Mehrere QNAP als DC im AD, Probleme mit UID/GID

    Habe 3 QNAP als DC in einer AD Domain.


    AD Replication funktioniert, allerdings haben die USER und GRUPPEN der AD auf allen QNAP verschiedene UID/GIDs. Somit kann beim Spiegeln mit RTRR dann nicht auf die Daten des Users zugegriffen werden. Beispiel:


    Home Directory AD\USER1 (Pfad homes/DOMAIN=AD/USER1) wird auf alle 3 Server mit RTRR kopiert. Auf Server1 hat der AD\USER1 die UID 3000010, auf Server2 die UID3000034 etc.

    Wenn ich jetzt versuche mit USER1 auf Server1 zuzugreifen funktioniert es, auf Server2 nicht. Dort wird die UID nicht auf den User AD\USER1 gemappt, sondern vielleicht auf AD\GROUP3.


    Ich habe jetzt händisch von Server1 die /share/CACHEDEV1_DATA/.samba_target/private/idmap.ldb auf Server2 und Server3 kopiert. Damit sind die aktuellen UID/GID wenigstens gleich.


    Aber bei Neuanlage eines Users oder Gruppe kann das wieder schief gehen.


    Gibt es hierzu eine Idee, wie es dauerhaft zu verhindern ist?

    Das klingt für mich wie ein Designfehler. Ich weiß nicht, ob das ein spezielles Samba4 Problem ist oder bei QNAP selbst liegt. Ich würde in jedem Fall dazu mal ein Ticket aufmachen, denn nach meinem Verständnis kann es bei der Replikation ja nicht der Sinn sein, die UIDs / GUIDs neu anzulegen. Da macht das "unique" in dem Zusammenhang ja gar keinen Sinn. Ich kann mir auch nicht vorstellen, das Windows das anders handhabt.

    Habe einen Testuser neu angelegt, jetzt hat er auf allen 3 Systemen denselben UID.... Hoffen wir mal, dass es weiterhin klappt.

    Zitat von Laffer

    Habe 3 QNAP als DC in einer AD Domain.

    Habe nicht ganz verstanden, welcher Rechner PDC hat und welche Rechner secondary DC. Hast Du einen PDC auf einem Windows Server und die NAS alle als secondary DC in diese Windows AD Domain eingebunden? Oder wo hast Du (ursprünglich angegeben, welches NAS PDC sein solle, wenn DC nur auf den NAS liegt?

    Hallo Laffer,


    das wird "so einfach" über die QNAP-Weboberfläche leider nicht funktionieren. Vor einiger Zeit (ich müsste den Beitrag jetzt selbst raussuchen) hat bereits ein anderer User hier versucht, einen PDC und einen BDC mit "Bordmitteln" in 2 QNAP-NAS einzurichten und ist gescheitert - Aussage des Supports war damals, dass QNAP das über die Oberfläche nicht unterstützt.

    Wenn Du also tatsächlich ein AD mit mehreren QNAP und sowohl PDC als auch BDC (unter Samba) laufen lassen möchtest, dann kommst Du nicht drum herum, das manuell in Samba "per Hand" zu konfigurieren - dann hast Du auch das Problem mit den unterschiedlichen UID nicht mehr (das kopieren der DB halte ich für kreuzgefährlich, davon abgesehen gehe ich davon aus, dass derzeit sicherlich nicht alle Samba AD-Replikationstests fehlerfrei durchlaufen werden). Völlig davon ab bedenke bitte: Samba unterstützt war die AD-Replikation aber NICHT die Sysvol-Replikation - diese musst Du per Hand (z.B. per Cron-Job) manuell ausführen!

    Wenn Du Dich wirklich "ernsthaft" mit dem Thema AD unter Linux auseinandersetzen möchtest, so bleibt Dir nichts anderes übrig, als Dich intensiv mit der Samba-Doku auseinander zu setzen:


    https://wiki.samba.org/index.php/Main_Page


    Thema Sysvol-Replication (gerade das Thema übersehen gut 95% der Leute):


    https://wiki.samba.org/index.php/SysVol_replication_(DFS-R)



    Gruß,


    Lauri

    Danke für Eure Antworten.


    Tatsächlich habe ich auf der TS-431P2 einen Domain Controller über die Oberfläche eingerichtet. Auf der TS-231P2 und der TS-251 habe ich über die Oberfläche die Auswahl "zusätzlicher Domaincontroller" ausgewählt, was dazu führt, dass ein BDC (oder Secondary DC) angelegt wird. Die Replizierung habe ich mit samba-tools geprüft und sie funktioniert im großen und ganzen. Das Thema SYSVOL Replizierung hatte ich noch nicht auf dem Schirm, werde ich mir aber anschauen.

    Das Kopieren der idmap.ldb wurde in der Samba Doku für solche Fälle empfohlen. Entweder repliziert man sie oder ändert die Konfiguration in der samba.conf.

    samba.conf habe ich mir auf der QNAP noch nicht angeschaut, ich wollte möglichst wenig in den Systemdateien rumpfuschen. Komischerweise hat nach dem Kopieren der idmap.ldb das Anlegen eines neuen Users in der AD auf allen 3 Servern zur selben Unix UID geführt. Deshalb halte ich das Thema mal im Auge, ob es nochmals vorkommt.


    Ich vermute, dass das Problem eventuell daher auftrat, weil ich initial nur auf der TS431P2 die erweiterten Dateirechte (NICHT Windows ACL!!!) aktiviert hatte und auf den anderen nicht. Beim RTRR Sync ist dann wohl was schief gegangen (Ursprung mit erweiterten Dateirechten, Ziel ohne). Ich habe nachträglich auf der TS-251 und TS-231P2 diese dann aktiviert. Danach war es Grütze.

    Hallo,


    zu deinem Problem kann ich leider nichts sagen, aber da auch ein TS-231P2 im spiel ist und auch ein DC eingerichtet ist, dachte ich mir, ich schreib dich einfach mal an.


    Ich hab Jahrelang einen Windows Server als DC in Betrieb gehabt, diesen hab ich jetzt durch das NAS abgelöst, eigendlich bin ich auch ganz zufrieden aber seit der DC vom NAS aktiv ist stress dieses mein Internet-Gateway, ist eine Netgear UTM 10, ist zwar auch schon in die Jahre gekommen aber hat bis heute eigenlich zuverlässig funktioniert. Nur seit ich das NAS mit dem DC in Betrieb habe, baut das NAS ca. 15000 aktive UTP Verbindungen über das Gateway auf. Auch wird im NAS selber ein kontinuierlicher Datenstrom Up- und Downstream von ca. 120kb auf den NIC angezeigt. Dies stresst mein Internet Gateway so das andere Dienste einfach nicht mehr funktionieren. Hast du auch solche erfahrungen gemacht ?


    Hab schon alles mögliche versucht auf dem NAS, alle Dienste wo es ging zu stoppen aber kein erfolg.


    Vielen Dank


    Gruß Dirk

    Hallo Dirk,

    kannst du mir einen Ansatz / eine Richtung zeigen, wie du den bestehenden Windows DC an das NAS übertragen hast?

    Alles was ich bisher fand bezieht sich auf ein neues AD oder zusätzlicher DC.


    Gruß René

    Also,


    das Vorgehen dazu ist grundsätzlich exakt das selbe, egal ob Du 2 Windows Rechner als PDC/BDC, 2 Samba-Rechner oder einen Mischbetrieb hast.


    Grundsätzliches Vorgehen:

    1. Richte einen Server als DC Deiner Domäne ein (egal ob Windows oder Samba)

    2. Sorge dafür, dass alle Replikationen mit diesem Server sauber funktionieren

    3. Übertrage alle FSMO-Rollen vom "P"DC auf den (neuen) DC => dadurch wird der DC zum "P"DC

    4. Fahre den "alten" "P"DC herunter


    Danach kannst Du, falls gewünscht, den alten "P"DC auch aus dem AD entfernen (dafür gibt es diverse Tools, da das auch im DNS durchgeführt werden muss)


    Wie gesagt, das Vorgehen ist völlig identisch, egal unter welchem System Deine DCs laufen. Das "P" habe ich jeweils in Hochkomma gesetzt, da dieses "P" nurnoch durch eine FSMO-Rolle definiert wird.



    Gruß,


    Lauri


    PS: Die "Zuweisung" als "P"DC ist nichts anderes als eine der FSMO-Rollen. "Früher" als es "nur" die Windows-Domänen gab, gab es bei der Installation die direkte Zuweisung, ob ein Server der primäre Domänencontroller oder ein Backupcontroller ist. Dies gibt es in der Form im heutigen AD (Active Directory) nicht mehr. Ein "P"DC wird durch die FSMO-Rolle "PDC Emulator Role" definiert. Der Server, der diese Rolle besitzt, ist mit dem damaligen PDC vergleichbar. Diese Rolle kann heute jedoch jederzeit (manuell) auf einen beliebigen DC innerhalb der Domäne verschoben werden - entsprechend "kann" auch jeder DC ganz einfach zum "P"DC erklärt werden. Das ging in dieser Form ursprünglich nicht.