enrixk
Goto Top

Hilfe bei Active Directory mit Samba AD DC

Hallo allerseits,

ich habe ein Problem in meiner Active Directory-Domäne. Okay wo fange ich an? Zunächst muss ich euch sagen, dass ich nur ein Hobby-Admin bin und keine systemrelevanten Netzwerke betreue, was sich sicherlich jeder denken kann. In meiner Hobby-Domäne (die mich und meine Frau als Benutzer enthält), gibt es zwei Baustellen:

a) Die Anmeldung dauert ca. 4 Stunden und
b) Wenn ich im angemeldeten Zustand die Domäne verlasse, z. B. weil ich den Laptop zuklappe und außer Haus gehe, und außerhalb der Domäne neue Dateien erstelle, kann ich diese aufrund fehlender Berechtigungen nicht mehr löschen oder umbenennen, wenn ich in die Domäne zurückkehre und mich erneut anmelde.

Zu meiner Netzwerkumgebung
Realisiert wird die Domäne über einen Samba Active Directory Domänencontroller, der sich auf einem Ubuntu-Server im Virtual Maschine Manager eines Synology NAS befindet.
Seine smb.conf enthält folgende Anweisungen:

[global]
        dns forwarder = 192.168.178.1
        netbios name = DC
        realm = DNAME.DE
        server role = active directory domain controller
        workgroup = DNAME
        idmap_ldb:use rfc2307 = yes
        interfaces = 192.168.178.2/24 127.0.0.1

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/dname.de/scripts
        read only = No 

Die Windwos-Profile und die Eigenen Dateien der Benutzer werden auf einem Fileservergespeichert, der ebenfalls Mitglied der Domäne ist und sich ebenfalls auf einem Ubuntu-Server im Virtual Maschine Manager befindet.

Der Fileserver enthält die folgende smb.conf:

[global]
   workgroup = DNAME
   realm = DNAME.DE
   security = ADS
   unix charset = UTF8
   dos charset = cp1252
   winbind refresh tickets = Yes
   winbind use default domain = yes
   template shell = /bin/bash
   idmap config * : range = 100000 -199999
   idmap config DNAME : backend = rid
   idmap config DNAME : range = 1000000 - 1999999
   inherit acls = yes
   store DOS attributes = yes
   vfs objects = acl_xattr
   registry shares = yes

[users]
        path=/home/DNAME/
        read only =no

[profile]
        path=/profile/
        read only=no

Der Fileserver und seine Freigaben sind über seinen UNC-Pfad \\fileserver\... erreichbar
Auf Verzeichnisebene existieren die Verzeichnisse /home/DNAME für die Eigenen Dateien der Benutzer und /profile für die Windows-Profile der Benutzer.

Mögliche Fehlerquellen

Ich bin kein Active Directory-Profi und habe daher vielleicht ein paar Fehlkonfigurationen getroffen. Da ich das nicht genau einschätzen kann, gebe ich hier mal ein paar Konfigurationen mit Screenshot an euch weiter:

Zuerst habe ich unter Windows-Verwaltungsprogramme->Active Directory Benutzer und -computer meine Benutzer angelegt. Ich bin im Übrigen der Benutzer papa.

Im Reiter Profil habe ich für papa den Pfad angegeben, unter dem sein Windows-Profil serverseitig gespeichert werden soll, also z. B. \\fileserver\profile\papa (siehe Screenshot). Weiter unten habe ich den Pfad zum Basisorder angegeben \\fileserver\users\papa. Beide UNC-Pfade entsprechen der Verzeichnisfreigabe auf dem Fileserver.

Ich habe auf dem Filserver anschließend überprüft, welche Dateien nun tatsächlich unter /profile und unter /home/DNAME (/users) abgelegt werden.

Unter /profile/papa liegt alles, was auf meinem Windows-Client unter C:\Users\papa auch liegt. Also: Appdata, Desktop, Downloads etc. Desktop und Downloads und viele viele ausgeblendete Dateien, die von irgendwelchen lokal installierten Programmen standardmäßig dort abgelegt werden. Ich hätte nicht gedacht, dass diese Dateien alle zum Windows-Profil gehören. Desktop und Downloads sind allerdings leer, obwohl auf meinem Desktop sämtliche Dateien liegen. Zu meinem Erschrecken entdecke ich auch ein paar Virtual Box VMs, die ich da mal vergessen haben muss. Hier könnte womöglich der Grund für die lange An- und Abmeldedauer liegen.

Unter /home/DNAME bzw. \\fileserver\users finde ich dagegen Contacts, Desktop, Documents, Downloads, Music, Pictures, 'Start Menu', Videos, delete, getkeyname. Hier sind nun auch unter Desktop meine Dateien enthalten, die sich auf meinem Windwos-Client auf dem Desktop befinden.

Frage
Wie man sieht, habe ich das mit den Windows-Profilen nicht richtig begriffen. Ich dachte zum Windows-Profil gehören nur Einstellungen wie Hintergrund, Lesezeichen etc. Wäre es daher besser, ich würde den Pfad zum Profil also \\fileserver\profile\... gar nicht setzen?

Danke
user_eigenschaften_profil_2 - kopie

Content-Key: 7236849287

Url: https://administrator.de/contentid/7236849287

Printed on: February 29, 2024 at 22:02 o'clock

Member: commodity
commodity Dec 01, 2023 at 23:32:59 (UTC)
Goto Top
Hallo,
Ich bin kein AD-Profi und vielleicht antwortet noch einer.

Wenn ich jedoch lese, dass Du Ordnerumleitung und servergespeicherte Profile auf eine VM im (unbenannten- Wie Du eine Frage richtig stellst ) Synology-NAS legst, kommen schon beachtliche Fragezeichen auf.
Synologys im Home-Umfeld sind erfahrungsgemäß unglaublich leistungsarme Krücken, die im Wesentlichen eines können: Daten speichern. Klar gibt es noch ein paar zusätzliche Schmankerl und ja, es gibt sogar dort Virtualisierung. Aber das mehr als Marketing als als Produkt und selbst bei größeren Geräten nicht besonders funktional. Ich hatte einen Kunden mit einer 5 kEUR Synology, dessen Betreuer erst nach dem Einbau "gemerkt" hat, wie lahm virtuelle Maschinen darauf laufen. Die Folge war, dass eine für die Firma vitale Software plötzlich auf einem Uralt-PC neben dem teuren Teil gehostet wurde... Klarer Designfehler, kaschiert mit einer Kamikaze-"Lösung". Pfusch ist in der Branche kein Fremdwort.

Klar, ein DS und ein Fileserver brauchen nicht viel Leistung. Dennoch werden die kleineren Synologys da seeeehr langsam werden - und wenn Du eine ganz besonders leistungsstarke Synology hättest, hättest Du das geschrieben, oder?

Das Setup ist auch völliger Unsinn, da die Synology Dir ja mit Directory-Server und ihrer elementaren NAS-Funkton ein AD und Fileserver nativ bietet. Wenn Du (zB. aus Interesse - oder weil Dir die Funktionen der Synology nicht genügen) mit virtuellen Maschinen arbeiten willst, bau Dir einen ordentlichen PC dafür auf, dann macht das ganze auch Spaß.

Bei der Ausgangslage lohnt es wahrscheinlich nicht, nach Konfigurationsfehlern im AD zu suchen. Wenn Du das Setup überdacht und angepasst hast und dann noch Probleme bestehen, kann es hier weiter gehen. Dennoch schadet natürlich schon jetzt ein Blick in die Ereingnisanzeige des Windows-PC nicht.

Bei grundlegendem Interesse am Aufbau eines Samba-AD empfehle ich stets gern dieses Buch. Ist außerordentlich erhellend und eine gute Basis. Wenn das Interesse nicht so weit geht, wäre zu überlegen, die Synology durch ein TrueNAS abzulösen, das man auf vernünftiger Hardware (hier reicht schon ein aktueller Ryzen 5 oder 7) laufen lässt.

Viele Grüße, commodity
Member: Enrixk
Enrixk Dec 02, 2023 updated at 18:08:39 (UTC)
Goto Top
Erstmal herzlichen Dank für deine ausführliche Antwort. Ich habe das Synology NAS DS1520+ mit INTEL Celeron J41252, 4 Kerne je 2 GHz. Fileserver und Domaincontroller haben beide jeweils 2 Kerne. Der Arbeitsspeicher liegt bei 8GB. Meine Idee war es, mit dieser Lösung einen weiteren Rechner einzusparen.

Zitat von @commodity:
Das Setup ist auch völliger Unsinn, da die Synology Dir ja mit Directory-Server und ihrer elementaren NAS-Funkton ein AD und Fileserver nativ bietet.

Viele Grüße, commodity

Das werde ich mir mal genauer anschauen.

Trotzdem noch eine Frage. Weiß jemand worin sich Punkt 1 und Punkt 2 unterscheiden im abgebildeten Screenshot. Beide sorgen dafür, dass die Verzeichnisstruktur Desktop, Downloads, Bilder, Videos usw. auf dem Server abgelet werden. Allerdings sind die Verzeichnis in dem Pfad unter Punkt 1 leer.

Ich komme also durcheinander. In dem Pfad aus Punkt 1 wird das lokale Profile, das sich unter C:\Users\... befindet, abgelegt und unter Punkt 2 ein anderes Profil. Ich bin verwirrt, weil sich daraus praktisch zwei Profile ergeben, die in meinem Benutzeraccount koexistieren. Kann man nicht auf Punkt 1 verzichten?
user_eigenschaften_profil_mit beschriftung - kopie
Member: its-gab
its-gab Dec 02, 2023 at 22:02:58 (UTC)
Goto Top
Moin,
bei 1. wird das Profil was lokal unter C:\Users\Username liegt bei der Abmeldung auf den Server kopiert und bei der Anmeldung vom Server auf den PC kopiert.
Bei 2. erhält der Benutzer ein persönliches Netzlaufwerk gemapped, das jedoch nicht zwangsweise Userdaten enthält.
Viele Grüße
its_gab
Member: commodity
commodity Dec 03, 2023 updated at 21:57:52 (UTC)
Goto Top
Hier ist das nochmal hübsch erklärt.

Ich hab mir auch den Prozessor angesehen. Ist eine schwache Möhre, hat aber VT-x. D.h. ein AD und ein Fileserver sollten auch virtualisiert nicht Stunden brauchen. Der RAM ist auch ok. Da sind sicher noch einige Fehler in der Konfiguration. Erster Fehler ist schon mal, die Kerne aufzuteilen. Die kannst Du voll für jede VM vergeben. Nur den RAM musst Du aufteilen.
Du solltest aber zunächst, wie oben angemerkt, das Setup überdenken und die Sachen nativ auf der Synology ausführen, schon aus Vereinfachungsgründen. Wenn Du experimentieren willst, beschaffe Dir einen PC für Dein LAB. Eine gebrauchte Mittelklasse-Möhre reicht ja.

Wenn es das (erstmal) war, bitte Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?

Viele Grüße, commodity