich nicht ersichtlich wird so ein "nslookup desktop-1234 itazubi.intranet" und das schickt dann dein PC zum gesetzten DNS-Server und bittet um Antwort. Grundwissen wie DNS funktioniert und sollte eigentlich im zweiten oder dritten Lehrjahr als FiSi dran kommen. Wenn nicht > Eigeninitiative.

Dein DHCP-Server verteilt zwar eine IP an den Client aber das ist bei weitem nicht das Einzige, was ein DHCP-Server verteilen kann. Per DHCP kannst du auch das Gateway mitgeben, welche DNS-Server zu nutzen sind, ob es einen PXE Server gibt und wie der erreichbar ist, welcher NTP-Server verwendet werden kann/soll uvm.
Quelle: https://www.univention.de/blog-de/k...kurz-erklaert-wie-dhcp-und-dns-funktionieren/
Du musst per DHCP also auch einen DNS-Server an die Clients verteilen und diesen DNS-Server entsprechend korrekt konfigurieren.

 

[AMDHippster]

Hier mal der aktuelle Stnad zu den DNS Problemen; das fette ist vom UCS Support.



Sie können einmal mit/usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh ob da alles in Ordnung ist.

Habe ich gemacht, da sind mir jetzt keine Fehler aufgefallen siehe Screenshot.


Das Backend ist auf samba4 umgestelt?

ucr get dns/backend

Ja, ist samba4, siehe Screenshot.



Der name-Deamon läuft auch?

ps aufx |grep named

Da scheint was zu laufen, jedenfalls findet er was, obwohl da nicht "running:active" dasteht.



Der Windows Client wurde neugestartet nach dem Takeover?

Der Windows Client war zum Zeitpunkt des Takeovers aus und wurde seitdem auch mehrmals neugestartet.



Der alte Server ist ausgeschaltet?

Die VM mit Windows Server 2016 und installiertem AD ist aus.



Eine Anmeldung mit dem Domänen Administrator funktioniert an dem Client?

Habe es gerade probiert, hat einmal funktioniert, ein anderer Domänennutzer auch. Jetzt geht es wieder (mit einem anderen Nutzer) nicht. Es lässt sich auch nicht die Domäne anpingen, was ja eigentlich gehen sollte.

Während ich das hier schreibe habe ich eine interessante Entdeckung gemacht. Bei einigen Usern kann ich mich anmelden, bei anderen nicht. Die, bei denen es nicht geht, sind in der Tabell grau gekennzeichnet. Weiterhin ist es auch möglich sich mit den nicht-grauen Nutzern anzumelden, wenn der UCS Controller aus ist und somit keine Domäne verfügbar. Dann müssten die User ja irgendwo in einem Cache liegen. Und dieser überlebt es anscheinend auch wenn man Windows neu startet.


Wie ist die genaue Fehlermeldung?
Siehe Screenshot.

Ergänzung (8. Mai 2020)

Vielleicht ist so ein Problem ja bekannt.

 

[snaxilian]

Du verteilst per DHCP weder ein Gateway noch einen DNS-Server an deine Clients. Ersteres ist nicht zwingend notwendig aber DNS ist essentiell für das funktionieren einer Domäne. Bei manchen Versuchen scheint am Client wenigstens IPv6 zu funktionieren aber darauf solltest du dich weder verlassen noch zu diesem Zeitpunkt in diesen Kaninchenbau abtauchen.
Auf dem UCS Server muss ein funktionierender DNS Serverdienst laufen und als autoritativer DNS Server für die Zone itazubi.intranet funktionieren und auch an die Clients verteilt werden.
Bevor du mit irgendwelchen Ping-Tests um dich wirst probiere doch zuerst einmal ob die Namensauflösung am Client per "nslookup itazubi.intranet" funktioniert.

Btw: Was sagt dein Betreuer/Ausbilder zu deinen Fragen? Ja, er muss dir dabei helfend und unterstützend zur Seite stehen denn genau das ist seine Aufgabe: Dich auszubilden, anzulernen und anzuleiten. Wenn er dies nicht kann oder will rate ich dir dringend nach der Ausbildung den Betrieb zu wechseln und ggf. zeitnah und jetzt mit deinem Vorgesetzten oder dessen Vorgesetzten dies anzusprechen wenn dein Ausbilder seinem Job nicht nach kommt.
Hilft das alles nix: Firma nach der Ausbildung wechseln und die IHK informieren denn solche Firmen und Leute sollten dann besser gar nicht ausbilden.

 

[AMDHippster]

Bei manchen Versuchen scheint am Client wenigstens IPv6 zu funktionieren aber darauf solltest du dich weder verlassen

Ipv4 funktioniert doch auch. Siehe Screenshot Max Mustermann 003.

Der Screenshot annagramm sollte nur verdeutlichen das die nicht eingegrauten User sich auch dann anmelden können, wenn gar kein Domänencontroller eingeschaltet ist. Deshalb auch die 169er IP. Da war dann auch kein DHCP Netz da.

Was sagt dein Betreuer/Ausbilder zu deinen Fragen?

Die Fachprobleme hatte ich bisher bei dem Projekt mit unserer IT Abteilung geklärt. Der Ausbilder ist seit einiger Zeit ständig krank und hat heftige medizinische Probleme. Das ist leider einer der armen Schweine, wo immer vieles schief geht. Meine Doku wird er sich aber anschauen. Wir haben in userer IT Abteilung auch einen anderen Mitarbeiter der zum Thema UCS etwas mehr weiß, weil er auch ab und zu damit arbeitet. Mein Ausbilder hat ein anderes Tätigkeitsgebiet in der Abteilung.

Wenn er dies nicht kann oder will rate ich dir dringend nach der Ausbildung den Betrieb zu wechseln und ggf. zeitnah und jetzt mit deinem Vorgesetzten oder dessen Vorgesetzten dies anzusprechen wenn dein Ausbilder seinem Job nicht nach kommt.

Ich werde sowieso nicht übernommen, nicht mal die Hälfte meiner Berufsschulklasse wird das. Das ist heute sogar fast schon üblich.

 

[snaxilian]

In dem Screenshot sehe ich weder ein Gateway noch per IPv4 erreichbaren bzw. eingetragenen DNS-Server.
Dann schon einmal viel Erfolg bei den Bewerbungen.

 

[AMDHippster]

In dem Screenshot sehe ich weder ein Gateway noch per IPv4 erreichbaren bzw. eingetragenen DNS-Server.

Jetzt verstehe ich was du meinst. Ich habe gerade mal mit meinem PC verglichen:

Ergänzung (10. Mai 2020)

Beim DNS Server fehlt die IPv4 Adresse, das verbindungsspezifische DNS Suffix ist leer.

Ergänzung (10. Mai 2020)

Dann schon einmal viel Erfolg bei den Bewerbungen.

Danke.

 

[AMDHippster]

So, ich habe es nun endlich geschafft. Das Problem war eine nicht gesetzte DHCP Richtlinie. Jetzt geht alles, alle Nutzer können angemeldet werden. Müsste so richtig sein, oder?