Directory Server Synology Active Directory Server / Univention Corporate Server

Status
Für weitere Antworten geschlossen.

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
Ich stehe vor der Einrichtung eines neuen DSM und diesmal sollen anstelle lokaler Anwender in einem Active Directory verwaltete Benutzer eingerichtet werden. Es ist nicht geplant einen Windows Server dazu zu nehmen. Ich schwanke, wie im Titel beschrieben, zwischen dem Synology Active Directory Server Paket und dem Einsatz des Univention Corporate Servers. Das Synology Paket ist ja prima integriert, richtet den Server gleich mit ein, hat aber keinen Backup-Server und bietet nicht die Option Gruppen in Gruppen zu konfigurieren. Beides könnte der Univention Corporate Server, jedoch müsste er in einer VM unter dem Virtual Maschine Manager laufen. D.h. das Active Directory wäre später gestartet wie der Server, der auch Zugriff auf das Directory nimmt. Mangels Testmaschine kann ich nicht selber prüfen, ob das so überhaupt geht. Zum anderen ist halt auch, ähnlich wie in diesem Forum, von etlichen Problemen bei der Migration und anderen Dingen beim Univention Corporate Server zu lesen. Also wenn es läuft, dann läufts, ansonsten ist es nicht anders als bei Synology. ;)
Da wir auch den Synology DNS seit Jahren einsetzen, spricht auch hier wieder etwas für das Synology Paket, mit der DNS Oberfläche des Univention Corporate Server hatte ich meine Schwierigkeiten, die nicht richtig eingängig ist. Die Einrichtung, Änderung, Sicherung und Wiederherstellung aus einem Backup habe ich mit dem Synology Paket in einem virtuellen DSM getestet. Das hat soweit geklappt.
Vielleicht hat ja jemand Erfahrungen mit beiden Lösungen oder kann seine Erfahrungen mit dem Synology Paket seit der Veröffentlichung im letzten Jahr berichten.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Grade bei einem AD ist es eher kritische Infrastruktur, weswegen sowas schon redundant gehalten werden sollte. Mach Dich erstmal schlau ob Du das überhaupt redundant abgebildet bekommst (z.B. via 2 AD-Controllern inkl. Replikation), oder alternativ 1 VM auf einem HW-Cluster... k.a. wie das mit der Virtualisierung unter der Syno so läuft, aber bei einem HW-Cluster würde ggf. die Möglichkeit bestehen, via vDSM einfach eine VM laufen zu lassen, welche dann AD/LDAP, DNS und ggf. DHCP bereitstellt. Sofern dann ein automatischer Failover der VM möglich ist, ist ja soweit alles in Butter (vorausgesetzt, die VM wird auch entsprechend gesichert). Kommt allerdings auch immer auf die Firmengröße an...
 

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
Die Redundanz ist hier tatsächlich nebensächlich. Die verwendete Hardware ist auch nicht redundant ausgelegt und die Anwendungen, die der Grund für den Wechsel auf ein Synology AD oder den UCS sind, laufen allesamt in VMs auf der gleichen Hardware. Und den Synology ADS auf einer vDSM laufen zu lassen, kommt ja einem UCS in einer VM gleich.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also ich hatte UCS mal in einer VM am Laufen, war mir aber zu zickig und kompliziert.
Den AD von Syno kenne ich (noch) nicht, komme bis dato mit dem LDAP-Server noch gut zurecht; da lässt sich problemlos auf einer 2. Syno ein Consumer-Server (Slave) betreiben.
Für Redundanz bzw. HA für die VM's braucht es mind. 3! Intel-Synos; bei einem Cluster aus nur 2 Synos kann schon ein Reboot einer Syno zum Fiasko werden! Da bietet sich imho wenn dann die integrierte Master-Slave-Funktionalität an.

Aber am Ende hast Du ja schon richtig festgestellt, dass der AD-Server auf die physische Instanz gehört...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Für Redundanz bzw. HA für die VM's braucht es mind. 3! Intel-Synos; bei einem Cluster aus nur 2 Synos kann schon ein Reboot einer Syno zum Fiasko werden!

Meinste wegen dem Quorum? Also Synology selbst geht doch von diesem 2er-Konstrukt aus. Sicherlich ist es immer besser, wenn min. 3 Kisten vorhanden sind bzgl. Split-Brain und nem entsprechenden Quorum, aber ob das überhaupt so unterstützt wird... Was das Fiasko angeht, so kann das schon bei nem normalen Windows-Rechner passieren (wenn es nicht schon an sich ein Fiakso ist *hust*) :rolleyes: Andernfalls muss man halt händisch nacharbeiten (wenn es denn mal knallt), was ich aber für das kleinere Übel halte. Mit einem AD und/oder LDAP in einer VM atte ich bisher übrigens noch nie Probleme.

Faktisch ist es aber so, dass wenn das ganze für den Geschäftsbetrieb geplant ist, eine längere Downtime i.d.R. nicht hinnehmbar ist. Da die Geräte wohl von England aus verschifft werden (mein letzter Stand), kann selbst ein Vorab-Tausch schon "einige Tage" dauern. Sowas dauert einem Chef im Normalfall zu lange und es wird flott via Amazon Prime ein neues Gerät bestellt, womit man - nach einigen Tagen dann halt - doch 2 Geräte hat. Stellt sich eher die Frage, ob man das nicht direkt schon macht und eben für eine Hochverfügbarkeit sorgt (ggf. ohne Cluster, aber mit redundanten Diensten (Slave-Gerät halt mit "deaktivieren", aber eingerichteten Diensten) und FileSync, was allerdings auch erhöhter Administrationsaufwand wäre). Ist aber auch nur eine entsprechende Überlegung...

Ich klink mich hier mal aus, was ich zu sagen hatte, habe ich gesagt ("mal nach Alternativen schauen" bzgl. Klickibunti, ggf. fertige Appliances) und wünsche noch viel Erfolg! :)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Nein - es geht um die Erstellung eines Clusters für die VM's. Du kannst dort bereits mit zwei Maschinen einen Cluster erstellen, dann darf aber keine ausfallen, sonst crasht der Cluster - ganz toll :-( Daher macht nur ein Cluster aus min. drei Maschinen Sinn.

Die Syno-HA war nicht gemeint.
 

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
Kleine Zwischenmeldung nach einigen Tests, ohne abschliessende Entscheidung:

Es macht keine Probleme, wenn der UCS später startet als der DSM. Ich habe das Szenario mal mit zwei virtuellen Maschinen nachgestellt. Nachdem ich den virtuellen DSM in die UCS Domäne eingebunden hatte, habe ich einmal zuerst den virtuellen DSM alleine gestartet und den UCS ausgelassen. Im DSM wurde dann in den Systemeinstellungen die Verbindung zum Active Directory nach kurzer Suche rot. Dann habe ich den UCS auch noch gestartet und bin erneut in die Einstellungen des virtuellen DSM, nachdem der UCS komplett hochgefahren war. Der virtuelle DSM hat direkt die Verbindung wiederhergestellt und auch Benutzer, sowie Gruppen, aktualisieren können.
Insofern kommt eventuell auch das Synology Active Directory in einem virtuellen DSM in Frage.

UCS bietet theoretisch auch die Möglichkeit eine andere Domäne zu importieren und daraus dann eine UCS Domäne zu machen. Allerdings klappt das nicht in Verbindung mit dem Synology ADS. Die Idee war, eventuell mit dem Synology ADS zu starten und dann später auf den UCS umzusteigen. Man bekommt aber eine Fehlermeldung zum LDAP, der irgendwie nicht zueinander passt. Ich habe das nicht weiter verfolgt, im besten Fall liegt es nur daran, dass Synology eine ältere Samba Version benutzt als UCS.

Was mich allerdings wundert, das der Synology ADS keine Reverse Zone angelegt. Der UCS macht das. Gibt es einen Trick, dem Synology ADS eine verwaltete Reverse Zone mitzugeben? Hat ansonsten noch jemand anderes Probleme mit langsamer Datenübertragung in Verbindung mit dem Synology ADS?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat