Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 2)

Fortsetzung von: Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 1)



5. Aktivieren des Domänen Controllers


Das Aktivieren und die Grundeinrichtung des Domänen Controllers mit QTS ist relativ einfach. Häkchen setzen, Domainname und Passwort vergeben. Das war es schon. OK, ein wenig mehr benötigt es dann doch noch. Aber alles der Reihe nach.


Unter:


Systemsteuerung > Rechte > Domaincontroller


können die notwendigen Einstellungen vorgenommen werden.


Den Haken bei <Domaincontroller aktivieren> setzen:



Nun können weitere Einstellungen vorgenommen werden. Bei der obersten Auswahl kann die Standardeinstellung auf <Domaincontroller> belassen werden. Für das kleine Heimnetz zu Hause werden im Normalfall die Einstellungen <Zusätzlicher Domaincontroller> und <Schreibgeschützter Domaincontroller> nicht benötigt.



Unter dem Punkt <Domain> kann der Name der Domäne angegeben werden. Dabei ist auch hier wichtig den richtigen Namen zu vergeben. Nicht alles was gefällt kann und soll verwendet werden. Auch wenn der Domaincontroller viele Namen klaglos entgegen nimmt, kann der falsche Name etliche Probleme verursachen. Gerade diejenigen, die eine eigene Homepage mit eigenem Namen haben wollen sicher diesen gerne verwenden. Wird dieser aber einfach so als Domänenname verwendet verursacht dies Probleme beim Aufrufen selbiger. Dennoch muss man nicht auf diesen verzichten. Mit einem kleinen Trick funktioniert dies problemlos. In meinen Beispiel wäre meine Homepage „test.de“. Würde ich diesen Namen so meiner Domäne geben, wie soll die DNS-Auflösung unterscheiden, ob ich jetzt nun die Homepage oder die Domäne meine? In meinem Beispiel gebe ich meiner Domäne den Namen „test.intern.de“. Natürlich kann es jetzt zu Problemen mit der Homepage „intern.de“ kommen. Der Eigentümer selbiger mag es mir verzeihen, dass mir dies egal ist, denn dessen Inhalt benötige ich nicht. :) Wer ganz sicher gehen will kann auch „intern.tv“ nehmen, denn diese Seite scheint es im Moment nicht zu geben. Das Gute daran: Der Name der Domäne beim Anmelden der Benutzer besteht nur aus dem ersten Teil des Domänennamen, dem Teil vor dem ersten Punkt, in meinem Fall also nur „test“. „test.intern.de“ wird für technische Dinge benötigt, aber beim Arbeiten selbst nicht mehr zwingend.

Auch hier gilt wieder, wie beim Geräte- und Servernamen, Funktionsnamen etc. sind tabu.


Jetzt noch das Administrationspasswort vergeben. Auch hier ist einiges zu beachten. Man kann zwar das „admin“ oder jedes andere Administrator-Passwort der QNAP verwenden, was auch je nach Verwendung durchaus zweckmäßig sein kann, aber nicht immer ist dies sinnvoll. Dieses Passwort wird nicht nur zum Einrichten und Anpassen des Domänen Controllers verwendet, sondern auch zum Einbinden der Clients (PC/Notebook) in die Domäne. Soll eine andere Person den DC verwalten oder auch Computer einbinden können, aber keinen Zugriff auf die QNAP als Administrator erhalten, empfiehlt es sich unterschiedliche Passwörter zu vergeben. Dem Einen oder Anderen werden hier bzgl. DC-Verwaltung Zweifel aufkommen, da man für die WebGUI schließlich Admin-Rechte benötigt. Dafür gibt es einen Trick, dass dies auch getrennt verwaltet werden könnte. Aber mehr dazu später. Gibt es nur einen Administrator zu Hause, was vielleicht auch besser ist – viele Köche und der verdorbene Brei und so... – dann einfach das gleiche Passwort vergeben.

Wie bei jedem anderen Passwort gelten auch hier die üblichen Regeln, vor allem notieren. :D


Wenn das Passwort zweimal korrekt eingegeben wurde kann mit <Übernehmen> die Einrichtung gestartet werden. Im nachfolgenden Dialogfenster wird darauf hingewiesen, dass nur noch Domain Benutzer eine Verbindung zu Microsoft-Netzwerk-Freigabeordner (SMB/CIFS) herstellen können. Hier bestätigen, denn genau das wollen wir ja schließlich. Die Einrichtung kann eine Weile dauern. Bei meiner TS-328 hatte ich das Gefühl, dass die QNAP abgestürzt sei, aber bei einem schwächeren Modell benötigt dies einfach eine gewisse Zeit. Also geduldig warten oder einen Kaffee trinken gehen.


Das war's. Der Domaincontroller (DC) und das Active Directory (AD) läuft. OK, ein paar zusätzliche Dinge benötigt es doch noch. ;)



6. Benutzer einrichten


Unter <Benutzer> können bzw. müssen die Benutzer die Zugriff auf die Domäne erhalten sollen neu eingerichtet werden. Die zuvor lokal erstellten Benutzer haben keine Berechtigung in der Domäne.



Die Benutzer können einzeln, mehrere gleichzeitig mit den gleichen Grundeinstellungen oder per Import erstellt werden. Das Erstellen erfolgt mit Hilfe eines Assistenten und sollte eigentlich selbsterklärend sein.



Berechtigungen und Einstellungen können hier auch nachträglich angepasst werden.



7. Gruppen einrichten


Unter <Gruppen> können bzw. müssen die Benutzer den gewünschten Gruppe zugeordnet werden. Die Benutzer werden automatisch der Gruppe „Domain Users“ zugeordnet. Wollt Ihr einen Benutzer nachträglich einer zusätzlichen Gruppe zuordnen, z.B. diesen zum Administrator machen, dann kann dies hier vorgenommen werden. Der Benutzer kann auch schon beim Erstellen beliebigen Gruppen zugeordnet werden.

Soll der Benutzer auch die Domäne verwalten können muss der Benutzer der Gruppe „Domain Admins“ beitreten. Die „Domain Admins“ ist in einer Domäne die höchste Stufe des Administrators.




8. Computer


In einer Domäne haben auch Computer, Server und andere Geräte bestimmte Rechte bzw. diese werden und können ihnen zugewiesen werden. Normalerweise werden Computer beim Beitreten der Domäne automatisch hinzugefügt und der Gruppe „Domain Computers“ hinzugefügt und herhalten auch deren Rechte. Somit muss hier im Moment eigentlich nichts angepasst werden. Zum Beitreten der Domäne komme ich etwas später.




9. DNS


Der DNS-Server (Domain Name System) dient zum Auflösen der Computer- und Gerätenamen in IP-Adressen. So wird z.B. aus Compu1 die IP-Adresse 192.168.1.33. Wir Menschen haben lieber Namen, die Computer und Server lieber Zahlen, sprich IP-Adressen.


Hier können die Einträge des DNS-Servers der Domäne verwaltet werden. Die Einträge der Computer werden normalerweise automatisch beim Beitreten der Domäne hinzugefügt. Also muss im Moment auch hier nichts hinzugefügt werden.



Überprüft aber dass hier schon der Name der QNAP selbst steht, in meinem Fall „quirian“. Mit einem Klick auf den Namen sollte hier nun rechts die IP-Adresse des NAS als Typ A Eintrag erscheinen.


Wer schon mal mit DNS-Servern gearbeitet hat wird auffallen, dass hier nur beschränkte Möglichkeiten der Einstellungen bestehen. Dies liegt jedoch nicht am DNS-Server sondern an der WebGUI. Mit zusätzlichen Tools lassen sich hier bei weitem mehr Einstellungen vornehmen. Das Selbe trifft auch auf alle anderen Einstellungen und Optionen des AD und DC zu. Aber mehr dazu später.



10. Sichern/Wiederherstellen


Hier können alle Einstellungen bzw. die Datenbank des ADDC automatisch zeitgesteuert gesichert werden. Ich kann nur dringend empfehlen diese Option zu nutzen und die Sicherung mit auf das Daten-Backup zu speichern – am besten auch mit den Systemeinstellungen des NAS. Die Einstellungen des ADDC werden nicht mit den normalen Einstellungen des QNAP Systems gespeichert. Dies muss immer zusätzlich erfolgen.



Sollte es notwendig sein können hier die Einstellungen mit der Sicherung wieder hergestellt werden.



11. Freigaben anpassen


Nun müssen auch noch die Freigaben für die Domänen Benutzer angepasst werden. Vorhandene bisherige Freigaben sind nur für lokale Benutzer gültig – und dies auch nur, wenn der DC wieder deaktiviert wird, siehe Punkt 5. Unter:


> Systemsteuerung > Rechte > Freigabeordner


können den einzelnen Ordner Freigaben der Domänen-Benutzer und Domänen-Gruppen zugewiesen werden. Bitte beachtet, dass Ihr nun die Domänen Benutzer und Gruppen verwendet.



Der Domaincontroller erstellt eine eigene Freigabe namens „Sysvol“. Diese darf nicht gelöscht oder anderweitig verwendet werden. Hier legt der DC alle notwendigen Dinge ab, auf die die Clients (Benutzer und Computer) zugreifen können müssen. Die Freigabe für die Benutzer und Computer erfolgt normalerweise automatisch. Benutzer und Computer benötigen jedoch nur Leserechte für diesen Ordner.


Zusätzlich empfehle ich im Menü <Erweiterte Berechtigungen> die Option <Erweitere Ordnerzugriffsrechte aktivieren> (dieser Schreibfehler stammt nicht von mir, original QNAP :) ) und <Windows-ACL-Unterstützung aktiveren> zu aktivieren. Dies kann immer wieder mal zu Problem führen und werden für die erweiterten Möglichkeiten von GPP und GPO auch benötigt.



Je nach Menge und Struktur der vorhanden Daten kann dies eine Weile in Anspruch nehmen. Also Kaffeezeit.



12. Zeit überprüfen – NTP Server


Damit der DC und die Clients (PC / Notebook) auch richtig zusammen arbeiten können ist es zwingend notwendig, dass alle Geräte die selbe Zeit haben. Dabei kommt es nicht auf die Sekunde an, aber mehrere Minuten Differenz können eine Zusammenarbeit verhindern. Das hat mit den Authentifizierungstickets zu tun. Ich möchte hier allerdings nicht ins Detail gehen, da dies zu weit führen würde.

Standardmäßig wird die Synchronisation der Zeit eines Computers ohne DC per Internet gemacht. Dabei spielt es normalerweise auch innerhalb einer DC keine Rolle wenn die Geräte unterschiedliche Zeitserver verwenden. Probleme können allerdings entstehen, wenn ein Gerät falsch oder gar nicht synchronisiert und es somit zu einer Differenz kommt.

Die QNAP bietet einen eigenen Zeitserver (NTP-Server – Network Time Protocol) an. Dieser wird beim Aktivieren des DC automatisch mit aktiviert. Beim Einbinden in die DC eines Computers sollte nun automatisch dieser verwendet werden. Unter:


> Systemsteuerung > Anwendungen > NTP-Server


ist dieser zu finden. Viele Einstellungsmöglichkeiten bestehen über die WebGUI nicht.



Mehr zum Verbinden und Synchronisation der Clients mit dem QNAP NTP-Server später.



Zusätzliche Informationen zum Aktivieren und Einrichten des Domaincontrollers unter QTS finden sich im QNAP Turbo NAS User Manual.


Der Domaincontroller und die QNAP sollten nun soweit vorbereitet sein, dass die Clients eingebunden werden können. Mehr dazu im nächsten Teil. :)

Kommentare 5

  • Du gehst am Anfang auf die Wahl des Namens ein (intern.de oder intern.tv etc.). Soweit ich weiss, ist die Top-Level-Domain ".local" genau dafür vorgesehen. Zugriffe auf eine solche Adresse verlassen das LAN nicht und werden nicht ins Internet weitergeleitet. Das könnte evtl. ein interessanter Aspekt sein.



    Ich habe mich auch mal an der Thematik DC versucht, hatte den DC auch bereits am laufen (zumindest sagten die Logs dies aus), aber ich habe es nicht geschafft einen Client einzubinden. Bin gespannt auf deinen nächsten Teil, in der Hoffnung dort zu sehen wo meine Fehler lag...

    (daher auch von mir ein großes Lob und ein dickes Danke, dass du dir die Arbeit machst uns alle schlauer zu machen :-)

    • Habe hier im Forum gelesen, dass .local wohl Probleme verursacht hat. Ich habe es selbst nie ausprobiert, kann also nicht mit Bestimmtheit sagen ob dies zutrifft oder nicht. Bei mir funktioniert es jedoch bestens mit .intern.

  • Super, dass Du Dir die Mühe zu diesem Artikel machst!


    Hast Du schon mal versucht eine Sicherung vom Domainencontroller wieder zurück zu spielen ? Ich habe das inzwischen mehrmals versucht aber noch nie konnte ich das je erfolgreich wieder zurückspielen.

    • Ja, habe ich und hat funktioniert, allerdings unter QTS 4.2.x. Unter 4.3.5 habe ich es jedoch noch nicht probiert.

    • Bei mir war es immer 4.3.4 wo es nicht funktioniert hat.