Bind und Domaincontroller betreiben

    Hallo,


    ich bin in Bezug auf Active Directory und Domaincontroller noch etwas unbeholfen und versuche mich gerade einzulesen und das Konzept zu verstehen.


    Auf meiner Qnap läuft ein BIND Server mit dem ich meine Web Server Adresse auflösen kann.

    Zusätzlich würde ich gern meine Rechner in einer Domäne anmelden.


    Ich habe keinen Windows Server, kann ich trotzdem in der QNAP einen Active Directory mit einen Domaincontroller erstellen?


    Blockiert hier mein BIND Server den Domaincontroller?


    Ich habe mal versucht den Domaincontroller in meiner QNAP zu aktivieren und meinen Windows 10 Rechner anzumelden. Leider findet er aber die Domäne nicht.


    Ich hoffe es kann mir jemand helfen.


    Mit freundlichen Grüßen

    Mathias

    Hallo Mathias,


    wie du schon vermutet hast, kommen sich Bind als DNS-Server und AD ins Gehege.

    Deaktiviere vorübergehend Bind und starte AD neu!

    Danke für deine Antwort. Das habe ich schon vermutet. Ich habe mal testweise den Bind Server gestoppt.


    Habe den Domaincontroller aktiviert und versucht die Domäne zu pingen.


    Auf den Windows 10 Pro Rechner habe ich als DNS-Server die QNAP IP angegeben.

    Leider kann ich meine Domäne nicht pingen.

    Habe ich noch etwas vergessen?

    Es ist schon einige Monde her, dass ich mich mit Active Directory beschäftigt habe.

    Du darfst Domain und Domäne nicht verwechselsn

    Soweit ich mich erinnere kannst du nicht die Domäne pingen sondern nur Rechner innerhalb der Domäne, also rechner.domänenname.lan z.B..

    Zitat von frosch2

    Soweit ich mich erinnere kannst du nicht die Domäne pingen sondern nur Rechner innerhalb der Domäne, also rechner.domänenname.lan z.B..

    Ist das dann nicht ein fehlerhaft konfigurierter Domänenkontroller?


    M.W. gibt es Vorschriften zu existierenden Ressourcen in Domänen. Und soweit kein anderer Rechner in einer Domäne ist außer dem Domänenkontroller selbst, sollte dort doch ein Redirect eingerichtet sein von der Domäne auf den Domänenkontroller.


    Andererseits gehört ping nicht zu zwingend erforderlichen Ressourcen. Eine Deaktivierung oder Blockierung von ping ist daher eine zulässige Konfigurationsentscheidung. Von daher ist die Bewertung von ping-Ergebnissen ohne Bekanntgabe der Konfigurationsstrategie voreilig.


    Und schließlich gehe ich davon aus, dass QTS nur eine Teilmenge eines Domänenkontrollers implementiert. Unter Windows Server sollten mehr Features zur Verfügung stehen als unter QTS. Aber nicht jeder Windowsadministrator nutzt diese zusätzlichen Features. Sind vermutlich optional.

    Zitat von chef1

    Ist das dann nicht ein fehlerhaft konfigurierter Domänenkontroller?

    Das sollte man mit nslookup ermitteln können.

    So konnte mich jetzt wieder meinem Projekt widmen.


    Habe jetzt auch den Fehler gefunden. Meine QNAP hat mehrere IP Adressen von meiner Fritzbox zugeordnet bekommen. Habe dabei die falsche IP Adresse bei Windows 10 eingetragen.


    Da bind und der Domain Controller auf meiner QNAP auf zwei unterschiedlichen IP Adressen laufen funktionieren auch beide. Kann jetzt meiner Domäne beitreten und die Namensauflösungen von bind nutzen. Wenn ich mich aber nicht täusche kann der Domaincontroller auch Namensauflösungen betreiben oder?


    Eine Frage hätte ich trotzdem noch. Ist es möglich einen Domänenuser oder einer Gruppe einen fixes Netzwerklaufwerk mit einem Buchstaben zuzuweisen. Sodass sich der Domänenuser einloggt und sofort mit einem Netzwerklaufwerk verbunden ist.


    Beim Windows Server würde das glaub ich wie folgt funktionieren:

    https://www.tech-faq.net/netzl…en-per-gruppenrichtlinie/

    Das geht auch mit dem DC von QNAP - also Samba. Dies wird mit den Gruppenrichlinien gemacht, analog zu Windows-Servern.


    Domänencontrollern und grundsätzlichen jedem Server oder NAS würde ich manuell eine IP-Adresse außerhalb des DHCP-Bereiches zuweisen.

    Zitat von Mavalok2

    Dies wird mit den Gruppenrichlinien gemacht, analog zu Windows-Servern.

    Sollte auch ohne Gruppenrichtlinien funktionieren. Unter Windows gibt es den Befehl net use. Müsste dann nur in das Profil des entsprechenden Benutzers eingetragen werden.


    Wusste noch gar nicht, dass Samba inzwischen Gruppenrichtlinien unterstützt. Seit welcher Sambaversion ist dies denn hinzu gekommen?

    Stimmt, kann man auch im Profil machen. Will man aber mehr als nur eine persönliche Freigabe... Könnte man dann allerdings auch mit eine Script machen.


    Seit wann GPO und GPP von Samba unterstützet wird kann ich nicht genau sagen, min. 4 oder 5 Jahre, denn da habe ich sie zum ersten Mal auf einem QNAP DC eingesetzt.

    Das mitn Script bzw der persönlichen Freigabe habe ich gesehen und getestet und funktioniert auch soweit. Über GPO oder GPP würde mir das aber besser gefallen.


    Du schreibst das GPO und GPP in der qnap eingestellt werden können. Kannst du mir sagen wo in der qnap Einstellungen vorgenommen werden können? Sind das die vordefinierten Gruppen beim Domaincontroller?

    Das geht nur mit RSAT, den Microsoft Remote Server Administration Tools. Diese musst Du herunterladen und auf einem Windowsgerät installieren. Danach geht es analog zu einem Windows Server. Wenn man noch nie mit Gruppenrichtlinien gearbeitet hat ist es nicht ganz einfach. Da empfehle ich dringend sich entsprechend einzulesen.


    Informationen zu RSAT siehe auch hier:

    Netzwerk - Anleitung zum Einrichten eines Domänen Controllers (Teil 4)

    Danke Mavalok2, habe jetzt die Anleitung von vorn bis hinten durchgespielt. Hab mich bisher nur an die QNAP Anleitungen gehalten aber die sind viel zu oberflächlich. Deine Anleitung ist wirklich super. Dankeschön nochmal :).


    Hab gelesen, dass du selbst keinen QTS Domaincontroller mehr betreuen musst und deswegen vermutlich auch wenig Interesse hast weitere Anleitungen dazu zu schreiben. Wobei wie du schon geschrieben hast, es eigentlich jetzt grundsätzlich genau so weiter geht, wie bei einem eingeschränkten Windows Server.


    Was ich auch gelesen habe ist, dass du Probleme hattest bei einem QTS Update. Das wäre bei mir überhaupt nicht gut.


    Ich betreue eine kleine Praxis und wollte hierfür keinen extra Windows Server zulegen, deswegen der Domaincontroller auf der QNAP. Zum testen habe ich mir eine zweite QNAP zugelegt. Auf dieser teste ich gerade den Domaincontroller und weitere Funktionen der QNAP. Wenn aber nach einem QTS Update der Domaincontroller nicht mehr sauber funktioniert und deswegen die PC in der Praxis nicht verwendet werden können, wäre das nicht so gut.

    Die QNAP NAS (3x TS-231+ als Server, Backup und Offsite-Backup) mit Domänen-Controller war eine kleine Filiale von uns die ich betreut habe. Die haben sich von uns getrennt und ich betreue diese Geräte nicht mehr. Ich nehme an, dass diese immer noch so laufen werden.

    Und ja, ich hatte Probleme nach ein Update. War eine Update auf eine neue Version. Bin mir bis heute nicht sicher ob die Probleme durch einen Konfigurations-Fehler meinerseits zustande kam, der aber erst durch das Update zum Tragen kam, oder ob durch das Update etwas an der Konfiguration verändert wurde. Das konnte ich nie genau herausfinden. Da Problem war jetzt nicht direkt der Domänen Controller und konnte durch anpassen der Konfiguration behoben werden. War allerdings nicht ganz so einfach zu finden. Ein Teil benötigte dann auch noch einen Workaround. Aber so etwas kann Dir natürlich mit jedem Betriebssystem passieren.


    Aber wenn Du mich fragst, ob ich so etwas noch einmal genau so aufbauen würde...

    Würde ich nochmals TS-231+ mit Annapurna Labs CPU nehmen? Definitiv nein (zumindest nicht für den "Hauptserver". Die Modelle mit ARM-CPUs sind sparsam und günstig, aber einfach zu unflexibel. Ich habe mich unzählige Male darüber geärgert kein x86 Modell genommen zu haben um noch eine kleine virtuelle Maschine vor Ort in Betrieb nehmen zu können. Wichtig in diesem Zusammenhang wäre auch ein Modell das aufrüstbar ist. Hier ein paar Euros mehr zu investieren ist dringend zu empfehlen, gerade in einer Firma.

    Würde ich überhaupt nochmals so etwas machen? Wenn ich wieder vor der gleichen Situation stehe würde: Kaum Budget, kein Platz und geringe Wärmeentwicklung, da keine Kühlung möglich. Ja, einfach weil es wohl kaum andere Optionen gab / gibt.

    Würde ich dies nochmals so machen, wenn genügend Platz und Geld vorhanden wäre. Nein. Dann würde ich mir hier wohl einen Server mit Windows 2019 hinstellen und nur die Backups mit QNAP fahren. Aber gerade Geld ist ja meistens Mangelware bei so einem Projekt. Und so ein NAS (auch ein x86 Modell) ist nun mal um einiges günstiger als ein Server mit Windows 2019


    Aber unterm Strich hat es mit den 3 TS-231+ auch funktioniert. Und trotz Problem beim Update bedeute dies kein Ausfall für die Filiale, nur ein paar Einschränkungen eine gewisse Zeit.


    Wichtig auf jeden Fall ist eine funktionierende Sicherungs- und Ausfallsstrategie. Die Idee dahinter 3 gleiche Modelle zu nehmen liegt darin, fällt das Haupt-NAS aus kann ich einfach die Platten in ein anderes NAS stecken und direkt weiterarbeiten. Auch die Platten waren die selben, alle als RAID1. Beim Ausfall einer Platte kann ich auch hier einfach eine Platte aus einem anderen Gerät nehmen und weiter geht es ohne Ausfallrisiko.