AD DC und Fileserver auf einer Maschine?

[vof]

Hallo zusammen!

Im Zusammenhang mit der Einrichtung von Samba als Active Directory Domain Controller wird in

https://wiki.samba.org/index.php/Se...Domain_Controller_as_a_File_Server_(Optional)

davon abgeraten, einen Fileserver auf derselben Maschine einzurichten, auf dem der DC läuft. Wie gehen die Synology NAS damit um? Läuft der Fileserver als VM?

Danke für Eure Informationen!
GV

 

[maxblank]

Hallo und Willkommen im Forum!
Nein, der „Fileserver“ auf dem NAS läuft nicht als VM. Das komplette NAS ist als der Fileserver an sich anzusehen.

Die Instanz als DC und AD würde ich im Falle eines NAS als Ad-on verstehen, welches Baremetal installiert wird bzw. ins NAS-OS (im Fall von Synology DSM) integriert werden kann.

Viele Grüße
maxblank

 

[Adama]

Beides basiert bei Synology auch auf Samba und ist in zwei Pakete aufgeteilt. Synology schraubt da allerdings ziemlich am Original-Samba rum.

Die Empfehlung gibt es nicht nur bei Samba , sondern auch bei Microsoft und die haben ja das AD erfunden.

Das hat hat u.a. mit Sicherheit zu tun, da die DCs ja die AD-Datenbanken halten und deswegen extra geschützt werden sollten, was den Zugriff angeht.

Bei Samba kommt dazu, dass auf einem DC die User über Winbind etwas anders verwaltet werden als auf einem Member-Server.

Dies ist eigentlich der entscheidende Satz in der Warnung von Samba:

You should only use a DC as a fileserver, if it is the only Samba instance running in a domain.

Solange du also quasi deine Syno als alleinigen DC betreibst, wäre das ok, aber nicht empfohlen.

 

[vof]

Danke für die Antworten!

Meine Idee war, bei der Änderung einer jetzigen Installation (Ubuntuserver PDC) eine DS als AD DC mit eingebautem Fileserver zu installieren und eine zweite DS als zweiten DC dazu zu stellen.

Das Ganze für Windows und Unixarbeitsstationen in mehr als einer Domäne scheint auch zu fehleranfällig zu sein:
https://wiki.samba.org/index.php/Idmap_config_ad
https://wiki.samba.org/index.php/Setting_up_RFC2307_in_AD

Also: zwei PCs als DC1 und DC2 und eine NAS als Fileserver.

 

[maxblank]

Unabhängig von der Anzahl physischer Server, PC oder auch NAS würde ich Domain Controller immer virtualisieren. Du hast somit bei Backups immense Vorteile und erst recht bei der Wiederherstellung im Recovery Fall.

Mir hat es in den letzten 4 Monaten dank Windows-Updates zweimal zwei redundante DCs in einer produktiven Domäne gerissen und das trotz vorheriger Tests. Ich kann dir da eine Virtualisierung nur empfehlen.

 

[Adama]

PDC klingt nach einer alten NT-like Domäne, oder? Im AD gibt es keinen PDC mehr, alle DCs sind gleichberechtigt (Multimaster-Replikation).

Das Ganze für Windows und Unixarbeitsstationen in mehr als einer Domäne

Was heißt in mehr als einer Domäne? Ein Client kann nur Member in einer Domäne sein, mehrere geht nicht.

Ich hab 3 AD DCs mit Samba hier zum Spielen auf Raspis laufen, die Synos sind somit nur Member-Server dementsprechend. Funktioniert einwandfrei.

Das kann man natürlich auch wie von @maxblank empfohlen als VMs betreiben.

 

[vof]

VMs für die DCs sind eine gute Idee; hält die Hardwaremenge auch in Grenzen. Und dann eine NAS als FS. Sollte für ein Dutzend ortsfeste Mitarbeiter reichen.


Ich meinte mehrere Domänen so etwas wie in der smb.conf:

idmap config * : backend = tdb
idmap config * : range = 3000-4999
idmap config DOM1 : backend = rid
idmap config DOM1 : range = 100000-499999

 

[Adama]

Die Einträge werden nur auf einem Member-Server gebraucht und werden auf einem DC nicht gebraucht.

Das sind auch nicht mehrere Domänen. DOM1 entspricht dem Netbios-Namen der Domäne, also z.b. würde die vollständige Domäne sowas wie DOM1.DOMAIN.DE lauten. * steht für die BUILTIN-Seite in der AD-Domäne:

getent group BUILTIN\\administrators
BUILTIN\administrators:x:3000:

 

[vof]

Unabhängig von der Anzahl physischer Server, PC oder auch NAS würde ich Domain Controller immer virtualisieren. Du hast somit bei Backups immense Vorteile und erst recht bei der Wiederherstellung im Recovery Fall.

Mir hat es in den letzten 4 Monaten dank Windows-Updates zweimal zwei redundante DCs in einer produktiven Domäne gerissen und das trotz vorheriger Tests. Ich kann dir da eine Virtualisierung nur empfehlen.

VM oder Docker? Gibts zu Docker einen vorkonfigurierten Samba-AD-DC-Container, den man aus eigener Erfahrung heraus empfehlen kann?

https://hub.docker.com/search?q=+samba++ad++dc

Der
https://github.com/dperson/samba
scheint beliebt zu sein, aber verwaist.

 

[maxblank]

Ich habe VMs gemeint

 

[Adama]

Bezüglich Container hat mal jemand in der Samba-Mail-Liste dies erwähnt:
https://github.com/samba-in-kubernetes/samba-container

 

[Nixnuzz]

Ich bin auch am hin- und her-überlegen, für die Firma (10 Arbeitsplätze) einen DC auf der DS aufsetze ... gegenwärtig ist es ein reines Workgroup-Netz mit angeschlossenem NAS.

Die Frage ist - was gewinne ich damit jenseits einer zentralen Benutzerliste - und was kostet mich das an zusätzlicher Komplexität?

Soweit ich verstanden hab, müssen dann DNS- und DHCP-Services mit auf die Syno wandern. Wenn das NAS dann ausfällt, geht im ganzen Netz erstmal ichts mehr...

Gegenwärtig laufen die auf der Fritte. Fällt die aus, kommt eine neue rein, die Konfiguration wird zurückgespielt, alles gut. Fällt das Nas aus, springt eine Replikation auf dem Backup-NAS ein - das bekommen auch die Kollegen kurzfristig hin, wenn ich gerade nicht da bin. Aber ein AD-Ausfall, das gäb echte Probleme ...

 

[ctrlaltdelete]

Bei 10 Clients würde ich keinen DC aufbauen.

 

[Yippie]

ich schon, weil ich mit zusätzlichem Radius Server, für die Wlan Clients, auch die Domain Authentifizierung nutzen kann und dann wirds schon wieder interessant.

Habe einen PDC auf einer DS918+ und einen SDC auf einer DS920+ zusammen mit jeweils einem Radius Server, welcher die Authentifizierung über die Unifi-AP übernehmen.

 

[Yippie]

Soweit ich verstanden hab, müssen dann DNS- und DHCP-Services mit auf die Syno wandern. Wenn das NAS dann ausfällt, geht im ganzen Netz erstmal ichts mehr...

Korrekt, aber wer nur einen Primary Domain Controller betreibt, handelt ja schon fahrlässig.
Wobei ich mir schon immer die Frage stelle, ob man nicht einen Samba Servet auf einer Linux Maschine nicht auch als Backup DC nutzen könnte?

Gut, sysvol und die Home Verzeichnisse müssten dann auch noch repliziert werden, was bei zwei Synology DS jetzt schon problemlos funktioniert.

 

[Nixnuzz]

Korrekt, aber wer nur einen Primary Domain Controller betreibt, handelt ja schon fahrlässig.

Ok - dann käme zwingend noch ein Backup DC hinzu? Ein baugleiches Backup-NAS wäre vorhanden, sogar mit replizierten Shares vom Haupt-NAS ...

... was meinst du mit "sysvol" replizieren?

 

[Adama]

Sysvol ist bei einem AD-DC der Share wo z.B. die Definitions-Dateien für GPOs liegen. Da ein Benutzer den Anmelde-DC quasi per Zufall zugewiesen bekommt, müssen diese Daten auf allen DCs vorhanden sein. Bei Samba muss man im Gegensatz zu einem echten MS DC etwas selber bauen, z.B. dies:
https://wiki.samba.org/index.php/Rsync_based_SysVol_replication_workaround

Wie das bei Synology gehandhabt wird, entzieht sich meiner Kenntnis, da ich echte Samba-DCs nutze.

Es gibt übrigens bei AD keinen PDC oder BDC mehr, da AD eine Multimaster-Replikation macht. PDC und BDC gab es nur bei NT-Domänen und übrig geblieben ist davon aus Kompatibilitätsgründen die FSMO-Rolle PDC-Emulator.

Best practice sind bei einem AD mindestens drei DCs.