6.1 RC; Active Directory Server einrichten

[Yippie]

Hi,

hat schon Mal jemand versucht Gruppenrichtlinien auf dem Synology abzulegen/editieren?

Ich habe dies mit/unter Computerkonfiguration -> Administrative Vorlagen -> System -> Windows Zeitdienst in den Default Domain Policy probiert, aber weder durch ein Abmelden des AD-Benutzers, noch ein Neustart des in der Dmäne befindlichen PCs noch ein gpupdate /force bewirkten, dass anschließend die NTP-Zeitserver Einstellungen am Client wie gewünscht ankamen.

Ich habe dies am Client mittels den Gruppenrichtlinien an gleicher Stelle, wie oben, versucht zu kontrollieren, nur steht dort immer defaultmäßig, "nicht konfiguriert".

Interessanterweise ist aber in der Synology-Freigabe SYSVOL -> <domäne> -> Policies -> {GUID} -> Machine\ eine Datei Registry.pol abgelegt, dessen Datum und Uhrzeit der Erstellzeit der Anpassung im Gruppenrichtlinien-Editor am DC entspricht. Der Inhalt dieser Datei paßt auch nur, wie gesagt, am Client kommt nichts an.

Kennt dieses Phänomen jemand? Funktionieren die GPO überhaupt mit dem Active Directory Server der Diskstation?

Grüße,
Michael

 

[Dragonia]

ich habe mit den Gruppen Richtlinien auf der NAS Schon gespielt
(habe aber die Default in ruhe gelassen und eine neue angelegt)
Netzlaufwerke + Ordnerumleitungen haben ohne Probleme funktioniert
(installair die Windows remote verwaltungstools für die Bearbeitung der richtlienen

 

[Yippie]

Servus Dragonia,

Danke für deine Rückmeldung!
Ich habe die RSAT-Tools von Microsoft dafür verwendet, und dort die in der angefügten Hardcopy rot umrandeten Policy geändert.

Wie bist du vorgegangen um neue/eigene Richtlinien anzulegen und vor allem wo?



Grüße,
Michael

 

[Dragonia]

auf Gruppen richtlinen Objekte neue Gruppenrichtline erstellen
und dann Rechte vergeben

 

[Yippie]

Ah jetzt hab' ichs: ich muss das Tool mit einem Domänenadmin aufrufen der auch die Berechtigung zur Pflege der Gruppenrichtlinien hat. Hatte bisher nur einen "normalen" Domänenuser dafür verwendet und deshalb jedes Mal den Hinweis "Zugriff verweigert" bei der Erstellung eines eigenen Objektes lt. deiner Anleitung erhalten.

Nichtsdestotrotz gelingt es mir nicht, einen Zeitserver auf die Client-Computer zu "übertragen". Ich habe dazu ein neues Objekt erstellt (zusätzlich sogar eine Verknüpfung zu meiner Domäne ourhome.local hinzugefügt, analog der Default Domain Policy in der Hardcopy oben) und anschließend unter Computerkonfiguration->Administrative Vorlagen->System->Windows-NTP-Server aktivieren die jeweiligen Einstellungen für einen Zeitserver vorgenommen.

Wenn ich per gpupdate /force auf einem Domänen-PC die Gruppenrichtlinien sofort neu lade und dann in den lokalen Gruppenrichlinien dieses PCs, im oben genannten Pfad, nachsehe ob die Einstellungen auch wirklich gezogen haben, dann steht dort nach wie vor "nicht konfiguriert".

Muss ich da noch etwas länger warten, bis die Gruppenrichtlinien ziehen? Oder mache ich grundsätzlich etwas falsch?

Ach ja, vielleicht liegts ja daran:

...
und dann Rechte vergeben

Muss ich auf das neu erstellte Objekt noch eine Berechtigung vergeben? Oder meintest du etwas anderes mit Rechte vergeben?

Grüße,
Michael

 

[writetome]

Hast du mal mit gpresult geprüft?

 

[Yippie]

Tobias,

nein leider noch nicht, da ich das Tool bisher noch nicht kannte - beschäftige mich erst seit relativ kurzer Zeit mit den Gruppenrichtlinien.

Danke für die Info!
Michael

 

[dany]

Ich würde die "Default Domain Policy" so sein lassen wie sie ist und für Clients eine neue erstellen.
Mein Vorgänger haben in der Firma diese "versaut" und musste sie mittels dcgpofix zurücksetzen und das geht nur auf einem Windows Server 2003 oder höher.
Soweit ich weiss ist dies bei Samba4 "noch" nicht implementiert.

Gruss Dany

 

[Yippie]

@dany

und wie genau geht das mit dem zurücksetzten? Ich habe hier in einer VM einen Windows Server 2016 (Datacenter) am Laufen.

Kann ich das Tool dort verwenden bzw. was genau macht dieses Tool? Liefert es mir eine "leere" GPO Datei, die ich auf dem Synology/Samba quasi wieder importieren kann?
Btw, der Windows Server hängt aber nicht in der AD, sondern ist Stand-Alone.

Grüße,
Michael

 

[dany]

Hallo Yippie

dcgpofix /target:Domain

führst du auf auf dem DC aus. Die "Default Domain Policy" auf dem AD wird zurückgesetzt. Somit müsstest du deine virtuelle VM in die Domäne einbinden, zum DC hochstufen und danach dcgpofix ausführen.
Nach dem replizieren sollt es auch auf dem samba4 DC sein.

Das Tool führst du aber nur aus um eine korrupte GPO wiederherzustellen. Mit

dcgpofix /target:DC

kannst man übrigens die Default DC Policy zurücksetzen.

Gruss Dany

PS. Edit meint, die "smiles" nerven

 

[guwen]

Habe wieder ein User-Home

Hallo zusammen,
nachdem ich nun ewig versucht habe (auch über den Synology Support) wieder mein User Home zu bekommen ist es nun endlich wieder auf den Clients verfügbar. FREUDE!
Und das nur durch ein Unwetter.
Denn unwetterbedingt ist bei uns der Strom ausgefallen. Da die Syno (noch) an keiner USV hängt ist sie abgeschmiert. Nach dem der Strom wieder da war habe ich sie erneut gestartet, und siehe da, dass was ein normaler Reboot nicht gebracht hat, hat der Stromausfall geschafft. Ich habe wieder ein User Home.
Nun habe ich zwar etwas bedenken die Syno normal (z.B. nach einem Software-Update) neu zu starten, aber im Moment bin ich glücklich.

PS.: Nachdem der Strom wieder da war ist die Syno nicht automatisch hochgefahren. Kann man das irgendwo einstellen?

Gruß
Guido

Hallo Dany,
da auch ich nicht mehr auf SYSVOL und NETLOGON zugreifen kann habe ich

samba-tool ntacl sysvolreset

ausprobiert.

Daraufhin habe ich 34x folgende Meldung direkt untereinander geschrieben bekommen: We Support connectpath is /volumeX/share, but we get /

Irgendeine Idee was das bedeutet?

Aber zumindest kann ich nun wieder auf SYSVOL und NETLOGON zugreifen.
Gibt es so etwas auch für das user home?

Apropos, was mir dazu noch einfällt, wie sieht denn eure smb.conf in /volumeX/@appstore/ActiveDirectoryServer/private aus?
habe mal zur smb.conf gegooglet und gefunden, dass hier (normalerweise) auch der Eintrag für [home] steht. Bei mir aber nicht, obwohl user home im DSM angeklickt ist.
Kann mal bitte jemand schauen, ob das bei euch so ist, und wie der Eintrag aussieht.
Bei mir stehen nur die folgenden Einträge:
[global]
tls enabled = yes
tls keyfile = /usr/local/etc/certificate/ActiveDirectoryServer/ldaps/privkey.pem
tls certfile = /usr/local/etc/certificate/ActiveDirectoryServer/ldaps/cert.pem
tls cafile = /usr/local/etc/certificate/ActiveDirectoryServer/ldaps/syno-ca-cert.pem
include=/var/tmp/nginx/smb.netbios.aliases.conf
server services=s3fs,rpc,nbt,wrepl,ldap,cldap,kdc,drepl,winbind,ntp_signd,kcc,dnsupdate
min protocol=SMB2_10
realm=MEINEDOMAIN.LOCAL
netbios name=SYNO-RS
private dir=/var/packages/ActiveDirectoryServer/target/private
server role=active directory domain controller
wins server=192.168.0.43
max protocol=SMB3
workgroup=MEINEDOMAIN
[netlogon]
read only = No
path = /var/packages/ActiveDirectoryServer/target/private/sysvol/wdt.de/scripts
[sysvol]
read only = No
path = /var/packages/ActiveDirectoryServer/target/private/sysvol

Danke

 

[Dave DrinkALot]

Radius Problem behoben

Der Radius-Server verliert bei jedem Neustart oder Backup des AD die Einstellung, dass Domainuser authentifiziert werden dürfen.

Ich vermute, dass Radius diese Einstellung löscht, weil der Radius Server die AD nicht findet, weil Radius zuerst startet, bzw. AD während des Backup deaktiviert ist.
Ich habe dazu ein Ticket bei Synology auf gemacht.

Hallo,
das Problem mit der "vergessenen" Aktivierung der Domainuser im Radius Server wurde mit dem letzten Update behoben.

 

[Yippie]

Servus,

ich habe derzeit einen funktionierenden Active Directory Server auf meiner DS916+ am Laufen. Windows-Clients wurden hinzugefügt und die AD-User können sich auch an der Domäne anmelden. Soweit so gut.
Nun wollte ich aus Sicherheitsgründen einen zweiten Active Directory Server im Netzwerk aufsetzen, der den DC auf der Synology unterstützt bzw. bei Problemen ersetzt.

Da das Hinzufügen eines DC auf einer weiteren Diskstation nicht funktioniert, da schlichtweg die Funktionalität dazu im Samba bzw. genau genommen im Paket des Active Directory Servers fehlt, bin ich auf einen Windows Server 2016 ausgewichen. Dieser sollte der Backup-Domain Controller werden.

Nachdem dort die Active Directory Services installiert wurden, unter anderem lt. Anleitung hier http://mntechblog.de/zusaetzlichen-windows-server-2012-domaenencontroller-in-einer-vorhandenen-domaene-installieren/, sollte der Vorgang abgeschlossen werden, tut er aber nicht, da ich beim Prüfen der Voraussetzungen einen Fehler erhalte:

Fehler bei der Überprüfung der Voraussetzungen für die Active Directory-Vorbereitung. Für die Domäne "ourhome.local" konnte keine Exchange-Schemakonfliktüberprüfung ausgeführt werden..
Ausnahme: Der RPC-Server ist nicht verfügbar.
Daten des Servers "DONAU.ourhome.local" konnten über die Windows-Verwaltungsinstrumentation (WMI) nicht abgerufen werden.
[Benutzeraktion]
Informationen zu möglichen Fehlerursachen finden Sie in der Protokolldatei "ADPrep.log" im Verzeichnis "C:\Windows\debug\adprep\logs\20170723190520-test".

Das Ereignisprotokoll sagt dazu noch

DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "DONAU.ourhome.local" kommunizieren; angefordert von PID 1814 (C:\Windows\system32\wsmprovhost.exe).

An dieser Stelle komme ich nicht mehr weiter. Ich habe allerdings den Eindruck, dass das Vorhaben generell nicht möglich ist, da RPC-Aufrufe von einer Diskstation wohl nicht unterstützt werden, ich denke dies ist reine Windows-Welt.

Kann hier jemand weiterhelfen, der vielleicht schon Ähnliches versucht oder sogar am Laufen hat? Evtl. gibt es auch eine andere (einfache) Möglichkeit einen Backup DC aufzusetzen?

Bin für jeden Hinweis/Hilfe dankbar!

Grüße,
Michael

 

[dany]

Hallo Yippie

Wenn du einen Windows "Secondary" DC haben willst, dann musst du zwingend einen Windows 2008 Server haben. 2012, 2012 R2, 2016 brauchen WMI damit du eine DC Joinen kannst.

Ich bin immer noch am experimentieren und habe erfolgreich auf einem Raspberry Pi einen zweiten DC installiert inkl. replizieren. A<B und B>A. Vielleicht wäre das etwas für dich.

Gruss Dany

 

[Yippie]

Hi Dany,

Danke für deine Antwort - das erklärt natürlich alles. Aber auf einen "alten" 2008 Server möchte ich jetzt nicht gerade zurück, da mein 2016er Server erstens schon läuft (in einer VM) und zweitens für die Sicherung der vorhandenen (VMWare) VMs zuständig ist und dies derzeit perfekt läuft.

Hast du auf deinem RaspPi eine bestimmte Linux Distribution am Laufen? Ich suche ganz was einfaches was durchaus in einer VMWare VM laufen kann, am besten aber mit grafischer Oberfläche mit deren Hilfe ich einen Backup DC aufsetzen kann ohne lange mit irgendwelchen conf-Dateien herumexperimentieren muss.

Grüße,
Michael

 

[dany]

Was spricht gegen einen Windows 2008? Der Update-Support läuft bis 2020.

Mein Secondary ist ein normals Raspbian wo ich samba4 mit git geklont und selber kompiliert habe. Auf der DS ist samba 4.4 und auf dem Pi ein samba 4.7. Das ganze hatte ich an einem Abend konfiguriert.
Eine grafische Oberfläche habe ich bis jetzt noch nicht gefunden, ich kenne nur den weg über die conf Dateien. Das AD kannst du dann aber bequem via RSAT auf einem Windows 10 Rechner Administrieren.

Vielles funktioniert sehr gut, gibt aber noch einige Ecken und Kanten, daher läuft das privat noch nicht produktiv. Eines davon ist z.b. das Replizieren. Samba4 kann das sysvol nicht replizieren. Da musst du mit rsync arbeiten.

Edit meint:
Wenn du VMWare (vSphere Client) im einsatz hast nimm doch eine fertige OVF. Ungetestet: https://susestudio.com/a/veav1Y/excellent-samba4-appliance
Sonst eine Distribution wie Ubuntu Server und Samba4, kerberos drauf.

Gruss Dany

 

[sirsalomon]

Ich möchte mich hier gerne mal einklinken, wobei ichmir nicht sicher bin, ob dieser Thread noch aktuell läuft und/oder noch gültig ist.

In einem anderen Bereich habe ich bereits mein Problem geschildert und dann festgestellt, dass es diesen Thread gibt, verzeiht mein doppelten Post.

Jetzt habe ich erfolgreich meine DS1815+ mit einem AD-Service versehen, alle notwendigen Benutzer eingetragen und die anmeldung am AD funktioniert, soweit ich das beurteilen kann, auch. Wobei, sobald ich die AD-Tools auf einem Windows 10 Client starte, erscheint die Meldung, dass der Server nicht funktionstüchtig sei.

Was sich jetzt aber als Problem darstellt sind die Arbeitsplätze. Diese haben alle ihre persönlichen Einstellungen, auf dem Desktop beispielsweise. Nur eben diese persönlichen Einstellungen werden nicht übernommen, nach jedem Neustart richtet Windows 10 das System als "neu eingerichtet" wieder ein. Alle Einstellungen sind weg.

Was mach ich falsch, wovon ich derzeit ausgehe...

 

[dany]

Hallo sirsalomon

AD Fragen kann man unter

Forum > Supportforen für Anwendungen > Synology DSM Pakete > LDAP Directory Service

machen.

>alle notwendigen Benutzer eingetragen und die anmeldung am AD funktioniert
Wie meldest du dich am PC an? Ist der Windows 10 Client deiner Domain beigetreten? Ist der PC auch auf dem OU "Computers" vorhanden?

>Wobei, sobald ich die AD-Tools auf einem Windows 10 Client starte, erscheint die Meldung, dass der Server nicht funktionstüchtig sei.
Wie startest du die RSAT Tools? Als lokaler User? Probier mal als Domänen Admin User.

>Nur eben diese persönlichen Einstellungen werden nicht übernommen, nach jedem Neustart richtet Windows 10 das System als "neu eingerichtet" wieder ein. Alle Einstellungen sind weg.
Meinst du es kommt der Welcome Screen, das Windows noch ein paar Sachen einrichten muss?
Ich habe einen Artikel gelesen das ein mischen von internen und externen DNS Server solch ein Problem versachen kann. Vergibst du beim DHCP nur die internen DNS Server?
Wenn du dich an einem PC angemeldet hast, gib mal in der Shell

gpresult /r

Zuoberst müsste ein Pfad geben der c:\Users\Benutzer.Domain sein müsste.

Gruss

 

[sirsalomon]

>alle notwendigen Benutzer eingetragen und die anmeldung am AD funktioniert
Wie meldest du dich am PC an? Ist der Windows 10 Client deiner Domain beigetreten? Ist der PC auch auf dem OU "Computers" vorhanden?

Sorry, Deine Frage verstehe ich nicht, wobei sie aus meiner Frage bereits beantwortet ist. Ja, ich kann mich anmelden, der Rechner ist, natürlich dementsprechend, in der AD-Struktur eingetragen.

>Wobei, sobald ich die AD-Tools auf einem Windows 10 Client starte, erscheint die Meldung, dass der Server nicht funktionstüchtig sei.
Wie startest du die RSAT Tools? Als lokaler User? Probier mal als Domänen Admin User.

Administrations-Tools, die auf einer Domäne zugreifen sollen, sollten grundsätzlich als Admin gestartet werden.

Hatte ich auch getan

>Nur eben diese persönlichen Einstellungen werden nicht übernommen, nach jedem Neustart richtet Windows 10 das System als "neu eingerichtet" wieder ein. Alle Einstellungen sind weg.
Meinst du es kommt der Welcome Screen, das Windows noch ein paar Sachen einrichten muss?
Ich habe einen Artikel gelesen das ein mischen von internen und externen DNS Server solch ein Problem versachen kann. Vergibst du beim DHCP nur die internen DNS Server?
Wenn du dich an einem PC angemeldet hast, gib mal in der Shell

Zuoberst müsste ein Pfad geben der c:\Users\Benutzer.Domain sein müsste.

Gruss

Gut, die Hinweise zu DHCP und DNS hab ich vergessen zu erwähnen

IP-Adresse wird via DHCP vergeben, DNS über DHCP verteilt, erster DNS ist die Synology, zweiter DNS ein eigener DNS-Server im lokalen Netzwerk. Die Auflösung funktioniert auch problemlos.

Das Problem hat sich, leider, auch geklärt. Die Synology kommt mit IPv4 und IPv6 nicht klar, Windows - Clients arbeiten, sofern IPv6 vorhanden ist, erst mit IPv6, damit kommt die Synology nicht klar. Außerdem darf ein Domänen-Benutzer vor der Provilierung nicht domänenübergreifende Berechtigung besitzen. Auch eine Erkenntniss, die sich im Labortest ergeben hat.

 

[segelfreund]

Hallo zusammen,

vielleicht kann mir ja hier jemand helfen.
Und zwar versuche ich auf einer DS218+ den Active Directory Server zum laufen zu bekommen.
Ich habe bisher alle schritte der Anleitungen durchgeführt.
Kann mich aber mit einem Windows-Rechner nicht an der Domain anmelden. Hier erhalte ich folgende Fehlermeldung:

---

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.tbxxxx.lokal.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:

192.168.2.104

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

tbxxx.lokal
lokal
. (die Stammzone)

---

Als Router ist ein Speedport W921V im Einsatz.

Wäre schön wenn mir hier jemand helfen kann.