Hinweise um Domaincontroller auf TS-543D einzurichten

    Mavalok2 hat einen guten 4-teiligen Guide geschrieben um den NAS auch als Domain -Controller zu nutzen. Meine neue NAS TS-453D bietet diese Möglichkeit. Ich bin hinsichtlich Domäne blutiger Anfänger und habe viel gelernt in den letzten 14 Tagen. Ein paar der Erfahrungen möchte ich weitergeben, vl. hilft es den Frust bei anderen etwas zu reduzieren.

    Ein paar Eckdaten

    • Fritzbox 6660 mit aktuellem FritzOS 7.23
    • NT-453D mit aktueller Firmware-Version 4.5.2.1566 Build 20210202 (das ist wichtig! die Version vorher hat relevante Fehler). Mavalok2s Guide für Domain Controller wurde darauf abgearbeitet, alle Teile, nicht nur der hier verlinkte erste!
    • eine Zyxel NAS 542 als vorhergehende NAS
    • 3 Desktop PC mit Windows 10 und Updates bis Jan 2021
    • 3 Laptops Windows 10 via WLAN/LAN
    • Handys, Tablets, etc im WLAN mit Android
    • 5 Domain User
    • 1 Videokamera via FTP

    IPv4 vs IPv6

    • IPv6 in Verbindung mit der Domäne habe ich auf den Windows Rechnern nicht ans Laufen bekommen. Ich vermute es liegt an der Priorisierung von IPV6 über IPV4 und der Konfiguration des DNS auf der NAS, die ich für IPV6 nicht richtig hinbekommen habe. Was funktioniert:
      • IPv6 auf Fritzbox eingeschaltet lassen und
        • IPv6 auf NAS (es spielt dabei keine Rolle ob der NAS eine feste IP bekommt oder via DHCP)
        • und allen anderen Geräten nutzen
        • außer den Windows Domänenrechner, dort IPv6 abschalten (das Häckchen bei den IPv6 Netzwerkeinstellungen wegnehmen)
    • Nur IPv4 funktioniert, d.h. auf der Fritzbox wird die IPv6-Unterstützung abgeschaltet:
      • Das Netzwerk läuft zuverlässig. Einstellungen an anderen Stellen war nicht nötig.
      • Aber nach etwas Recherche habe ich mich dazu entschlossen, die IPV6 Unterstützung auf der Fritzbox wieder zu aktivieren, es soll wohl das schnellere Netzwerk sein und einige Anwendungen brauchen es.

    DNS

    • Irgendwie muss man die NAS als DNS Server bekannt machen. Das funktioniert auf mehreren Wegen:
      1. In der Fritzbox unter Heimnetz-Netzwerk-Netzwerkeinstellungen-IPv4-Adressen unter lokaler DNS-Server die IP des NAS eintragen.
        Vorteil:
        - nur ein Eintrag für alle Rechner
        Nachteil:
        - wenn NAS aus dann kein primärer DNS, Antwort dauert länger
        - die Antwortzeiten der NAS waren bei mir teilweise lang (Kann aber auch an der alten FW gelegen haben) à das war mein Grund Option 2 zu wählen.
      2. Auf jedem Win10 Domänenrechner unter Systemsteuerung\Netzwerk und Internet\Netzwerkverbindungen-Status-Eigenschaften-IPv4 als bevorzugten DNS die IP des NAS hinterlegen und als alternative die Fritzbox, wer mag kann unter "Erweitert" noch weitere DNS eintragen.
    • IPv6 und DNS lief ganz übel. Es gab zwar Antworten, aber nslookup zeigte mir an, dass die Server teilweise nicht antworteten. Es gab dann mehre timeouts und erst beim dritten Server ein Ergebnis. Ich habe den Weg erst mal eingestellt.
    • Der DNS Server der NAS muss nicht unbedingt weiter konfiguriert werden. Es funktioniert mit der Grundeinstellung.
    • Noch ein Hinweis, wer Änderungen an DHCP, IPs, DNS vornimmt muss damit rechnen, dass nicht alle Rechner adhoc auf die neuen Einstellungen umschwenken, dass kann zu Inkonsistenzen im Netz führen. Da hilft ipconfig /flushdns oder ipconfig /renew oder radikaler Neustart aller Rechner und Handys, etc. was lästig ist.

    Rsync

    • Ich nutze meine alte Zyxel als Backup. Dabei ist mir aufgefallen:
      • Zyxel kann als rsync user nur den Namen „admin“ nutzen (tatsächlich der Username – nicht die Zugehörigkeit zur Gruppe). Sowohl auf der Zyxel als auch auf der Qnap-Seite.
      • Die Passwortlänge ist auf 14 Zeichen begrenzt. Mehr werden ohne Kommentar und Hinweis abgelehnt.

    Rechte

    • War ein großes Problem. Ich hätte das Thema Domäne fast wieder aufgegeben. Die Qnap hat hier in den (und hoffentlich auch nur in denen) alten FW-Ständen einen Bug. Wenn jemand glaubt, er hat alle Berechtigungen richtig gesetzt und die ACL verändern sich spontan, der Windows Dateiexplorer stürzt ab, wenn man die Karte Sicherheit öffnet oder die die Berechtigung unter Windows lassen sich nicht ändern, dann liegt das nicht am User-To-Stupid-Error X(! Es ist tatsächlich ein Problem in der Implementierung. Mit der aktuellen FW ist es viel besser!
    • Mit der aktuellen FW lassen sich Zugriffrechte, Vererbung, Owner, etc. prima und wie erwartet setzten. Es funktioniert sogar! Auch für die Systemordner Public, Home, Multimedia, etc.
    • Die Rechte aus: https://wiki.samba.org/index.p…ing_Windows_User_Profiles fand ich nicht nur für den Profile-Ordner gut sondern habe es auch auf Home (ohne die System-Rechte, alle User haben ein Unterverzeichnis hier) angewandt.
    • Achtung! Wenn man das erste Mal auf der NAS unter Freigabeordner-Erweiterte Berechtigungen die Windows-ACL einschaltet, kann es je nach Dateimenge (ich hatte erst meine 4TB Daten überspielt) recht lange dauern bis alle Rechte gesetzt sind. Das sieht man aber nur, wenn man auf dem Tab bleibt und die %-Zahl, die nach einiger Zeit auftaucht im Auge behält. Ich denk wer zu früh in Windows die Berechtigungen nacharbeitet, kann da Konflikte verursachen.

    Konsole

    • Es bietet sich an einen generischen Nutzer zu erstellen, dessen Konto gesperrt ist. Dort setzt man eine Vorbelegung, bspw. im Profil für den Basisordner  \\nas\homes\%USERNAME%, Kennwort + Änderung, Mitglied von, etc…
    • Ein paar Hinweise zu den Richtlinien
      • Gruppenrichtlinienverwaltung – Gesamtstruktur – Domänen – [Domäne] – Gruppenrichtlinienobjekte – Ordnerumleitung - Kontextmenü – Bearbeiten à Benutzerkonfiguration – Windows-Einstellungen-Ordnerumleitung hier kann man die Benutzerordner setzen
      • Die 3D-Objekte im Dateiexplorer konnte ich nicht einfach ausblenden. Ein Eintrag in den Richtlinien dazu habe ich nicht gefunden.
      • Die alten Windows 7 Bibliotheken kann man ebenfalls nicht einfach mit den Richtlinien abschalten. Es gibt ein Registry-Eintrag dazu, der bearbeitet werden muss.

    Sonstiges

    • In der Windows Powershell fand ich folgende Befehle besonders hilfreich um Probleme zu lösen:
      • Ipconfig /renew oder /all oder /flushdns
      • Nslookup um den DNS-Problemen auf die Spur zu kommen
      • Takeown /F * /R à um am Anfang alle Dateien auf mich als Owner zu übertragen