Tanzstunde mit Windows 7

Wer Windows-Clients einsetzt, hat natürlich auch einen Windows-Server. Das ist immer so, oder? Empört werden nun einige einwerfen, dass diese Gleichung für sie nicht zutrifft. Es gibt gute Gründe, Windows auf dem Client einzusetzen, die Verfügbarkeit von Applikationen mag einer davon sein. Aber für den Server muss dies nicht zwangsläufig gelten. Soll der Server nicht mehr tun, als Benutzerkonten und Drucker verwalten sowie Dateien speichern, gibt es seit 1992 die freie Alternative Samba. In der Verbindung mit den weiteren Open-Source-Paketen OpenLDAP für die Benutzerverwaltung und CUPS für die Druckerwarteschlangen kann Samba einen vollwertigen Dateiserver in Unternehmen ersetzen. Ein Windows Server 2003/2008 ist dann nicht mehr notwendig, als Basis dient Linux. Einzig für die Gruppenrichtlinien existiert noch kein direkter Ersatz. Für die zentrale Verwaltung von Softwarepaketen würde sich beispielsweise das im Artikel „Ausrollgehilfe“ [1] vorgestellte WPKG anbieten. Den Ersatz für die Gruppenrichtlinien will das Samba-Team erst später im Rahmen von Samba4 realisieren.

Sambas Vorteile liegen auf der Hand: Der Einsatz ist kostenlos und man muss nicht im Lizenzrecht promoviert haben, um die Regelungen von Microsoft zu verstehen. Darüber hinaus skalieren Samba-Installationen gut und sind leicht auf stärkere Hardware portierbar. Wichtig für Firmen ist, dass hinter Samba einige große Namen stehen, beispielsweise IBM und Red Hat, aber auch eine deutsche Firma wie die Göttinger SerNet. Die Kontinuität der Software ist also gewährleistet, ebenso existieren professionelle Supportangebote sowie eine starke Community.

Großväterchen NT4-Domäne – alt, aber rüstig

Natürlich hat die Sache einen Haken. Die Windows-Clients müssen den Umgang mit dem fremden Server oft erst lernen. Während ältere Windows-Clients (von WfW 3.11 bis Vista) keine Schwierigkeiten mehr bereiten, gab es längere Zeit Verbindungsprobleme mit Windows 7. Dies lag unter anderem daran, dass Microsoft ab und an Patches und Service Packs veröffentlichte, die verschiedene Parameter der Netzwerk-Kommunikation ändern und eine Kooperation mit Samba verhindern. Zum Glück ist dies nun schon lange nicht mehr aufgetreten, auch weil Microsoft sich nun aktiv am Samba-Projekt beteiligt.

Als Protokoll verwendet Samba SMB (womit auch klar ist, wie die Software zu ihrem Namen gekommen ist) und emuliert eine NT4-Domäne, genauer einen primären Domain-Controller (PDC). Für das detaillierte Vorgehen einer kompletten Samba-Installation mit LDAP sei auf das iX-Samba-Tutorial von 2008 verwiesen [2]. Dem weniger bastelfreudigen Leser seien die aktuellen Distributionen von Ubuntu und Debian empfohlen, die die meisten Installationsschritte inzwischen automatisiert haben. Ein Samba-PDC funktioniert übrigens auch ohne LDAP – und ist für kleine Benutzerzahlen völlig ausreichend.

Zwar ist Windows-NT als Betriebssystem schon in die Jahre gekommen, allerdings ist das Domänen-Konzept nach wie vor gut und funktioniert mit allen Windows-Versionen. Damit alles reibungslos klappt, sollte man vorher die Versionen von Client und Server prüfen. Nur ein Windows-7-Client mit dem Suffix „Pro“ oder „Ultimate“ kann überhaupt vollwertiges Mitglied einer Domäne werden. Samba ist es dabei egal, ob Windows in einer 32- oder 64-Bit-Variante zum Einsatz kommt. Auch das Service Pack 1 stellt kein Hindernis dar.

Auf der Samba-Seite sollte man ein möglichst aktuelles Paket wählen. Bei Tests im Netz des Autors traten mit der Release 3.5.6 keine Schwierigkeiten auf. Wie im Samba-Wiki aufgeführt, empfiehlt das Samba-Team selbst mehrere Versionen (siehe „Alle Links“). Allerdings ist es sinnvoll, eine aktuelle zu benutzen, damit die Benutzer gleich von Fortentwicklungen oder Patches profitieren, sollte sich sich mal wieder etwas am Windows-Client ändern. Die Göttinger SerNet hält Pakete von aktuellen und älteren Samba-Releases für verschiedene Distributionen kostenlos zum Download bereit.

Erste Samba-Schritte mit Windows 7

Listing 1 zeigt die grundlegende Samba-Konfiguration für eine NT4-Domäne. Auf die LDAP-Integration wurde hier verzichtet, ebenso auf Roaming Profiles. Es wird lediglich eine Domain mit dem Namen „VERWALTUNG“ angelegt und über den Samba-Server propagiert. Allerdings sind alle wichtigen Freigaben (Shares) bereits enthalten. Weitergehende Informationen geben diverse How-tos im Netz.

Auf der Linux-Maschine muss man die Benutzer anlegen, die Zugriff auf den Samba-Server haben sollen. Dies erfolgt mit den Befehlen useradd -g users -d /home/testuser -s /bin/bash testuser, gefolgt von passwd testuser (zum Setzen eines Kennworts) sowie smbpasswd -a testuser (hier ist das Kennwort erneut einzugeben). Für größere Installationen beschreibt das Samba-Wiki Wege, vorhandene Benutzerverzeichnisse auszulesen und das Anlegen von Samba-Usern zu automatisieren.

Die wichtigsten Windows-Benutzergruppen bildet Samba schon automatisch auf passende Linux-Benutzergruppen ab. Dies lässt sich per net groupmap list anzeigen und bei Bedarf auch anpassen. Die Windows-Startskripte, die beispielsweise die Serverlaufwerke automatisch verbinden, gehören ins Share netlogon.

Um Windows 7 SP1 Pro in Samba 3.5 oder besser zu integrieren, muss man auf den Clients vorab die Registry ändern. Dazu sind per regedit die in Listing 2 gezeigten Schlüssel nachzutragen. Die Ergänzungen sind erforderlich, da sich Windows 7 sonst nur halb in die Domäne integriert. Das System tritt zwar der Domäne bei, nach einem Reboot kann sich aber kein Domänen-Benutzer mehr anmelden. Windows 7 bricht den Vorgang mit einer Fehlermeldung ab, sodass sich nur lokale Benutzer anmelden können.

Mit Windows 7 in die Domäne

Tippfaule können sich die Änderung als .reg-Datei vom Server des Samba-Projekts herunterladen und mit einem Doppelklick auf die Datei die erforderlichen Einstellungen vornehmen. Danach muss ein Neustart des Client-Rechners erfolgen.

Nach dem Reboot muss man in der Systemsteuerung unter „Systemsteuerung\System“ und „Sicherheit\System“ die Übersichtsseite aufrufen und dort auf „Erweiterte Systemeinstellungen“ klicken. In den nun erscheinenden Systemeigenschaften fügt man wie in Abbildung 1 gezeigt unter dem Reiter „Computername“ den Rechner zur Domäne hinzu.

Beim Klick auf „OK“ muss man die Administrator/Root-Kennung eingeben, anschließend sollte das System mit einer Meldung „Willkommen in der Domäne VERWALTUNG“ die Aufnahme in die Domain bestätigen. Nach einem notwendigen Neustart des Systems findet sich – wie in Abbildung 2 zu sehen – in der Übersichtsseite der Systemsteuerung auch ein Eintrag für die Mitgliedschaft in der Domäne. Mit der gleichen Vorgehensweise gelingt es übrigens auch, einen Windows Server 2008 R2 in eine NT4-Domain zu bekommen.

Login auch für Domänenbenutzer

Anwender müssen Anmeldungen auf dem Rechner nun mit der bekannten Tastenkombination STRG-ALT-ENTF beginnen. Die erste Anmeldung mit einem Domänenkonto erfolgt mit vorangestelltem Domänennamen, also im hiesigen Beispiel mit „VERWALTUNG\testuser“. Die folgenden Anmeldungen laufen dann immer in diesem Domänenkontext. Nach dem erfolgreichen Login wird auch das Login-Skript ausgeführt – vorausgesetzt, man hat es konfiguriert. Wer wieder eine lokale Anmeldung wünscht, stellt den Rechnernamen voran – oder einfacher ein „.\“ – gefolgt vom lokalen Benutzernamen.

Damit ist das System bereit für den Betrieb in der Domäne. Wer seine PCs von Windows XP Professional umstellt und deren Anwender nicht mit der Bonbon-Oberfläche von Windows 7 erschrecken will (manche nennen sie Aero :-) ), kann das Desktop-Theme „Windows Classic“ wieder aktivieren. Darüber hianus lassen über das Open-Source-Programm „Classic Shell“ auf Wunsch auch andere optische Gewohnheiten wieder herstellen, beispielsweise das Startmenü.

Fazit

Windows 7 ist inzwischen in den Betrieben angekommen, es sollte keinen Grund mehr geben, bei Neuinstallationen auf ältere Versionen zu setzen. Die Kombination mit Samba ist schnell, funktional und billig. Wer auf Gruppenrichtlinien verzichten oder anderweitig Abhilfe schaffen kann, benötigt keinen vollwertigen Microsoft-Server; zumal dessen Installation und Administration auch nicht „mal eben“ erledigt ist.

Beim Vorhandensein von etwas Linux-Sachkenntnis bietet Samba für dieses Szenario eine gute Lösung. Mit der beschriebenen Vorgehensweise lässt sich die Zeit gut überbrücken, bis das in den Startlöchern stehende Samba4 seinen Weg in die Unternehmens-IT gefunden hat. Das wird einen eigenen LDAP-Server mitbringen und soll in folgenden Versionen auch Gruppenrichtlinien enthalten.

Alexandros Gougousoudis

ist IT-Leiter von drei Berliner Hochschulen und setzt Samba-Server mit Windows-7-Clients ein.

Literatur

[1] Alexandros Gougousoudis; Softwareverteilung; Ausrollgehilfe; WPKG und Samba: Gruppenrichtlinien für gemischte Umgebungen; iX 12/2010, S. 132

[2] Karolin Seeger; Samba-Tutorial III; Metronom; Samba als primärer Domänencontroller; iX 5/2008, S. 140

Alle Links: www.ix.de/ix1206149

[global]
         workgroup = VERWALTUNG
         netbios name = sambaserver
         server string = Fileserver der Firma XYZ
         update encrypted = Yes
         map to guest = Bad User
         username map = /etc/samba/smbusers
         log level = 3
         time server = Yes
         printcap name = /var/run/cups/printcap
         logon script = login.bat
         logon drive = H:
         domain logons = Yes
         os level = 128
         preferred master = Yes
         domain master = Yes
         local master = Yes
         wins support = Yes
         printer admin = @Domain Users
         create mask = 0770
         directory mask = 0770
         printing = cups
         cups options = raw
         lpq command = %p 

[homes]
         comment = Eigene Dateien
         invalid users = root
         read only = No
         inherit permissions = Yes
         browseable = No 

[print$]
         comment = Printer Drivers
         path = /srv/printerdrivers
         force group = +Domain Users
         read only = yes
         browseable = yes
         guest ok = yes 

[netlogon]
         comment = Startskripte
         path = /srv/netlogon
         write list = @Administratoren
         force group = +Domain Users
         create mask 775 

[dateien]
         comment = Dateiablage
         path = /srv/serverfiles
         read only = No 

HKLM\System\CCS\Services\LanmanWorkstation\Parameters
         DWORD  DomainCompatibilityMode = 1
         DWORD  DNSNameResolutionRequired = 0 

(avr)