QNAP TS-419U. Active Directory Integration, was kann sie?

    Hallo liebe Gemeinde,


    erstmal einen Gruß an alle fleißigen Schreiberlein. Ein derart aktives Forum habe ich für NAS Geräte nicht erwartet. Die Geräte können ja, außer Kaffekochen fast alles, deshalb würde ich mir am liebsten sofort ein QNAP zulegen, aber ich benötige dass für unsere Firma und bin noch nicht soweit um eine Entscheidung treffen zu können. Das Gerät soll in einer Windows Domäne eingesetzt werden um zusätzliche Speicherplatz zur Verfügung zu stellen und steht in Konkurenz zu einer neuen Serveranschaffung deshalb muß es zuverlässig und soll nicht das billigste sein. Außerdem muß eine vernünftige Active Directory Integration möglich sein. Wobei ich eben genau hierzu recht wenig Informationen finde. Die Hersteller gehen in Ihren Beschreibungen zur AD-Einbindung nicht ins Detail.
    Nach den üblichen Recherchen habe ich QNAP TS-19U und Synology RS409+ in die engere Wahl genommen. Hier gibt es ja auch schon reichlich Informationen zu den beiden Geräten. Außerdem gibt es ja seit kurzem von IOMEGA das StoreCenter ix4-200r, das könnte auch noch passen.
    Ganz speziell interessiert mich die Anbindung an das Active Directory, hat hierzu jemand Informationen? Das einzige was ich bis jetzt herausfinden konnte war, dass ich in der AD Konfiguration Zugangsdaten zur Domäne (wahrscheinlich ein Adminaccount) eintragen kann und die Benutzer (auch die Gruppen?) von der Domäne ausgelesen werden und das dann alle 5 Minuten. Wie werden die Berechtigungen denn konkret vergeben und welchen Unterschied habe ich hier zu einem Fileserver?


    Vielen Dank
    Siebi

    Hallo Christian,


    vielen Dank für den Hinweis aber den hatte ich schon gefunden. Konkret muss ich wissen, ob die Windows Anmeldung vom Client-PC zum NAS durchgereicht wird oder sich der Benutzer am NAS anmelden muss. Kann ich die Berechtigungen auf dem NAS für jeden Ordner und Unterordner wie auf einem Server mit NTF Berechtigungen einstellen oder habe ich nur die Möglichkeit Freigabeberechtigungen zu vergeben.


    Gruß Siebi

    Zitat von "siebi"

    Kann ich die Berechtigungen auf dem NAS für jeden Ordner und Unterordner wie auf einem Server mit NTF Berechtigungen einstellen oder habe ich nur die Möglichkeit Freigabeberechtigungen zu vergeben.


    Nein, leider nicht,
    es kann nur die Berechtigung der Freigabe frei angepaßt werden,
    ACL auf Datei- und Ordner-Ebene gibt es nicht.

    Oh, dann ist meine Freude über die Einsatzmöglichkeiten eines NAS schon mal etwas getrübt. Wie sieht es den bei anderen Herstellern z.B. Synology aus, weiß jemand was dazu.
    Kann ich den auch AD-Gruppen für die Berechtigung auswählen oder nur User?


    Gruß
    Siebi

    Hallo siebi,


    wir nutzen in der Firma Geräte von Thecus (konkret N7700), dort kann man - wie bei NAS-System üblich - alles über die Weboberfläche steuern. Unter anderem ist dort Möglichkeit, für freigegebene Ordner eine ACL-Liste einzurichten. Schon beim Erstellen des Ordners wird man darauf hingewiesen. Innerhalb der Liste kann man AD-User und / oder -Gruppen angeben (zuvor muss natürlich an anderer Stelle einmalig ein AD berechtigtes Konto zum Abgleich eingerichtet werden). Dies funktioniert inzwischen, nach vielen Firmware-Updates, zuverlässig.


    Eine generelle Empfehlung für Thecus-Geräte würde ich aber nicht geben, da im Moment gerade eine Beta-Firmware die nächste jagt. So wichtige Dinge wie iSCSI sind noch nicht 100% ausgereift, dass zumindest mein Eindruck.

    Mmmh...also bis eben dachte ich noch, das der Sinn einer AD Unterstützung ist, das man die Rechteverwaltung zentral übers AD macht und eben nicht am NAS selber.Das was hier beschrieben wird, ist eine reine Share-Level Security.Sprich Anmeldung erfolgt mit User/Password am NAS bzw. Share und die Rechte und User werden auch nur dort lokal verwaltet.


    In Firmen ist sowas natürlich ein no-go und deshalb gibt es ja u.a. eine Domäne.Die Rechte der Shares werden dann vom Windows aus administriert, sprich z.B. im DC oder rechts-klick auf den Arbeitsplatz, verwalten, mit anderem Computer verbinden , da die IP vom CIFS server eingeben.Dort z.B. Gruppe adden und schon kann jeder aus dieser Gruppe zugreifen.
    Vorher muß man das NAS natürlich in die Domain joinen.


    Ich wüßte jetzt nicht, was eine AD Unterstützung bringt, wenn sie das nicht leisten kann.




    Grüße,


    DocHollywood

    Zitat von "DocHollywood"

    Das was hier beschrieben wird, ist eine reine Share-Level Security


    Ja, das stimmt, so steht das auch in den Beschreibungen auf der QNAP-Seite,
    nur viele überlesen das und sind nachher zu Recht enttäuscht.


    Zitat von "DocHollywood"

    Share und die Rechte und User werden auch nur dort lokal verwaltet.


    Ja, die Rechte der Shares werden nur über die WebGUI vergeben.
    Aber die User und Gruppen sollten komplett aus der AD-Domäne verwendet werden können,
    anders kann es mir nicht vorstellen (habe bisher keine AD-Domäne administriert),
    ansonsten hättest du vollkommen Recht:

    Zitat von "DocHollywood"


    Ich wüßte jetzt nicht, was eine AD Unterstützung bringt, wenn sie das nicht leisten kann.


    Stefan

    Zitat von " Eraser-EMC2"

    Ja, die Rechte der Shares werden nur über die WebGUI vergeben.
    Aber die User und Gruppen sollten komplett aus der AD-Domäne verwendet werden können,
    anders kann es mir nicht vorstellen (habe bisher keine AD-Domäne administriert),
    ansonsten hättest du vollkommen Recht:


    Das Handbuch ( hier exemplarisch mal das für 239p genommen ) spendet diesem Thema - das für sich mehrere 1000-seitige Bücher füllt ;) - nur 1.5 Seiten, es ist die Rede davon, das nach dem Joinen in die Domain die User/Gruppen aus dem NAS in das AD importiert werden ( Seite 62 ff) .Das ist ja an und für sich gut ( weil man die User nicht neu einrichten muß), aber wenn man dann die importierten User / Rechte nicht im AD bearbeiten kann, was soll man dann dort damit ?


    Diese Umsetzung würde einem dann quasi ersparen, sich am NAS zu authetifizieren, weil man bereits in der Domain authentifiziert ist - das schlußfolgere ich daraus.


    So, und QNAP bestätigt das im FAQ, gerade gefunden:


    Zitat von "QNAP FAQ"


    When adding Turbo Station to Active Directory domain, will Turbo Station inherit file read/write right of Windows?


    Answer:
    No, Turbo Station is not able to inherit the access right from Windows. The access right will remain the same per original setting on Turbo station.


    In den Produkt-Feature-Aufzählungen wird es allerdings bezüglich Richtung des Imports der User genau andersherum beschrieben:


    Zitat von "QNAP Features"

    Windows AD-Unterstützung
    Die Windows AD-Funktion ermöglicht das Importieren von Benutzerkonten einer AD-Domäne in den NAS. Dadurch lässt sich wertvolle Zeit bei der Einrichtung von Konten einsparen, zusätzlich können Benutzer weiterhin mit der gewohnten Benutzername/Kennwort-Kombination arbeiten.


    Ehrlich gesagt macht es so für mich schon ein wenig mehr Sinn, wenn denn schon keine richtige AD-Unterstützung geboten wird und die Administration weiterhin auf dem NAS verbleibt.


    Einem richtigen Win Admin könnte man sowas aber nicht wirklich anbieten...



    Grüße,


    DocHollywood

    Zitat von "siebi"

    Kann ich den auch AD-Gruppen für die Berechtigung auswählen oder nur User?

    AD Gruppen und AD User ... wobei die letztere Möglickeit ja nicht wirklich "verwaltbar" ist :thumb:


    Ob sich der Aufwand für eine ACL Implementation lohnt ist fraglich. Einerseits ist der verfügbare Code POSIX ACL / NFSv4 ACL nicht wirklich reif, andererseits variieren die NFSv4 Implementationen im ACL Support dich ganz massiv. Ob das die Freude an einem in eher nur 0.01% der Fälle möglicherweise genützten Feature vermitteln kann, lasse ich mal dahingestellt.


    Anzustreben ist eine robuste und verträgliche ACL Implementation bei QNAP in jedem Fall - ich erwarte diese aber kaum vor der Verfügbarkeit von SAMBA4.


    Zitat von "DocHollywood"

    Einem richtigen Win Admin könnte man sowas aber nicht wirklich anbieten...


    Das trifft ganz allgemein auf sämtliche Linux bzw Samba(3) NAS-Implementationen zu. Ich kenne aber auch grössere Firmen mit vielen weltweit verteilten Filialen und Büros, die solche NAS sowohl lokal als auch im DFS-Verbund bereits seit längerem verteilt produktiv einsetzen.


    SAMBA holt langsam auf, aber ist nicht in das WIndows-Admin-Click-äh-click-äh-...-Umfeld integriert.


    -Kurt.

    Hallo,
    auch ich hab nicht wirklich erfahrung mit AD, jedoch frag ich mich, wieso Siebi tatsächlich zwischen einem NAS und einem Windows Server schwankt im bezug auf ein AD und eine "Firma"!!!! Ich denke nicht das man ein Nas mit einem Windows Server vergleichen kann! Erstrecht nicht wenn man von einer 419U redet! Es ist ja ganz einfach zu vergleichen: der Preis! ! ! Ein Windows Server kostet mehrere Tausend Euro! an dem man nicht mal schnell 5min rumwerkelt und dann läuft! das ist eine komplexe Angelegenheit sowas zu verwenden bzw anzuwenden! Ein Nas in dem Sinne würde wohl nur Sinn machen in ein Firmen Netzwerk integriert zu werden als iSCSI Target mit mehreren Terabyte Speicher! Und in einem solchen Fall wäre zu einer 809U-RP zu greifen, um eine Einigermassen effiziente Lösung zu haben! Denn wie es hier im Forum so schön heißt "NAS sind und bleiben Speicherlösungen" ! ! ! Das QNAP eine AD Funktion integriert ist schön, jedoch ist nicht davon auszugehn das sie einem Windows Server das Wasser reichen kann und an dieser Stelle muss ich nochmals auf den Kostenfaktor hinweisen! Allerdings möchte ich Siebi eigentlich nicht ausreden sich für die Firma ein Nas zu kaufen, es ist nur etwas, unkonventionell da QNAPs in solchen Dimensionen, doch als "Billiggeräte" anzusehen sind im Vergleich zu Bladecenter Server und solchen Dingen! Zufällig hatte ich es heute mit einem Kumpel über so ein Thema: In einer Firmen-Server-Umgebung wäre QNAP mit seinen derzeitigen Gerätschaften schlicht weg fehl am Platz, da sie der schon allein mit der Gigabit anbindung der Flaschenhals im ganzen netzwerk wären! Dort sind die Server über LWL und 10GBit Anbingungen angebunden, eine QNAP wäre somit ungeeignet! Eine QNAP ist somit nur für kleinere Firmen, wo professonelle Server den Aufwand und die Kosten nicht decken würden gedacht!


    Zurück zum Thema: ein paar nähere Informationen warum du zwischen Windows Server und einem QNAP NAS schwankst, wären doch hilfreich!


    Gruß Neo


    PS. ich wollte bzw will auf keinen Fall QNAP schlecht machen! nur habe ich das Detail "Firma" in diesem Falle ernst genommen! also ich wollt niemandem auf den Schlipps treten! :oops: Ich hab euch alle lieb! :oops:

    Zitat von "schumaku"

    Das trifft ganz allgemein auf sämtliche Linux bzw Samba(3) NAS-Implementationen zu.


    Nicht ganz...siehe unten.Außerdem beherrscht SAMBA diese Features, QNAP hat sie nur nicht eingebaut.


    Zitat von "schumaku"


    Ich kenne aber auch grössere Firmen mit vielen weltweit verteilten Filialen und Büros, die solche NAS sowohl lokal als auch im DFS-Verbund bereits seit längerem verteilt produktiv einsetzen.


    Es gibt viele Fileserver, die nicht auf Windows beruhen.Die momentane QNAP Unterstützung für Domains hat nichts damit zu tun, das es nicht gehen würde.Es ist halt nur nicht umgesetzt bei QNAP momentan.



    Zitat

    SAMBA holt langsam auf, aber ist nicht in das WIndows-Admin-Click-äh-click-äh-...-Umfeld integriert.


    Das ist so auch nicht ganz richtig.Es gibt einige Nicht-Windows Implementationen, die natürlich in Windows Domänen integrierbar sind.Anders würde das von Domain Admins auch gar nicht akzeptiert.Allerdings beruhen Implementationen nicht unbedingt auf Samba, man spricht hier erstmal generell vom CIFS Protokoll, Samba ist nur eine Implementation unter Linux, wenn auch die bekannteste.


    Zitat von " X5_492_Neo"

    denke nicht das man ein Nas mit einem Windows Server vergleichen kann!


    Das kommt darauf..es gibt professionelle NAS Server, die nicht auf Windows beruhen, ein vielfaches eines Windows Servers kosten und demenstprechend leistungsfähiger sind.Ich würde einschätzen, das die leistungsfähigsten CIFS Fileserver nicht auf Windows beruhen.Insofern stimmt diese Aussage nicht, weil sie den Begriff "NAS" zu einem Billigteil mit unzureichender Leistung und Umsetzung referenziert.Ich weiß, das hat sich so in den Computerzeitschriften und auch in der Consumer-Werbung durchgesetzt - ist aber nicht zutreffend.Von einem NAS spricht man immer dann, wenn es eine dedizierte Appliance darstellt, die Services/Protokolle anbietet, um Files im Netzwerk zu hosten.Bei mehreren Protokollen spricht man dann auch von Multi-Protocol Network oder Fileserver.
    Das trifft auf QNAPs zu, aber eben auch auf echte NAS Server, die ein mehrzehn- oder hundertfaches kosten.


    Der größte Unterschied von Mini-NAS zu professionellen NAS ist, das professionelle skalieren können, sprich die sind im Front - und Backend so konstruiert, das sie sehr viele parallele I/Os verarbeiten können.Im Backend wird dies z.B. durch sehr viele Spindeln ( = Festplatten ) erreicht, auf die man parallel zugreifen kann, im Frontend durch mehrere NICs.Aktueller Stand der Technik sind hier 10Gbit NICs.


    Zitat von "X5_492_Neo"

    Das QNAP eine AD Funktion integriert ist schön, jedoch ist nicht davon auszugehn das sie einem Windows Server das Wasser reichen kann und an dieser Stelle muss ich nochmals auf den Kostenfaktor hinweisen!


    Mit der Leistungsfähigkeit des NAS hat die AD Integration nur wenig zu tun.Man könnte z.B. im Unternehmen 50 von diesen Teilen haben, einen in der GS z.B., dann würde das AD schon sehr die Administration vereinfachen.


    Eine richtige Kostenfrage ist AD-Unterstützung auch nicht...gibt es schon im Samba.


    Zitat von "X5_492_Neo"

    In einer Firmen-Server-Umgebung wäre QNAP mit seinen derzeitigen Gerätschaften schlicht weg fehl am Platz, da sie der schon allein mit der Gigabit anbindung der Flaschenhals im ganzen netzwerk wären!


    Das kommt auf die Firma drauf an.In kleineren Firmen kann so ein Mini-NAS durchaus seine Berechtigung haben.Gbit allein wäre noch kein Ausschluß-Kriterium, da die Mehrzahl der Switches und NICs immer noch Gbit sind.10Gbe setzt sich erst langsam durch, aufgrund der Kosten.Auch sind die Workstations meist noch mit 100Mbit angebunden.Was ein Mini-NAS eher ausschließt, ist die schlechte Eignung für viele parallele I/Os.


    Grüße,


    DocHollywood

    Zitat von "schumaku"

    Anzustreben ist eine robuste und verträgliche ACL Implementation bei QNAP in jedem Fall - ich erwarte diese aber kaum vor der Verfügbarkeit von SAMBA4.


    Seit der SAMBA-Version 3.3.0 (nicht auf dem QNAP verfügbar) gibt es 2 experimentelle ACL-Unterstützungen unabhängig vom Filesystem-ACL, die einmal auf die erweiterten Datei-Attribute bzw. auf eine Datenbank aufbaut:
    http://samba.org/samba/history/samba-3.3.0.html

    Code
    New experimental VFS modules "vfs_acl_xattr" and "vfs_acl_tdb"


    Die dritte Möglichkeit, die SAMBA schon länger unterstützt, ist die direkte ACL-Abbildung auf das Dateisystem, bei der es jedoch der Kernel (zur zeit nicht beim QNAP) unterstützen muß.


    Stefan