Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 4)

00 Titel.jpgFortsetzung von: Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 3)


Schlag auf Schlag geht es weiter...



17. Anmerkungen und weiteres Vorgehen


Nun sollte man sich an jedem PC, der auch der Domäne beigetreten ist, mit jedem im Active Directory enthaltenen Benutzer anmelden können. Was im Moment allerdings noch nicht funktioniert ist die Synchronisation des servergespeicherten Benutzerprofils (Roaming Profile), das Einstellungen des Systems, der Programme und der Oberfläche und auch Teile der Benutzerdaten auf dem Server speichert bzw. synchronisiert. Dies ist erst mit der entsprechenden Konfiguration der Richtlinien möglich – dazu mehr später.


Wer es noch nicht gemacht hat, sollte spätestens jetzt die Berechtigungen für die Freigaben setzten. Dabei empfiehlt es sich, gerade bei Ordnern, auf die alle Benutzer Zugriff haben sollen, die Gruppe „Domain Users“ zu benutzen. In diese Gruppe wird automatisch jeder erstellte Domänen-Benutzer hinzugefügt und somit hat auch jeder Benutzer automatisch Zugriff. Bei Ordnern bei denen dies nicht erwünscht ist entsprechend andere Berechtigung vergeben, ab besten mit entsprechenden Gruppen.

Bei Ordnern auf den auch der Computer selbst bzw. das System Zugriff haben sollte oder muss, muss ebenfalls die entsprechende Berechtigung vergeben werden. Auch hier gibt es wieder eine automatische Gruppe, bei der alle Computer beim Beitreten automatisch hinzugefügt werden, die Gruppe „Domain Computers“.


01 Testdaten.png


Siehe auch Punkt: 7. Gruppen einrichten


Wichtig:

Hier reden wir nur noch von Benutzern, Computern, Berechtigungen, Administratoren, Freigaben etc. die über die Domäne verwaltet werden.


Für den reibungslosen Ablauf sind auch noch zwei zusätzliche Ordner notwendig, die eigentlich automatisch erstellt und konfiguriert werden sollten. Aber ein Überprüfen schadet nie. Dabei handelt es sich um die Ordnerfreigaben:

  • netlogon
  • sysvol


Netlogon: Ist für Inhalte, die für das Anmelden verwendet werden sollen, wie z.B. ein Script, welches beim Anmelden des Benutzers ausgeführt werden soll. Voraussichtlich werde ich darauf in diesem Beitrag nicht eingehen.


02 Netlogon.png



Sysvol: Dieser Ordner beinhaltet alle notwendigen Elemente für die Richtlinien des Active Directorys, also Gruppenrichtlinienobjekte (GPO) und Gruppenrichtlinienpreferenzen (GPP) etc.. Darauf werde ich in den nächsten Punkten eingehen.


03 Sysvol.png



Beiden Ordnern sollten schon die richtigen Berechtigungen zugeordnet worden sein:

  • Schreibe- und Leseberechtigungen für die Gruppen „Domain Admins“ und „Domain Computers“
  • Nur Leseberechtigungen für die Gruppe „Domain Users“. Die Benutzer benötigen nicht mehr Rechte, da sie sich sich ja daran halten und die selbigen nicht selbst ändern können sollen.


04 Shares.png



Meiner Meinung nach benötigt auch nicht jeder Computer Schreibrechte. Das Entziehen selbiger kann allerdings Probleme beim Administrieren verursachen. Also besser auf Standardeinstellung belassen und Rechteentzug gegeben Falls nur sehr gezielt einsetzen.


Aufmerksamen Benutzern wird nicht entgangen sein, dass im Freigabe-Ordner „homes“ ein zusätzlicher Ordner erstellt wurde: „DOMAIN=Domänenname“ in meinem Fall „DOMAIN=Test“. Vergibt man diesem Ordner entsprechende Rechte, wird hier ein Ordner mit dem Benutzername erstellt.

Für mich naheliegend wäre, dass hier das servergespeicherte Benutzerprofil hin soll. Aber mit falschen Benutzerrechten – ohne Schreibrechte relativ schwierig. Auch mit angepassten Rechten will hier kein Profil hin – zumindest bei mir. Dies geht erst mit einer Anpassung in den Richtlinien.

Aber vielleicht weiß jemand von Euch wofür dieser Ordner eigentlich gedacht ist oder wofür man Ihn verwenden könnte. Mein Verdacht: Ein kleiner Bug. Macht aber nichts. Man weiß ich schließlich zu helfen. ;)



17. Microsoft Remoteserver-Verwaltungstools


Die Microsoft Remoteserver-Verwaltungstools, oder auch Remote Server Administration Tools kurz RSAT genannt, sind ab jetzt die erste Wahl für die Administration unseres Domänen Controllers und somit des:

  • Active Directory
  • DNS-Server
  • Gruppenrichtlinien

Manche werden schon schwer atmen: „Wollte doch keinen Microsoft Server haben“. Nun ist aber Active Directory einfach mal eine Microsoft Erfindung, weshalb auch ein Tool von Microsoft zum Einsatz kommt. Mit der WebGUI von QNAP kommt man hier leider so nirgends hin. Deshalb benötigen wir zuerst diese Tools.


Download und Informationen zur Installation siehe hier:

https://support.microsoft.com/…windows-operating-systems


Das für Eure Windows-Version passende Paket herunterladen und gemäß Microsoft-Anleitung installieren.


Zum Administrieren kann man sich entweder mit einem Administrator-Konto bzw. einem Konto mit administrativen Rechten – beides nur von der Domäne – anmelden oder startet die Tools mit administrativen Rechten. In meinem Beispiel zeige ich, wie das Einrichten mit administrativen Rechten unter einem Benutzer ohne administrativen Rechte funktioniert, als normal angemeldeter Domänen-Benutzer.


  • Mit <Windows-Taste>+<R> ein Ausführungsfenster öffnen
  • mmc eingeben und mit <Enter> bestätigen oder auf <OK> klicken
  • Nun öffnet sich eine Management Konsole

    05 Konsole1.png


  • Mit > Datei > Speichern unter eine Microsoft Management Console Datei kurz msc abspeichern, z.B. auf dem Desktop. Ich nenne sie mal „Domaincontroller.msc“
  • Das Fenster wieder schließen
  • Mit Rechtsklick auf die neu erstellte Datei klicken und mit <Als Administrator ausführen> starten

    06 Als Administrator.png


  • Hier den Benutzernamen und Passwort des Domänen Administrators eingeben
  • Unter > Datei auf <Snap-In hinzufügen/entfernen...> klicken

    07 Snap-In.png


Hier können nun verschiedene Verwaltungstools hinzugefügt werden. Für uns sind folgende von Interesse:

  • Active Directory-Benutzer und -Computer
  • DNS
  • Gruppenrichtlinienverwaltung


Diese mit <Hinzufügen >> zu den ausgewählten Snap-Ins hinzufügen und mit <OK> bestätigen.


08 Snap-In2.png


Links unter <Konsolenstamm> werden jetzt die Tools aufgelistet.


Beim ersten Klick auf das Tool „DNS“ wird man nach der Verbindung zum DNS-Server gefragt. Hier auf <Folgendem Computer:> klicken und den Namen des DNS-Servers eingeben, also den Name des NAS, in meinem Fall „quirina“.


09 DNS-Server.png


Hier kann den kurzen Gerätenamen oder den kompletten Domänenname – bei mir quirina.test.intern.de – verwendet werden. Ich bevorzuge den kompletten, spielt aber keine Rolle.

Wenn man die Ordner erweitert sollte dies dann etwa so aussehen:


10 RSAT-Kompeltt.png


Nun die Einstellungen unter

> Datei > Speichern

speichern, damit die Einstellungen beim nächsten Mal Öffnen erhalten bleiben.


Wie man sieht, hat man hier einiges mehr an Möglichkeiten am Domänen Controller Einstellungen vorzunehmen. Ganz so umfangreich wie bei einem echten Windows Domänen Controller sind sie nicht, aber für den Heimgebrauch und für kleine Unternehmen mehr als ausreichend.


So den einfachen Teil haben wir nun hinter uns und sind nun für die wirklich interessanten Dinge gerüstet. :)

Bis auf ein paar Besonderheit verhält sich der QNAP Domänen Controller jetzt eigentlich wie ein normaler Windows Domänen Controller. Deshalb werden wird als nächstes auf diese Eigenheiten eingehen. Aber Ihr ahnt es schon... Mehr dazu im nächsten Teil. :D

Kommentare 12

  • Super Anleitung! Ist schon absehbar, wann Teil 5 kommen wird? Bin jetzt nämlich an dem Punkt und will nicht in evtl Fallen tappen...

    • Schön dass es doch noch 2 gibt die die Anleitung benutzen. :)

      Ja der Teil 5. Der hat es leider ein wenig in sich. Wird nicht ganz einfach werden diesen zu schreiben.


      Habe meine produktive Domäne vor kurzem von QTS 4.2.6 auf 4.3.6 angehoben. Ein Trauerspiel. Am liebsten würde ich... So viele kleine Einstellungen die nicht sauber übernommen wurden. Habe Tage damit verbracht alles wieder zu korrigieren. Ist nicht immer einfach und eindeutig herauszufinden wer oder was der Schuldige ist. Hätte wohl besser platt gemacht und neu aufgebaut. Aber wenn man mal so viel Zeit mit Anpassen verbraucht hat will man dies nicht mehr machen. Und leider kommt immer ein Problem nach dem anderen zum Vorschein. :(


      Aber dafür kenne ich mich jetzt besser aus denn je, wenn man alles mal auseinandergenommen hat. :) Allerdings ist meine Motivation einen 5. Teil zu schreiben im Moment nicht gerade sehr hoch. Kann man sicher nachvollziehen. Kann also noch ein bisschen dauern.

  • Hallo,

    ich möchte das DNS Snap-in hinzufügen und bekomme auch den Konsolenstamm ordentlich angezeigt. Jedoch fehlt der DNS Dienst zum auswählen. Jetzt bezweifle ich ob der DNS dienst auf dem QNAP (TS-451) überhaupt ordnungsgemäß läuft. Wie kann ich dies sicherstellen bzw diesen einsehen? Ich habe in den Netzwerkeinstellungen nur DNSserver IP benennung gefunden, aber keine Möglichkeit den DNS dienst an- oder abzustellen, bzw. zu konfigurieren.

    • Welche Windows Version hast Du installiert? Seit Windows 10 1809 sind die RSAT-Tools als zusätzliche Funktion / Feature bei den Apps / Programmen in den Windows Einstellungen zu installieren. Und hier musst Du dann das entsprechende Tool für DNS installieren. Hier für ist jedoch in jedem Fall Windows 10 Pro und höher notwendig.

    • Ja, ich habe die 1809 WINpro.

      stimmt: hier die Anleitung:

      https://www.windows-faq.de/201…windows-einstellungs-app/


      prima hat funktioniert. D.h. DNS einträge sind vom QNAP einsehbar.

      Habe je Domain-PC

      einen AAAA IP6 Host

    • hier gehts weiter:

      je Domain PC einen AAAA eintrag (IP6), einen A Eintrag (IP4) und einen PTR Eintrag (den ich teilweise selbst nachgetragen habe) damit jetzt alle PCs ordentlich angezeigt werden. Gleiches beim QNAP als DC.

      Kann ich auch mehrere IP4-adressen des QNAP als DNS-server A-Eintrag hinterlegen, oder empfiehlt sich das nicht?

    • Wie mehrere IP-Adressen des NAS eintragen? Bist Du in mehreren Netzwerken?

      Wenn Du mehrere Netzwerkanschlüsse verwendest werden diese üblicherweise gebündelt und dann hast Du nur noch eine IP-Adresse.

    • Ja, ich hab die 2 Netzwerkanschlüsse via Portbündelung Balance-alb gebündelt zu einer IP4 (192.168.2.10) und dennoch einen weiteren Wifi-USB adapter angeschlossen, mit IP4 (192.168.2.11) und will ggf diese auch als DNS A-Record hinterlegen, weil mein Netzwerk immer wieder so alle 3-4 Tage komplett sich aufhängt. Und dann alle Domain-PCs den QNAP nicht mehr finden und seltsamerweise auch Avirus ESET (auf PCs) dann plötzlich alle Verbindungen sperrt (Firewall...) Den Datenverkehr wieder smooth zum laufen zu bekommen ist ein Terz.


      Ich habe schon viele Kombinationen durchgespielt (Switch ersetzt, Managed Switch, Kabel ersetzt, Netzwerkkarten ersetzt, Konfigurationen vielfach geändert, Eset runtergeworfen etc.) und habe immer noch ab und zu einen Totalausfall und Netzzusammenbruch. Also will ich prüfen ob ggf. der QNAP DNS server richtig arbeitet. Anhand orange leuchtender PC-Netzwerkkarten-LEDs, sehe ich auch das irgentwo noch ein echtes Problem liegt... blos wie finden....

      War heute wieder der Fall und der QNAS war 100% CPU ausgelastet zu dieser Zeit und sehr schwer zu manövrieren...