6.1 RC; Active Directory Server einrichten

[guwen]

Hallo Thorsten,
steht eigentlich alles hier beschrieben. Danach habe selbst ich das geschafft.
AD inkl. DNS installieren. Im AD einen Namen der Domain angeben.
Auf dem Win-Client die Syno als DNS eintragen. Auf Seiten Syno wird bei der Installation des AD auch die Config des DNS gemacht.
Die Win-Clients unter Computer (rechte Maustaste) Eigenschaften, Einstellungen für Computernamen, Domain,... -> Einstellungen ändern -> Netzwerk-ID, den Anweisungen folgen.

 

[iLion]

Ich überlege, ob ich für ein kleines Büroteam den AD-Server für die Benutzerverwaltung einsetzen soll. Es werden hauptsächlich, aber nicht nur, Apple Rechner eingesetzt, insofern bringen mir an sich Gruppenrichtlinien nichts. Den LDAP-Server hatte ich mal getestet und er lief recht passabel, macht aber Probleme mit Windows. pGina wird ja auch nicht recht weiterentwickelt. An sich reichen sicherlich auch lokale Benutzer, aber dann geht z.B. SSO nicht, wenn z.B. eine zweite DS dazu kommen soll. Auf der anderen Seite unterstützt die Download Station nur lokale Nutzer. Wie gut läuft den der AD-Server im Moment?

 

[zyklone]

Falls einer noch nicht gemerkt hat, Synology hat 6.1 offiziell raus.
Das AD Päckchen ist aber immernoch Beta.

 

[MacD]

Hi zusammen,

gibt es zu diesem Thema eigendlich eine Anleitung für ein einfaches Setup.

Wie richtet man den AD ein?
Wie richtet man den DNS Server / Router ein?
Wie meldet man Windows Clients ans AD an?
Thorsten

Ich schließe mich dem Wunsch mal an.

Auch wenn hier für die Profis vielleicht alles bereits im Thread steht: Ich kriegs auch nicht hin.

Domäne eingerichtet, beim Versuch der Domäne beizutreten geht es aber nicht weiter (Selbes Problem wie im Beitrag #30).

Warum man dann wie als Lösung beschrieben den DNS Eintrag auf dem lokalen Rechner anpassen soll verstehe ich nicht. Aber selbst wenn ich das mache bleibt das Problem bestehen.

Gruß

MacD

 

[AndiHeitzer]

Warum man dann wie als Lösung beschrieben den DNS Eintrag auf dem lokalen Rechner anpassen soll verstehe ich nicht. Aber selbst wenn ich das mache bleibt das Problem bestehen.

AD benötigt zwingend einen DNS-Server auf der lokalen Maschine.
Dies ist erforderlich, damit sich WIN-Clients und auch andere WIN-Server erfolgreich im AD registrieren können.
Ob ich mir das AD "anlache" weiss ich jetzt noch nicht. In meinem Umfeld habe ich das recht elegant im Scripting gelöst.

 

[MacD]

Hallo,

was heisst "benötigt einen DNS Server auf der lokalen Maschine" ?

Der DNS Server ist doch die Diskstation.

Meinst Du vielleicht einen "Verweis auf den DNS Server = Diskstation" ?

Verstehe ich trotzdem nicht. Kann doch nicht sein, dass man bei jedem PC, den man in die Domäne einbinden will, erstmal die lokalen Netzwerkeinstellungen anpassen muss.

Und wie gesagt: Habe in meinem Fall trotz dieser Anpassung keinen Erfolg gehabt.

Gruß

MacD

 

[writetome]

Verstehe ich trotzdem nicht. Kann doch nicht sein, dass man bei jedem PC, den man in die Domäne einbinden will, erstmal die lokalen Netzwerkeinstellungen anpassen muss.

Doch, oder du passt deinen DHCP an und trägst dort die DNS Adresse gleich korrekt ein.

 

[MacD]

OK, DHCP anpassen macht dann Sinn.
Allerdings: Auch wenn ich als DNS Server die IP Adresse der Diskstation angebe kann ich den Rechner nicht in die Domäne aufnehmen.
Was auffällt: Auch Internet geht dann nicht mehr, wenn die DNS Adresse geändert wurde. Stimmt was mit den DNS Einträgen auf der Diskstation nicht?
Die habe ich so gelassen, wie sie beim Einrichten der Domäne vom Assistenten vorgenommen wurden.
Gruß
MacD

 

[iLion]

Ein Active Directory benötigt eine Domäne, wobei die Empfehlung ist, dass man diese Domäne auch tatsächlich registriert hat. Damit muss der Domänen Controller auch die Einträge innerhalb der Domäne auflösen können und hat daher einen DNS-Server. Wenn jetzt ein Client der Domäne example.com beitreten will, muss er wissen welcher Server für example.com zuständig ist. Das bekommt er aber nur raus, wenn er den richtigen DNS-Server fragt. Und das ist nun mal der auf der DiskStation, auf dem euer Server laufen soll. Internet geht dann z.B. nicht, wenn der DNS:

a) seine Auflösung nicht aktiviert hat
b) wenn man keine Weiterleitung-DNS-Server eingetragen hat.

Alles weiss der ja auch nicht, wenn der Assistent von Synology den eingerichtet hat. Und deswegen müssen die Client als ersten DNS den von eurem Server eingetragen bekommen.

 

[tom_ff]

Bevor ich mit dem AD loslege, habe ich eine Frage zum DNS.
Normalerweise bekommen doch alle Clients über DHCP auch den DNS-Server übermittelt. Das passiert doch aber über den Router (z.B. Fritz!Box).
Dann ist über die IP-Konfiguration die Fritz!Box der DNS-Server und die Domain fritz.box.
Ein Client, der über WLAN (oder LAN) verbunden ist (z.B. Handy, Tablet, SmartHome, ...) hat doch gar keine AD Konfiguration.
Muss ich jetzt mit dem AD auch den DHCP Server und DNS Server von der Fritz!Box auf die Syno umziehen lassen?

 

[iLion]

Zumindest den DNS kannst Du im aktuellen FRITZ!OS bei der DHCP Vergabe manuell einstellen, und damit auf Deinen ADC zeigen lassen. fritz.box ist ja nur eine Suchdomäne und lässt sich meines Wissens nach im Moment nicht anpassen. Dafür müsste das dann der DSM machen.

 

[guwen]

Muss ich jetzt mit dem AD auch den DHCP Server und DNS Server von der Fritz!Box auf die Syno umziehen lassen?

Nein, das ist nicht notwendig.
Im DNS der Syno musst du unter "Auflösung" den Forwarder aktivieren und als Forwarder 1 die IP Deiner FritzBox eintragen.

 

[backslash]

Oder einen X-beliebigen öffentlichen DNS Server. 8.8.8.8 zb.

 

[iLion]

@guwen und backslash: In welchem Zusammenhang stehen die Weiterleitungen mit der Frage, ob er mit DHCP und DNS von der FRITZ!Box auf den DSM wechseln muss? Eure Weiterleitungen werden nur dann aktiv, wenn der DNS im DSM auch genutzt wird, und dieser DNS die Anfragen nicht selber beantworten kann.

 

[backslash]

Das DNS Server Paket ist zwingend notwendig für die AD Installation auf der Synology. Und das die Clients die Synology Domäne joinen auch externe Adressen auflösen kann, ist auf den Synology DNS Server eine Weiterleitung auf die Fritzbox oder auf einen x-beliebigen DNS Server notwendig.

 

[iLion]

Das ist mir schon klar. Deswegen die Frage, in welchem Zusammenhang eure Antwort mit der Frage steht. Wenn die FRITZ!Box DHCP macht, dann liefert sie als Voreinstellung immer ihre eigene IP als DNS an den Client aus. Damit könnte ein Rechner der Domäne nicht beitreten. Also muss er doch "mit dem DNS" auf den DMS umziehen. Ob der DHCP auch mit muss, ist eine Abwägungsfrage. Im FRITZ!OS kann man für den DHCP-Server einen alternativen DNS angeben, den die FRITZ!Box aufliefern kann. Damit würde dann auch die Anmeldung an der Domäne klappen. Der DHCP-Server im DMS kann auch noch ein bisschen mehr, daher wäre er schon eine Alternative, auch diesen Dienst zu verlegen. Eure Antwort war eine auf eine nicht wirklich gestellt Frage.

 

[guwen]

Hallo ILion,
wenn ich ehrlich bin weiß ich nicht einmal, ob und wie man bei der FB den DNS ausschalten kann. Wenn man Google fragt sind dort aber einige, die das (mit echten Win ADs) auch gern möchten. Es gibt wohl auch keine Möglichkeit in der FB die Einstellungen so zu ändern, dass die FB den DNS der Syno übergibt. Daher wird einem wohl (erst einmal) nichts anderes übrig bleiben als den Eintrag auf den Clients von Hand vorzunehmen.
Zumindest habe ich das so gemacht und etwas anderes fällt mir auch nicht ein.

 

[guwen]

Habe da noch ein ganz anders Problem... ich meine natürlich Herausforderung...

Heute habe ich den DSM 6.1-15047 installiert. Anschließend hat der DSM den AD "repariert", also ein Update auf 4.4.5-0032 installiert.
Danach war natürlich das in /volume1/@appstore/ActiveDirectoryServer/private/sysvol/wdt.de/scripts gespeicherte Anmeldescript für das Laufwerksmapping weg.
Das ist grundsätzlich erst einmal ärgerlich, aber man hat ja noch eine Sicherungskopie.

Viel ärgerlicher ist, dass ich mich bis heute immer anmelden konnte, und die Profildaten kamen vom Server. Eingestellt ist das wie auf dem Bild zu sehen.

Nur leider passiert da jetzt nichts mehr. Win7 zeigt mir immer, dass ich mit meinem lokal gespeicherten Profil angemeldet bin. Ein manuelles Laufwerksmapping funktioniert auch nicht, da sagt Win7 immer Benutzer oder Kennwort falsch.

Dafür kann man jetzt im Profil unter verbinden alle Laufwerksbuchstaben auswählen. Nur die Übersetzung vom englischen "to" ins deutsche "bis" ist noch immer suboptimal.

hat jemand eine Lösung für mich.
Danke schon mal

 

[iLion]

wenn ich ehrlich bin weiß ich nicht einmal, ob und wie man bei der FB den DNS ausschalten kann.

Ich meine, dass man den IPv4 DNS nicht abschalten kann, sondern nur den IPv6. Das ist aber auch gar nicht schlimm. Wenn der DNS nicht im Rechner eingetragen ist, wird er nicht gefragt. Wird er nicht gefragt, gibt es keine Antworten. Alles unproblematisch. Entscheidend ist am Anfang nur der DHCP, und hier kannst Du schon seit längerem (FRITZ!OS 6.60 und 6.80 auf jeden Fall) in der erweiterten Ansicht unter Heimnetz / Netzwerkeinstellungen / IPv4-Adressen einen anderen lokalen DNS angeben, der dann vom DHCP der FRITZ!Box verteilt wird.

 

[guwen]

Entscheidend ist am Anfang nur der DHCP, und hier kannst Du schon seit längerem (FRITZ!OS 6.60 und 6.80 auf jeden Fall) in der erweiterten Ansicht unter Heimnetz / Netzwerkeinstellungen / IPv4-Adressen einen anderen lokalen DNS angeben, der dann vom DHCP der FRITZ!Box verteilt wird.

Ah, wusste ich nicht. Danke für die Info.