00 Titel.jpgFortsetzung von: Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 1)
5. Aktivieren des Domänen Controllers
Das Aktivieren und die Grundeinrichtung des Domänen Controllers mit QTS ist relativ einfach. Häkchen setzen, Domainname und Passwort vergeben. Das war es schon. OK, ein wenig mehr benötigt es dann doch noch. Aber alles der Reihe nach.
Unter:
Systemsteuerung > Rechte > Domaincontroller
können die notwendigen Einstellungen vorgenommen werden.
Den Haken bei <Domaincontroller aktivieren> setzen:
Nun können weitere Einstellungen vorgenommen werden. Bei der obersten Auswahl kann die Standardeinstellung auf <Domaincontroller> belassen werden. Für das kleine Heimnetz zu Hause werden im Normalfall die Einstellungen <Zusätzlicher Domaincontroller> und <Schreibgeschützter Domaincontroller> nicht benötigt.
Unter
dem Punkt <Domain> kann der Name der Domäne angegeben
werden. Dabei ist auch hier wichtig den richtigen Namen zu vergeben.
Nicht alles was gefällt kann und soll verwendet werden. Auch wenn
der Domaincontroller viele Namen klaglos entgegen nimmt, kann der
falsche Name etliche Probleme verursachen. Gerade diejenigen, die
eine eigene Homepage mit eigenem Namen haben wollen sicher diesen
gerne verwenden. Wird dieser aber einfach so als Domänenname
verwendet verursacht dies Probleme beim Aufrufen selbiger. Dennoch
muss man nicht auf diesen verzichten. Mit einem kleinen Trick
funktioniert dies problemlos. In meinen Beispiel wäre meine Homepage
„test.de“. Würde ich diesen Namen so meiner Domäne geben, wie
soll die DNS-Auflösung unterscheiden, ob ich jetzt nun die Homepage
oder die Domäne meine? In meinem Beispiel gebe ich meiner Domäne
den Namen „test.intern.de“. Natürlich kann es jetzt zu Problemen
mit der Homepage „intern.de“ kommen. Der Eigentümer selbiger mag
es mir verzeihen, dass mir dies egal ist, denn dessen Inhalt benötige
ich nicht. 
Wer ganz sicher gehen will kann auch „intern.tv“
nehmen, denn diese Seite scheint es im Moment nicht zu geben. Das
Gute daran: Der Name der Domäne beim Anmelden der Benutzer besteht
nur aus dem ersten Teil des Domänennamen, dem Teil vor dem ersten
Punkt, in meinem Fall also nur „test“. „test.intern.de“ wird
für technische Dinge benötigt, aber beim Arbeiten selbst nicht mehr
zwingend.
Auch hier gilt wieder, wie beim Geräte- und Servernamen, Funktionsnamen etc. sind tabu.
Jetzt noch das Administrationspasswort vergeben. Auch hier ist einiges zu beachten. Man kann zwar das „admin“ oder jedes andere Administrator-Passwort der QNAP verwenden, was auch je nach Verwendung durchaus zweckmäßig sein kann, aber nicht immer ist dies sinnvoll. Dieses Passwort wird nicht nur zum Einrichten und Anpassen des Domänen Controllers verwendet, sondern auch zum Einbinden der Clients (PC/Notebook) in die Domäne. Soll eine andere Person den DC verwalten oder auch Computer einbinden können, aber keinen Zugriff auf die QNAP als Administrator erhalten, empfiehlt es sich unterschiedliche Passwörter zu vergeben. Dem Einen oder Anderen werden hier bzgl. DC-Verwaltung Zweifel aufkommen, da man für die WebGUI schließlich Admin-Rechte benötigt. Dafür gibt es einen Trick, dass dies auch getrennt verwaltet werden könnte. Aber mehr dazu später. Gibt es nur einen Administrator zu Hause, was vielleicht auch besser ist – viele Köche und der verdorbene Brei und so... – dann einfach das gleiche Passwort vergeben.
Wie
bei jedem anderen Passwort gelten auch hier die üblichen Regeln, vor
allem notieren. 
Wenn das Passwort zweimal korrekt eingegeben wurde kann mit <Übernehmen> die Einrichtung gestartet werden. Im nachfolgenden Dialogfenster wird darauf hingewiesen, dass nur noch Domain Benutzer eine Verbindung zu Microsoft-Netzwerk-Freigabeordner (SMB/CIFS) herstellen können. Hier bestätigen, denn genau das wollen wir ja schließlich. Die Einrichtung kann eine Weile dauern. Bei meiner TS-328 hatte ich das Gefühl, dass die QNAP abgestürzt sei, aber bei einem schwächeren Modell benötigt dies einfach eine gewisse Zeit. Also geduldig warten oder einen Kaffee trinken gehen.
Das
war's. Der Domaincontroller (DC) und das Active Directory (AD) läuft.
OK, ein paar zusätzliche Dinge benötigt es doch noch. 
6. Benutzer einrichten
Unter <Benutzer> können bzw. müssen die Benutzer die Zugriff auf die Domäne erhalten sollen neu eingerichtet werden. Die zuvor lokal erstellten Benutzer haben keine Berechtigung in der Domäne.
Die Benutzer können einzeln, mehrere gleichzeitig mit den gleichen Grundeinstellungen oder per Import erstellt werden. Das Erstellen erfolgt mit Hilfe eines Assistenten und sollte eigentlich selbsterklärend sein.
Berechtigungen und Einstellungen können hier auch nachträglich angepasst werden.
7. Gruppen einrichten
Unter <Gruppen> können bzw. müssen die Benutzer den gewünschten Gruppe zugeordnet werden. Die Benutzer werden automatisch der Gruppe „Domain Users“ zugeordnet. Wollt Ihr einen Benutzer nachträglich einer zusätzlichen Gruppe zuordnen, z.B. diesen zum Administrator machen, dann kann dies hier vorgenommen werden. Der Benutzer kann auch schon beim Erstellen beliebigen Gruppen zugeordnet werden.
Soll der Benutzer auch die Domäne verwalten können muss der Benutzer der Gruppe „Domain Admins“ beitreten. Die „Domain Admins“ ist in einer Domäne die höchste Stufe des Administrators.
8. Computer
In einer Domäne haben auch Computer, Server und andere Geräte bestimmte Rechte bzw. diese werden und können ihnen zugewiesen werden. Normalerweise werden Computer beim Beitreten der Domäne automatisch hinzugefügt und der Gruppe „Domain Computers“ hinzugefügt und herhalten auch deren Rechte. Somit muss hier im Moment eigentlich nichts angepasst werden. Zum Beitreten der Domäne komme ich etwas später.
9. DNS
Der DNS-Server (Domain Name System) dient zum Auflösen der Computer- und Gerätenamen in IP-Adressen. So wird z.B. aus Compu1 die IP-Adresse 192.168.1.33. Wir Menschen haben lieber Namen, die Computer und Server lieber Zahlen, sprich IP-Adressen.
Hier können die Einträge des DNS-Servers der Domäne verwaltet werden. Die Einträge der Computer werden normalerweise automatisch beim Beitreten der Domäne hinzugefügt. Also muss im Moment auch hier nichts hinzugefügt werden.
Überprüft aber dass hier schon der Name der QNAP selbst steht, in meinem Fall „quirian“. Mit einem Klick auf den Namen sollte hier nun rechts die IP-Adresse des NAS als Typ A Eintrag erscheinen.
Wer schon mal mit DNS-Servern gearbeitet hat wird auffallen, dass hier nur beschränkte Möglichkeiten der Einstellungen bestehen. Dies liegt jedoch nicht am DNS-Server sondern an der WebGUI. Mit zusätzlichen Tools lassen sich hier bei weitem mehr Einstellungen vornehmen. Das Selbe trifft auch auf alle anderen Einstellungen und Optionen des AD und DC zu. Aber mehr dazu später.
10. Sichern/Wiederherstellen
Hier können alle Einstellungen bzw. die Datenbank des ADDC automatisch zeitgesteuert gesichert werden. Ich kann nur dringend empfehlen diese Option zu nutzen und die Sicherung mit auf das Daten-Backup zu speichern – am besten auch mit den Systemeinstellungen des NAS. Die Einstellungen des ADDC werden nicht mit den normalen Einstellungen des QNAP Systems gespeichert. Dies muss immer zusätzlich erfolgen.
Sollte es notwendig sein können hier die Einstellungen mit der Sicherung wieder hergestellt werden.
11. Freigaben anpassen
Nun müssen auch noch die Freigaben für die Domänen Benutzer angepasst werden. Vorhandene bisherige Freigaben sind nur für lokale Benutzer gültig – und dies auch nur, wenn der DC wieder deaktiviert wird, siehe Punkt 5. Unter:
> Systemsteuerung > Rechte > Freigabeordner
können den einzelnen Ordner Freigaben der Domänen-Benutzer und Domänen-Gruppen zugewiesen werden. Bitte beachtet, dass Ihr nun die Domänen Benutzer und Gruppen verwendet.
Der Domaincontroller erstellt eine eigene Freigabe namens „Sysvol“. Diese darf nicht gelöscht oder anderweitig verwendet werden. Hier legt der DC alle notwendigen Dinge ab, auf die die Clients (Benutzer und Computer) zugreifen können müssen. Die Freigabe für die Benutzer und Computer erfolgt normalerweise automatisch. Benutzer und Computer benötigen jedoch nur Leserechte für diesen Ordner.
Zusätzlich
empfehle ich im Menü <Erweiterte Berechtigungen> die
Option <Erweitere Ordnerzugriffsrechte aktivieren> (dieser
Schreibfehler stammt nicht von mir, original QNAP ) und
<Windows-ACL-Unterstützung aktiveren> zu aktivieren.
Dies kann immer wieder mal zu Problem führen und werden für die
erweiterten Möglichkeiten von GPP und GPO auch benötigt.
10 Erweiterte Berechtigungen.png
Je nach Menge und Struktur der vorhanden Daten kann dies eine Weile in Anspruch nehmen. Also Kaffeezeit.
12. Zeit überprüfen – NTP Server
Damit der DC und die Clients (PC / Notebook) auch richtig zusammen arbeiten können ist es zwingend notwendig, dass alle Geräte die selbe Zeit haben. Dabei kommt es nicht auf die Sekunde an, aber mehrere Minuten Differenz können eine Zusammenarbeit verhindern. Das hat mit den Authentifizierungstickets zu tun. Ich möchte hier allerdings nicht ins Detail gehen, da dies zu weit führen würde.
Standardmäßig wird die Synchronisation der Zeit eines Computers ohne DC per Internet gemacht. Dabei spielt es normalerweise auch innerhalb einer DC keine Rolle wenn die Geräte unterschiedliche Zeitserver verwenden. Probleme können allerdings entstehen, wenn ein Gerät falsch oder gar nicht synchronisiert und es somit zu einer Differenz kommt.
Die QNAP bietet einen eigenen Zeitserver (NTP-Server – Network Time Protocol) an. Dieser wird beim Aktivieren des DC automatisch mit aktiviert. Beim Einbinden in die DC eines Computers sollte nun automatisch dieser verwendet werden. Unter:
> Systemsteuerung > Anwendungen > NTP-Server
ist dieser zu finden. Viele Einstellungsmöglichkeiten bestehen über die WebGUI nicht.
Mehr zum Verbinden und Synchronisation der Clients mit dem QNAP NTP-Server später.
Zusätzliche Informationen zum Aktivieren und Einrichten des Domaincontrollers unter QTS finden sich im QNAP Turbo NAS User Manual.
Der
Domaincontroller und die QNAP sollten nun soweit vorbereitet sein,
dass die Clients eingebunden werden können. Mehr dazu im nächsten
Teil.
Kommentare 7
reinhard_gpm
Hallo, ich habe keine Ahnung ob ich hier richtig bin, doch ich habe ein großes Problem. Auf meiner NAS TS-453a habe ich einen Domänenkontroller eingerichtet und möchte nun den DNS Server konfigurieren. Leider verschwindet das Einstellungsfenster, am rechten Rand immer wieder und somit habe ich keine Möglichkeit, die entsprechenden Eintragungen vorzunehmen. Hat jemand ein Idee wie ich da rankommen kann?
Mavalok2 Autor
Der DNS-Server lässt sich nur mühsam über die WebGUI verwalten. Das geht viel besser mit den Microsoft Remoteserver-Verwaltungstools. Siehe hier:
Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 4)
quacksalber
Du gehst am Anfang auf die Wahl des Namens ein (intern.de oder intern.tv etc.). Soweit ich weiss, ist die Top-Level-Domain ".local" genau dafür vorgesehen. Zugriffe auf eine solche Adresse verlassen das LAN nicht und werden nicht ins Internet weitergeleitet. Das könnte evtl. ein interessanter Aspekt sein.
Ich habe mich auch mal an der Thematik DC versucht, hatte den DC auch bereits am laufen (zumindest sagten die Logs dies aus), aber ich habe es nicht geschafft einen Client einzubinden. Bin gespannt auf deinen nächsten Teil, in der Hoffnung dort zu sehen wo meine Fehler lag...
(daher auch von mir ein großes Lob und ein dickes Danke, dass du dir die Arbeit machst uns alle schlauer zu machen
Mavalok2 Autor
Habe hier im Forum gelesen, dass .local wohl Probleme verursacht hat. Ich habe es selbst nie ausprobiert, kann also nicht mit Bestimmtheit sagen ob dies zutrifft oder nicht. Bei mir funktioniert es jedoch bestens mit .intern.
PuraVida
Super, dass Du Dir die Mühe zu diesem Artikel machst!
Hast Du schon mal versucht eine Sicherung vom Domainencontroller wieder zurück zu spielen ? Ich habe das inzwischen mehrmals versucht aber noch nie konnte ich das je erfolgreich wieder zurückspielen.
Mavalok2 Autor
Ja, habe ich und hat funktioniert, allerdings unter QTS 4.2.x. Unter 4.3.5 habe ich es jedoch noch nicht probiert.
PuraVida
Bei mir war es immer 4.3.4 wo es nicht funktioniert hat.