Die NDS (Novell Directory Services) heißt seit einiger Zeit eDirectory und ist mittlerweile das Kernprodukt von Novell, mit dessen Hilfe sowohl NetWare Server als auch viele andere Betriebssysteme wie NT, Solaris, Linux mit dem gleichen Verzeichnisdienst arbeiten können.
Links
http://www.novell.com/coolsolutions/nds/ http://www.verzeichnisdienst.de/vz/nds/Die NDS ist in größeren Netzen eine hierachisch aufgebaute, baumförmige Struktur. Die Datenbank zur Verwaltung liegt ursprünglich nur auf einem Server. In einer Multi-Server Umgebung (vor allem in einem WAN) ist es nun sinnvoll, diese Baumstruktur in Abschnitte aufzugliedern und auf die verschiedenen Server zu verteilen. Jeder einzelne Abschnitt ist dann eine Partition.
Zugleich können auch Kopien dieser Partitionen auf anderen Servern abgelegt werden. Diese heißen dann Replikat oder Replica. Somit kann auch zugleich eine Sicherheitskopie der NDS angelegt werden. Wenn der Server mit der original Partition (Master-Replika) ausgefallen ist, so steht die NDS Information, die er trägt, immer noch über die anderen Replikas zur Verfügung.
Damit beginnt dann die eigentliche Arbeit: Wie partitioniert man sinnvollerweise? Wie sollen die Replicas verteilt werden? Wie viele Replicas und subordinary Replicas trägt ein Server?
Antworten geben Kurse bei Novell, Literatur und Consultingunternehmen.
Falls die NDS defekt ist und man sich nicht mehr anmelden kann, ist es auch nicht möglich, die NDS von einem NetWare Server zu entfernen.
Es gibt allerdings einen undokumentierten Befehl, der die NDS löscht, ohne sich als Admin anzumelden. Der undokumentierte Befehl Load install -dsremove bzw. nwconfig -dsremove ermöglicht das Entfernen der NDS im Punkt Directory Options ohne vorherige Adminanmeldung. Anschließend kann die NDS erneut installiert werden.
Unter NetWare 4.10 gibt es zwar einige Fehlermeldungen, die einen erstmal zweifeln lassen, ob es wirklich geklappt hat. Trotzdem ist die NDS entfernt. Ab Netware 4.11 geht es völlig ohne Fehlermeldungen, fast schon zu schnell.
Versionen aus aktuellen Support Packs beinhalten diese Funktion
nicht mehr. Hier gibt es Alternativen, die die NDS (zumindest die Versionen 6
und 7) fast genauso einfach löschen:
Den Server mit SERVER -NDB starten (bzw. die NDS mit UNLOAD DS
schließen) und mit einem Dateimanager für die Server Konsole
(siehe Netware-Server.de unter Tools) bestimmte Dateien aus SYS:_NETWARE löschen:
block.nds, partitio.nds, value.nds und entry.nds . Als Freeware Tool zum
reinen Löschen der Dateien bietet sich hier auch remfile.nlm von Novell
Consulting an.
Mit RCONSOLE können Sie auch jede dieser Dateien durch
Darüberkopieren einer leeren Datei ersetzen.
Synthetische Zeit wird auf Partition "MY_TREE." angegeben
Alle Objekte in der NDS haben einen Timestamp. Bei der obigen Fehlermeldung gibt es Objekte, die einen Timestamp haben, der in der Zukunft liegt. Das passiert z.B., wenn beim Einrichten der NDS eine falsche Zeit eingestellt war. Das Verändern der Systemzeit hat ziemlich weitreichende Folgen in der NDS.
Eigentlich dürfte man jetzt keinerlei Objekte mehr ändern, bis dieser Zeitpunkt erreicht wird, da ja alle Änderungen älter wären als das Ursprungsobjekt. Da das nicht praktikabel ist, nimmt Netware eine synthetische Zeit. Da das aber nur eine Notlösung ist, erscheint eben die Fehlermeldung.
Wenn die Zeit jedoch nur um 2-3 Wochen verstellt wurde, was sich durch ein "local dsrepair" feststellen läßt, sollten Sie aufgrund der Warnung unten diesen Zeitpunkt einfach abwarten. Die Konsolenmeldungen verschwinden dann automatisch.
Reparieren kann man das bei einer ansonsten intakten NDS mit DSREPAIR.NLM. Unter Advanced Options, Replica Operations, Repair time stamps and declare a new epoch bzw. bei der deutschen Version mit Erweiterte Optionen, Reproduktions- und Partitionsoperationen, Zeitstempel reparieren und eine neue Epoche angeben.
Dieser Menupunkt ist bei den neuen DSREPAIR Versionen (z.B. Version 4.56) scheinbar nicht mehr vorhanden. Man kann ihn nur noch erreichen, wenn man DSREPAIR mit dem Parameter -A startet.
Alle future time stamps werden damit auf die aktuelle Zeit gesetzt, gleichzeitig wird mit der neuen Epoche verhindert, daß es zu Konflikten mit falschen time stamps von anderen Replicas kommt.
Beachten Sie aber unbedingt, dass dieser Vorgang in
Multiserverumgebungen (vor allem im WAN) erheblichen Datenverkehr verursacht
und auch nicht unproblematisch ist, weil temporär alle Replikas
außer dem Master gelöscht werden. Bei Problemen während der
Neusynchronisation ist dann die gesamte NDS zerschossen.
In gemischten NW 4.x und NW 5.x Netzen innerhalb eines Baumes müssen alle Master NW 5.x Server sein. Alles andere macht früher oder später Probleme. (u.a. mit NLS, ZEN, DNS/DHCP, NEPS, etwas aufwendigeren NDS Operationen wie Merge oder Schemaoperationen aller Art).
Des weiteren müssen auf den NW 4.10 und 4.11 Servern die jeweils aktuelle DS.NLM Versionen installiert sein, damit alle Features der NDS unterstützt werden.
Solange in einem Multi-Server Netz NW 4.x Server (mit der NDS7) betrieben werden, sollte bei NW 5.x keine NDS8 verwendet werden. Dies macht eh keinen Sinn, weil die Neuerungen der NDS8 nicht aktiviert werden, solange noch ein Server mit der NDS7 verwendet wird.
NW 4.10 und 4.11 Server sollten außerdem die Licensing Services (aus Service Pack IWSP6A oder neuer) installiert haben, damit die Lizenzen des NW 5 Server installiert werden können. Dazu geben Sie nach der Installation LOAD SETUPNLS an der Konsole ein und anschließend den Namen des Admins inklusive Kontext (nach dem Muster CN=ADMIN.OU=blahblah.O=blahblubb) an.
Zumindest bei NW 4.11 sollten Sie dann auch LOAD NLSLSP.NLM in der Autoexec.ncf eingetragen, sonst klappt die Lizenzierung nicht.
Sie möchten z.B. einen Synchronisationslauf im DSTRACE verfolgen und protokollieren:
SET DSTRACE=ON ;DSTRACE einschalten SET DSTRACE=+SYNC ;Alle Sync-Infos an SET DSTRACE=+SCHEMA SET DSTRACE=+PART SET DSTRACE=+MISC SET TTF=ON ;Trace einschalten (TTF=Trace To File) SET DSTRACE=*S SET DSTRACE=*R ;Trace-File zurücksetzen SET DSTRACE=*H ;Synchronisation starten
Warten Sie, bis die Synchronisation durch ist, dann geben Sie ein:
SET TTF=OFF ; Tracefile schließen
SET DSTRACE=OFF ; Trace beenden
Die Datei SYS:SYSTEM/DSTRACE.DBG kann dann von Spezialisten ausgewertet werden.
Fehlerhafte NDS Objekte im NWADMIN können folgende Symbole aufweisen:
Kreise mit Fragezeichen = Problem
Vierecke mit Fragezeichen = Snapin für den NWAdmin nicht
installiert
folgende TIDs in der Novell Knowledgebase sind für dieses Thema zu empfehlen:
INCLUDE [path]filename funktioniert (wie bei NW3.x), wenn Sie im Login Script eine normale ASCII-Datei einsetzen möchten.
Seit der NW 4.x kann man aber auch die Login Scripte von Profiles oder allen anderen NDS-Objekten, die die Eigenschaft 'loginscript' besitzen (O, OU, User...), einbinden.
Hierzu lautet der Befehl INCLUDE <profilename>[.<context>].
Voraussetzung ist, dass das ausführende Objekt zumindest das Leserecht auf diese Eigenschaft hat.
ASCII-Dateien haben den Vorteil, dass sie nicht in SYS:_NETWARE verwahrt werden und sich somit mit auch normalen Texteditoren bearbeiten lassen, allerdings bei mehreren Servern den Nachteil, dass sie nicht automatisch über die NDS repliziert werden.
An der Serverkonsole muss des öfteren ein NDS Username angegeben werden, meist handelt es sich um den Admin oder einen anderen Benutzer mit Admin Rechten. Dabei wird der DN (distinguished name) gefordert.
Bei einem Baum, der folgendermassen aussieht:
tree
org1
org2
user1
wäre der DN von user1: cn=user1.ou=org2.ou=org1.o=tree
cn:=common name ou:=organizational unit o:=organization
Im Normalfall ist bei NDS-Operationen oder beim Einrichten bzw. Löschen von Lizenzen der Admin gefragt: cn=admin.o=baumname
Man kann das Admin Paßwort wie bei Netware 3.x (siehe "verlorenes Supervisor-Paßwort") umstellen. Dazu können die gleichen Tools verwendet werden, wobei zuvor der Bindery Kontext (evtl. zusätzlich) auf den Container gesetzt werden muß, in dem der Admin oder der jeweilige Benutzer steht.
Bei NW 4.x und NW 5 ist im Vorfeld allerdings zu beachten, daß man zusätzliche Admins nicht zum bestehenden Admin äquivalent macht (siehe "zusätzlicher Admin").
Das Löschen des Admins selbst ist nicht so trivial zu beheben. Dazu gibt es bei Netware-Server.de unter Tools die Demoversion eines Utilities, alternativ ruft man Novell an und läßt den Admin gegen Bezahlung online wieder herstellen.
"Hacker", "Ausspähen von Daten",
"Einbruch in NetWare Server"
Das frühere NDS for Linux oder auch NDS for NT hiess zwischenzeitlich NDS Corporate Edition und jetzt NDS Account Management.
Diese Version gibt es für verschiedene OS und ermöglicht eine Verwaltung der Resourcen, wie sie das jeweilige OS anbietet. Also User Accounts, Domains, und was das jeweilige OS sonst noch so zu bieten hat. Es ist also auf das jeweilige OS zugeschnitten.
Sie können die Version gestaffelt nach Userzahlen kaufen. (5, 25, 100 und 500)
eDirectory (früher: NDS8) läuft nicht nur unter Novell NetWare, sondern auch untr Linux und Windows.
Man kann unter Linux und Windows zwar auch User anlegen usw. die haben aber nichts mit dem OS zu tun, auf dem eDirectory läuft. eDirectory ist also ein systemübergreifendes Directory, auf das alle möglichen Resourcen zugreifen können. Das können auch z.B. Kunden und Lieferanten sein und eDirectory wäre dann die Datenbank, die die Authentifizierung (Stichwort e-Commerce). Oder man legt seine Personaldatenbank im eDirectory ab. Den Ideen sind (fast) keine Grenzen mehr gesetzt.
Vor allem in großen Netzen mit zigtausenden Objekten (auch unter NetWare selbst) spielt eDirectory seine Stärken aus. In kleineren Netzen wird die neue Struktur, die eine neue physikalische Aufteilung der NDS Datenbank bedingte, aufgrund von automatischen Indexierungen der Objekte sogar langsamer sein.
eDirectory kauft man ebenfalls gestaffelt, allerdings mit höherer Userzahl (100, 500, 1000)
Wer mehrere File Server mit NDS installiert, ohne während der Installation der neuen Server eine Verbindung zum ersten Server zu haben, kann diese nicht automatisch im gleichen Tree verwalten, auch wenn alle Server den gleichen Treenamen besitzen.
Die einfachste Lösung ist das Löschen auf dem unwichtigen Server und das Neuanlegen der NDS auf demselben bei bestehender Verbindung zum bestehenden Hauptserver.
LOAD INSTALL - Directory Options
Dabei werden aber natürlich alle Directory-Informationen gelöscht und die NDS des Hauptservers komplett übernommen.
Wer dagegen zwei Trees tatsächlich zusammenführen und dabei keine Informationen verlieren möchte, kann dies mit DSMERGE.NLM erreichen.
Die NDS8 unterstützt das Mergen und auch Umbenennen von
Trees allerdings nicht. Sie können allerdings das DSMerge aus dem neuen
(kostenlos erhältlichen) NDS 8.5 benutzen, das auch mit der NDS8
funktioniert.
Dieses Dienstprogramm wird auf dem Server mit der Master Replica der Root-Partition des Quell-Verzeichnisbaums geladen. Dabei sollten die vor dem eigentlichen Verknüpfen liegenden Schritte (DSRepair in beiden Bäumen, einheitliche DS Schemata, Auflösung identischer Namen unterhalb des Root-Verzeichnisses und Sicherung der Trustees des Root-Verzeichnisses für spätere Wiederherstellung) beachtet werden, damit das Zusammenfügen der Bäume fehlerfrei ausgeführt werden kann. Angesichts der kritischen Operationen in den Verzeichnisbäumen empfehle ich dringend, die Vorgehensweise zuvor in der Online Dokumentation bzw. der unten angegebenen TID nachzulesen.
Nach dem Abschluß von DSMerge befinden sich die Inhalte der beiden Verzeichnisbäume in einem gemeinsamen Root-Verzeichnis und können dort weiter bearbeitet werden. Auch hier sollten zuvor die einem DSMerge nachgelagerten Arbeitsschritte (Überprüfen des korrekten Verzeichnisnamens für alle Server-Objekte) ausgeführt werden.
Ein (Intra)NetWare for Small Business 4.11 Server kann
nicht in den gleichen Baum wie "richtige" Netware-Server
eingebunden werden!
Des weiteren sollten die DS Versionen bei allen eingesetzten Servern möglichst übereinstimmen und die Zeit muss auf allen Servern synchron laufen.
TID 10011011 (lokal): enthält eine sehr ausführliche
Anleitung zum Mergen von Trees
Um einen Tree zu teilen, gibt es bei Novell eine Möglichkeit, die es erlaubt, die Trees später wieder zu mergen. Diese ist aber relativ gefährlich und wird von Novell selbst nicht unterstützt: TID 10050607 (lokal)
Eine weitere TID erklärt das Splitten eines Trees: TID 10053915 (lokal)
Wir erhalten immer wieder die Frage, auf welche Weise man die NDS sichern soll. Da in dieser Datenbank bekanntlich alle User, Gruppen, usw. enthalten sind, ist eine Sicherung derselben natürlich eminent wichtig.
Es gibt einige "tolle" Möglichkeiten, die NDS eines NW 4.x oder 5.x Servers zu sichern, wobei keine dieser Möglichkeiten eine korrekte Rücksicherung der NDS im Notfall zuläßt, was eine derartige Sicherung nicht eben sinnvoll erscheinen lässt.
Zum Sichern der NDS ist von Novell nur TSANDS vorgesehen. Dieses NLM wird von allen aktuellen serverbasierten Backupprogrammen unterstützt und ist tatsächlich der einzige (sinnvolle) Weg, eine NDS komplett zu sichern, wobei damit auch einzelne NDS Objekte wieder zurückgesichert werden können.
Eine weitere Möglichkeit ist es natürlich, die NDS auf mehreren Servern als Replika vorzuhalten. In Multiservernetzwerken existieren mehrere Replikas der NDS, die bei Ausfall eines einzelnen Servers (auch dem mit der Master-Replika) als neue Referenz verwendet werden können.
Eine Rücksicherung der NDS ist erst dann notwendig und sinnvoll, wenn auf keinem der Replika-Server eine funktionierende NDS mehr vorhanden ist. Ansonsten macht eine Rücksicherung der NDS eher zusätzliche Probleme.
Sie sollten vor dem Wiedereinfügen des ausgefallenen Netware Servers aber unbedingt einige Punkte beachten, die bei Novell in der TID 10013535 (lokal) beschrieben werden.