Häufig gestellte Fragen
- Wo finde ich zusätzliche Dokumentationen zu ...
- Warum braucht es zwei verschiedene Benutzerverwaltungen?
- Warum sollten wir den Server nie ausschalten?
- Druckertreiber auf dem Server bereitstellen
- Die System Zeit am Client stimmt nicht
- Sicherer Fileaustausch mit Server
- Wie definiere ich eine zusätzliche E-Mail Adresse zur bestehenden?
- Wie gelange ich zu meiner persönlichen Webseite?
- Wie erreiche ich den Server von aussen?
- Welche Ports benötigt der Server für die Firewall?
- Wir haben keinen Zugriff mit FTP auf unsere Daten
- Wie schaltet man den Content-Filter für das Browsen aus?
- Bestimmte Internet Seiten lassen sich nicht öffnen beim Browsen
- Das Backup Medium ist schon voll
- RAID Harddisk Ausfall
Wo finde ich zusätzliche Dokumentationen zu ...
Ihr KMU Server hat über alle installierten Pakete weiterführende Informationen. Sie finden diese am einfachsten über unsere Linkseite. Sie finden aber auch unter Details nützliche Links.
Warum braucht es zwei verschiedene Benutzerverwaltungen
Sie haben damit die maximale Möglichkeit den Benutzern verschiedene System Rechte zu geben. Es ist ja vielleicht nicht immer erwünscht dass ein E-Mail Benutzer auch Dateizugriff aufs Netzwerk hat, oder sogar FTP benutzen darf.
Wenn Sie z.B. ein Mitarbeiter verlässt können Sie seine Filezugriffsrechte und sein Homeverzeichnis vom Server löschen. Beim E-Mail Konto definieren Sie ein neues Passwort und weisen dem Konto eine Standardbenachrichtigung ein dass diese E-Mail Adresse nicht mehr gültig ist und/oder leiten den Mail Verkehr auf eine andere Adresse um.
Warum sollten wir den Server nie ausschalten?
Ihr KMU Server arbeitet auch in der Nacht. Er erledigt für Sie automatisch:
- Lädt vom Internet die neusten Antivirus Signaturen um aktuell zu bleiben
- Bearbeitet die Spam Datenbank (spam, nospam)
- Lädt die neusten News vom Internet für den News Server
- Durchforstet und löscht Viren im Datei Server
- Erstellt Datenbackups aller wichtigen Daten und Einstellungen
- Rotiert und komprimiert logfiles und macht Servicebezogene Säuberungen
Sie brauchen den Server deshalb gar nie auszuschalten. Wir haben Systeme bei Kunden im Einsatz die wir jedes Jahr lediglich einmal zur Wartung neustarten.
Druckertreiber auf dem Server bereitstellen
Lediglich der Benutzer admin hat die Rechte einen neuen Druckertreiber auf dem Server zu installieren für die spätere automatische Druckertreiberinstallation.
- Als admin unter Windows XP an der Domäne anmelden
- Mit dem Explorer navigiert man zu \\commserver
- [Drucker und Faxgeräte] doppelklicken
- auf [Eigenschaften] bei dem sich zu ändernden Drucker gehen
- jegliche Treiberinstallation verneinen!
- unter [Erweitert] auf [Neuer Treiber] und einen Neuen Treiber installieren
Neue Clients (Windows NT, 2000, Windows XP) holen und installieren in Zukunft den Druckertreiber vollautomatisch. Windows 9x und ME benötigen andere Treiber.
Die System Zeit am Client stimmt nicht
Bei der Anmeldung am Server wird auch dessen System Zeit übernommen. Damit dies funktioniert muss der Client an der DOMAIN angeschlossen sein. Vielfach jedoch hat der sich anzumeldende Benutzer nicht die benötigten lokalen System Rechte um die Uhrzeit zu ändern. Unter Windows XP muss man sich als Administrator anmelden und unter [Einstellungen] [Systemsteuerung] [Verwaltung] [Lokale Sicherheitsrichtlinie] folgende Änderung durchführen.
Sicherheitsrichtlinie
Unter [Ändern der Systemzeit] fügt man einen Benutzer "Jeder" hinzu, damit beim nächsten Login die Zeit korrekt synchronisiert wird.
Link zum Bild
Sicherer Fileaustausch mit Server
Am sichersten geht dies mit scp. Unter Windows gibt es sogar ein GUI Client dazu. Unter Linux reicht ein Kommando auf der Konsole:
- scp /root/txtfile.txt root@192.168.0.99:/root (kopiert ein File auf den Server)
- scp root@192.168.0.99:/root/txtfile.txt /root (holt ein File vom Server)
Dies sollte jedoch nur für Administrative Zwecke verwendet werden. Datenaustausch über den Server funktioniert normal über den Windows Explorer oder von extern mit Zuhilfe von VPN.
Wie definiere ich eine zusätzliche E-Mail Adresse zur bereits bestehenden Adresse
Öffnen Sie den Link https://commserver/admin/ in ihrem Webbrowser und melden sich mit dem Username manager und dessen Passwort an. Gehen Sie dann zu [Users] und klicken auf [modify]. Geben Sie bei [Email Aliases] den zusätzlichen E-Mail account an.
Fügen Sie den E-Mail Download in der Datei /kolab/.fetchmailrc zu. Ein Beispieleintrag könnte z.B. so aussehen:
poll mail.datacomm.ch protocol POP3 user baroxa password kl284Kja is giovanni@baroni.ch
Wie gelange ich zu meiner persönlichen Webseite
In Ihrem Home Verzeichnis können Sie ihre Webseite im Verzeichnis public_html erstellen. Am einfachsten laden Sie die Files mit dem Windows Explorer an den richtigen Ort. Danach haben Sie direkt auf Ihre Seite Zugriff indem Sie im Browser folgende Adresse eingeben: http://commserver/~ihrloginname/.
Wie erreiche ich den Server von aussen
Damit Sie Ihren Server auch mit dynamischer Adresszuteilung erreichen, sendet dieser periodisch seine aktuelle IP Adresse. Sie können sich mit Ihrem Kennwort hier anmelden.
Welche Ports benötigt der Server für die Firewall
FTP: TCP 20,21 (Datenübertragung mit FTP, unsicher für extern )
SSH: TCP 22 (Secure Socket Shell)
SMTP: TCP 25 (Mailversand, kein Grund für extern )
DNS: TCP,UDP 53 (DNS Auflösung, kein Grund für extern)
HTTP: TCP 80 (Webserver)
POP2: TCP 109 (E-Mail abholen, kein Grund für extern)
POP3: TCP 110 (E-Mail abholen, kein Grund für extern)
NNTP: TCP 119 (News Server, kein Grund für extern)
NTP: TCP 123 (Time Server, kein Grund für extern)
Loc-srv: UDP 135, 445 (Samba, kein Grund für extern)
Netbios: UDP 137 ,138, 139 (Samba, kein Grund für extern)
Netbios: TCP 135, 139, 445 (Samba, kein Grund für extern)
imap2: TCP 143 (Mail Empfang, kein Grund für extern)
imap3: TCP 220 (Mail Empfang, kein Grund für extern)
ldap: TCP 389 (Adressbuch, kein Grund für extern)
https: TCP 443 (Webserver abgesichert)
hybrid-pop: TCP 473 (Mail Empfang, kein Grund für extern)
imap4+ssl: TCP 585 (Mail Empfang, kein Grund für extern)
cups: TCP 631 (Druckerverwaltung, kein Grund für extern)
ldap+tsl: TCP, UDP 636 (Adressbuch über TLS)
imap+tsl: TCP, UDP 993 (Mail Empfang über TLS)
pop3+tsl: TCP 995 (Mail Empfang über TLS)
radius: UDP 1812 (Radiusserver, kein Grund für extern)
OpenVPN: TCP, UDP 1194 (VPN)
Sieve: TCP 2000 (Sieve, kein Grund für extern)
Squid: TCP 3128 (Proxy, kein Grund für extern)
webmin: TCP 10000 (Webmin)
Nur die benötigten und auch abgesicherten Ports von der Firewall zum KMU Server weiterleiten. In der Regel reichen openvpn, ssh, https und webmin vollkommen aus (TCP Ports 22, 443, 10000).
Fragen zu FTP (File Transfer Protokoll)
Aus Sicherheitsgründen ist FTP standardmässig deaktiviert. In der Regel werden Passwörter bei FTP im Klartext übermittelt. Eine sicherere alternative wäre der Einsatz mit Zertifikaten die dann aber auf den Clients installiert werden müssen. Bei Bedarf kann man FTP aktivieren indem man den gewünschten User die Shell /bin/ftp gibt. Dies erledigt man schnell mit Webmin/User. (Standardshell ist /bin/false).
Wünscht man den Zugang von Aussen muss man in der Firewall die TCP Ports 20 und 21 zum Server weiterleiten (nicht empfohlen).
Wie schaltet man den Content-Filter für das Browsen aus?
Das betreffende Programm Privoxy ist ein Content-Filter. Es überprüft beim surfen den gesamten Inhalt einer Webseite anhand vordefinierten Regeln. Es filtert zum Beispiel Werbebanner und adware aus. Unter dieser Adresse http://config.privoxy.org/ erreichen Sie dessen Administrationsportal. Standardmässig können Sie jedoch darin keine Änderungen vornehmen. Damit man hier bequem mit dem Browser Einstellungen vornehmen kann, muss man das File auf dem Server /etc/privoxy/config anpassen mit folgenden Werten:
- enable-remote-toggle 1 (Schnellumschalter für aktivieren/deaktivieren von privoxy)
- enable-edit-actions 1 (damit lassen sich die Filterregeln einstellen)
Bestimmte Internet Seiten lassen sich nicht öffnen beim Browsen
Der Proxy Server beinhaltet Standardmässig eine Blacklist von unerwünschten Internet Seiten die nicht angebrowst werden können. Diese Webadressen und IP Adressen befinden sich auf dem Server im Verzeichnis: /var/lib/chastity . Sie sind aufgeteilt in die Bereiche: adult, audio-video, forums, hacking, redirector, warez, ads, aggressive, drugs, gambling, violence. In folgendem File lassen sich diese Bereiche komplett aktivieren oder deaktivieren:
- /etc/chastity/squidGuard-chastity.conf (Konfigurationsfile)
Es lassen sich dort auch erlaubte Surfzeiten einstellen, oder gewisse Clients restriktiver behandeln.
Das Backup Medium ist schon voll
Sollte das Backup Medium bereits voll sein (abhängig von Backup- und Datengrösse), kann man das Medium vergrössern, oder gewisse Daten vom Backup ausschliessen:
Erstellen Sie dazu einfach einen Ordner mit dem Namen "nobackup". Sämtliche Dateien die unter diesem Ordner (auch Unterordner) gespeichert werden, kommen nicht auf das Backupmedium. Dies eignet sich zum Beispiel für reproduzierbare Daten wie z.B. TelefonCD's, Grafikbibliotheken, LernCD's usw.
RAID Harddisk Ausfall
Sollte infolge eines Hardwarefehlers eine Harddisk defekt gehen, erhält der Administrator automatisch eine E-Mail. Keine Angst denn der KMU-Server läuft mit einer RAID1 Datenspiegelung. Das heisst sämtliche Daten sind auf beiden Harddisk synchron. Man sollte beim Ausfall den Server herunterfahren und die betroffene Disk baldmöglichst auswechseln. Ein Backup wäre auch vor dem Harddiskaustausch zu empfehlen. Weitere Infos finden Sie online unter:
- http://www.tldp.org/HOWTO/Software-RAID-HOWTO.html
- http://www.linuxsa.org.au/mailing-list/2003-07/1270.html
Diese Software RAID Lösung bietet den Vorteil dass Sie nicht an einen Hardware RAID Controller gebunden ist. Auch komplette System- und Hardwarewechsel lassen sich nach Anpassungen mit dem Alt-Datenbestand problemlos weiterbetreiben. Hier noch einige Befehle um die gespiegelten Daten wiederherzustellen:
- mdadm -D /dev/md0 /dev/md1 (zeigt den Status des Arrays an)
- mdadm /dev/md0 -a /dev/sdb1 (repariert die 2. Harddisk nach einem Ausfall)
- mdadm --detail /dev/md0 (zeigt weitere Infos an)
Wir empfehlen sämtliche Wartungsarbeiten an den Harddisks mit Vorsicht und Bedacht auszuführen.