MS-AD und Exchange

[mr44er]

Hi Leute!

Längerfristig möchte ich meine Windows-AD-Umgebung durch FreeBSD ersetzen.

Die Frage ist nur, in welche Richtung ich mich da mal umschauen sollte.

Am Standort 1 gibt es:

1x physikalisch Win2008 R2 Domaincontroller (zweiter DC)
1x virtuell Win2008 R2 Domaincontroller (erster DC)
1x virtuell Win2008 R2 + Exchange 2010
1x virtuell Win2008 R2 + BlackBerry Express Server

weiterhin gibt es:
1x physikalisch IPFire als Router (feste öffentliche IP)
1x physikalisch elastix (asterisk mit mehr Funktionen)
1x physikalisch Win2003 Zielserver für Netzwerkscanner, der Scanner ist alt, so auch die Software
2x physikalisch Nas4Free (1x Datengrab und Backup etc., 1x iscsi-Quelle)
+ eine handvoll Clients, Drucker, IP-Telefone

Standort 2 hat ebenfalls eine feste IP, Standort 3 allerdings hat eine dynamische IP. Alle Standorte sind per VPN untereinander erreichbar und haben Clients, die alle am Exchange hängen.

Vom Exchange werden alle Groupware-Funktionen gebraucht. Mail, Kontakte, Kalender und Memos...so auch auf den Blackberries und Iphone. Der BB Express läuft nur noch wegen einem alten Blackberry, der ganze Server wäre verschmerzbar/löschbar.
Die neuen OS10 Modelle und Iphones sind per OWA angebunden.
Es werden aus verschiedenen öffentlichen Postfächern die Mails per POP3 gesaugt und dem jeweiligen Benutzer zugestellt. Rausgeschickt werden die Mails über einen externen Relay-Server, da zur damaligen Zeit alle Standorte dynamische IPs hatten.
Da ich mich damit noch nie beschäftigt habe: Ich kann mir doch irgendwo/irgendwie einen MX-Eintrag setzen lassen, sobald ich eine feste IP habe, sodass ich die Mails selbst versenden kann, ohne dass andere Mailserver mich abweisen. Wo beginne ich damit? (Das wäre dann die nächstgrößere Aufgabe, nachdem ich alle Windows-Server ersetzt habe.)

Als AD-Funktion sind mir die einheitlichen Anmeldungen an der Domäne von überall aus wichtig, so auch Ordnerberechtigungen. Netzwerkprofile wären nice-to-have.

Hat jemand sowas in der Form am laufen und kann mir was vorschlagen oder in die Richtung lenken?

 

[nakal]

Kurz gesagt: MS-Exchange kriegst Du so nicht ersetzt. Das ist eine feste Lösung, die keiner so anbietet. Das ist so als ob Du sagst, Du möchtest auf die Automarke Fiat wechseln, aber Du bräuchtest unbedingt noch eine Möglichkeit mal eben einen Tunnel durch den Berg graben zu können mit dem 10m-Bohrer, den es für den Fiat geben muss.

Man muss umdenken. Man muss nach Gründen suchen, warum ein Umstieg nötig ist und überlegen was man tatsächlich zum Arbeiten braucht, auch wenn man die Arbeit komplett anders machen muss als bisher. Das muss man unbedingt miteinkalkulieren. Und weißt Du was dann kommt? Die meisten wollen nicht mehr umsteigen, weil die Anwender immer zu faul zum Umlernen sind.

Wenn Du Windows-Server abschaffst, dann solltest Du auch gleich alle Windows-Arbeitsplätze mitabschaffen. Wozu sich mit irgendwelchem alten Filz beschäftigen und das mitschleppen, sich ärgern etc. Und dann kriegst Du es nie so hin, dass alle zufrieden sind, denn Deine Server empfinden alle als den Krebs in der Landschaft, obwohl sie eigentlich alle am Krebs sitzen, den Arbeitsplätzen.

Mail-Infrastruktur zu ersetzen ist trivial, da mache ich mir keine Gedanken. Shares, VPN und Netzwerkprofile würden anders funktionieren als gewohnt, aber alles machbar. Für Kalender gibt es Davical und Clients für CalDAV gibt es überall auch für Handys. Kontakte (verteiltes Adressbuch) sind ein Problem (ich hasse OpenLDAP wie die Pest, aber es ist damit wenigstens machbar). Memosfunktionalität kenne ich nicht bei Exchange... wenn Du mir erklärst was das ist, kann ich überlegen. Ich habe diverse Arbeitsweisen, die passend bestimmte Tätigkeiten zugeschnitten sind.

Das mit Handys wird Dich jedoch quälen. Da musst Du am Ende selbst einige (Web-)Dienste programmieren. Einen DC braucht man nicht, wenn man kein Windows hat und wenn man Windows will wird man auch den proprietären DC wollen. Da dürfen Admins nämlich auch DAUs sein und damit ist auch zu rechnen, wenn man vorwiegend aus der Windows-Welt kommt. DC mit Samba ist nervig. Ich verstehe zwar Samba besser als Windows-Server, aber mir kommt das so vor, als ob wenn jemand Windows-Server kennt, er damit besser zurecht kommen würde. Und man sollte stets Mitleid mit Admins haben.

Aber wie oben schon gesagt, wenn Du DC willst, zieht das den ganzen Rattenschwanz von Windows-spezifischem Kram wieder rein, vor allem MS-Exchange. Guck Dir mal das dumme Gesülze rund um LiMux an... die machen das dort extrem gut und es gibt immer wieder Leute, die zurück auf MS-Windows wollen. Glaub mir, Du möchtest Dich nicht jeden Tag wegen solchen Vollpfosten nerven.

 

[mr44er]

Kurz gesagt: MS-Exchange kriegst Du so nicht ersetzt. Das ist eine feste Lösung, die keiner so anbietet. Das ist so als ob Du sagst, Du möchtest auf die Automarke Fiat wechseln, aber Du bräuchtest unbedingt noch eine Möglichkeit mal eben einen Tunnel durch den Berg graben zu können mit dem 10m-Bohrer, den es für den Fiat geben muss.

Ja, das habe ich mir schon gedacht. Es muss auch keine Lösung aus einem Guss sein. So Sachen wie Zarafa und openexchange sind ja auch aus Paketen zusammengeschnürt.

Man muss umdenken. Man muss nach Gründen suchen, warum ein Umstieg nötig ist und überlegen was man tatsächlich zum Arbeiten braucht, auch wenn man die Arbeit komplett anders machen muss als bisher. Das muss man unbedingt miteinkalkulieren. Und weißt Du was dann kommt? Die meisten wollen nicht mehr umsteigen, weil die Anwender immer zu faul zum Umlernen sind.

Die Arbeit anders als bisher...ja, das habe ich gemerkt, aber was das betrifft, bin ich sehr anpassungsfähig. Es ist keine Firmenlandschaft im eigentlichen Sinne, eher eine Umgebung von der Familie und auch mit Kanonen auf Spatzen geschossen, weil ca. nur 6-8 Leute darauf zugreifen. Ich hab das damals auch nur gemacht, um alles vereinheitlicht laufen zu lassen, die Lizenzen da waren und weil ich es konnte. Läuft nun auch bald 4 Jahre ohne Probleme. Reboots gab es nur nach Updates.
Was die Serverlandschaft betrifft, bin ich der Chef...es gibt also keine Anwender, die dann auf die Barrikade gehen. Dh. es muss niemand mitziehen, wenn er nicht klarkommt und es sich am Ende dann nicht von mir erklären läßt.
Die Gründe sind einfach: Server 2008 hat irgendwann die EOL erreicht, die Lizenzierung nervt mich, ich will was lernen.

Wenn Du Windows-Server abschaffst, dann solltest Du auch gleich alle Windows-Arbeitsplätze mitabschaffen. Wozu sich mit irgendwelchem alten Filz beschäftigen und das mitschleppen, sich ärgern etc. Und dann kriegst Du es nie so hin, dass alle zufrieden sind, denn Deine Server empfinden alle als den Krebs in der Landschaft, obwohl sie eigentlich alle am Krebs sitzen, den Arbeitsplätzen.

Ja, freilich. Das ist auch Teil der Planung am Ende.

Mail-Infrastruktur zu ersetzen ist trivial, da mache ich mir keine Gedanken. Shares, VPN und Netzwerkprofile würden anders funktionieren als gewohnt, aber alles machbar. Für Kalender gibt es Davical und Clients für CalDAV gibt es überall auch für Handys. Kontakte (verteiltes Adressbuch) sind ein Problem (ich hasse OpenLDAP wie die Pest, aber es ist damit wenigstens machbar). Memosfunktionalität kenne ich nicht bei Exchange... wenn Du mir erklärst was das ist, kann ich überlegen. Ich habe diverse Arbeitsweisen, die passend bestimmte Tätigkeiten zugeschnitten sind.

Ok. Das VPN sollen weiterhin die Router übernehmen.
Wie funktionieren denn die Shares? Per ACL? Gibt es denn sowas wie einheitliche Benutzeraccounts, die auf jedem Client funktionieren? Also einen Server, gegen den authentifiziert wird?
Was ist denn dieses LDAP? Oft gelesen, aber keine Ahnung. Ist das eine Datenbank?
Die Memos sind auch verzichtbar, wenn ich drüber nachdenke. Mehr als ein digitaler Post-It ist es nicht.

Das mit Handys wird Dich jedoch quälen. Da musst Du am Ende selbst einige (Web-)Dienste programmieren. Einen DC braucht man nicht, wenn man kein Windows hat und wenn man Windows will wird man auch den proprietären DC wollen. Da dürfen Admins nämlich auch DAUs sein und damit ist auch zu rechnen, wenn man vorwiegend aus der Windows-Welt kommt. DC mit Samba ist nervig. Ich verstehe zwar Samba besser als Windows-Server, aber mir kommt das so vor, als ob wenn jemand Windows-Server kennt, er damit besser zurecht kommen würde. Und man sollte stets Mitleid mit Admins haben.

Wie darf ich das mit dem Programmieren verstehen? Einrichten wahrscheinlich, aber ich muss nichts coden, oder?
Ja, der DC ist verzichtbar, keine Frage.

Aber wie oben schon gesagt, wenn Du DC willst, zieht das den ganzen Rattenschwanz von Windows-spezifischem Kram wieder rein, vor allem MS-Exchange. Guck Dir mal das dumme Gesülze rund um LiMux an... die machen das dort extrem gut und es gibt immer wieder Leute, die zurück auf MS-Windows wollen. Glaub mir, Du möchtest Dich nicht jeden Tag wegen solchen Vollpfosten nerven.

Den DC brauchts nicht, ich will weg von Windows.
Ja, beim Limux-Thema musste ich ungezwungen kichern, aber wie gesagt habe ich den Anwendungsfall mit den Vollpfosten nicht.

 

[Fusselbär]

Es ist keine Firmenlandschaft im eigentlichen Sinne, eher eine Umgebung von der Familie und auch mit Kanonen auf Spatzen geschossen, weil ca. nur 6-8 Leute darauf zugreifen.

Dann könnte vielleicht deskutils/fengoffice eine Möglichkeit sein. Hier gibt es eine online Demo vom fengoffice:
http://u2.fengoffice.com/agency_demo/index.php?c=access&a=index

 

[nakal]

Wie funktionieren denn die Shares? Per ACL? Gibt es denn sowas wie einheitliche Benutzeraccounts, die auf jedem Client funktionieren? Also einen Server, gegen den authentifiziert wird?

Shares sind sehr gut machbar. Man kann normal mit Benutzern gegen Samba authentifizieren. Dazu kann man den DC einrichten auf Samba3 (AD habe ich noch nie zum Laufen bekommen, weil mir Samba 4.x immer abschmiert; ich glaube, dass Samba4 nie dazu gedacht war ernsthaft im Betrieb zu sein). Man muss sorgfältig die Anleitung von Samba lesen und sie auf FreeBSD entsprechend umdenken (meistens wird da Linux-spezifisches erzählt). Am Ende lässt sich alles flexibler verwalten als mit so einem Windows-Server, aber nur mit guten Kenntnissen der Materie. Man kann sich aber am Ende mit einigen Skripten behelfen, die mehrere Aufgaben erledigen, die zusammengehören.

Was ist denn dieses LDAP? Oft gelesen, aber keine Ahnung. Ist das eine Datenbank?
Die Memos sind auch verzichtbar, wenn ich drüber nachdenke. Mehr als ein digitaler Post-It ist es nicht.

LDAP ist im Grunde eine Datenbank, ja (eigentlich Verzeichnisdienst, Lesen schnell, Schreiben nicht so schnell, baumbasiert/hierarchisch, mit besonderen Abfragen). Nur ist die ganze Software sehr fragil. Man muss LDAP sehr oft sichern, weil es oft nach einem Update kaputt ist und ab und zu einfach abschmiert.

Für lose schriftliche Sachen habe ich ein Wiki (Mediawiki). Man muss das aber auch administrieren können und mehrere Leute haben, die gut organisieren können, damit das alles eine Form hat.

Wie darf ich das mit dem Programmieren verstehen? Einrichten wahrscheinlich, aber ich muss nichts coden, oder?
Ja, der DC ist verzichtbar, keine Frage.

Vielleicht kennt jemand hier eine Lösung, die gut ist. Ich vermute, dass man doch coden müsste. DC wird gehen (dazu musst Du nur die Arbeitsplätze mit einigen Registry-Einträgen präparieren, damit sie im Legacy-Modus funktionieren, ab Windows 7 gibt es per Default nur noch AD und nicht mehr DC). Es ist schon ein Schmerz bis man das alles findet, wie das funktioniert, finde ich.

 

[mr44er]

Shares sind sehr gut machbar. Man kann normal mit Benutzern gegen Samba authentifizieren.

Ich glaube, wir reden etwas aneinander vorbei.
Dass die lokalen Benutzer gegen Samba authentifiziert werden können, weiß ich. Meine Frage zielte darauf ab, ob es sowas wie einen zentralen Benutzerdienst (ähnlich und nur ähnlich dem AD) gibt. Benutzer1 hat PW1, Benutzer2 hat PW2 usw. auf dem Serverdienst in einer Datenbank oder sowas und das vom Client (FBSD beim Login) gegen diesen Server authentifiziert wird oder gibt es das gar nicht?
Ich glaube, es wird nicht erkenntlich daraus...
Der Server auf dem Samba läuft hat die lokalen Benutzer1 und 2. Von irgendeinem Client kann ich mich als Benutzer 1 oder 2 einloggen, das ist klar.
Gibt es einen Dienst, der die Benutzer global verwaltet und Samba sich diese zieht? Also es soll in die Richtung gehen, dass ich innerhalb von dem Netz einen Benutzer habe und ich mich mit diesem auf allen Clients einloggen kann. Ermöglicht mir das LDAP sogar?
Oder willst du mir sagen, dass es nur lokale Benutzer gibt? Denke ich zu kompliziert?

Dazu kann man den DC einrichten auf Samba3 (AD habe ich noch nie zum Laufen bekommen, weil mir Samba 4.x immer abschmiert; ich glaube, dass Samba4 nie dazu gedacht war ernsthaft im Betrieb zu sein).

Wie gesagt, ich muss nicht zwingend einen DC haben. Oder brauche ich diesen zwingend für den Login von überall aus?

Nur ist die ganze Software sehr fragil. Man muss LDAP sehr oft sichern, weil es oft nach einem Update kaputt ist und ab und zu einfach abschmiert.

Ist das einfach so mit der Software oder kommt das aufs Benutzungsumfeld an?

Für lose schriftliche Sachen habe ich ein Wiki (Mediawiki). Man muss das aber auch administrieren können und mehrere Leute haben, die gut organisieren können, damit das alles eine Form hat.

Das ist wirklich überdimensioniert, ich bin viel unterwegs und da fallen mir z.B. neue Ideen ein, die ich dann mit 2-3 Stichworten da eintippe oder Dinge, die noch erledigt werden müssen, wenn mich jemand darauf anspricht.
Verzichtbar ist es, dafür könnte ich auch Termine eingeben, die mich dann abends daran erinnern.

Vielleicht kennt jemand hier eine Lösung, die gut ist. Ich vermute, dass man doch coden müsste. DC wird gehen (dazu musst Du nur die Arbeitsplätze mit einigen Registry-Einträgen präparieren, damit sie im Legacy-Modus funktionieren, ab Windows 7 gibt es per Default nur noch AD und nicht mehr DC). Es ist schon ein Schmerz bis man das alles findet, wie das funktioniert, finde ich.

Windows als Client muss dann auch nicht mehr sein. Mir reicht dann FBSD auf allen Maschinen, wenn ich soweit alles Benötigte habe.

 

[Yamagi]

Kontakte (verteiltes Adressbuch) sind ein Problem (ich hasse OpenLDAP wie die Pest, aber es ist damit wenigstens machbar).

Der Radicale CalDAV Server kann auch Adressbücher. Mit verschiedenen Backends, also auch ohne OpenLDAP unten drunter.

DC wird gehen (dazu musst Du nur die Arbeitsplätze mit einigen Registry-Einträgen präparieren, damit sie im Legacy-Modus funktionieren, ab Windows 7 gibt es per Default nur noch AD und nicht mehr DC). Es ist schon ein Schmerz bis man das alles findet, wie das funktioniert, finde ich.

Ab Windows 8 ist das leider nicht mehr so einfach. Wenn der DC dort einen Punkt im Namen hat, muss man die Netzwerkkonfiguration verpfuschen und die DNS-Server austragen. Ich fürchte daher, dass mit Windows 9 klassischer DC-Support noch weiter verrotten oder sogar unbenutzbar werden wird. Weshalb ich mich leider entscheiden muss, ob ich mir mal den Krampf mit Samba 4 antue oder doch in den sauren Apfel beiße und mich mit Windows Server 2012 R2 kasteie. Siehe auch: https://www.multifake.net/2013/01/windows-8-not-joining-certain-samba-domains/

 

[foxit]

...AD habe ich noch nie zum Laufen bekommen, weil mir Samba 4.x immer abschmiert; ich glaube, dass Samba4 nie dazu gedacht war ernsthaft im Betrieb zu sein

Samba 4 war in der Tat nur als "Spielwiese" geplant. Features von dort wollte man nach Samba 3 zurückportieren. Mit der Zeit erkannte man aber, dass dies nur schwer möglich ist und so wurde Samba4 zum alleinigen Nachfolger entwickelt. Man darf nicht vergessen, dass Samba 4 parallel zu Samba 3 installiert werden kann. Weiter ist DNS eigentlich der wichtigste Stolperstein bei der Installation. Müsste mal meine alten Dokus raussuchen. Vielleicht finde ich da noch etwas.

 

[nakal]

Ich glaube, wir reden etwas aneinander vorbei.
Dass die lokalen Benutzer gegen Samba authentifiziert werden können, weiß ich. Meine Frage zielte darauf ab, ob es sowas wie einen zentralen Benutzerdienst (ähnlich und nur ähnlich dem AD) gibt. Benutzer1 hat PW1, Benutzer2 hat PW2 usw. auf dem Serverdienst in einer Datenbank oder sowas und das vom Client (FBSD beim Login) gegen diesen Server authentifiziert wird oder gibt es das gar nicht?

Ich glaube nicht, dass wir aneinander vorbei reden. Denn DC ("domain controller") ist der alte zentrale Authentifizierungsmechanismus, der vor AD lief und bis heute noch funktioniert (ich betreibe so einen und wollte mal einen Wiki-Eintrag machen, aber ich habe keine Zeit gehabt). Es läuft aber nicht alles so rund mit DC wie man es bei AD auf einem echte Windows Server hat. Noch einmal, nur um es zu betonen!

Oder willst du mir sagen, dass es nur lokale Benutzer gibt? Denke ich zu kompliziert?

Nein. Das ist ja das typische Windows-Denken und ist ja ok in der Windows-Welt. Man kann sogar zentrale Profile haben, aber davon rate ich ab. Es kann sein, dass Du 2h oder mehr zum Ausloggen brauchst, weil sich erstmal alles synchronisieren muss (jeder Windows-Nutzer kloppt alles immer aufs Desktop oder in seine Nutzerzeichnisse). Das habe ich schnell verworfen, weil alle bei uns traurig waren.

Wie gesagt, ich muss nicht zwingend einen DC haben. Oder brauche ich diesen zwingend für den Login von überall aus?

Die Frage ist ob Du ein einheitliches Login haben möchtest und Nutzer zentral verwalten möchtest (auch Netzwerk-Admin hast Du dann auf jedem Rechner, anstatt nur lokale Admins). Oder brauchst Du eigentlich nur geschützten Zugriff auf Shares und jeder verwaltet dann seinen Windows-PC selbst. Das geht natürlich ohne.

Windows als Client muss dann auch nicht mehr sein. Mir reicht dann FBSD auf allen Maschinen, wenn ich soweit alles Benötigte habe.

Sowas halte ich immer für mutig. Wenn Du Windows in einem Unternehmen abschaffst, dann rate ich Dir, darüber auch direkt ein Buch schreiben und es geht wie warme Semmeln weg. Das ist sicher.

 

[zuglufttier]

Nein. Das ist ja das typische Windows-Denken und ist ja ok in der Windows-Welt. Man kann sogar zentrale Profile haben, aber davon rate ich ab. Es kann sein, dass Du 2h oder mehr zum Ausloggen brauchst, weil sich erstmal alles synchronisieren muss (jeder Windows-Nutzer kloppt alles immer aufs Desktop oder in seine Nutzerzeichnisse). Das habe ich schnell verworfen, weil alle bei uns traurig waren.

Das ist ja nun auch ein bisschen einfach gedacht Das lässt sich natürlich alles einstellen! Man kann auch zentrale Profile haben ohne immer alle Dateien zu synchronisieren. Allerdings sollte das bei einer flotten Anbindung auch kein Problem sein und ist sehr hübsch, wenn man auf dem Client Windows neu installieren möchte.

 

[nakal]

Wir haben Gigabit-Ethernet mit LACP, aber wenn Leute GB-weise (und manche sogar TB-weise!) Daten aufn Desktop ablegen, dann kann das schon sein, dass alle Rechner zusammen (wenn jeder Feierabend hat und Profile synchronisiert werden) ziemlich lange brauchen.

 

[mr44er]

Denn DC ("domain controller") ist der alte zentrale Authentifizierungsmechanismus, der vor AD lief und bis heute noch funktioniert (ich betreibe so einen und wollte mal einen Wiki-Eintrag machen, aber ich habe keine Zeit gehabt). Es läuft aber nicht alles so rund mit DC wie man es bei AD auf einem echte Windows Server hat. Noch einmal, nur um es zu betonen!

Noch mal. Verstehe ich das so richtig, dass es NUR die Möglichkeit unter FBSD mit dem DC per Samba als zentrale Loginstelle gibt?

Man kann sogar zentrale Profile haben, aber davon rate ich ab. Es kann sein, dass Du 2h oder mehr zum Ausloggen brauchst, weil sich erstmal alles synchronisieren muss (jeder Windows-Nutzer kloppt alles immer aufs Desktop oder in seine Nutzerzeichnisse). Das habe ich schnell verworfen, weil alle bei uns traurig waren.

Ja, eine blöde Angewohnheit.
Habe meine Leute aber soweit im Griff, dass sie alle auf dem NAS arbeiten. Da hat sich keiner bisher beschwert.

Die Frage ist ob Du ein einheitliches Login haben möchtest und Nutzer zentral verwalten möchtest (auch Netzwerk-Admin hast Du dann auf jedem Rechner, anstatt nur lokale Admins).

Ein klares JA!

Oder brauchst Du eigentlich nur geschützten Zugriff auf Shares und jeder verwaltet dann seinen Windows-PC selbst. Das geht natürlich ohne.

Wie gesagt, Windows soll ersetzt werden.

Sowas halte ich immer für mutig. Wenn Du Windows in einem Unternehmen abschaffst, dann rate ich Dir, darüber auch direkt ein Buch schreiben und es geht wie warme Semmeln weg. Das ist sicher.

Es ist kein klassisches Unternehmen. Eher sowas wie ein familiäres Intranet