Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 4)

00 Titel.jpgFortsetzung von: Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 3)


Schlag auf Schlag geht es weiter...



17. Anmerkungen und weiteres Vorgehen


Nun sollte man sich an jedem PC, der auch der Domäne beigetreten ist, mit jedem im Active Directory enthaltenen Benutzer anmelden können. Was im Moment allerdings noch nicht funktioniert ist die Synchronisation des servergespeicherten Benutzerprofils (Roaming Profile), das Einstellungen des Systems, der Programme und der Oberfläche und auch Teile der Benutzerdaten auf dem Server speichert bzw. synchronisiert. Dies ist erst mit der entsprechenden Konfiguration der Richtlinien möglich – dazu mehr später.


Wer es noch nicht gemacht hat, sollte spätestens jetzt die Berechtigungen für die Freigaben setzten. Dabei empfiehlt es sich, gerade bei Ordnern, auf die alle Benutzer Zugriff haben sollen, die Gruppe „Domain Users“ zu benutzen. In diese Gruppe wird automatisch jeder erstellte Domänen-Benutzer hinzugefügt und somit hat auch jeder Benutzer automatisch Zugriff. Bei Ordnern bei denen dies nicht erwünscht ist entsprechend andere Berechtigung vergeben, ab besten mit entsprechenden Gruppen.

Bei Ordnern auf den auch der Computer selbst bzw. das System Zugriff haben sollte oder muss, muss ebenfalls die entsprechende Berechtigung vergeben werden. Auch hier gibt es wieder eine automatische Gruppe, bei der alle Computer beim Beitreten automatisch hinzugefügt werden, die Gruppe „Domain Computers“.


01 Testdaten.png


Siehe auch Punkt: 7. Gruppen einrichten


Wichtig:

Hier reden wir nur noch von Benutzern, Computern, Berechtigungen, Administratoren, Freigaben etc. die über die Domäne verwaltet werden.


Für den reibungslosen Ablauf sind auch noch zwei zusätzliche Ordner notwendig, die eigentlich automatisch erstellt und konfiguriert werden sollten. Aber ein Überprüfen schadet nie. Dabei handelt es sich um die Ordnerfreigaben:

  • netlogon
  • sysvol


Netlogon: Ist für Inhalte, die für das Anmelden verwendet werden sollen, wie z.B. ein Script, welches beim Anmelden des Benutzers ausgeführt werden soll. Voraussichtlich werde ich darauf in diesem Beitrag nicht eingehen.


02 Netlogon.png



Sysvol: Dieser Ordner beinhaltet alle notwendigen Elemente für die Richtlinien des Active Directorys, also Gruppenrichtlinienobjekte (GPO) und Gruppenrichtlinienpreferenzen (GPP) etc.. Darauf werde ich in den nächsten Punkten eingehen.


03 Sysvol.png



Beiden Ordnern sollten schon die richtigen Berechtigungen zugeordnet worden sein:

  • Schreibe- und Leseberechtigungen für die Gruppen „Domain Admins“ und „Domain Computers“
  • Nur Leseberechtigungen für die Gruppe „Domain Users“. Die Benutzer benötigen nicht mehr Rechte, da sie sich sich ja daran halten und die selbigen nicht selbst ändern können sollen.


04 Shares.png



Meiner Meinung nach benötigt auch nicht jeder Computer Schreibrechte. Das Entziehen selbiger kann allerdings Probleme beim Administrieren verursachen. Also besser auf Standardeinstellung belassen und Rechteentzug gegeben Falls nur sehr gezielt einsetzen.


Aufmerksamen Benutzern wird nicht entgangen sein, dass im Freigabe-Ordner „homes“ ein zusätzlicher Ordner erstellt wurde: „DOMAIN=Domänenname“ in meinem Fall „DOMAIN=Test“. Vergibt man diesem Ordner entsprechende Rechte, wird hier ein Ordner mit dem Benutzername erstellt.

Für mich naheliegend wäre, dass hier das servergespeicherte Benutzerprofil hin soll. Aber mit falschen Benutzerrechten – ohne Schreibrechte relativ schwierig. Auch mit angepassten Rechten will hier kein Profil hin – zumindest bei mir. Dies geht erst mit einer Anpassung in den Richtlinien.

Aber vielleicht weiß jemand von Euch wofür dieser Ordner eigentlich gedacht ist oder wofür man Ihn verwenden könnte. Mein Verdacht: Ein kleiner Bug. Macht aber nichts. Man weiß ich schließlich zu helfen. ;)



17. Microsoft Remoteserver-Verwaltungstools


Die Microsoft Remoteserver-Verwaltungstools, oder auch Remote Server Administration Tools kurz RSAT genannt, sind ab jetzt die erste Wahl für die Administration unseres Domänen Controllers und somit des:

  • Active Directory
  • DNS-Server
  • Gruppenrichtlinien

Manche werden schon schwer atmen: „Wollte doch keinen Microsoft Server haben“. Nun ist aber Active Directory einfach mal eine Microsoft Erfindung, weshalb auch ein Tool von Microsoft zum Einsatz kommt. Mit der WebGUI von QNAP kommt man hier leider so nirgends hin. Deshalb benötigen wir zuerst diese Tools.


Download und Informationen zur Installation siehe hier:

https://support.microsoft.com/…windows-operating-systems


Das für Eure Windows-Version passende Paket herunterladen und gemäß Microsoft-Anleitung installieren.


Zum Administrieren kann man sich entweder mit einem Administrator-Konto bzw. einem Konto mit administrativen Rechten – beides nur von der Domäne – anmelden oder startet die Tools mit administrativen Rechten. In meinem Beispiel zeige ich, wie das Einrichten mit administrativen Rechten unter einem Benutzer ohne administrativen Rechte funktioniert, als normal angemeldeter Domänen-Benutzer.


  • Mit <Windows-Taste>+<R> ein Ausführungsfenster öffnen
  • mmc eingeben und mit <Enter> bestätigen oder auf <OK> klicken
  • Nun öffnet sich eine Management Konsole

    05 Konsole1.png


  • Mit > Datei > Speichern unter eine Microsoft Management Console Datei kurz msc abspeichern, z.B. auf dem Desktop. Ich nenne sie mal „Domaincontroller.msc“
  • Das Fenster wieder schließen
  • Mit Rechtsklick auf die neu erstellte Datei klicken und mit <Als Administrator ausführen> starten

    06 Als Administrator.png


  • Hier den Benutzernamen und Passwort des Domänen Administrators eingeben
  • Unter > Datei auf <Snap-In hinzufügen/entfernen...> klicken

    07 Snap-In.png


Hier können nun verschiedene Verwaltungstools hinzugefügt werden. Für uns sind folgende von Interesse:

  • Active Directory-Benutzer und -Computer
  • DNS
  • Gruppenrichtlinienverwaltung


Diese mit <Hinzufügen >> zu den ausgewählten Snap-Ins hinzufügen und mit <OK> bestätigen.


08 Snap-In2.png


Links unter <Konsolenstamm> werden jetzt die Tools aufgelistet.


Beim ersten Klick auf das Tool „DNS“ wird man nach der Verbindung zum DNS-Server gefragt. Hier auf <Folgendem Computer:> klicken und den Namen des DNS-Servers eingeben, also den Name des NAS, in meinem Fall „quirina“.


09 DNS-Server.png


Hier kann den kurzen Gerätenamen oder den kompletten Domänenname – bei mir quirina.test.intern.de – verwendet werden. Ich bevorzuge den kompletten, spielt aber keine Rolle.

Wenn man die Ordner erweitert sollte dies dann etwa so aussehen:


10 RSAT-Kompeltt.png


Nun die Einstellungen unter

> Datei > Speichern

speichern, damit die Einstellungen beim nächsten Mal Öffnen erhalten bleiben.


Wie man sieht, hat man hier einiges mehr an Möglichkeiten am Domänen Controller Einstellungen vorzunehmen. Ganz so umfangreich wie bei einem echten Windows Domänen Controller sind sie nicht, aber für den Heimgebrauch und für kleine Unternehmen mehr als ausreichend.


So den einfachen Teil haben wir nun hinter uns und sind nun für die wirklich interessanten Dinge gerüstet. :)

Bis auf ein paar Besonderheit verhält sich der QNAP Domänen Controller jetzt eigentlich wie ein normaler Windows Domänen Controller. Deshalb werden wird als nächstes auf diese Eigenheiten eingehen. Aber Ihr ahnt es schon... Mehr dazu im nächsten Teil. :D

Kommentare 25

  • Ich habe die Anleitung gerade erst gefunden und muss sagen, sehr ausführlich geschrieben. Sollte eigentlich auch ein Anfänger umgesetzt bekommen.

    Allerdings habe ich noch eine Frage zu dem Thema:

    • Ich habe in meinem Netzwerk zwei Dreamboxen und verschiedene Server (Fhem, Plex etc. ) laufen, die per NFS auf das NAS zugreifen. Geht das dann noch? In diesen Geräten kann man ja keinen Benutzer etc. eintragen, wie muss man dabei vorgehen?
    • Wie ist es dann mit dem Zugriff von Extern aus den Internet auf das NAS bzw. deren Dienste und Server?
    • Zitat von MarkoP

      Ich habe in meinem Netzwerk zwei Dreamboxen und verschiedene Server (Fhem, Plex etc. ) laufen, die per NFS auf das NAS zugreifen. Geht das dann noch? In diesen Geräten kann man ja keinen Benutzer etc. eintragen, wie muss man dabei vorgehen?

      Ich gehe eigentlich davon aus, dass NFS auch weiterhin verwendet werden kann. Habe es allerdings nie parallel ausprobiert.

      Zitat von MarkoP

      Wie ist es dann mit dem Zugriff von Extern aus den Internet auf das NAS bzw. deren Dienste und Server?

      Mit VPN auf den Router oder die Firewall. Ist dann eigentlich gleich wie im internen Netzwerk.

  • Hallo Mavalok,

    ich wollte nur mal freundlich nachfragen, ob denn der der angekündigte 5. Teil noch kommen wird?


    Was wolltest du denn da ansprechen?

    Für mich wären (ähnlich wie für Daalex) vor allem die Roaming Profiles von Interesse.

    Ich kenne mich zwar mit Computer durchaus gut aus und habe kaum Berührungsängste, aber mit GPOs etc. hatte ich bisher schlicht nichts zu tun...


    Vielen Dank für die ausführlichen Artikel bisher.

    Quacksalber

    • Roaming Profiles sind Standard aktiviert. Sobald ein Computer in die Domäne eingebunden ist, der Benutzer angelegt und sich der Benutzer einmal angemeldet hat, der Benutzer sich eingerichtet hat und wieder abgemeldet hat, sollte dieses Profile auf jedem anderen in der Domäne eingebunden PC zur Verfügung stehen.


      Ein 5. Teil ist eigentlich nicht mehr geplant, da dies genau genommen gleich ist wie auf jedem anderen Domänen Controller von Microsoft auch (Das Ganze stammt von Microsoft, deshalb auch die RSAT Tools von Microsoft). Dazu gibt es reichlich Dokumentationen im Internet.


      Das Thema GPO und GPP (Gruppenrichtlinien und Gruppenpreferenzen) ist recht umfangreich und ist nicht eben in ein paar Zeilen abzuhandeln. Und ich muss ja nicht das Rad nochmals neu erfinden. GPO / GPP dienen zum Festlegen von Richtlinien für den Computer und den Benutzers, z.B. was jemand darf oder auch nicht. Dazu gibt es zehntausende Richtlinien, die auch noch durch zusätzliche Richtlinien erweitert werden können, z.B. gibt es auch welche für den Firefox. Da kannst Du z.B. bestimmen, ob ein bestimmter Benutzer im Firefox Erweiterung installieren darf oder nicht. Das Ganz erinnert ein wenig an die Registry, wenn Dir dies was sagt. Die Registry kann man übrigens damit auch anpassen.

  • Damit hast du mir tatsächlich mein Leben gerettet! Danke dir!

    Habe es endlich hinbekommen mit den RSAT Tools, wusste ich davor nicht.

    Jetzt muss ich nur noch herausfinden wie man Roaming Profie etc. einrichtet :)

    • Die werden eigentlich automatisch beim Einbinden des Clients in die Domäne erstellt. Früher gab es hier allerdings mit den Standard Einstellungen Probleme bei den Rechten des Standard Speicher Ordners. Ob dies immer noch so ist, kann ich nicht sagen. Durch Ändern des Speicher-Ordners auf einen eigenen Ordner per GPO ließ sich das Problem lösen.

  • Hallo Mavalok,

    erstmal Danke für die Anleitung zum Einrichten eines DC.

    Ich sitze hier vor einem NAS mit der BS Version 4.3.6 und habe gesehen, dass du da auch einige Probleme hattest.

    Kannst du mir da vielleicht eine kleine Zusammenfassung geben, welche Probleme da bei dir nach dem Update aufgetreten sind und wie du sie gelöst hast. Sofern du dich erinnerst.

    Ich versuche einen Domaincontroller einzurichten. Es funktioniert zumindest soweit, dass eine benutzerbezogene Anmeldung möglich ist. Will ich mit den RSAT Tools Gruppenrichtlinien einrichten macht es den Anschein, dass es auch funktioniert, aber es erscheint auch eine Meldung, dass beim Sammeln der Daten des basisdomänencontrollers ein fehler aufgetreten ist und ich wechseln soll, habe aber nur einen DC im Angebot...


    Vielen Dank

    • Ja, ist tatsächlich schon eine Weile her. Auch habe ich keinen DC mit QTS mehr ein Einsatz. Den DC gibt es zwar immer noch - hoffe ich zumindest - aber ich betreue ihn nicht mehr.


      Schwierigkeiten gab mit den Berechtigungen des Standard-User-Ordners. Also bei mir nicht, denn ich habe per Gruppenrichtlinie von Anfang an einen anderen Ordner dafür ausgewählt.


      Schwierigkeiten gab es vom Update von QTS 4.2.5 auf QTS 4.3.x - welches genau weiß ich jetzt auch nicht mehr. Aber das waren Konfigurations-Probleme. Im Nachhinein kann ich jedoch nicht sagen, ob dies auf Grund von Fehlkonfiguration meinerseits entstanden ist oder durch das Update. Konnte ich jedoch alles beheben. Hat aber etwas Zeit gekostet. War unschön.


      Die Netzwerksfreigabe des Scanner (MFP) hat nach dem Update Probleme verursacht. Irgendwelche Berechtigungsprobleme. Aber da bin ich dann einfach auf das FTP-Protokoll übergegangen. Hatte da keine Lust lange nach Fehlern zu suchen.


      Unter QTS 4.2.5 - glaube ich zumindest - hatte ich Zugriffsberechtigungsproblem nach ca. 3 Wochen. Wieso? Weiß ich bis heute nicht. Der DC wollte auf jeden Fall nicht mehr und die User konnten sich nicht mehr abmelden. Ein automatischer wöchentlicher Neustart war mein Workaround.


      Ich denke aber, dass einige der Probleme unter QTS 4.3.6 schon behoben sein dürften, unter QTS 4.5.2 möglicherweise schon alle und noch mehr. Wenn Du kannst, würde ich in Betracht ziehen auf die aktuelle Version zu wechseln. Was ich lese, soll die schon recht gut laufen. Muss zugeben, habe ich selbst aber noch nicht im Einsatz. Im Moment laufen meine NAS einfach zu gut. :)

  • Super Anleitung! Ist schon absehbar, wann Teil 5 kommen wird? Bin jetzt nämlich an dem Punkt und will nicht in evtl Fallen tappen...

    • Schön dass es doch noch 2 gibt die die Anleitung benutzen. :)

      Ja der Teil 5. Der hat es leider ein wenig in sich. Wird nicht ganz einfach werden diesen zu schreiben.


      Habe meine produktive Domäne vor kurzem von QTS 4.2.6 auf 4.3.6 angehoben. Ein Trauerspiel. Am liebsten würde ich... So viele kleine Einstellungen die nicht sauber übernommen wurden. Habe Tage damit verbracht alles wieder zu korrigieren. Ist nicht immer einfach und eindeutig herauszufinden wer oder was der Schuldige ist. Hätte wohl besser platt gemacht und neu aufgebaut. Aber wenn man mal so viel Zeit mit Anpassen verbraucht hat will man dies nicht mehr machen. Und leider kommt immer ein Problem nach dem anderen zum Vorschein. :(


      Aber dafür kenne ich mich jetzt besser aus denn je, wenn man alles mal auseinandergenommen hat. :) Allerdings ist meine Motivation einen 5. Teil zu schreiben im Moment nicht gerade sehr hoch. Kann man sicher nachvollziehen. Kann also noch ein bisschen dauern.

      Gefällt mir 1

  • Hallo,

    ich möchte das DNS Snap-in hinzufügen und bekomme auch den Konsolenstamm ordentlich angezeigt. Jedoch fehlt der DNS Dienst zum auswählen. Jetzt bezweifle ich ob der DNS dienst auf dem QNAP (TS-451) überhaupt ordnungsgemäß läuft. Wie kann ich dies sicherstellen bzw diesen einsehen? Ich habe in den Netzwerkeinstellungen nur DNSserver IP benennung gefunden, aber keine Möglichkeit den DNS dienst an- oder abzustellen, bzw. zu konfigurieren.

    • Welche Windows Version hast Du installiert? Seit Windows 10 1809 sind die RSAT-Tools als zusätzliche Funktion / Feature bei den Apps / Programmen in den Windows Einstellungen zu installieren. Und hier musst Du dann das entsprechende Tool für DNS installieren. Hier für ist jedoch in jedem Fall Windows 10 Pro und höher notwendig.

    • Ja, ich habe die 1809 WINpro.

      stimmt: hier die Anleitung:

      https://www.windows-faq.de/201…windows-einstellungs-app/


      prima hat funktioniert. D.h. DNS einträge sind vom QNAP einsehbar.

      Habe je Domain-PC

      einen AAAA IP6 Host

    • hier gehts weiter:

      je Domain PC einen AAAA eintrag (IP6), einen A Eintrag (IP4) und einen PTR Eintrag (den ich teilweise selbst nachgetragen habe) damit jetzt alle PCs ordentlich angezeigt werden. Gleiches beim QNAP als DC.

      Kann ich auch mehrere IP4-adressen des QNAP als DNS-server A-Eintrag hinterlegen, oder empfiehlt sich das nicht?

    • Wie mehrere IP-Adressen des NAS eintragen? Bist Du in mehreren Netzwerken?

      Wenn Du mehrere Netzwerkanschlüsse verwendest werden diese üblicherweise gebündelt und dann hast Du nur noch eine IP-Adresse.

    • Ja, ich hab die 2 Netzwerkanschlüsse via Portbündelung Balance-alb gebündelt zu einer IP4 (192.168.2.10) und dennoch einen weiteren Wifi-USB adapter angeschlossen, mit IP4 (192.168.2.11) und will ggf diese auch als DNS A-Record hinterlegen, weil mein Netzwerk immer wieder so alle 3-4 Tage komplett sich aufhängt. Und dann alle Domain-PCs den QNAP nicht mehr finden und seltsamerweise auch Avirus ESET (auf PCs) dann plötzlich alle Verbindungen sperrt (Firewall...) Den Datenverkehr wieder smooth zum laufen zu bekommen ist ein Terz.


      Ich habe schon viele Kombinationen durchgespielt (Switch ersetzt, Managed Switch, Kabel ersetzt, Netzwerkkarten ersetzt, Konfigurationen vielfach geändert, Eset runtergeworfen etc.) und habe immer noch ab und zu einen Totalausfall und Netzzusammenbruch. Also will ich prüfen ob ggf. der QNAP DNS server richtig arbeitet. Anhand orange leuchtender PC-Netzwerkkarten-LEDs, sehe ich auch das irgentwo noch ein echtes Problem liegt... blos wie finden....

      War heute wieder der Fall und der QNAS war 100% CPU ausgelastet zu dieser Zeit und sehr schwer zu manövrieren...