Domain Controller Veständnisfrage

    Hallo Zusammen,


    ich verwende eine Digitalisierungsbox Premium+ VDSL100/40 als DNS/DHCP für einen kleinen Verein mit 4 Vor-Ort und 5 Remotebenutzer mit der QNAP TS453D und aktuellster Firmware.

    Die Remoteuser verbinden sich via Shrew VPN Client mit der Digitalisierungsbox und haben dann Zugriff auf die NAS. Die NAS steht natürlich nicht direkt im Internet.

    Zusätzlich fahre ich Snapshots und Backups, Qsync an verschiedenen PCs, Mediaserver, Qphoto uvm. Ein großes Lob an Qnap, denn bisher funktioniert alles einwandfrei und mehr oder weniger zuverlässig.


    Auf den Win10 Pro PCs sind für alle Benutzer lokale Profile eingerichtet, was gut funktioniert, aber nicht so schön ist.

    Wenn ich an der NAS nun SMB 3 und die Domaine xxxx.xxxx aktiviere und als DNS die NAS eingebe wird die Namensauflösung dann von der NAS und nicht mehr von der Digitalisierungsbox gemacht ?

    Das Internet wird doch so langsamer laufen wie bisher über die Digitalisierungsbox oder ?

    DHCP bleibt bei der Digitalisierungsbox nehme ich an.

    Kann ich dann, vorausgesetzt ich setze die entsprechenden Domainebenutzer an der NAS mit Str+Alt+Del am Client das Windowskennwort der NAS Domainebenutzer ändern oder geht das nicht ?

    Kann man Servergespeicherte Profile irgendwie ähnlich wie bei einem Windows DC einstellen ?

    Kann man das Windows-Domainekennwort automatisch alle 3 Monate ablaufen lassen wie bei einem Windows DC ?


    Ich habe hier gelesen, die DC Funktion sei unzuverlässig und funktioniere nach Firmwareupdates manchmal nicht mehr. Kann man mit den lokalen Administrator Accounts dennoch weiterhin einwandfrei auf die NAS Resourcen und gemounteten Netzwerklaufwerken zugreifen oder geht das nur mit den Domainebenutzer nach Aktivierung der Domain Controller Funktion ?

    An den Daten wird ja nix geändert, im schlimmsten Fall muss ich die Benutzer eben neu aufsetzen oder ?

    Ist das Verhalten nach dem Firmwareupdate noch so ?

    Die DC Funktion klingt schon verlockend, wenn die Funktionen oben ermöglicht werden,


    Vielen Dank für eure Hilfe


    Gruß Felix

    Zitat von medow

    wird die Namensauflösung dann von der NAS und nicht mehr von der Digitalisierungsbox gemacht ?

    Jaein. Da die lokalen Geräte dann vom Domaincontroller verwaltet werden, wird die lokale Namensauflösung auch auf dem DC bzw. dem NAS gemacht, macht irgendwie Sinn. Alles was außerhalb ist, kannst Du und wirst Du weiterleiten. Hier kannst Du einen öffentlichen DNS-Server nehmen oder eben auch Deine Box, die dann ihrerseits wieder weiterleitet was sie nicht kennt.

    Zitat von medow

    DHCP bleibt bei der Digitalisierungsbox nehme ich an.

    Kannst Du, musst Du aber nicht. Auf jeden Fall keine 2 DHCP-Server im Netzwerk. Das gibt mega Ärger. Überlicherweise mache ich den DHCP zum DC mit drauf.

    Zitat von medow

    Kann ich dann, vorausgesetzt ich setze die entsprechenden Domainebenutzer an der NAS mit Str+Alt+Del am Client das Windowskennwort der NAS Domainebenutzer ändern oder geht das nicht ?

    Ja das geht. Das Profil der Benutzer liegt dann auf dem NAS / DC mit allem was dazugehört. Du kannst dies dann von jedem PC aus machen, da Du Dich so auch an jedem PC mit jedem Benutzer anmelden kannst.

    Zitat von medow

    Kann man Servergespeicherte Profile irgendwie ähnlich wie bei einem Windows DC einstellen ?

    Ist ziemlich identisch mit der Windows Server Ausführung. Man benutzt auch die Windows Tools dazu: Remote Server Administration Tools (RSAT).

    Zitat von medow

    Kann man das Windows-Domainekennwort automatisch alle 3 Monate ablaufen lassen wie bei einem Windows DC ?

    Ich meine ja. Habe ich aber nie auf eine NAS ausprobiert.

    Zitat von medow

    An den Daten wird ja nix geändert, im schlimmsten Fall muss ich die Benutzer eben neu aufsetzen oder ?

    Worste Case Szenarien habe ich nie ausprobiert. Aber für das Sichern des DC mit Active Directory gibt es eine eigene Funktion. Ist schon eine Weile her, da hat das Zurückspielen funktioniert. Habe aber hier im Forum auch schon gelesen, dass das Importieren nicht funktioniert haben soll.

    Zitat von medow

    Die DC Funktion klingt schon verlockend, wenn die Funktionen oben ermöglicht werden,

    Mächtiges Tool, vor allen wenn man die Gruppenrichtlinien auch noch verwendet. Aber nicht ganz einfach und an manchen Stellen etwas komplex. Aber das kommt von Microsoft und nicht von QNAP.


    Ich nehme an, dass Du meine Artikel zu dem Thema gelesen hast, auch wenn sie schon etwas älter sind.

    Danke für deine Tips. Kann ich die existierenden lokalen Benutzer dennoch weiterverwenden ?

    Ich habe ja noch externe User die via VPN arbeiten, da funktioniert die NAS DC - Client Windows-Anmeldung natürlich nicht, bzw. soll nicht funktionieren.


    Was wenn ich die DC Funktion wieder deaktiviere, bleiben dann die lokalen User wieder aktiv?

    Zitat von medow

    Kann man das Windows-Domainekennwort automatisch alle 3 Monate ablaufen lassen wie bei einem Windows DC ?

    Das solltest du ggf. noch mal überdenken.


    Es macht mehr Sinn den Anwendern gescheite lange Kennwörter nahe zu legen und diese dann bis zu einem Sicherheitsvorfall verwenden zu lassen, statt ständig 6 stellige Kennwörter neu zu vergeben, die dann zu Blume1234. führen...

    Vor allem wenn du hier nur wenige Anwender hast, sollte das möglich sein mit diesen mal gescheiter Kennwörter zu diskutieren, also 12 oder mehr Stellen und dann können die ruhig schön einfach gestrickt sein. Sind aber weit aus sicherer als die kurzen!

    Zitat von Crazyhorse

    Es macht mehr Sinn den Anwendern gescheite lange Kennwörter nahe zu legen und diese dann bis zu einem Sicherheitsvorfall verwenden zu lassen, statt ständig 6 stellige Kennwörter neu zu vergeben, die dann zu Blume1234. führen...

    Ja .. aber


    Hatte vor Kurzen die Diskussion, lange Kennwörter sind super, leider ist das Problem aber VOR dem Computer. Wellen von Phishing machen auch das komplizierteste Passwort zum Problem, wenn es über lange Zeit als Einfallstor z.B. für Email Diebstahl und Kaperung dient. 2FA Token sind super aber leider auch keine Lösung für ActiveSync (Man will es ja einfach haben *seufz*)

    medow

    Für die Remote-Benutzer kannst Du ja auch einen Benutzer in auf dem DC anlegen. Für Remote Desktop muss der Remote PC nicht in der Domäne sein. Der Remote Benutzer für RDP kann es aber sein.

    Du kannst zwar die lokalen Benutzer weiter benutzen, würde ich jedoch nicht, da dies keinen Sinn ergibt. Das widerspricht ein wenig dem Prinzip hinter dem DC, dem zentralen Verwalten. Du kannst ja - damit Du Dich sicherer fühlst - die lokalen Benutzer nur deaktivieren. Solltest Du dann doch das Gefühl haben sich noch zu brauchen, kannst Du sie wieder aktiveren, wenn sie nicht mehr gebraucht werden, können sie gelöscht werden.

    Ich werde es also nun mal wagen in der guten Hoffnung, dass ich alles einfach wieder rückgängig machen kann und meine lokalen User und derren Berechtigungen auch nach dem Einschalten der DC Funktion weiterhin neben den Domainenbenutzer funktionieren. Ist dem so ?

    Meine wenigen Anwender würden durch die Servergerspeicherten Profile wirklich provitieren.

    Die Aussage hier, dass sei bei einem einzigen NAS DC zu riskant usw. ist kann ich nicht wirklich teilen. Ich habe es so verstanden, dass wenn ich auf den Windows Clients als 2. DNS den Internetrouter angebe und die NAS mal spinnt, sei es durch Update, Stromausfall usw, ich weiterhin mit den lokalen Computerkonten arbeiten kann und auch auf die Nas mit den lokalen Benutzer neben den Domainenbenutzer zugreifen kann. Sollte der DHCP die NAS und nicht der Router sein, stelle ich eine hohe Leasetime ein, so habe ich auch kein Verbindungsproblem, wenn die NAs mal aus ist, höchstens eine Fehlermeldung "Keine Verbindung zur DOmaine", dann melde ich mich eben lokal an. Ich habe ja auch keine 2 NAS, wenn meine NAS also mal spinnt, dann können wir mit dem wichtigsten NAS Dienst SMB bzw. den Daten eh nicht arbeiten.


    Die Fehlermeldung hier verwirrt mich jedenfalls. ISt es so, dass meine bisherigen lokalen Benutzer dann nicht mehr zugreifen können ?

    Was passiert wenn ich die DC Funktion gleich wieder ausschalte, ist dann alles beim Alten ?


    pasted-from-clipboard.png


    LG medow

    Einmal editiert, zuletzt von medow ()

    Zitat von medow

    dass ich alles einfach wieder rückgängig machen kann und meine lokalen User und derren Berechtigungen auch nach dem Einschalten der DC Funktion weiterhin neben den Domainenbenutzer funktionieren. Ist dem so ?

    Wenn der PC nicht oder nicht mehr in der Domäne eingebunden ist, ja.

    Ein PC / Notebook den Du in der Domäne eingebunden hast, den musst Du vorher wieder ausbinden, sprich in eine beliebige "Workgroup" einbinden. Du kannst zwar bei einem eingebunden PC auch die lokalen Profile verwenden, aber der PC / Notebook selbst ist dann immer noch den Computerrichtlinien des Domänen-Controllers unterworfen, nicht aber die Benutzerrichtlinien.

    Zitat von medow

    ich weiterhin mit den lokalen Computerkonten arbeiten kann

    Auf dem PC / Notebook wird eine Kopie des Profils abgelegt. Ist der DC nicht erreichbar, wird mit dieser lokalen Kopie weitergearbeitet bis wieder eine Verbindung möglich ist. Aber das hängt auch ein wenig von Regelwerk ab. Man kann z.B. definieren, nach wie vielen Tagen ein nicht benutztes Profil vom lokalen PC gelöscht wird. Danach ist ein Anmelden nicht mehr möglich.

    Der lokale nicht DC-Benutzer funktioniert aber weiterhin wie oben erwähnt. Lokale Benutzer untergraben aber genau genommen die Richtlinien und die Sicherheit. Aber für den Anfang kannst Du die ja mal lassen.

    Zitat von medow

    wenn ich auf den Windows Clients als 2. DNS den Internetrouter angebe und die NAS mal spinnt,

    Das würde ich ohnehin machen, aber im DHCP. Somit funktioniert dann zwar die interne Namensauflösung nicht, aber Internet funktioniert immer noch.

    Also im DCHP:

    1. DNS IP-Domain-Controller

    2. DNS IP-Router

    3. DNS z.B. Google 8.8.8.8 oder so.

    Zitat von medow

    stelle ich eine hohe Leasetime ein

    Oder gleich auf static. Dann bleibt die IP solange zugewiesen, bis Du sie entfernst oder änderst. Ist ähnlich wie manuell, aber einfacher zu verwalten.


    Zur Meldung:

    Das Betrifft die lokalen Benutzer die auf dem NAS angelegt wurden. Zumindest die administrativen Konten funktionieren immer noch. Mit anderen habe ich es nie ausprobiert. Irgendwann muss man sich eben mal auch für das Eine oder andere Entscheiden. ;)

    Super vielen Dank. Ich werde eine SIcherung erstellen und das ganze einfach durchtesten :)


    Und welches Standardgateway sollte ich dann eintragen, die NAS als Gateway bei der NAS oder im DHCP der Digitalisierungsbox das Standardgateways die NAS für die Clients ?

    Wenn ich es so verstehe, leitet die Googleanfrage dann erstmal nur NAS, die kennt es nicht und leitet es wiederum an den 2. DNS die Digitalisierungsbox was sichr eine höhere LAtenz für externe Anfragen bedeutet oder sehe ich das zu kritisch ?


    So, hat bisher alles geklappt aber irgendetwas lief ordentlich falsch.

    Unter Freigabeordner, welche für mich sehr wichtig sind, sehe ich leider nur die lokalen Benutzer und Gruppen und kann keine Domainenbenutzer auswählen.

    Wieso kann ich hier nicht neu erstellte Domainenbenutzer zu einer bestehenden Freigabe hinzufügen ?

    Auch bei einer neuen Freigabe, sehe ich nur lokale Benutzer und Gruppen.


    Ich möchte ja, dass dier Domainenbenutzer auf die bestehende Freigabe Zugriff bekommen.

    2 Mal editiert, zuletzt von medow ()

    Hab es nun stundenlang versucht aber es hat einfach nicht geklappt. Gebe ich die Domaine: test.local an, dann findet der Windowspc zwar eineDomaine mit test ohne local aber er sagt entweder Kennwort stimmt nicht oder die Domaine ist nicht vorhanden, wenn ich das Kennwort eingebe. Gebe ich xxx an findet er nix. Er findet also was aber es klappt dennoch nicht. DNS, GW habe ich alle Konstalationen durch. Die Nas hat z.B. 192.168.1.220 als IP die Digitalisierungsbox 192.168.1.1

    Ich habe alles mögliche versucht, vermute aber mal ein Gateway Problem. Wenn ich die Digitalisierungsbox so lasse (DHCP/DNS) und die NAS auf die IP 192.168.1.220 und DNS 192.168.1.220 und Gateway ebenfalls 192.168.1. 220 stelle, müsste es doch funktionieren mit einem Client mit IP 192.168.1.100 und Gateway=DNS= 192.168.1.220 egal was an der Digitalisierungsbox gemacht wird. Tut es aber nicht.

    Ich würde es mal mit einer anderen Domäne versuchen, z.B. medow.de oder auch test.de. Da dies nur Gültigkeit für das lokale Netzwerk hat, kannst Du hier eigentlich auswählen was Du willst, darf aber nicht mit Begrifflichkeiten des Systems in Konflikt geraten.