Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 1)

Das Thema Domain Controller und dessen Einrichtung – oder eben nicht – scheint sich hier im Forum immer größerer Beliebtheit zu erfreuen. Sämtliche Funktionen stellt QNAP standardmäßig schon zur Verfügung. Deshalb würde sich dies auch für private Netzwerkumgebungen anbieten. Für manche scheint dies jedoch ein Buch mit sieben Siegeln zu sein. Zugegebener Massen ist das Thema für einen Laien nicht ganz ohne, allerdings mit einer passenden Anleitung und ein paar Tricks auch kein Hexenwerk.

Ergänzend zum Blogartikel Tanze Samba mit Pi - Teil 1: Vorwort von Laurenzis hier die Variante mit der QNAP selbst.


Was ist eigentlich ein Domänen Controller?

Kurz: Ein Domänen Controller (Domain Controller) dient zur zentralen Verwaltung von Benutzer und Geräten und deren Rechte.

Jeder Benutzer und jedes Gerät in einem Netzwerk meldet sich zentral bei diesem Controller an und dieser vergibt die so zentral gesteuerten Rechte. Somit kann bei jedem Benutzer und jedem Gerät genau festgelegt werden wer was wo wie und wann machen darf. Dabei kann hier bei weitem mehr festgelegt werden als ein lokaler Administrator es könnte. Dabei beschränkt sich das Regelwerk nicht ausschließlich auf das Windowssystem sondern kann auch auf Programme ausgeweitet werden, je nachdem wie gut selbige dies unterstützen.


Für wen ist diese Anleitung?

Mit dieser Schritt-für-Schritt-Anleitung möchte ich dem ambitionierten Hobbynetzwerker das Thema ein wenig näher bringen, so dass ein Domänen Controller mit Active Directory auch zuhause im kleinen Maßstab eingesetzt werden kann.


Wann macht ein Domänen Controller Sinn?

Ein Domänen Controller macht nur Sinn, wenn es mehrere Windows Geräte für mehrere Benutzer zu verwalten gilt. Für einen oder zwei Windows Clients würde ich mir die Arbeit eher nicht antun. Sind aber mehr Geräte vorhanden, vor allem wenn Geräte und Benutzer verstärkten Regeln oder komplexeren Zugriffsrechten unterworfen werden sollen – Jungmannschaft, die nicht alles können soll oder darf, oder wenn auf mehreren Geräten unterschiedliche Benutzer arbeiten sollen, dann macht ein DC (Domänen Controller) mit AD (Active Directory), GPP (Gruppenrichtlinien Preferenzen) und GPO (Gruppenrichtlinien Objekten) durchaus Sinn.



1. Voraussetzungen


Damit ein DC auch im privaten Netzwerk funktioniert müssen ein paar Voraussetzungen gegeben sein.


Welche QNAP Modelle kann ich verwenden?

In unserem Fall muss ein QNAP NAS vorhanden sein, die diese Funktion unterstützt – was wohl bei den meisten aktuelleren Modellen der Fall sein dürfte. Dabei spielt es keine Rolle, ob es sich hier um ein Intel, AMD oder ARM-Modell handelt.


Welches Windows Client-Betriebssystem wird benötigt?

Bei dem Windows Client-Betriebssystem muss es sich mindestens um eine Windows Pro Edition oder besser handeln – also Pro, Ultimate, Enterprise. Mit der Home Edition funktioniert dies leider nicht. Bei vielen dürfte hier also schon Schluss sein, da die meisten Heimgeräte mit der Home Edition ausgeliefert werden.

Ob es sich hier um eine x86 oder x64 Version handelt spielt indessen keine Rolle.


Wie finde ich heraus welche Edition auf meinen Geräten installiert ist?

Unter Windows 10:

- Taste <Win> + <X>

- System

- Unter „Windows-Spezifikation“ steht die Edition


Unter Windows 8 / 7:

- Systemsteuerung > System und Sicherheit > System

oder

- Systemsteuerung > Alle Systemsteuerungselemete > System


Ich habe eine Home Edition, kann ich jetzt wirklich kein DC benutzen?

Für diejenigen die eine Home Edition installiert habe besteht die Möglichkeit ein Upgrade auf eine höhere Edition vorzunehmen, kostenpflichtig versteht sich. Dies muss dann für alle betroffenen Geräte gekauft und installiert werden.



2. Aufbau der Testumgebung dieser Anleitung


Das QNAP NAS

Bei dieser Anleitung gehe ich von einem QNAP NAS mit QTS 4.3.5 aus. In meinem Fall eine TS-328, ein ARM-Modell mit einer relativ schwachen Realtek CPU und lediglich 2 GB Arbeitsspeicher, von denen nur 1,5 GB zur Verfügung stehen. Ich nehme hier absichtlich ein schwaches NAS um zu demonstrieren, dass dies auch mit einem kleinen NAS umzusetzen ist. Ich gehe davon aus, dass bei den meisten Privaten eher ein etwas schwächeres QNAP Modelle steht.

Ich habe vor knapp 2 Jahren einen DC mit AD, GPP und GPO auch mit einer TS-231+ auf QTS 4.2, ein ARM-Modell mit Annapurna Labs CPU umgesetzt.

Wer ein etwas stärkeres und größeres Modell sein Eigen nennt hat evt. die Möglichkeit hier vQTS (virtualisiertes QTS) zu verwenden. Zum Testen sicher keine schlechte Wahl.


Der Windows Client

Bei mir handelt sich hier um ein virtualisiertes Windows 10 1803 Pro x64. Windows 10 1809 verwende ich hier absichtlich nicht, das diese Version noch so ihre Problem zu haben scheint. Den Client habe ich mit Virtualbox auf einem Ubuntu Notebook virtualisiert. Bei Virtualbox handelt es sich um eine Virtualisierungssoftware die hauptsächlich vom Unternehmen Oracel entwickelt wird. Diese lässt sich kostenlos aus dem Internet herunterladen und steht für Windows, MacOS und Linux Desktop- und Server-Betriebssysteme zur Verfügung.

Mein Ubuntu Client ist ein eher schwächeres Gerät, zum Testen mit Windows 10 reicht es jedoch aus. Virtualisiert deshalb, um jederzeit den Client wieder auf den ursprünglichen Stand zurücksetzen zu können. Zum Testen ist dies durchaus zu empfehlen, benötigt aber eine eigene Windows Lizenz – zumindest offiziell. ;)



3. Warnungen


Ein paar Warnungen vorne weg:


  • Sobald Ihr Euer NAS als Domain Controller verwendet ist Schluss mit Festplattenruhe. Die Festplatten gehen hier nicht mehr schlafen.
  • Ein falsch eingerichteter DC kann in einem Netzwerk relativ viel Ärger verursachen. Wer mit DC und AD noch nie gearbeitet hat ist gut beraten dies in einer Testumgebung zu manchen - vQTS und virtuelle Clients oder in einem physisch oder durch VLAN getrennten Netzwerk – vor allem im beruflichen Umfeld. Im privaten Bereich kann auch ein Notebook direkt am NAS herhalten. Nicht dass der Haussegen schief hängt wenn nichts mehr geht. :)
  • Mit GPP und GPO können viele Dinge reguliert werden. Im schlimmsten Fall kann man sich hier aber auch selbst aussperren.

    Da dieses Thema relativ schwierig ist und auf einer QNAP unter QTS leider nicht ganz so gut funktioniert wie auf einem Windows AD DC bin ich nicht sicher ob ich hier eine leicht verständliche Schritt-für-Schritt-Anleitung hin bekomme. Aber mal sehen.



4. Erste Vorbereitungen


Wichtig für einen DC ist eine fest vergebene IP-Adresse. Ein DC bei dem die IP-Adresse plötzlich eine andere ist kann man nicht wirklich gebrauchen. Deshalb unter:


> Netzwerk- und virtueller Switch > Netzwerk > Schnittstellen > Schnittstellen


die IP des entsprechenden Adapters manuell anpassen.



Die IP-Adresse muss außerhalb des DHCP-Range sein.


Im gleichen Zug würde ich den Namen des NAS überprüfen. Unter:


> Systemsteuerung > System > Allgemeine Einstellungen > Systemadministration > Servername



kann der Name des NAS angepasst werden. Achtet darauf auf zu lange Namen und Sonderzeichen zu verzichten. Auch Funktionsbezeichnungen wie z.B. „Server“, „Controller“ sollten vermieden werden, denn solche Begriffe können schon vom System verwendet werden und können unvorhersehbare Probleme verursachen.

Kommentare 12

  • ich hänge schon seit üner 1 Jahr mehr oder weniger an der Stelle "wie gehts weiter und kann das eine echte Alternative zu nem WinServer ergeben"... aber bisher erfolglos... hab bestimmt über alles 100h investiert (Testumgebung). Vor allem ein verlässtiches, stabiles Netzwerk mit DNS/DHCP/Router/Druckserver... etc. hab ich noch nicht hinbekommen.


    Daher... Bitte and den Profiteacher: Wie gehts weiter?!!!!!

    • Scheint doch einen Bedarft für eine Schritt für Schritt Anleitung zu geben. Das dies für Ungeübte nicht ganz einfach ist war mir von Anfang an klar. Ob es dann mit meiner Anleitung dann ganz ohne Probleme klappt ist aber eine andere Sache. :)

    • Danke!

    • hab alles wie beschrieben heute so in testumgebung gemacht, ein Win10pro PC lässt sich dennoch (noch) nicht hinzufügen, er findet schlicht die Domain nicht (Wechsel von Arbeitsgruppe). Fehler "Der DNS-Name ist nicht vorhanden" ...Windows empfielt das kein SRV Eintrag in dem AD DCgesetzt ist. Selbingen kann ich auf dem QNAP nicht finden, bzw. weis nicht wie korrekt zu erstellen. Es wäre sehr schön wenn das hier zeitnah fortgeführt würde.

      Frage:

      - darf der Domainnahme auch 10 Buchstaben lang sein?

    • Da bin ich gerade auch überfragt, wie lange so ein Domainname sein darf, aber "test.intern.de" ist ja schon 14 Zeichen lang.

      Das Einbinden der Clients ist für Teil 3 geplant, allerdings bis Teil 4, 5 und 6 fertig sind wird es schon noch ein Weile dauern, schätze mal so bis Ende dieses Anfang nächstes Jahr. Diese Artikel schreiben sich nicht mal eben so. Und wie ich am Anfang Teil 1 schon geschrieben habe ist dieses Thema nicht ganz so einfach wie andere und benötigt somit etwas mehr, auch von mir.

  • wann geht es weiter :-D

  • Wie wird man denn hier über Nachfolgeartikel benachrichtigt?

    Ich "verliere" manchmal die Anleitungen und stolpere mehr oder weniger zufällig wieder darüber.

    Auf jeden Fall ein hilfreicher Artikel, weil ich mit AD noch nicht wirklich viel am Hut habe.

    Leider kann meine NAS kein vQTS virtualisieren.

    • Zitat

      Wie wird man denn hier über Nachfolgeartikel benachrichtigt?

      Du könntest den Blog abbonieren.