AD DC und Fileserver auf einer Maschine?

vof

Benutzer
Mitglied seit
03. Sep 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.097
Punkte für Reaktionen
2.151
Punkte
289
Hallo und Willkommen im Forum!
Nein, der „Fileserver“ auf dem NAS läuft nicht als VM. Das komplette NAS ist als der Fileserver an sich anzusehen.

Die Instanz als DC und AD würde ich im Falle eines NAS als Ad-on verstehen, welches Baremetal installiert wird bzw. ins NAS-OS (im Fall von Synology DSM) integriert werden kann.

Viele Grüße
maxblank
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154
Beides basiert bei Synology auch auf Samba und ist in zwei Pakete aufgeteilt. Synology schraubt da allerdings ziemlich am Original-Samba rum.

Die Empfehlung gibt es nicht nur bei Samba , sondern auch bei Microsoft und die haben ja das AD erfunden.

Das hat hat u.a. mit Sicherheit zu tun, da die DCs ja die AD-Datenbanken halten und deswegen extra geschützt werden sollten, was den Zugriff angeht.

Bei Samba kommt dazu, dass auf einem DC die User über Winbind etwas anders verwaltet werden als auf einem Member-Server.

Dies ist eigentlich der entscheidende Satz in der Warnung von Samba:
Code:
You should only use a DC as a fileserver, if it is the only Samba instance running in a domain.

Solange du also quasi deine Syno als alleinigen DC betreibst, wäre das ok, aber nicht empfohlen.
 

vof

Benutzer
Mitglied seit
03. Sep 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Danke für die Antworten!

Meine Idee war, bei der Änderung einer jetzigen Installation (Ubuntuserver PDC) eine DS als AD DC mit eingebautem Fileserver zu installieren und eine zweite DS als zweiten DC dazu zu stellen.

Das Ganze für Windows und Unixarbeitsstationen in mehr als einer Domäne scheint auch zu fehleranfällig zu sein:
https://wiki.samba.org/index.php/Idmap_config_ad
https://wiki.samba.org/index.php/Setting_up_RFC2307_in_AD

Also: zwei PCs als DC1 und DC2 und eine NAS als Fileserver.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.097
Punkte für Reaktionen
2.151
Punkte
289
Unabhängig von der Anzahl physischer Server, PC oder auch NAS würde ich Domain Controller immer virtualisieren. Du hast somit bei Backups immense Vorteile und erst recht bei der Wiederherstellung im Recovery Fall.

Mir hat es in den letzten 4 Monaten dank Windows-Updates zweimal zwei redundante DCs in einer produktiven Domäne gerissen und das trotz vorheriger Tests. Ich kann dir da eine Virtualisierung nur empfehlen.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154
PDC klingt nach einer alten NT-like Domäne, oder? Im AD gibt es keinen PDC mehr, alle DCs sind gleichberechtigt (Multimaster-Replikation).
Das Ganze für Windows und Unixarbeitsstationen in mehr als einer Domäne
Was heißt in mehr als einer Domäne? Ein Client kann nur Member in einer Domäne sein, mehrere geht nicht.

Ich hab 3 AD DCs mit Samba hier zum Spielen auf Raspis laufen, die Synos sind somit nur Member-Server dementsprechend. Funktioniert einwandfrei.

Das kann man natürlich auch wie von @maxblank empfohlen als VMs betreiben.
 

vof

Benutzer
Mitglied seit
03. Sep 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
VMs für die DCs sind eine gute Idee; hält die Hardwaremenge auch in Grenzen. Und dann eine NAS als FS. Sollte für ein Dutzend ortsfeste Mitarbeiter reichen.


Ich meinte mehrere Domänen so etwas wie in der smb.conf:

idmap config * : backend = tdb
idmap config * : range = 3000-4999
idmap config DOM1 : backend = rid
idmap config DOM1 : range = 100000-499999
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154
Die Einträge werden nur auf einem Member-Server gebraucht und werden auf einem DC nicht gebraucht.

Das sind auch nicht mehrere Domänen. DOM1 entspricht dem Netbios-Namen der Domäne, also z.b. würde die vollständige Domäne sowas wie DOM1.DOMAIN.DE lauten. * steht für die BUILTIN-Seite in der AD-Domäne:
Code:
getent group BUILTIN\\administrators
BUILTIN\administrators:x:3000:
 

vof

Benutzer
Mitglied seit
03. Sep 2024
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Unabhängig von der Anzahl physischer Server, PC oder auch NAS würde ich Domain Controller immer virtualisieren. Du hast somit bei Backups immense Vorteile und erst recht bei der Wiederherstellung im Recovery Fall.

Mir hat es in den letzten 4 Monaten dank Windows-Updates zweimal zwei redundante DCs in einer produktiven Domäne gerissen und das trotz vorheriger Tests. Ich kann dir da eine Virtualisierung nur empfehlen.
VM oder Docker? Gibts zu Docker einen vorkonfigurierten Samba-AD-DC-Container, den man aus eigener Erfahrung heraus empfehlen kann?

https://hub.docker.com/search?q=+samba++ad++dc

Der
https://github.com/dperson/samba
scheint beliebt zu sein, aber verwaist.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.097
Punkte für Reaktionen
2.151
Punkte
289
Ich habe VMs gemeint
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Ich bin auch am hin- und her-überlegen, für die Firma (10 Arbeitsplätze) einen DC auf der DS aufsetze ... gegenwärtig ist es ein reines Workgroup-Netz mit angeschlossenem NAS.

Die Frage ist - was gewinne ich damit jenseits einer zentralen Benutzerliste - und was kostet mich das an zusätzlicher Komplexität?

Soweit ich verstanden hab, müssen dann DNS- und DHCP-Services mit auf die Syno wandern. Wenn das NAS dann ausfällt, geht im ganzen Netz erstmal ichts mehr...

Gegenwärtig laufen die auf der Fritte. Fällt die aus, kommt eine neue rein, die Konfiguration wird zurückgespielt, alles gut. Fällt das Nas aus, springt eine Replikation auf dem Backup-NAS ein - das bekommen auch die Kollegen kurzfristig hin, wenn ich gerade nicht da bin. Aber ein AD-Ausfall, das gäb echte Probleme ...
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Bei 10 Clients würde ich keinen DC aufbauen.
 
  • Like
Reaktionen: Nixnuzz

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
ich schon, weil ich mit zusätzlichem Radius Server, für die Wlan Clients, auch die Domain Authentifizierung nutzen kann und dann wirds schon wieder interessant.

Habe einen PDC auf einer DS918+ und einen SDC auf einer DS920+ zusammen mit jeweils einem Radius Server, welcher die Authentifizierung über die Unifi-AP übernehmen.
 

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Soweit ich verstanden hab, müssen dann DNS- und DHCP-Services mit auf die Syno wandern. Wenn das NAS dann ausfällt, geht im ganzen Netz erstmal ichts mehr...
Korrekt, aber wer nur einen Primary Domain Controller betreibt, handelt ja schon fahrlässig.
Wobei ich mir schon immer die Frage stelle, ob man nicht einen Samba Servet auf einer Linux Maschine nicht auch als Backup DC nutzen könnte?

Gut, sysvol und die Home Verzeichnisse müssten dann auch noch repliziert werden, was bei zwei Synology DS jetzt schon problemlos funktioniert.
 
  • Like
Reaktionen: Nixnuzz

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Korrekt, aber wer nur einen Primary Domain Controller betreibt, handelt ja schon fahrlässig.
Ok - dann käme zwingend noch ein Backup DC hinzu? Ein baugleiches Backup-NAS wäre vorhanden, sogar mit replizierten Shares vom Haupt-NAS ...

... was meinst du mit "sysvol" replizieren?
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154
Sysvol ist bei einem AD-DC der Share wo z.B. die Definitions-Dateien für GPOs liegen. Da ein Benutzer den Anmelde-DC quasi per Zufall zugewiesen bekommt, müssen diese Daten auf allen DCs vorhanden sein. Bei Samba muss man im Gegensatz zu einem echten MS DC etwas selber bauen, z.B. dies:
https://wiki.samba.org/index.php/Rsync_based_SysVol_replication_workaround

Wie das bei Synology gehandhabt wird, entzieht sich meiner Kenntnis, da ich echte Samba-DCs nutze.

Es gibt übrigens bei AD keinen PDC oder BDC mehr, da AD eine Multimaster-Replikation macht. PDC und BDC gab es nur bei NT-Domänen und übrig geblieben ist davon aus Kompatibilitätsgründen die FSMO-Rolle PDC-Emulator.

Best practice sind bei einem AD mindestens drei DCs.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat