Best Practice: Domain Controller oder LDAP Server?

  • Hallo,

    Ich betreibe seit einigen Jahren

    - 2 NAS für eine kleine Gruppe von Benutzern (ca 10). Das erste NAS (TS-453 Pro) ist File Server.
    - Das zweite NAS (TS-253 Pro) läuft als Backup Maschine (real time sync und Backup mit smart versioning). Beide Backup Jobs laufen mit "copy ACL attributes" sodass ich bei einem Ausfall von NAS1 relativ einfach auf NAS2 "umstellen" kann.
    - Zusätzlich zwei HP OfficeJets die Scans direkt auf ein Netzwerk Share speichern
    - eine Password Safe App, die via WebDAV zugreift
    - Virtualization Station mit Windows 10 auf NAS2
    - Multimedia Dienste auf NAS1.

    Nun ist meine Frage: Was ist die beste Variante, beide NAS "unter einen Schirm" zu bekommen, also z.B. Benutzer und Gruppen zu synchronisieren?

    Meine schmerzhaften Erfahrungen und Versuche:

    1. Ursprünglich lief auf NAS1 ein Domain Controller (NAS2 als Backup DC). QNAP hatte einen Bug in der Firmware, so dass ACL Attribute nicht sauber kopiert wurden. In einer mühmsane Diskussion mit dem Supportwurde ich sogar aufgefordert, einen externen Directory Server zu betreiben.
    2. Nach längerer Zeit bin ich auf einen externen LDAP Service (jumpcloud) umgestiegen. QNAP war auch da nicht in der Lage, die ACL Attribute korrekt zu kopieren. Das Problem wurde nach vielen Monaten dann irgenwann gelöst, wieder nach langen Diskussionen mit deren Support. Trotzdem: Diese Konfiguration ist sehr langsam, einige Apps laufen sogar in time outs mit Authentifizierungsfehlern, ein Drucker/Scanner kann garnicht mehr per SMB auf ein Share zugreifen, etc.

    Also zurück zu meiner Frage von oben und meine Gedanken dazu:

    A. Ist die QNAP Domain Controller Implementierung mittlerweile gut genug, um darauf zurück zu gehen?
    B. Oder sollte ich besser NAS1 als internen LDAP Server aufsetzen und NAS2 damit synchronisieren?

    Was sind Eure Erfahrungen? Gibt es Best Practices?

  • Ich habe nur Probleme mit dem Domain-Controller am Qnap. Lange Jahre gab es durch den Domain-Controller ein Speicherleck, der SMB Dienst hat immer mehr Speicher verbraucht bis das NAS stand.

    Aktuell kann man nach einer Zeit keine Verbindung mehr mittels SMB zu den Freigaben aufbauen, wenn der DC neu gestartet wird dann geht es wieder.

    Alles zigfach beim Support gemeldet, aus Asien wurde auf das NAS zugegriffen aber die Probleme bestehen seit mind. 5 Jahren.


    Es gibt auch Probleme mit der Sicherung der Daten, niemand weiß warum bei den einen NAS die Sicherung funktioniert auf eine externe Platt und am anderen nicht. Betrifft ein bestimmtes Verzeichnis.

    Ich werde das auch nicht mehr intensiv weiter verfolgen, bei uns bald zieht ein Windows Server ein der den DC macht und die NASen sollen dann halt Member sein, ich hoffe das geht.

    Andere hier im Forum haben aber keine Probleme mit dem DC am NAS. Wobei da immer die Frage ist ob die auch so wie wir die Daten replizieren.

  • Ohje, das klingt ja grausam. Das Problem hatte ich zum Glück nicht auch noch, solange ich den DC auf dem NAS hatte. Auch grundsätzlich klappte der SMB Zugriff. Und eigentlich hoffe ich, dass das Replizieren mittlerweile auch funzt. Jedenfalls sind in HBS3 mittlerweile einige Bugs behoben, sodass - wenigstens mit meiner LDAP Konfig - das Replizieren der Datei-Attribute klappt.


    Gehe ich nun also wieder zurück auf DC? Oder ziehe ich "nur" LDAP von Jumpcloud auf das NAS? Beides macht ordentlich Aufwand, weil ich wohl in beiden Fällen ja alle bestehenden Gruppen- und Userrechte neu setzen und vererben muss. Eigentlich brauche ich die Komplexität einer Domäne nicht. Aber bleiben mit LDAP auf dem NAS die Probleme, die ich aktuell mit LDAP auf Jumpcloud habe?


    Freue mich über weitere hilfreiche Erfahrungsberichte ...

  • LDAP liefert bei uns ein Mac Server. Für die Konfiguration gibt es eine Anleitung von QNAP. Im Konfig-Fenster sieht man ob der DC liefert bzw. online ist. Voraussetzung ist m.E., dass DNS richtig läuft.

    In File-Station kann man am NAS zwischen lokalen und Domain-Usern umstellen.

    Mit HBS 3 synchronisieren auf zweites NAS funktioniert. Die Rechtevergabe ist teilweise problematisch, je nach Posix oder ACL. Das erfolgt auf der Ebene der Freigaben und hat mit der LDAP-Berechtigung m. E. weniger zu tun.

  • Hallo NASARC,

    ok. Danke. Aber wie ich geschrieben hatte will ich die Benutzerverwaltung auf dem NAS machen und mit dem anderen NAS synchronisieren. Also keine weitere Maschine, sondern die Entscheidung für einen DC oder einen LDAP Server ...