Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 2)
Mavalok2
00 Titel.jpgFortsetzung von: Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 1)
5. Aktivieren des Domänen Controllers
Das Aktivieren und die Grundeinrichtung des Domänen Controllers mit QTS ist relativ einfach. Häkchen setzen, Domainname und Passwort vergeben. Das war es schon. OK, ein wenig mehr benötigt es dann doch noch. Aber alles der Reihe nach.
Unter:
Systemsteuerung > Rechte > Domaincontroller
können die notwendigen Einstellungen vorgenommen werden.
Den Haken bei <Domaincontroller aktivieren> setzen:
Nun können weitere Einstellungen vorgenommen werden. Bei der obersten Auswahl kann die Standardeinstellung auf <Domaincontroller> belassen werden. Für das kleine Heimnetz zu Hause werden im Normalfall die Einstellungen <Zusätzlicher Domaincontroller> und <Schreibgeschützter Domaincontroller> nicht benötigt.
Unter
dem Punkt <Domain> kann der Name der Domäne angegeben
werden. Dabei ist auch hier wichtig den richtigen Namen zu vergeben.
Nicht alles was gefällt kann und soll verwendet werden. Auch wenn
der Domaincontroller viele Namen klaglos entgegen nimmt, kann der
falsche Name etliche Probleme verursachen. Gerade diejenigen, die
eine eigene Homepage mit eigenem Namen haben wollen sicher diesen
gerne verwenden. Wird dieser aber einfach so als Domänenname
verwendet verursacht dies Probleme beim Aufrufen selbiger. Dennoch
muss man nicht auf diesen verzichten. Mit einem kleinen Trick
funktioniert dies problemlos. In meinen Beispiel wäre meine Homepage
„test.de“. Würde ich diesen Namen so meiner Domäne geben, wie
soll die DNS-Auflösung unterscheiden, ob ich jetzt nun die Homepage
oder die Domäne meine? In meinem Beispiel gebe ich meiner Domäne
den Namen „test.intern.de“. Natürlich kann es jetzt zu Problemen
mit der Homepage „intern.de“ kommen. Der Eigentümer selbiger mag
es mir verzeihen, dass mir dies egal ist, denn dessen Inhalt benötige
ich nicht.
Auch hier gilt wieder, wie beim Geräte- und Servernamen, Funktionsnamen etc. sind tabu.
Jetzt noch das Administrationspasswort vergeben. Auch hier ist einiges zu beachten. Man kann zwar das „admin“ oder jedes andere Administrator-Passwort der QNAP verwenden, was auch je nach Verwendung durchaus zweckmäßig sein kann, aber nicht immer ist dies sinnvoll. Dieses Passwort wird nicht nur zum Einrichten und Anpassen des Domänen Controllers verwendet, sondern auch zum Einbinden der Clients (PC/Notebook) in die Domäne. Soll eine andere Person den DC verwalten oder auch Computer einbinden können, aber keinen Zugriff auf die QNAP als Administrator erhalten, empfiehlt es sich unterschiedliche Passwörter zu vergeben. Dem Einen oder Anderen werden hier bzgl. DC-Verwaltung Zweifel aufkommen, da man für die WebGUI schließlich Admin-Rechte benötigt. Dafür gibt es einen Trick, dass dies auch getrennt verwaltet werden könnte. Aber mehr dazu später. Gibt es nur einen Administrator zu Hause, was vielleicht auch besser ist – viele Köche und der verdorbene Brei und so... – dann einfach das gleiche Passwort vergeben.
Wie
bei jedem anderen Passwort gelten auch hier die üblichen Regeln, vor
allem notieren.
Wenn das Passwort zweimal korrekt eingegeben wurde kann mit <Übernehmen> die Einrichtung gestartet werden. Im nachfolgenden Dialogfenster wird darauf hingewiesen, dass nur noch Domain Benutzer eine Verbindung zu Microsoft-Netzwerk-Freigabeordner (SMB/CIFS) herstellen können. Hier bestätigen, denn genau das wollen wir ja schließlich. Die Einrichtung kann eine Weile dauern. Bei meiner TS-328 hatte ich das Gefühl, dass die QNAP abgestürzt sei, aber bei einem schwächeren Modell benötigt dies einfach eine gewisse Zeit. Also geduldig warten oder einen Kaffee trinken gehen.
Das
war's. Der Domaincontroller (DC) und das Active Directory (AD) läuft.
OK, ein paar zusätzliche Dinge benötigt es doch noch.
6. Benutzer einrichten
Unter <Benutzer> können bzw. müssen die Benutzer die Zugriff auf die Domäne erhalten sollen neu eingerichtet werden. Die zuvor lokal erstellten Benutzer haben keine Berechtigung in der Domäne.
Die Benutzer können einzeln, mehrere gleichzeitig mit den gleichen Grundeinstellungen oder per Import erstellt werden. Das Erstellen erfolgt mit Hilfe eines Assistenten und sollte eigentlich selbsterklärend sein.
Berechtigungen und Einstellungen können hier auch nachträglich angepasst werden.
7. Gruppen einrichten
Unter <Gruppen> können bzw. müssen die Benutzer den gewünschten Gruppe zugeordnet werden. Die Benutzer werden automatisch der Gruppe „Domain Users“ zugeordnet. Wollt Ihr einen Benutzer nachträglich einer zusätzlichen Gruppe zuordnen, z.B. diesen zum Administrator machen, dann kann dies hier vorgenommen werden. Der Benutzer kann auch schon beim Erstellen beliebigen Gruppen zugeordnet werden.
Soll der Benutzer auch die Domäne verwalten können muss der Benutzer der Gruppe „Domain Admins“ beitreten. Die „Domain Admins“ ist in einer Domäne die höchste Stufe des Administrators.
8. Computer
In einer Domäne haben auch Computer, Server und andere Geräte bestimmte Rechte bzw. diese werden und können ihnen zugewiesen werden. Normalerweise werden Computer beim Beitreten der Domäne automatisch hinzugefügt und der Gruppe „Domain Computers“ hinzugefügt und herhalten auch deren Rechte. Somit muss hier im Moment eigentlich nichts angepasst werden. Zum Beitreten der Domäne komme ich etwas später.
9. DNS
Der DNS-Server (Domain Name System) dient zum Auflösen der Computer- und Gerätenamen in IP-Adressen. So wird z.B. aus Compu1 die IP-Adresse 192.168.1.33. Wir Menschen haben lieber Namen, die Computer und Server lieber Zahlen, sprich IP-Adressen.
Hier können die Einträge des DNS-Servers der Domäne verwaltet werden. Die Einträge der Computer werden normalerweise automatisch beim Beitreten der Domäne hinzugefügt. Also muss im Moment auch hier nichts hinzugefügt werden.
Überprüft aber dass hier schon der Name der QNAP selbst steht, in meinem Fall „quirian“. Mit einem Klick auf den Namen sollte hier nun rechts die IP-Adresse des NAS als Typ A Eintrag erscheinen.
Wer schon mal mit DNS-Servern gearbeitet hat wird auffallen, dass hier nur beschränkte Möglichkeiten der Einstellungen bestehen. Dies liegt jedoch nicht am DNS-Server sondern an der WebGUI. Mit zusätzlichen Tools lassen sich hier bei weitem mehr Einstellungen vornehmen. Das Selbe trifft auch auf alle anderen Einstellungen und Optionen des AD und DC zu. Aber mehr dazu später.
10. Sichern/Wiederherstellen
Hier können alle Einstellungen bzw. die Datenbank des ADDC automatisch zeitgesteuert gesichert werden. Ich kann nur dringend empfehlen diese Option zu nutzen und die Sicherung mit auf das Daten-Backup zu speichern – am besten auch mit den Systemeinstellungen des NAS. Die Einstellungen des ADDC werden nicht mit den normalen Einstellungen des QNAP Systems gespeichert. Dies muss immer zusätzlich erfolgen.
Sollte es notwendig sein können hier die Einstellungen mit der Sicherung wieder hergestellt werden.
11. Freigaben anpassen
Nun müssen auch noch die Freigaben für die Domänen Benutzer angepasst werden. Vorhandene bisherige Freigaben sind nur für lokale Benutzer gültig – und dies auch nur, wenn der DC wieder deaktiviert wird, siehe Punkt 5. Unter:
> Systemsteuerung > Rechte > Freigabeordner
können den einzelnen Ordner Freigaben der Domänen-Benutzer und Domänen-Gruppen zugewiesen werden. Bitte beachtet, dass Ihr nun die Domänen Benutzer und Gruppen verwendet.
Der Domaincontroller erstellt eine eigene Freigabe namens „Sysvol“. Diese darf nicht gelöscht oder anderweitig verwendet werden. Hier legt der DC alle notwendigen Dinge ab, auf die die Clients (Benutzer und Computer) zugreifen können müssen. Die Freigabe für die Benutzer und Computer erfolgt normalerweise automatisch. Benutzer und Computer benötigen jedoch nur Leserechte für diesen Ordner.
Zusätzlich
empfehle ich im Menü <Erweiterte Berechtigungen> die
Option <Erweitere Ordnerzugriffsrechte aktivieren> (dieser
Schreibfehler stammt nicht von mir, original QNAP
10 Erweiterte Berechtigungen.png
Je nach Menge und Struktur der vorhanden Daten kann dies eine Weile in Anspruch nehmen. Also Kaffeezeit.
12. Zeit überprüfen – NTP Server
Damit der DC und die Clients (PC / Notebook) auch richtig zusammen arbeiten können ist es zwingend notwendig, dass alle Geräte die selbe Zeit haben. Dabei kommt es nicht auf die Sekunde an, aber mehrere Minuten Differenz können eine Zusammenarbeit verhindern. Das hat mit den Authentifizierungstickets zu tun. Ich möchte hier allerdings nicht ins Detail gehen, da dies zu weit führen würde.
Standardmäßig wird die Synchronisation der Zeit eines Computers ohne DC per Internet gemacht. Dabei spielt es normalerweise auch innerhalb einer DC keine Rolle wenn die Geräte unterschiedliche Zeitserver verwenden. Probleme können allerdings entstehen, wenn ein Gerät falsch oder gar nicht synchronisiert und es somit zu einer Differenz kommt.
Die QNAP bietet einen eigenen Zeitserver (NTP-Server – Network Time Protocol) an. Dieser wird beim Aktivieren des DC automatisch mit aktiviert. Beim Einbinden in die DC eines Computers sollte nun automatisch dieser verwendet werden. Unter:
> Systemsteuerung > Anwendungen > NTP-Server
ist dieser zu finden. Viele Einstellungsmöglichkeiten bestehen über die WebGUI nicht.
Mehr zum Verbinden und Synchronisation der Clients mit dem QNAP NTP-Server später.
Zusätzliche Informationen zum Aktivieren und Einrichten des Domaincontrollers unter QTS finden sich im QNAP Turbo NAS User Manual.
Der
Domaincontroller und die QNAP sollten nun soweit vorbereitet sein,
dass die Clients eingebunden werden können. Mehr dazu im nächsten
Teil.