QNAP für zentrale Benutzerverwaltung (LDAP oder Domain Controller) verwenden

    Hallo zusammen!


    Nach vielen Abenden der erfolglosen Suche im Forum, anderen Foren, Youtube und im Internet allgemein wende ich mich nun mit meinem Anliegen an Euch, denn vielleicht kann mir jemand weiterhelfen.


    Mein Problem ist "eigentlich" ganz einfach: Ich würde gerne unseren QNAP für eine zentrale Benutzerverwaltung für die Zugriffe auf die Shares verwenden. Ob mit LDAP oder Domain Controller, beides wäre möglich.


    Wahrscheinlich ist es wichtig, Euch eine Auzählung der beteiligten Geräte zu geben:


    • TS-253A mit QTS 4.3.3 (mit festern IP)
    • FRITZ!Box 7360 mit OS 6.83 (auch als DHCP-Server im Einsatz)
    • MacMini mit El Capitan
    • Windows-Rechner mit W10 Pro
    • Windows-Rechner mit W10 Home
    • HP OfficeJet Pro 8730 (dient in erster Linie als Scanner, die Scans werden auf Netzwerkshares auf dem NAS gespeichert)
    • 2 x iPad, 1 x iPhone


    Jetzt habe ich versucht, LDAP oder den Domain Controller des QNAP zu nutzen, um den Zugriff auf die Dateien auf dem NAS komfortabler zu gestalten. Die iOS-Geräte lasse ich mal außen vor, denn hier funktioniert es mit den Apps zum Glück immer. :) Der Rest der Maschinerie treibt mich diesbezüglich zur Verzweiflung.



    Versuch mit LDAP
    Die beiden Windows-Rechner benehmen sich dabei dank pgina. Der Mac Allerdings zeigt mir nach dem Anmelden eines LDAP-Benutzers nur den Hintergrund und den wunderschönen kreisenden bunten Ball. Der HP OfficeJet will jedoch gar nicht mitspielen und meldet mir, dass die Syntax zur Root falsch sei.


    Versuch mit Domain Controller
    Der Windows-Pro-Rechner läuft hier logischerweise und dennoch zum Glück einwandfrei. Der Windows-Home-Rechner sollte, falls das mit dem DC funktioniert, auf Pro angehoben werden. Daher lasse ich ihn mal außen vor. Der HP OfficeJet meldet, dass die verwendeten Benutzerdaten (sei es der DC-Admin, ein extra für ihn angelegter oder ein anderer Benutzer) falsch sind. Der Mac spielt scheinbar erstmal mit, meldet allerdings im Eingabefenster "keine Netzwerkressourcen verfügbar". Die Anmeldung mit einem Domänenbenutzer geht dennoch. :P Jetzt habe ich aber die Wahl, ob ich mit dem Mac auf die Daten auf dem NAS zugreifen will (DNS-Server = NAS-IP) oder áuf das Internet (DNS-Server = Fritz!Box-IP) beides zusammen geht nicht. Auch nicht, wenn ich beide in den Netzwerkeinstellungen eintrage, es wird scheinbar immer nur der erste Eintrag in der Liste verwendet.
    Nach der Lektürer vieler interessanter Beiträge vermute ich, dass es mit den DNS-Einstellungen des QNAP zu tun hat? Ich gebe allerdings zu, dass ich keine Ahnung habe, was ich dort einstellen sollte und wie, damit zum Beispiel für Adressen außerhalb der Domäne die Anfragen an die FRITZ!Box weitergegeben werden.



    Falls von Euch jemand Lust hätte, mit weiterzuhelfen, würde ich mich sehr freuen. Sicherlich habe ich noch viele (wichtige) Angaben nicht gemacht, die ich natürlich gerne nachliefere. ^^


    Einen schönen Abend und viele Grüße,
    Stefan

    Zum richtigen Verwalten des Domain Controller und des Active Directorys benötigst Du die Remoteserver-Verwaltungstools von Microsoft. Über die QNAP-Oberfläche lassen sich besten Falls rudimentäre Einstellungen vornehmen.


    Download Win7
    Download Win10


    Möglicherweise hilft dieser Beitrag noch ein wenig weiter:
    Domain Controller - DNS / DHCP konfig??


    Wie Du schon richtig gemerkt hast lässt sich eine Home-Version nicht in die Domäne einbinden.


    Das Problem mit den OfficeJet verstehe ich jetzt nicht ganz. Wie oder warum willst Du den ins AD einbinden? Soll hier die QNAP als PrintServer dienen? Der HP hat doch sicher seinen eigenen PrintServer.


    Das Mac-Internet-Problem würde ich mal DNS-Problemen zuweisen, vermutlich auch DHCP. Im Normalfall werden die Einträge von wo die DNS-Einträge vom Client geholt werden sollen vom DHCP-Server mit gegeben. Bitte prüfe, dass nur ein DHCP-Server in Deinem Netzwerk aktiv ist. Wenn auf der Fritzbox, dann bitte den auf der QNAP deaktivieren, sonst gibt es ein Durcheinander.
    DNS-Server kannst Du mehrere verwenden, nur empfiehlt sich dann hier den DNS-Server auf der QNAP an den DNS-Server der Fritzbox weiterzuleiten. Diese Einstellungen kannst Du allerdings nur mit den Remoteserver-Verwaltungstools von Microsoft vornehmen, wie bei einem Windows-Server.


    Hast Du Erfahrung mit diesem Thema?

    Hallo!


    Erstmal vielen Dank für Deinen Beitrag, der mir schon mal weitergeholfen hat. Von den Verwaltungstools hatte ich schon in einem anderen Beitrag von Dir gelesen, es dann aber nicht damit hinbekommen. Inzwischen habe ich sie erfolgreich installiert und sie sind einsatzbereit. Den von Dir verlinken Beitrag habe werde ich mir gleich ansehen.


    Zu Deinen Fragen:

    • DHCP-Server: Es ist nur die FRITZ!Box als DHCP-Server im Netzwerk, die DHCP-Server-Funktion des QNAP ist abgeschaltet. Sollte das die Sache vereinfachen, kann ich das aber auch ohne großen Aufwand tauschen.
    • OfficeJet: Das Gerät wird bei uns in erster Linie als Scanner verwendet. Die gescannten Dateien werden in Netzwerkordnern abgelegt. Dazu muss der OfficeJet auch Mitglied der Domäne sein (soweit ich es weiß), um auf diese Netzwerkordner auf dem QNAP zugreifen zu können. LDAP habe ich mit ihm inzwischen hinbekommen, würde aber lieber eine Windows-Domäne nutzen.
    • Erfahrungen mit dem Thema: Nur rudimentär, aber ich würde es gerne ein wenig verstehen und anwenden können.
    Zitat von zwoberta

    DHCP-Server: Es ist nur die FRITZ!Box als DHCP-Server im Netzwerk, die DHCP-Server-Funktion des QNAP ist abgeschaltet. Sollte das die Sache vereinfachen, kann ich das aber auch ohne großen Aufwand tauschen.

    Nein, das ist nicht notwendig. Es darf einfach nur immer ein DHCP im Netzwerk sein. Ob Fritzbox oder QNAP spielt eigentlich keine Rolle. Es kann aber zuweilen verwaltungstechnische Vorteile haben, wenn DHCP und ADDC auf dem selben Gerät sind.

    Zitat von zwoberta

    OfficeJet: Das Gerät wird bei uns in erster Linie als Scanner verwendet.

    Der OfficeJet muss deshalb nicht im ActiveDirectory sein. Es genügt einen Benutzer für selbigen anzulegen z.B. Scanner oder OfficeJet und eine entsprechende Freigabe auf der QNAP mit den entsprechenden Berechtigungen - also dass der Benutzer Scanner auf den Ordner die Freigabe und Berechtigung zum Schreiben hat. Den OfficeJet bindest Du dann über diese Freigabe und mit dem User Scanner an diese freigegebenen Ordner. Um Zugriff auf eine Freigabe im ActiveDirectory zu bekommen muss man nicht im selbigen eingebunden sein. Ich denke, das dürfte das einfachste sein.


    Zitat von zwoberta

    Erfahrungen mit dem Thema: Nur rudimentär, aber ich würde es gerne ein wenig verstehen und anwenden können.

    Dient für mich zum Einschätzen. Das Thema ist nicht mega kompliziert - zumindest im kleinen Umfang - hat aber die eine oder andere Stolperfalle auf die man achten sollte. Richtig kompliziert wird dies im größeren Massstab und wenn GPO / GPP, WSUS etc. hinzukommen. :D

    OfficeJet: Achso, das macht es natürlich einfacher. DHCP-Server: Lasse ich dann erstmal so, wie es ist.


    Nochmal wegen der DNS-Weiterleitung, ich hatte dann noch etwas nachgelesen (auch in den Thread, den Du verlinkt hattest) und habe daraus geschlossen, dass ich dazu den DNS-Manager nutzen muss. Hier dann, wenn ich es richtig verstehe, auf die Eigenschaften des DNS-Servers (QNAP) und unter "Eigenschaften"/"Weiterleitungen" die IP der FRITZ!Box eintragen, richtig? Dabei bekomme ich leider den Hinweis "Überprüfungsfehler. Wiederholen Sie den Vorgangspäter." In der Spalte "Vollqualifizierter Domänenname für Server" steht jedoch "fritz.box" Wenn ich das erstmal geflissentlich ignoriere und auf [Übernehmen] klicke, kommt die Meldung, dass die Funktion vom System nicht unterstützt wird.


    Bin ich auf der falschen Fährte?

    Muss jetzt ehrlich sagen, tue mir so aus dem Kopf ein wenig schwer. Habe im Moment keinen Zugriff auf die QNAP wo ich den DNS-Server so eingerichtet habe und es ist auch schon über ein Jahr her.
    Kannst Du mir bitte Screenshots von den DNS-Servereinstellungen posten. Ich denke weit bis Du nicht entfernt.


    Zitat von zwoberta

    In der Spalte "Vollqualifizierter Domänenname für Server" steht jedoch "fritz.box"

    Ich denke, hier stimmt etwas nicht. Ich nehme man an, dass Dein Domänen-Name nichts mit dem Namen fritz.box zu tun und die Fritzbox auch nicht in Deiner Domäne sein wird oder auch benötigt wird einzubinden.

    Kann Dir gerne ein paar Screenshots schicken. Lustigerweise war die Lösung jedoch um vieles einfacher. *freu* Oder sagen wir mal, diese Lösung funktioniert bei mir.


    Die FRITZ!Box hat bei Heimnetz/Heinetzübersicht/Netzwerkeinstellungen/IP-v4-Adressen die Einstellungen für den DHCP-Server. Hier gibt es unter anderem "Lokaler DNS-Server". Ich hatte eigentlich erwartet, dass ein Eintragen des QNAP-IP an dieser Stelle dazu führen würde, dass die DHCP-Clients keinen Internetzugriff mehr haben würden, aber siehe da: Hier die QNAP-IP eingetragen, wird sie (logischerweise) an die Clients weitergegeben, die dann aber dennoch auch Internetadressen auflösen können.


    Der Scanner hat allerdings bisher keinen Zugriff, da scheinbar nur Domänenbenutzer auf die Freigaben zugreifen können.

    Beim Scanner müsste man eigentlich nur einen SMB-Zugriff einrichten können. D.h. dem OfficeJet bzw. Scanner sagt man, auf dieses Netzwerklaufwerk mit diesem Benutzer und Passwort kannst Du zugreifen. Normalerweise gibt man in der WebGUI des Multifunktionsdruckers in einem Untermenü den Freigabepfad der QNAP an z.B. \\192.168.1.1\Scannerdateien\ (\\IP-Adresse QNAP\Freigegebner-Odnder\) und Benuztername und Passwort an. Viel mehr braucht es nicht.
    Wichtig ist, dass es diesen Benutzer gibt und dass dieser Benutzer auf diesen freigegeben Ordner auch Schreibrechte hat. Beachte, dass sowohl die Freigabe also auch die Berechtigungen beim Order dafür gesetzt werden müssen. Hier müssen zwei Dinge gesetzt werden. Wenn auf der Freigabe keine Schreibrechte für diesen Benutzer gesetzt sind nützen auch die Ordnerberechtigungen nichts. Auch zu beachten: Verbote sind stärker als Freigaben.
    Ich würde zum Testen mit diesem Benutzer über einen PC versuchen zuzugreifen. Funktioniert dies hier schon nicht, kann der Scanner dies erst recht nicht.


    Um Zugriff auf die Domäne zu erhalten benötigt man nur einen Domänen-Benutzer. Das Gerät selbst muss kein Mitglied der Domäne sein. Es sei denn, Du hättest hier explizit eingestellt, dass dies so sein muss. Dies ist jedoch standardmäßig nicht eingestellt.


    Habe dies so mit mehreren Geräten unter Windows und QNAP im Einsatz. Es geht. ^^ Bei den meisten Geräten wüsste ich nicht mal wie ich die ins AD einbinden sollte und auch nicht für was. Bei kleineren Geräten wird dies wahrscheinlich gar nicht gehen.
    Leider ist kein HP Multi dabei, darum kann ich Dir nicht genau sagen in welches Menü Du gehen musst.
    Müsste aber etwa so aussehen:
    OfficeJet.jpg
    Aber ich nehme an, dafür wird es von HP eine Anleitung geben.

    Nach vielem weiteren Suchen und einer Unterhaltung im HP-Forum hier die Lösung: Der OfficeJet kann nicht auf eine Freigabe in der Domäne zugreifen. Warum man dann allerdings beim Drucker entsprechende Einstellungen machen kann, verstehe ich nicht.


    Leider ist es so, dass bei aktiviertem DC auf dem QNAP nur noch Domänenbenutzer Zugriff auf die freigegebenen Ordner haben. Der Zugriff mit Domäne\Benutzer wird jedoch abgewiesen. Eine entsprechende Warnung gibt es auch beim Aktivieren des DC auf dem QNAP.


    Daher behelfe ich mir jetzt vorerst mit folgender Krücke und hoffe auf Besserung bei QNAP oder HP: Der Scanner speichert die Dateien auf einem Stick an der FRITZ!Box, der QNAP holt sie von dort mit einem RTRR-Profil ab und legt sie hin wo sie eigentlich hin sollen.

    Dass HP OfficeJet keine Domänenbenutzernamen annimmt kann ich mir irgendwie fast nicht vorstellen. Auf so etwas wäre ich jetzt nie im Leben gekommen. Dann sollte man das Ding aber besser HP HomeJet nennen. :D Denn selbst in kleinen Betrieben wird oft eine Domäne benutzt.


    Das habe ich auf der QNAP so noch nicht ausprobiert, aber eigentlich sind trotz Domäne auf jedem Server/Gerät einer Domäne auch lokale Benutzer möglich. Die sind dann zwar nur für dieses eine Gerät, aber besser als garnicht. Also auf der QNAP ein lokalen Benutzer z.B. HomeJet anlegen und diesen für die Freigabe und Berechtigungen der Ordner entsprechend einrichten. Vielleicht klappt es so.

    Zitat von zwoberta

    Leider ist es so, dass bei aktiviertem DC auf dem QNAP nur noch Domänenbenutzer Zugriff auf die freigegebenen Ordner haben. Der Zugriff mit Domäne\Benutzer wird jedoch abgewiesen. Eine entsprechende Warnung gibt es auch beim Aktivieren des DC auf dem QNAP.

    So wie schon beschrieben wurde, reicht es für den Zugriff alleine den Benutzernamen zu verwenden, die Angabe der Domäne ist dabei falsch.
    Außer du kannst den Drucker in die Domäne aufnehmen, selbst dann reicht der Benutzername alleine.
    Die Domäne wird bei Windows nur angegeben, damit der angesprochene Server weiß, welche Domäne dieser für die Authentifizierung ansprechen muss.

    Jetzt bin ich baff: Nachdem ich es die letzten Tage immer wieder gemäß Euren Tipps probiert habe und es nicht funktionierte, habe ich eben zufällig (wollte schon gar nicht mehr) festgestellt, dass es doch geht, mit Domäne\Benutzername. Das hatte definitiv nicht hingehauen bisher. Vermutlich hatte ich irgendwas bei den Benutzern verkorkst.


    Vielen Dank Euch beiden für die hilfreichen Tipps!


    Viele Grüße,
    Stefan