Directory Server Active Directory Ordnerumleitung macht Faxen

[Philipp06]

Hallo Community,

in meiner AD Umgebung habe ich eine Test-OU erstellt, in der ich gerade die Ordnerumleitung teste. Ich bin also in die GPO Konsole und habe eine neue GPO erstellt und die Ordnerumleitung so konfiguriert:

Beispiel für Downloads:
Typ: Standard
Option: Pfad angeben
Pfad: \\server.domäne.de\home\Eigene Dateien\Downloads

Mein Problem ist nun folgendes: Die Ordnerumleitungsgpo wird erkannt und auch übernommen. Jedoch funktioniert die Umleitung irgendwie nicht, d.h., dass beispielsweise eine Word (.docx) Datei nicht geöffnet werden kann. Word bringt mir den Fehler, dass die Datei nicht gefunden werden kann. Als Pfad gibt Word aber den richtigen (auch existierenden) Pfad an.

Was kann ich hier machen bzw. was muss getan werden?

Versionen:
DSM: 7.1 (42661 Update 4)
Synology Directory Server: 4.10.18-0387
DNS Server: 9.16.23-6174 (PiHole leitet Anfragen, welche an domäne.de gehen an diesen weiter - alles andere geht nur übers PiHole)

Danke im vorraus

MfG
Philipp

 

[Philipp06]

Keiner eine Idee, was hier das Problem sein könnte?

 

[Thonav]

...keine Windows Rechner = keine Idee... ;-)

 

[Adama]

Ich hab' mal versucht, die Ordnerumleitung einzurichten, aber ich hab's nicht sauber zum Laufen bekommen. Es hat mir igrendwann die Ganglien verklebt und ich hab's dann gelassen...

Was mich allerdings bei dir zum Stutzen bringt: Sehe ich das richtig, dass alle DNS-Anfragen erst an den PiHole gehen? Eigentlich sollten in einer AD-Domäne immer die DCs die authoritativen DNS-Server sein, da eine Domäne massiv auf DNS setzt.

Ich kann mir zwar nicht vorstellen, dass das dein Problem verursacht, aber Pferde, Apotheke etc...

 

[Philipp06]

Was mich allerdings bei dir zum Stutzen bringt: Sehe ich das richtig, dass alle DNS-Anfragen erst an den PiHole gehen? Eigentlich sollten in einer AD-Domäne immer die DCs die authoritativen DNS-Server sein, da eine Domäne massiv auf DNS setzt.

Du hast Recht! Und das passiert auch - alle Anfragen die an *.*.*.*.usw.domäne.de gehen leitet der PiHole so wie sie sind an den DC DNS weiter.

 

[Adama]

Ich misch ja ein wenig in der Samba-Mailliste mit. Und wenn solche oder ähnliche Konstrukte auftauchen, ist das Erste was gesagt wird: Das ist nicht gut, die DCs müssen die authoritativen DNS-Server sein, alles andere macht nur Schwierigkeiten.

Korrekt wäre also: Workstations > DC DNS > PiHole

 

[Philipp06]

Das Ding ist halt: Alles andere funktioniert ja Problemlos. Ich habe es auch Mal andersrum betrieben, half nichts.

Ich Versuche es nochmal andersrum.

 

[Adama]

Naja, zumindestens hast du das Gefühl, dass alles richtig läuft. Ich weiß nicht, was der DNS-Server der Syno in der Oberfläche zeigt, aber so sieht's in der DNS-Verwaltung von MS in einer Domäne aus:



Da steht schon etwas mehr drin, als nur die Rechner. Alle Dienste des AD finden sich dort auch wieder.

 

[Philipp06]

So sieht's bei mir auch aus

Wir gesagt: Der PiHole verändert an den Anfragen nichts - werden Stumpf an den DC (Die DS) weitergeleitet.
Die Dienste sind auch alle erreichbar - nur zeigt er dann an, dass der Server nicht erreichbar sei, obwohl ich dieselbe Adresse im Explorer aufrufen kann.

 

[Adama]

Der korrekte Weg wäre ja immer erst den internen DNS und dann den Forwarder anzusprechen. Der Forwarder wäre in dem Fall der PiHole. So betreibe ich das auch bei mir.

Aber wie dem auch sei, wie schon erwähnt, hab' ich bei der Ordnerumleitung die Segel gestrichen. Der Aufwand war mir dann doch zu hoch für meine kleine Domäne und die paar Rechner.

Ich versuch mal zu schauen, ob ich die GPO sehen kann, die bei uns in der Firma die Ordnerumleitung regelt. Damit hab' ich nämlich in dem Fall nichts zu tun.

 

[Philipp06]

Der korrekte Weg wäre ja immer erst den internen DNS und dann den Forwarder anzusprechen. Der Forwarder wäre in dem Fall der PiHole. So betreibe ich das auch bei mir.

So sehe ich leider nur den DC mit allen Anfragen im PiHole und das gefällt mir nicht. Ich möchte trotz des AD's alle Clients im PiHole aufgelistet haben.

Aber wie dem auch sei, wie schon erwähnt, hab' ich bei der Ordnerumleitung die Segel gestrichen. Der Aufwand war mir dann doch zu hoch für meine kleine Domäne und die paar Rechner.

So langsam denke ich da glaube ich auch drüber nach xD.
Muss ich halt mit Synology Drive arbeiten. Da kann man ja leider nix vorkonfigurieren.
Meine Domäne ist ja auch echt klein.

 

[Adama]

Ich möchte trotz des AD's alle Clients im PiHole aufgelistet haben.

Das stört mich nun gar nicht, ob ich die DCs oder die Rechner bei mir im PiHole sehe, Hauptsache er blockt...

Statt Drive (hat mich irgendwie nicht befriedigt) hab ich mich für Nextcloud im Docker entschieden. Ich nutze aber da nicht nur den Datei-Sync sonder auch Kontakte und Kalender.

Kann man auch problemlos per LDAP ins AD einhängen. Wobei Drive - glaube ich - auch AD-Benutzer unterstützt.

 

[Philipp06]

Das stört mich nun gar nicht, ob ich die DCs oder die Rechner bei mir im PiHole sehe, Hauptsache er blockt...

Ja ich möchte per-Device Blocks benutzen.

Statt Drive (hat mich irgendwie nicht befriedigt) hab ich mich für Nextcloud im Docker entschieden. Ich nutze aber da nicht nur den Datei-Sync sonder auch Kontakte und Kalender

Hab ich auch probiert. Ja, Drive kann Domänenbenutzer.

Kann man auch problemlos per LDAP ins AD einhängen

Das war richtiger Krampf. Musste in der Samba Config der DS den LDAPS Zwang deaktivieren.

 

[Adama]

Samba Config der DS den LDAPS Zwang deaktivieren

Das ist richtig, muss man. Allerdings ist der Sicherheitsgewinn durch LDAPS zweifelhaft. Da verweist das Samba-Team immer auf Kerberos.

Ich frag mich ja sowieso, ob die smb.conf der Syno-Implementation den Standards von Samba entspricht, ich kann da ja nur den SMB-Anteil beurteilen, da ich "richtige" Samba-DCs habe, die auch auf einer aktuellen Samba-Version (4.16.4) und nicht auf was völlig veraltetem (4.10.x) laufen. Die Version wird ja nicht mehr supportet.

 

[Philipp06]

"richtige" Samba-DCs habe, die auch auf einer aktuellen Samba-Version (4.16.4) und nicht auf was völlig veraltetem (4.10.x) laufen. Die Version wird ja nicht mehr supportet.

Guter Punkt! Das stört mich massiv, dass Syno hier auf eine veraltete Version setzt. Ich hätte auch gerne einen DC auf Basis eines Servers 2016. Ist das schon implementiert?
Bei normalen Debian Sambas ist halt die Installation etwas aufwendiger, als ohne schönen KlickiBunti Installer.

 

[Adama]

Meine drei DCs sind Raspberrys mit Debian Bullseye und Samba 4.16.4. Das war weniger aufwendig, als man denkt.

Es gibt ja mittlerweile auch aktuelle Pakete über die Debian-Repositories.

Ich hab' da auch mal eine Anleitung von einem der Entwickler bekommen, die auch sehr hilfreich war. Und wenn die Dinger erstmal laufen, hat man ja KlickiBunti wieder zur Administration. Und das Ganze ohne teure Lizenzen.

Der einzige Pferdefuss wäre, dass Samba noch bei Forest/Domänen-Level 2008R2 hängt. Aber für Zuhause reicht das bei weitem.

Windows-Server hab' ich auf der Arbeit, da reichen die mir.

 

[Philipp06]

Den Raspberry kann ich leider nicht benutzen. Der macht schon das PiHole - dementsprechend ist der DNS Port belegt.

Und bei der Syno kann ich den Directory Server easy backupen & restoren. (Ich weiß Denglisch eben xD)

Hmmm Drive scheint eine gute Alternative zu sein, aber die fehlende Autokonfiguration ist ärgerlich...

 

[Adama]

Der PiHole läuft bei mir im Docker...

Die Raspberrys haben ihr root als iSCSI-LUN auf der Syno gemountet. Dank BTRFS habe ich dadurch Snapshots, die ich zusätzlich auf meine Backup-Syno repliziere. Und selbst bei dem langsamsten Raspberry (100 MBit NIC) ist der "Plattenzugriff" schneller als auf die SD-Karte.

 

[Philipp06]

Raspberrys haben ihr root als iSCSI-LUN auf der Syno gemountet.

??? Was hat das für Vorteile und wie richtet man das ein? Ist dann eventuell etwas off-topic. Kannst mir das im Zweifel ja auch per PN schreiben.
Das interessiert mich jetzt....

 

[Adama]

Naja, der eine Vorteil ist, das die SD-Karte nicht belastet wird, außerdem ist das Filesystem selbst über LAN deutlich schneller...

Und dann natürlich die schon erwähnten Snapshots...

D.h. selbst wenn ich was verbockt hab', gehe ich einen Snapshot zurück oder mach einen manuell, bevor ich was testen will.

Eingerichtet hab' ich nach dieser Anleitung: https://www.domoticz.com/forum/viewtopic.php?t=28797