Verzeichnisberechtigungen in eine LUN unter Windows

    Guten Tag,


    wir haben 2 Probleme mit dem NAS TS-809 Pro. Wir können nicht die Rechte eines Verzeichnisses, das in eine LUN (bzw. im virtuellen Laufwerk; EXT4 Format) ist nicht unter Windows ändern! Die Benutzer bzw. Gruppen, die wir hinzufügen möchten, werden sofort verworfen!
    Wir haben den NAS auch mit dem Active Directory verbunden und wir sehen auch die Domänen-Benutzer und Gruppen.


    Problem 2: Wir möchte vorhandene Verzeichnisse inklusive Rechte auf den Qnap kopieren. Beim Kopieren, werden die Verzeichnisberechtigungen nicht übernommen! Wie können wir die Rechte 1:1 übernehmen?


    Vielen Dank im Voraus

    Hallo


    1.
    Erklär das bitte nochmal genauer, was ist ext4 formatiert, die LUN oder die Host-Partiton?
    Wenn du die Berechtigungen windowsseitig ändern möchtest, dann ist das target ja wohl auf ein Windows System verbunden.


    2.
    Wenn du die Daten mit xcopy kopierst, verwende zusätzlich die Switches /K und /O
    Damit werden Dateiattribute, ACLs und Besitzer mit kopiert.
    Kannst auch z.B ein tool wie robocopy verwenden.


    Gruss
    Micha

    Wir haben zuerst eine LUN erstellt und anschließend ein virtuelles Laufwerk, das mit der LUN verbunden ist. Wir haben das virtuelle Laufwerk mit ext4 Dateisystem formatiert.


    Ich habe unter NAS einen Ordner erstellt und ihn mit dem virtuellen Laufwerk, das ich vorher erstellt habe verbunden, damit ich ihn unter Windows einbinden kann.


    Z.B. Ordner „Test“


    Ich habe den Ordner „Test“ unter Windows eingebunden. Ich habe im Ordner Test ein Verzeichnis namens „BenutzerXYZ“ angelegt. Anschließend wollte ich im Eigenschaften (Reiter Sicherheit) des Verzeichnisses „BenutzerXYZ“ den Benutzer XYZ aus dem Active Directory hinzufügen. Ich kann den Benutzer XYZ aus dem Active Directory hinzufügen aber der Benutzer XYZ verschwindet sofort aus der Liste "Gruppen- oder Benutzernamen“ sobald ich den Button „Übernehmen“ oder Button „OK“ betätige! Wir möchten nur, dass der Benutzer in der Liste erhalten bleibt. Aus welchem Grund werden die Benutzer oder Gruppen aus dem Active Directory nicht in der Liste dauerhaft übernommen?


    Vielen Dank im Voraus

    Ah, sowas hab ich mir gedacht ;)


    Das hast Du etwas falsch verstanden.
    Die LUN wird nicht auf dem NAS eingehängt. Lösche die Freigabe und hänge das virtuelle Laufwerk wieder aus.
    Die virtuellen Laufwerke auf dem NAS sind dafür vorgesehen LUNs von entfernten Systemen zu verbinden.


    Die LUNs auf dem NAS ihrerseits stehen zur Verbindung auf entfernte Systeme zur Verfügung.
    Die LUN, die Du erstellt hast, wird also direkt auf den Windows Server verbunden.


    Hierzu brauchst Du den Microsoft iSCSI Initiator. Runterladen und installieren (bei server 2008 ist er schon mit bei, meine ich).
    Mit diesem connectest du auf den Zieldienst des NAS und kannst dich dann auf die LUN anmelden.
    Die LUN erscheint auf dem Server als lokale Platte im Disk Management. Von dort aus formatierst du den Datenträger auch mit NTFS, Berechtigungen werden ebenfalls direkt
    auf dem Windows Server vergeben.
    Das Handling ist genau so wie bei einer lokal verbauten Festplatte auf dem Windows Server.


    Ich empfehle aber, da Du auf der LUN Freigaben einrichten willst, auf dem NAS und auf dem Windows Server ein LAN-Adapter ausschliesslich für iSCSI zu verwenden.
    Das andere Adapter zeigt ins LAN.
    Hierzu vergibst Du dem 2ten Adapter im NAS eine feste IP aus einem anderen IP-Bereich, der 2ten Karte im Server eine IP aus ebenfalls diesem Bereich.


    Diese IP des NAS verwendest du dann im initiator als Zieladresse.
    Bei der Anmeldung der LUN auf dem nächsten Reiter im Initiator, kannst du in den erweiterten Einstellungen dann noch das Adapter des Servers festlegen, auf dem die Verbindung erfolgen soll.
    Durch diese Massnahme steht für das LAN die volle bandbreite zur Verfügung, der ganze iSCSI traffic erfolgt über die separierte Verbindung.
    Zudem kannst auf der iSCSI Verbindung mit Jumbo frames experimentieren, sofern die MTU auf dem Server Adapter entsprechend erhöht werden kann.
    Das bringt nicht unbedingt eine Performancesteigerung, reduziert aber i.d.R. die CPU Last.


    Bei Fragen fragen :thumb:


    Gruss
    Micha

    Zuerst vielen Dank für die ausführliche Antwort. :)


    Wir haben 4 Windows Server im Einsatz, die wir durch den NAS komplett ersetzen wollen.


    1. Windows Server für die Profile der User
    2. Windows Server als Fileserver
    3. Wieder einen Windows Server als Fileserver
    4. Windows Server als Printserver


    Wir möchten die oben genannten Windows Server abschaffen und nur den NAS einsetzen. Deshalb bringt uns der Microsoft iSCSI Initiator nicht viel, da zum Schluss diese 4 Windows Server wegfallen!
    Alle User, Gruppen und Rechte befinden sich im Active Directory. Deshalb haben wir den NAS mit dem Active Directory verbunden. Wir haben auch einen zweiten NAS (TS-809 Pro) für die Real-time Replikation angeschafft. Wir haben für jede Abteilung der Firma eine LUN mit einem virtuellen Laufwerk erstellt. Aber wie gesagt können wir nicht im Windows-Netz die Berechtigungen für die Ordner, die wir im NAS eingerichtet haben ändern! Wie kann ich die Gruppen bzw. Rechte, die im Active Directory abgelegt sind zu einem NAS-Ordner dauerhaft hinzufügen?
    Der NAS ist doch mit dem Active Directory verbunden! Ich verstehe es einfach nicht, warum man die User bzw. Gruppen aus dem Active Directory nicht in der Sicherheitsliste eines Ordners dauerhaft speichern kann!


    Danke

    Ah, ok.


    Aber das wird so nicht funktionieren.
    Wenn Du LUNs erstellst, die auf dem NAS wieder als virtuelles Laufwerk zur Verfügung stellst und frei gibst, dann ist das letzten Endes dasselbe, als hättest Du direkt Freigabeordner zu diesem Zweck erstellt.
    Der Zugriff darauf erfolgt auch nur via Samba und Windowsgruppen, die berechtigt werden sollen, können nur direkt auf dem NAS hinzugefügt werden.
    Windowsseitig siehst du nur die von Samba definierten UNIX-groups und die lassen sich nicht ändern, denn das sind so gesehen Interimsgruppen mit speziellen Berechtigungen hinter die Samba die AD-Gruppen dran frickelt.


    So wird das NAS nur langsamer, denn anstatt direkt auf die Platten schreiben zu können, muss die CPU noch den ganzen iSCSI traffic mitrechnen.
    Der entscheidende Vorteil einer LUN (wenn z.B. auf einem Windows System verbunden) ist, dass dieses storage device blockbasiert angesprochen wird, genau wie eine lokale Platte.
    Das ermöglicht z.B. dass Datenbanken auch auf der LUN abgelegt werden können, in deinem Ansatz würdest Du diese auf einem herkömmlichen network share ablegen.


    Dieses Szenario, wie es dir vorschwebt, ist so nicht praktikabel.
    Die Probleme fangen doch schon bei den roaming Profilen an. Wenn sich ein neuer Benutzer das erste Mal anmeldet, will das Windowssystem den Profilordner in der Profilfreigabe erstellen.
    Die Berechtigungen darauf kann es aber nicht setzen.
    Wenn du die benefits des AD auskosten möchtest, dann brauchst du die LUNS auf einem Windows Server.


    Eine Windowskiste wirst du beibehalten müssen, ausser du packst alles auf den DC. Kann ich aber nicht empfehlen (wär ja auch nix anderes als ein SBS)
    Oder Du denkst über Virtualisierung nach. Ein paar Muskeln sollte der host aber haben.


    Wie ist denn das AD beschaffen, 2k, 2k3, 2k8?
    Und denke jetzt nicht, das NAS wäre eine Fehlentscheidung, du musst Dich nur von deinem Gedankenmodell lösen :thumb:
    Es gibt tolle Möglichkeiten, bin auch gerne behilflich (andere im Forum bestimmt auch).


    Gruss
    Micha

    Ich danke Dir für die Antwort. :)


    Was hältst Du von diesem Konzept:


    Wir haben zwei physikalischen Windows Server 2008 im Einsatz, die wir vorerst für diese Zwecke einsetzen können bis wir unsere Systeme mit VMware virtualisiert haben.
    Gehen wir davon aus, dass die Server so heißen: WS1 und WS2


    Schritte:


    1. Ein Failover Clustering mit diesen zwei WS2008 (WS1 & WS2) einrichten


    2. Die LUNs im WS1 und WS2 über iSCSI Initiator einbinden
    Frage: Muss man bei einem Clustering die LUNs nur in einem diesen WS2008 einbinden oder bei beiden? Z.B. LUN „Buchhaltung“. Muss die Buchhaltung im WS1 und im WS2 als Laufwerk eingebunden werden oder reicht es aus, dass man diese LUN nur im WS1 als Laufwerk einbindet und das Clustering sorgt dafür, dass WS2 diese LUN automatisch bekommt! Ich gehe aber davon aus, dass ich die LUN „Buchhaltung “ bei beiden als Laufwerk einbinden muss! Oder?


    3. Wir haben zwei NAS (TS-809 Pro). Der erste NAS soll als Master dienen und der zweite als Slave.
    Durch die Real-time Remote Replication (RTRR) werden die Daten vom Master auf Slave repliziert. Wir wollten das Ganze so einrichten, dass der Slave automatisch die Führung übernimmt bzw. die Rolle Master annimmt, sobald der Master aus irgendwelchem Grund nicht funktioniert. Ich wollte das Failover zw. den beiden NAS mit einer virtuellen IP lösen. Die NAS haben statische IP Adressen. Die virtuelle IP zeigt auf den Master. Wenn der Master nicht erreichbar ist, dann wird die virtuelle IP automatisch auf den Slave zeigen. Dieses Konzept hätte ohne Einsatz von Windows Server 2008 funktioniert, aber da wir das Konzept umstellen müssen, dann benötigen wir eine andere Lösung, was NAS-Failover betrifft!
    Frage: Die WS1 und WS2 haben die LUNs, die auf dem Qnap-Master liegen eingebunden. Soweit so gut. Wie können wir die LUNs, die als Laufwerke im WS1 und WS2 eingerichtet sind auf den Qnap-Slave umschalten, falls der Master nicht erreichbar ist?


    Vielen Dank

    Das Konzept ist grundsätzlich gut :)


    Allerdings bin ich in der Clusterthematik nicht wirklich involviert, ich mache hier in der Firma in erster Linie AD-Steuerung.
    Grundsätzlich sollte das aber schon gehen, wie Du Dir das vorstellst.


    zu 2.
    Die LUNs sind schon auf beide Server verbunden, das ist richtig. Das geht aber streng genommen nur im Cluster.
    Multipath an sich unterstützt m.W. nur die Anbindung eines targets über mehrere Ports oder mehrere SCSI-Controller auf einem Computer.
    Im Cluster ist für den gemeinsamen Zugriff beider Nodes ein virtueller Server vorgeschaltet, der die Anfragen koordiniert und die Kommunikation mit dem target übernimmt.
    Unser allseits hochgeschätzter Q hat hierzu mal einen sehr guten Link gepostet, der Dir weiterhelfen kann.


    Zu 3.


    Da muss ich sehen, dass ich einem unserer SAN-Jungs habhaft werden kann. :D
    Das Problem wäre ja nicht beide NAS einzubinden, ob und wie sich aber die Ressourcen schwenken lassen, kann ich unbesehen nicht beurteilen.
    Soweit ich mich (dunkel) erinnere, ist bei uns ein Cluster-FS aufgesetzt, das auf mehrere LUNs gleichzeitig schreibt. Das ist aber wohl eher ein Feature des SAN, oder des Controllers.


    Aber wie gesagt, nicht meine Baustelle. Möchte mich hier nicht aus dem Fenster lehnen. :oops:


    Vielleicht liest noch jemand mit, der solche Szenarien schon umgesetzt hat.
    Unser Forum ist doch voll mit hellen Köpfen. :thumb:
    Bitte meldet Euch (die wollten doch nur Zigaretten holen) :D

    Wir haben das Ganze mit LUNs und iSCSI Initiator getestet. Wir haben festgestellt, dass es wenig Sinn macht dieselbe LUN in zwei WS2008 einzubinden! Die Daten, die von WS1 auf die LUN gespeichert werden, werden im WS2 nicht sichtbar sein! Das ist doch eigentlich logisch? Oder? Eine LUN ist doch keinen Freigabeordner, der für alle Windows im Netz sichtbar wird!


    Wenn eine LUN von zwei WS2008 verwendet wird, wird früher oder später Probleme geben!
    Z.B. Die LUN XYZ hat 10 GB. Der WS1 speichert 8 GB auf die LUN. Der WS2 sieht die Daten von WS1 überhaupt nicht. Jetzt versucht der WS2 6 GB auf LUN speichern! Es kann nicht gut ausgehen, wie man sieht! Man sollte stets eine LUN NUR mit einem Windows Server verbinden.


    Wir haben uns nun folgendes Konzept ausgedacht:


    Wir werden das Ganze ohne Windows Server realisieren. Wir haben zwei NAS (TS-809 Pro), die mit unserem AD (Active Directory) verbunden sind. Wir werden die User, Gruppen & Rechte, die im AD abgelegt sind nicht unter Windowsexplorer zu einem Ordner hinzufügen, sondern werden wir einen Freigabeordner im Qnap anlegen und genau dort die Daten aus dem AD holen und hinzufügen. Es wird pro Abteilung eine LUN mit einem virtuellen Laufwerk geben. Die Freigabeordner werden zum einem virtuellen Laufwerk hinzugefügt. Man kann keine virtuellen Laufwerke ohne LUNs anlegen. Deshalb auch die LUNs.


    Wir haben trotzdem zwei Probleme:


    1. Wenn man nachträglich die LUN-Größe ändert, dann werden die Freigabeordner auf dem virtuellen Laufwerk mit samt gelöscht!?! Mit anderen Worten, das virtuelle Laufwerk ist danach im …


    2. Bei der Real-Time Replikation zw. Qnap-Master und Qnap-Slave werden die Ordner-Rechte von Qnap-Master nicht in den Qnap-Slave übernommen! Wir möchten nicht jedesmal die Rechte zweimal vergeben einmal auf dem Master und
    einmal auf dem Slave! Das macht auch wirklich wenig Sinn, da wir replizieren möchten. Kannst Du mir vielleicht sagen, warum die Rechte, User und Gruppen eines Ordners nicht repliziert werden? Wenn das der Fall sein sollte, dann wozu ist dann die Real-Time Replikation gut?


    Vielen Dank im Voraus

    Ja, ok.
    Ein entsprechendes Cluster-Filesystem ist dann für diese Verwendung zwingend. (hatte einen thread nicht zu Ende gelesen) :oops:
    Ich schätze mal, das wird ohne zusätzliche Kosten nicht abgehen.


    Aber der Sinn der virtuellen laufwerke erschliesst sich mir nicht. Virtuelle Laufwerke auf dem NAS machen imho nur Sinn mit entfernten targets, um die Kapazität des NAS zu erweitern.
    Was soll hier der Vorteil sein gegenüber einem direkten Connect auf eine Freigabe?
    Den Zugriff regeln so oder so die ACLs.


    Aber erst mal zu den aufgeführten Problemen.


    Wenn Du eine LUN erweiterst werden die Daten nicht gelöscht, wie das aber bei einer ext4 Formatierung abläuft bezuglich Erweiterung der Partiton weiss ich nicht.
    Unter Windows erweitere ich, nach dem Aufziehen der LUN, die NTFS-Partition auf der LUN einfach mit Diskpart.


    Die Realtime-Replication ist in erster Linie eine Backup Funktion, nur eben in Echtzeit.
    Die AD-Berechtigungen sind auf der Freigabe angelegt und nur für den Sambazugriff relevant.
    Wenn Backupdaten in diese Freigabe wieder zurück gespielt werden, greifen wieder die Freigabeberechtigungen.


    Mit deinem Konzept und den schon auftauchenden Stolpersteinen habe ich keine Erfahrung, sowas hab ich noch nie probiert.
    Ich weiss auch nicht wie gross das betreffende Netzwerk ist und welche Datenmengen verwaltet werden, wieviele User da zugreifen und ob sich das Netzwerk z.B. auf mehrere Standorte verteilt.


    Für dein Probleme kann ich Dir erst mal nur eventuelle Windowslösungen bieten.
    Ein failover cluster ist eine feine Sache hinsichtlich Hochverfügbarkeit, ohne monetäres update aber offensichtlich nicht realisierbar.
    Wenn es Dir in erster Linie um Lastverteilung geht, dann kann man die beiden Server auch als eigenständige Server integrieren.
    Via AD und smartem Loginscript kannst die die user auf die Server verteilen.


    Hinsichtlich der Replikation der beiden NASse könntest Du auf Windows Bordmittel zurückgreifen, wenn die targets auf Windowsservern verbunden und NTFS formatiert sind.
    Die DFS-Replication kann zwischen den beiden Servern eingesetzt werden um die targets synchron zu halten. M.W. wird auch file locking unterstützt. Es werden nur die Sektorendeltas übertragen. Die erste Replikation dauert, aber danach werden Änderungen praktisch sofort synchronisiert.
    Die Netzwerkbandbreite lässt sich reduzieren, so dass das LAN kaum belastet wird.


    Warum z.B dann nicht beide NAS produktiv nutzen um die Performance zu steigern.
    DIe LUNs des einen NAS auf einen 2k8, das andere auf den 2ten 2k8 verbinden und identische Freigaben einrichten. Da müsste man sich nicht mal Gedanken um das file locking machen, denn durch die Verteilung der User würde auf eine Datei nie auf beiden NAS zugegriffen werden.


    Die ganzen verschiedenen Netzlaufwerke der User habe ich schon lange in die Tonne getreten.
    Stattdessen einen DFS-Namespace einrichten und darin alle Ressourcen verlinken. Ein Namespace kann als primäre Freigabe auf die domain, oder auf einen Server angelegt werden.
    Dann hat also jeder Server sein eigenes NAS und seinen eigenen (strukturell identischen) Namespace.
    Die User haben nur noch ein Netzlaufwerk (vielleicht noch ein Homeshare), in dem auf alle Daten zugegriffen werden können, sofern die ACL des jeweiligen Ordners dies erlauben.


    Stirbt ein NAS, oder ein Server, brauchen nur alle User auf den noch funktionierenden Namespace übergangsweise verbunden werden.
    Sowas lässt sich einfach ins Loginscript einbauen. z.B. kann man über die Abfrage der User OU (entsprechend vernünftige Gliederung im AD vorausgesetzt) oder über Rollen- oder Gruppenzugehörigkeit, den default namespace festlegen und über die Erreichbarkeit der Server und/oder NASse den Ausweich-Namespace bestimmen.
    Ich vertrete für mich persönlich die Auffassung, wenn ein Netzwerk auf einem AD fusst, dann sollte man die Steuerung auch so homogen wie möglich dort belassen.


    Das sind natürlich nur Ansätze, die ich Dir bieten kann. Ob dann alles so zusammenspielt muss selbstredend geprüft werden.


    Bei Deinem Konzept muss ich mich leider ausklinken.


    Gruss
    Micha