Best Practice: Directory-Server (SDC, Backup-DC) und Home-Verzeichnisse der AD-User

[Yippie]

Hi!

Ich betreibe aktuell auf meiner DS916+ (DSM 6.x) den Synology Directory-Server. Die Home-Verzeichnisse der Active-Directory (AD) User befinden sich demnach auch auf dieser DS unterhalb der Freigabe "homes".

Mit meiner zweiten DS, einer DS918+, plane ich nach Freigabe von DSM7 einen Backup Domain Controller aufzusetzen. Da dieser ja im Falle eines Ausfalls der DS916+ als Domain-Controller einspringen soll, wie stelle ich es dabei am besten an, dass die Home-Verzeichnisse der AD-User auch weiterhin zu Verfügung stehen?

Dass sich die User weiterhin am Windows 10 anmelden können, ist ja beim Ausfall des Primary-DC soweit OK und auch gewünscht, nur die Home-Verzeichnisse sollten dann auch weiterhin zur Verfügung stehen.

Aktuell repliziere ich bereits die Home-Verzeichnisse von der DS916+ auf die DS918+ jedoch nur als reine Backup-Lösung, falls das Raid mit den Home-Verzeichnissen komplett ausfallen sollte. Auf der zweiten DS stehen dieses dann aber erstens unter dem neuen Share-Namen "homes-replicated" zur Verfügung und zweitens, dummerweise nur read-only. Somit auch nicht wirklich DIE Lösung im Ausnahmefall.

Da ich testweise bereits DSM7 in einer VMM (auf der DS918+) betreibe, konnte ich mir schon Mal einen ersten Überblick verschaffen und habe dort den Directory-Server als Backup-DC aufgesetzt. Einrichtung lief ohne Probleme und vollautomatisch.

Ich habe dann auch bereits für einen ersten Test den PDC (DS916+) heruntergefahren und die User konnten sich mehr oder weniger dann über den Backup-DC anmelden. Genau genommen sehe ich aktuell unter DSM7 schon sporadisch Anmeldungen der Windows-Clients, somit gehe ich davon aus, dass der zweite Domain-Controller bereits vollumfänglich einsatzfertig ist. Denke es handelt sich hierbei um eine Art Lastverteilung zwischen dem PDC und SBC?

Automatisch synchronisiert werden bereits jetzt schon die Dateien und Verzeichnisse unterhalb SYSVOL. Somit sind bspw. meine auf dem PDC erstellten Login-Skripte und Group-Policies bereits auch im Backup-DC angekommen. Ob dies auch tatsächlich ausgeführt werden, habe ich allerdings noch nicht getestet.

Aber es bleibt die Frage nach den Home-Verzeichnissen der AD-Benutzer, denn diese befinden sich nicht in der VMM, also auf dem Backup-DC. Wie wird hier am besten vorgegangen? Da die Home-Verzeichnisse unter automatischer Verwaltung von DSM liegen, kann ich diese auch nicht einfach so an einen anderen Ort verschieben.

Somit die Frage: wie löst ihr so etwas zukünftig mit DSM7 und einem weiteren Synology Directory-Server?
Michael

 

[blurrrr]

Das hat mit "zukünftig" erstmal so garnichts zu tun... Wenn man es aus der Windows-Welt betrachtet, haben Userprofile/-Dateien schon mal garnichts auf einem DC zu suchen (damit fängt es nämlich schon an). Wie Du richtig erkannt hast, synchronisiert da auch nichts an irgendwelchen "Daten", ausser den eben "wirklich" benötigten. Das Thema "Daten" ist somit ein Thema "für sich".

Denke es handelt sich hierbei um eine Art Lastverteilung zwischen dem PDC und SBC?

Lastverteilung wäre meines Erachtens nach eher der falsche Ausdruck... Nennen wir es lieber "Hochverfügbar" (das sind nämlich auch 2 Paar Schuhe). im DNS (wie Du sicherlich einsehen kannst), sind als NS-Server sowohl der erste, als auch der zweite DC (samt laufendem DNS) aufgeführt. Der Client kriegt also 2 Adressen genannt und bedient sich dann entsprechend einer.

Was die Daten angeht, so sind diese gesondert zu behandeln. Auf irgendwelche Synchronisationsmechanismen würde ich dabei verzichten (von einem SHA mal abgesehen). Da es mehrere Möglichkeiten gibt, sich redundante Konstrukte zu bauen, Du hier von 2x "DS"-Varianten sprichst und man einen SHA auch mit unterschiedlichen Modell bauen kann (vgl. hier) und der Directory-Server auch vom SHA supported ist, wäre das vermutlich die bessere Lösung für Dich, wobei dann die Option mit dem Backup eher flach fällt. Alternativ müsste ich nun sagen: 1x PDC, 1x SDC + Storage-Cluster für die Daten + Backup. Alternativ dazu noch die Überlegung, ob man nicht ggf. virtualisiert (ggf. via inkl. Lizenz zwecks HA zwischen den physikalischen Kisten).

Allerdings ist das alles eher was für's Business...

EDIT: Was das "zukünftig" angeht, so soll es neben dem SHA auch noch die Möglichkeit geben, dass man quasi eine 1:1 Replikation eines vorhandenen NAS auf ein anderes fahren kann. Von daher würde ich da erstmal abwarten und gucken, was sich dann mit DSM7 so ergibt ??

 

[Yippie]

Das hat mit "zukünftig" erstmal so garnichts zu tun... Wenn man es aus der Windows-Welt betrachtet, haben Userprofile/-Dateien schon mal garnichts auf einem DC zu suchen (damit fängt es nämlich schon an). Wie Du richtig erkannt hast, synchronisiert da auch nichts an irgendwelchen "Daten", ausser den eben "wirklich" benötigten. Das Thema "Daten" ist somit ein Thema "für sich".

Danke dir für deine ausführliche Antwort!

Wo Synology seine Home-Verzeichnisse erstellt kann ich mir ja nicht so einfach aussuchen. OK, ich könnte das gemappte Lauferk für jeden Benutzer einzeln auf einen jeweils eigenen Share verweisen lassen, ist aber zu umständlich. Im Gegensatz zum mappen des homes-Share welches autom. erstellt wird und nur die Daten des jeweils authentifizierten Benutzer enthält.

Dummerweise legt Synology dann aber trotzdem manche der userspezifischen Verzeichnisse bspw. des Pakets Drive auch wieder im synology-eigenen Home-Verzeichnis ab und nicht auf den selbst gemappten.

Egal wie man es dreht, Synology macht es anders. Meine DS918 nun aber als HA-Server aufzusetzen will ich auch nicht denn dort laufen bereits andere Dinge, unter anderem viele Docker-Container.

Dann bin ich Mal gespannt was Synology sich an dieser Stelle nun noch einfallen lässt. Meine persönliche Meinung: gar nichts. Das wird dem User überlassen.

 

[blurrrr]

Najo, wenn es beim HA der Daten "primär" um die Verfügbarkeit geht, wäre es ggf. noch eine Möglichkeit, dass Du die beiden DCs in jeweils einem VDSM laufen lässt und den Sync der gemeinsamen Ordner nutzt, dabei aber erstmal nur auf das 1. NAS verweist (im Notfall muss man via GPO im Ausfallszenario umschwenken auf das 2.). Für die Profilordner gilt selbiges, wobei das Thema "etwas" schwerer wiegt, da man sich so ggf. auch mal das ein oder andere Profil zernageln kann.

Was das mit dem "einfallen" angeht... Das hat so rein "garnichts" mit Synology zu tun, die Probleme findest Du "überall" in diesen Bereichen, ergo sind die Lösungen dazu i.d.R. auch immer "allgemeingültig". Wäre unter Windows nicht anders. Grade in der heutigen Zeit (wenn man das mal so sagen darf - wir technologisch fortgeschrittenen wir ... ?) wird im Serverbereich "kaum" noch irgendwas "direkt auf's Blech" installiert (maximal die Hypervisor). Kommt alles in virtuelle Maschinen und ab dafür. Hätte Dir hier auch geholfen, da hätte auch 1 DC gereicht und 1 Fileserver bzw. dann insgesamt 1 VDSM, was hochverfügbar über 2 Virtualisierungsknoten läuft (falls mal die Hardware ausfällt). hilft natürlich wieder in anderen Fälle nicht, also .... usw. usw. Bombensichere Konstrukte kosten halt einiges an Ressourcen und noch viel mehr an Geld. Typisches Gebilde hier wären übrigens 2+x Hypervisor + 1x SHA (HA für die VMs + HA für den Storage), was noch immer nicht vor Brand, Diebstahl, etc. schützt... usw. usw. ?

Du siehst also - 1 Vorhaben, X Baustellen ? Was die "userspezifischen Verzeichnisse z.B. des Pakets Drive" angeht. Auch hier gilt wieder irgendwo das gleiche ... virtualisiert schon "irgendwo" eine Baustelle weniger (da HA über die Hypervisor), dazu Snapshots und Backups der VM, dann läuft dat doch alles!..... und so ?? Aber machen wir es kurz: Wenn Du es "vernünftig" machen willst, sieht das Konstrukt dann doch eher "etwas" anders aus.

Ich hab zwar noch keine Ahnung, was genau die mit dem 1:1-Replikat meinen, aber vielleicht wird ja genau das so der Notgroschen, der einem in die Tasche gesteckt wird... läuft ggf. die 2. Node einfach mit, wird brav alles von 1 auf 2 repliziert und schmiert 1 dann ab, läuft 2 vielleicht wie Schnitzel... ? Aber... nix genaues weiss man nicht, von daher würde ich das jetzt erstmal aussitzen und gucken, was da so mit DSM7 kommt und bis dahin halt so wie immer: Backup, Backup, Backup! ??

 

[Yippie]

Da könnte man jetzt noch viel Hirnschmalz und Diskussionen reinstecken, aber ich warte da jetzt auch erst Mal ab was Synology da liefert.

 

[ChristophK]

Hallo hat sich in dem Thema was getan? Ich habe das Problem, dass auf der 2ten Synology die als Secodary AD fungiert auch die Synology Photos laufen. Ohne Homedir will es nicht unbedingt funktionieren. Aber wie synce ich von dem 1ten AD die Homes auf den 2ten. Wäre auch wegen HA interessant, falls der 1te nicht tut, wären die Homes Daten weiterhin erreichbar...
Was kann man da tun? (DSM7)

 

[plang.pl]

Wie schon im anderen Thread geschrieben, dürfte das mit Drive ShareSync hinhauen