Hilfe bei Active Directory mit Samba AD DC
Hallo allerseits,
ich habe ein Problem in meiner Active Directory-Domäne. Okay wo fange ich an? Zunächst muss ich euch sagen, dass ich nur ein Hobby-Admin bin und keine systemrelevanten Netzwerke betreue, was sich sicherlich jeder denken kann. In meiner Hobby-Domäne (die mich und meine Frau als Benutzer enthält), gibt es zwei Baustellen:
a) Die Anmeldung dauert ca. 4 Stunden und
b) Wenn ich im angemeldeten Zustand die Domäne verlasse, z. B. weil ich den Laptop zuklappe und außer Haus gehe, und außerhalb der Domäne neue Dateien erstelle, kann ich diese aufrund fehlender Berechtigungen nicht mehr löschen oder umbenennen, wenn ich in die Domäne zurückkehre und mich erneut anmelde.
Zu meiner Netzwerkumgebung
Realisiert wird die Domäne über einen Samba Active Directory Domänencontroller, der sich auf einem Ubuntu-Server im Virtual Maschine Manager eines Synology NAS befindet.
Seine smb.conf enthält folgende Anweisungen:
Die Windwos-Profile und die Eigenen Dateien der Benutzer werden auf einem Fileservergespeichert, der ebenfalls Mitglied der Domäne ist und sich ebenfalls auf einem Ubuntu-Server im Virtual Maschine Manager befindet.
Der Fileserver enthält die folgende smb.conf:
Der Fileserver und seine Freigaben sind über seinen UNC-Pfad \\fileserver\... erreichbar
Auf Verzeichnisebene existieren die Verzeichnisse /home/DNAME für die Eigenen Dateien der Benutzer und /profile für die Windows-Profile der Benutzer.
Mögliche Fehlerquellen
Ich bin kein Active Directory-Profi und habe daher vielleicht ein paar Fehlkonfigurationen getroffen. Da ich das nicht genau einschätzen kann, gebe ich hier mal ein paar Konfigurationen mit Screenshot an euch weiter:
Zuerst habe ich unter Windows-Verwaltungsprogramme->Active Directory Benutzer und -computer meine Benutzer angelegt. Ich bin im Übrigen der Benutzer papa.
Im Reiter Profil habe ich für papa den Pfad angegeben, unter dem sein Windows-Profil serverseitig gespeichert werden soll, also z. B. \\fileserver\profile\papa (siehe Screenshot). Weiter unten habe ich den Pfad zum Basisorder angegeben \\fileserver\users\papa. Beide UNC-Pfade entsprechen der Verzeichnisfreigabe auf dem Fileserver.
Ich habe auf dem Filserver anschließend überprüft, welche Dateien nun tatsächlich unter /profile und unter /home/DNAME (/users) abgelegt werden.
Unter /profile/papa liegt alles, was auf meinem Windows-Client unter C:\Users\papa auch liegt. Also: Appdata, Desktop, Downloads etc. Desktop und Downloads und viele viele ausgeblendete Dateien, die von irgendwelchen lokal installierten Programmen standardmäßig dort abgelegt werden. Ich hätte nicht gedacht, dass diese Dateien alle zum Windows-Profil gehören. Desktop und Downloads sind allerdings leer, obwohl auf meinem Desktop sämtliche Dateien liegen. Zu meinem Erschrecken entdecke ich auch ein paar Virtual Box VMs, die ich da mal vergessen haben muss. Hier könnte womöglich der Grund für die lange An- und Abmeldedauer liegen.
Unter /home/DNAME bzw. \\fileserver\users finde ich dagegen Contacts, Desktop, Documents, Downloads, Music, Pictures, 'Start Menu', Videos, delete, getkeyname. Hier sind nun auch unter Desktop meine Dateien enthalten, die sich auf meinem Windwos-Client auf dem Desktop befinden.
Frage
Wie man sieht, habe ich das mit den Windows-Profilen nicht richtig begriffen. Ich dachte zum Windows-Profil gehören nur Einstellungen wie Hintergrund, Lesezeichen etc. Wäre es daher besser, ich würde den Pfad zum Profil also \\fileserver\profile\... gar nicht setzen?
Danke
ich habe ein Problem in meiner Active Directory-Domäne. Okay wo fange ich an? Zunächst muss ich euch sagen, dass ich nur ein Hobby-Admin bin und keine systemrelevanten Netzwerke betreue, was sich sicherlich jeder denken kann. In meiner Hobby-Domäne (die mich und meine Frau als Benutzer enthält), gibt es zwei Baustellen:
a) Die Anmeldung dauert ca. 4 Stunden und
b) Wenn ich im angemeldeten Zustand die Domäne verlasse, z. B. weil ich den Laptop zuklappe und außer Haus gehe, und außerhalb der Domäne neue Dateien erstelle, kann ich diese aufrund fehlender Berechtigungen nicht mehr löschen oder umbenennen, wenn ich in die Domäne zurückkehre und mich erneut anmelde.
Zu meiner Netzwerkumgebung
Realisiert wird die Domäne über einen Samba Active Directory Domänencontroller, der sich auf einem Ubuntu-Server im Virtual Maschine Manager eines Synology NAS befindet.
Seine smb.conf enthält folgende Anweisungen:
[global]
dns forwarder = 192.168.178.1
netbios name = DC
realm = DNAME.DE
server role = active directory domain controller
workgroup = DNAME
idmap_ldb:use rfc2307 = yes
interfaces = 192.168.178.2/24 127.0.0.1
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[netlogon]
path = /var/lib/samba/sysvol/dname.de/scripts
read only = No
Die Windwos-Profile und die Eigenen Dateien der Benutzer werden auf einem Fileservergespeichert, der ebenfalls Mitglied der Domäne ist und sich ebenfalls auf einem Ubuntu-Server im Virtual Maschine Manager befindet.
Der Fileserver enthält die folgende smb.conf:
[global]
workgroup = DNAME
realm = DNAME.DE
security = ADS
unix charset = UTF8
dos charset = cp1252
winbind refresh tickets = Yes
winbind use default domain = yes
template shell = /bin/bash
idmap config * : range = 100000 -199999
idmap config DNAME : backend = rid
idmap config DNAME : range = 1000000 - 1999999
inherit acls = yes
store DOS attributes = yes
vfs objects = acl_xattr
registry shares = yes
[users]
path=/home/DNAME/
read only =no
[profile]
path=/profile/
read only=no
Der Fileserver und seine Freigaben sind über seinen UNC-Pfad \\fileserver\... erreichbar
Auf Verzeichnisebene existieren die Verzeichnisse /home/DNAME für die Eigenen Dateien der Benutzer und /profile für die Windows-Profile der Benutzer.
Mögliche Fehlerquellen
Ich bin kein Active Directory-Profi und habe daher vielleicht ein paar Fehlkonfigurationen getroffen. Da ich das nicht genau einschätzen kann, gebe ich hier mal ein paar Konfigurationen mit Screenshot an euch weiter:
Zuerst habe ich unter Windows-Verwaltungsprogramme->Active Directory Benutzer und -computer meine Benutzer angelegt. Ich bin im Übrigen der Benutzer papa.
Im Reiter Profil habe ich für papa den Pfad angegeben, unter dem sein Windows-Profil serverseitig gespeichert werden soll, also z. B. \\fileserver\profile\papa (siehe Screenshot). Weiter unten habe ich den Pfad zum Basisorder angegeben \\fileserver\users\papa. Beide UNC-Pfade entsprechen der Verzeichnisfreigabe auf dem Fileserver.
Ich habe auf dem Filserver anschließend überprüft, welche Dateien nun tatsächlich unter /profile und unter /home/DNAME (/users) abgelegt werden.
Unter /profile/papa liegt alles, was auf meinem Windows-Client unter C:\Users\papa auch liegt. Also: Appdata, Desktop, Downloads etc. Desktop und Downloads und viele viele ausgeblendete Dateien, die von irgendwelchen lokal installierten Programmen standardmäßig dort abgelegt werden. Ich hätte nicht gedacht, dass diese Dateien alle zum Windows-Profil gehören. Desktop und Downloads sind allerdings leer, obwohl auf meinem Desktop sämtliche Dateien liegen. Zu meinem Erschrecken entdecke ich auch ein paar Virtual Box VMs, die ich da mal vergessen haben muss. Hier könnte womöglich der Grund für die lange An- und Abmeldedauer liegen.
Unter /home/DNAME bzw. \\fileserver\users finde ich dagegen Contacts, Desktop, Documents, Downloads, Music, Pictures, 'Start Menu', Videos, delete, getkeyname. Hier sind nun auch unter Desktop meine Dateien enthalten, die sich auf meinem Windwos-Client auf dem Desktop befinden.
Frage
Wie man sieht, habe ich das mit den Windows-Profilen nicht richtig begriffen. Ich dachte zum Windows-Profil gehören nur Einstellungen wie Hintergrund, Lesezeichen etc. Wäre es daher besser, ich würde den Pfad zum Profil also \\fileserver\profile\... gar nicht setzen?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7236849287
Url: https://administrator.de/contentid/7236849287
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Ich bin kein AD-Profi und vielleicht antwortet noch einer.
Wenn ich jedoch lese, dass Du Ordnerumleitung und servergespeicherte Profile auf eine VM im (unbenannten- Wie Du eine Frage richtig stellst ) Synology-NAS legst, kommen schon beachtliche Fragezeichen auf.
Synologys im Home-Umfeld sind erfahrungsgemäß unglaublich leistungsarme Krücken, die im Wesentlichen eines können: Daten speichern. Klar gibt es noch ein paar zusätzliche Schmankerl und ja, es gibt sogar dort Virtualisierung. Aber das mehr als Marketing als als Produkt und selbst bei größeren Geräten nicht besonders funktional. Ich hatte einen Kunden mit einer 5 kEUR Synology, dessen Betreuer erst nach dem Einbau "gemerkt" hat, wie lahm virtuelle Maschinen darauf laufen. Die Folge war, dass eine für die Firma vitale Software plötzlich auf einem Uralt-PC neben dem teuren Teil gehostet wurde... Klarer Designfehler, kaschiert mit einer Kamikaze-"Lösung". Pfusch ist in der Branche kein Fremdwort.
Klar, ein DS und ein Fileserver brauchen nicht viel Leistung. Dennoch werden die kleineren Synologys da seeeehr langsam werden - und wenn Du eine ganz besonders leistungsstarke Synology hättest, hättest Du das geschrieben, oder?
Das Setup ist auch völliger Unsinn, da die Synology Dir ja mit Directory-Server und ihrer elementaren NAS-Funkton ein AD und Fileserver nativ bietet. Wenn Du (zB. aus Interesse - oder weil Dir die Funktionen der Synology nicht genügen) mit virtuellen Maschinen arbeiten willst, bau Dir einen ordentlichen PC dafür auf, dann macht das ganze auch Spaß.
Bei der Ausgangslage lohnt es wahrscheinlich nicht, nach Konfigurationsfehlern im AD zu suchen. Wenn Du das Setup überdacht und angepasst hast und dann noch Probleme bestehen, kann es hier weiter gehen. Dennoch schadet natürlich schon jetzt ein Blick in die Ereingnisanzeige des Windows-PC nicht.
Bei grundlegendem Interesse am Aufbau eines Samba-AD empfehle ich stets gern dieses Buch. Ist außerordentlich erhellend und eine gute Basis. Wenn das Interesse nicht so weit geht, wäre zu überlegen, die Synology durch ein TrueNAS abzulösen, das man auf vernünftiger Hardware (hier reicht schon ein aktueller Ryzen 5 oder 7) laufen lässt.
Viele Grüße, commodity
Ich bin kein AD-Profi und vielleicht antwortet noch einer.
Wenn ich jedoch lese, dass Du Ordnerumleitung und servergespeicherte Profile auf eine VM im (unbenannten- Wie Du eine Frage richtig stellst ) Synology-NAS legst, kommen schon beachtliche Fragezeichen auf.
Synologys im Home-Umfeld sind erfahrungsgemäß unglaublich leistungsarme Krücken, die im Wesentlichen eines können: Daten speichern. Klar gibt es noch ein paar zusätzliche Schmankerl und ja, es gibt sogar dort Virtualisierung. Aber das mehr als Marketing als als Produkt und selbst bei größeren Geräten nicht besonders funktional. Ich hatte einen Kunden mit einer 5 kEUR Synology, dessen Betreuer erst nach dem Einbau "gemerkt" hat, wie lahm virtuelle Maschinen darauf laufen. Die Folge war, dass eine für die Firma vitale Software plötzlich auf einem Uralt-PC neben dem teuren Teil gehostet wurde... Klarer Designfehler, kaschiert mit einer Kamikaze-"Lösung". Pfusch ist in der Branche kein Fremdwort.
Klar, ein DS und ein Fileserver brauchen nicht viel Leistung. Dennoch werden die kleineren Synologys da seeeehr langsam werden - und wenn Du eine ganz besonders leistungsstarke Synology hättest, hättest Du das geschrieben, oder?
Das Setup ist auch völliger Unsinn, da die Synology Dir ja mit Directory-Server und ihrer elementaren NAS-Funkton ein AD und Fileserver nativ bietet. Wenn Du (zB. aus Interesse - oder weil Dir die Funktionen der Synology nicht genügen) mit virtuellen Maschinen arbeiten willst, bau Dir einen ordentlichen PC dafür auf, dann macht das ganze auch Spaß.
Bei der Ausgangslage lohnt es wahrscheinlich nicht, nach Konfigurationsfehlern im AD zu suchen. Wenn Du das Setup überdacht und angepasst hast und dann noch Probleme bestehen, kann es hier weiter gehen. Dennoch schadet natürlich schon jetzt ein Blick in die Ereingnisanzeige des Windows-PC nicht.
Bei grundlegendem Interesse am Aufbau eines Samba-AD empfehle ich stets gern dieses Buch. Ist außerordentlich erhellend und eine gute Basis. Wenn das Interesse nicht so weit geht, wäre zu überlegen, die Synology durch ein TrueNAS abzulösen, das man auf vernünftiger Hardware (hier reicht schon ein aktueller Ryzen 5 oder 7) laufen lässt.
Viele Grüße, commodity
Hier ist das nochmal hübsch erklärt.
Ich hab mir auch den Prozessor angesehen. Ist eine schwache Möhre, hat aber VT-x. D.h. ein AD und ein Fileserver sollten auch virtualisiert nicht Stunden brauchen. Der RAM ist auch ok. Da sind sicher noch einige Fehler in der Konfiguration. Erster Fehler ist schon mal, die Kerne aufzuteilen. Die kannst Du voll für jede VM vergeben. Nur den RAM musst Du aufteilen.
Du solltest aber zunächst, wie oben angemerkt, das Setup überdenken und die Sachen nativ auf der Synology ausführen, schon aus Vereinfachungsgründen. Wenn Du experimentieren willst, beschaffe Dir einen PC für Dein LAB. Eine gebrauchte Mittelklasse-Möhre reicht ja.
Wenn es das (erstmal) war, bitte Wie kann ich einen Beitrag als gelöst markieren?
Viele Grüße, commodity
Ich hab mir auch den Prozessor angesehen. Ist eine schwache Möhre, hat aber VT-x. D.h. ein AD und ein Fileserver sollten auch virtualisiert nicht Stunden brauchen. Der RAM ist auch ok. Da sind sicher noch einige Fehler in der Konfiguration. Erster Fehler ist schon mal, die Kerne aufzuteilen. Die kannst Du voll für jede VM vergeben. Nur den RAM musst Du aufteilen.
Du solltest aber zunächst, wie oben angemerkt, das Setup überdenken und die Sachen nativ auf der Synology ausführen, schon aus Vereinfachungsgründen. Wenn Du experimentieren willst, beschaffe Dir einen PC für Dein LAB. Eine gebrauchte Mittelklasse-Möhre reicht ja.
Wenn es das (erstmal) war, bitte Wie kann ich einen Beitrag als gelöst markieren?
Viele Grüße, commodity