ActiveDirectoryService Einstellungen, Freigaben und mehr...

Status
Für weitere Antworten geschlossen.

claudelamont

Benutzer
Mitglied seit
06. Jun 2018
Beiträge
6
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen,

folgende Problematik stellt sich mir – wobei ich kurz die Infrastruktur beschreiben möchte:

Bisherige Situation, die Namen etc. sind abgewandelt :

2 Betriebsstellen:
BST01: 1 Server SBS2011 inkl. Exchange / E-Mail – Server für beide Betriebsstellen
BST02: 1 Server W2K R2
BST01 und BST02 sind mit festen IP´s versehen und per Router über VPN verbunden.

Nachdem das System leider korrupt ist (nach und nach verschwinden Daten), mein Sysadmin sich „in Luft aufgelöst“ hat und ich mit Exchange Server und dem ganzen Zertifikats-Mist auf Kriegsfuß stehe habe ich mich entschlossen, auf eine Synology-Lösung zu setzen.

Dazu habe ich eine neue DS3018xs für BST01 angeschafft und die vorher vorhandene (als Backup-Lösung des SBS2011) DS1515+ für die BST02 neu konfiguriert.

Die DS3018xs ist eigentlich überdimensioniert – ich weiss – aber falls ich dann doch wieder auf Windows Server 20XX umsteigen müsste, sollte hier eine Virtualisierung einigermaßen vernünftig zu realisieren sein…

Die Exchange-Geschichte habe ich über hosted Exchange gelöst – da zahle ich zwar einen kleinen monatlichen Betrag, muss mich aber um nichts Weiteres kümmern. Bislang funktioniert das prima.

So geht es also nur um einen vernünftigen Anmeldeserver und das dazugehörige „Datengrab“…

NUN zu meinen „Problemchen“:

Auf beiden NAS habe ich den Active Directory Server installiert (bei dem dann der DNS-Server gleich mit installiert wird).

Synology Server Name BST01:
SYNBST01
Domäne (Active Directory Server):
BST01.LOCAL

Synology Server Name BST02:
SYNBST02
Domäne (Active Directory Server):
BST02.LOCAL

Je Betriebsstelle sind entsprechende User und gemeinsame Ordner angelegt. Die Zugriffsrechte erfolgen bislang ausschließlich über Domaingruppen, die für die unterschiedlichen Berechtigungen in den gemeinsamen Ordnern eingetragen werden.

Problem 1:
Mappen von Laufwerken: hier habe ich im Active Directory Server – Benutzer – Profile die Login Scripts hochgeladen, deren Inhalte in Etwa so aussehen:
net use x: /delete
net use x: \\BST01.LOCAL\daten


Wenn ich nun die Arbeitsstation starte, funktioniert das Anmelden und die Zuordnung der Laufwerke tadellos, diese sind vorhanden und ansprechbar. ABER es lassen sich z.B. Pdf´s nicht öffnen! Nach längerer Suche bin ich auf einen Artikel gestoßen, der auf ein Problem im Acrobat Reader hinweist. Hier muss man im Reader bei den Sicherheitseinstellungen den geschützten Modus beim Start deaktivieren. Das funktioniert auch tatsächlich, die Pdf´s lassen sich nun öffnen. Jetzt kommt das 2. ABER: Ich habe einen Installationsordner auf dem Netzwerk, von dem aus ich auf den Stationen verschiedene Installationen vornehme. Das Ausführen von Programmen ist leider nicht möglich! So muss ich immer erst das Installationsverzeichnis auf den Client kopieren – das ist echt nervig!

Jetzt kommt aber der WITZ der Geschichte! Wenn ich nun die Laufwerke nicht über das Script von der Domäne mappe, sondern über die Suche des Clienten gehe (Netzlaufwerk verbinden), so sehe ich dort im Netzwerk freigegeben die Synology, also nicht als BST01.LOCAL (die überhaupt nicht zu sehen ist) sondern als SYNBST01! Wenn ich nun hierüber die Netzlaufwerke verbinde, funktioniert das Aufrufen der Pdf problemlos (auch ohne Konfigurationsänderung des Readers) sowie auch das Installieren der Software vom Netzlaufwerk aus. FINDE DEN FEHLER? Grundsätzlich kann ich damit leben, jedoch wäre mir das Mapping via Script lieber. Und zudem würde ich gerne verstehen, warum das ADS schlecht und die SYN-Lösung gut funktionieren. Liegt der Hase im „DNS-Pfeffer“? Aber der wird automatisch konfiguriert…

Problem 2:
Das Ausblenden von Unterordnern für Benutzer ohne Berechtigung funktioniert nicht. Weder bei der SYN noch bei der ADS-Lösung. Kein Beinbruch, aber auch nicht schön…

Problem 3:
Kann man beide NAS so koppeln, dass die „verbunden“ sind? Mein Wunsch wäre, dass ich auch Laufwerke von der BST01 auf BST02 und umgekehrt mappen kann (falls der Sync nicht funktioniert, kommt später noch). Beide DiskStation-Oberflächen lassen sich aus jeweils beiden Betriebsstellen aufrufen…

Problem 4:
Leider läuft auf der DS3018xs weder Resilio noch SyncThing (Paket-Architektur Broadwellnk). Hat jemand noch eine Idee für eine bidirektionale Sync ohne Cloud?
Falls doch mit Bordmitteln (rsync?) ist das irgendwie doof, weil die Verzeichnisse ja nicht gleich heißen dürfen. Oder ich mache die eine leer und lass dann syncen? Bei 400Mbit zu 100Mbit / ca. 2 TB sollte das an einem Tag erledigt sein?

SORRY für den vielen Text! Aber ist halt doch sehr viel Stoff für einen „Newbie“ ?
 

Garfield_22

Benutzer
Mitglied seit
24. Mai 2011
Beiträge
35
Punkte für Reaktionen
0
Punkte
12
@ claudelamont, wie sind den jetzt Deine Erfahrungen mit dem ActiveDirectoryService, ich bin dabei einen SBS2012 zu Synology zu migrieren.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das ist halt wenn "man selber fummelt und keine Ahnung hat" (sorry)....

1) BST01.LOCAL (die überhaupt nicht zu sehen ist) sondern als SYNBST01!
... Host.Domäne und NetBIOS-Name sind 2 Paar Schuhe...

2) Das Ausblenden von Unterordnern für Benutzer ohne Berechtigung funktioniert nicht.
... keine Ahnung was Du da gemaecht hast, aber "Unterordner" ausblenden ist mir neu, Freigaben können ausgeblendet werden meines Wissens nach, Unterordner nicht (man kann sie maximal komplett verstecken). Entweder hat man das Recht oder nicht. Was das verstecken angeht: eine vernünftige Aufteilung der Shares sollte das Problem lösen...

3) Kann man beide NAS so koppeln, dass die „verbunden“ sind?
Natürlich! Aber nicht so wie Du es gemacht hast, das ist schon von Grund auf falsch gewesen... es wird EINE(!) Domäne erstellt (meinefirma.local wie auch immer) und DARUNTER werden entsprechende OU's erstellt (und/oder Subdomains) für die Standorte und dort wird weiter gemanaged (Baumstruktur!). Die zweite Syno wird folglich auch als 2. Domänencontroller hinzugefügt und kann somit auch alles weiter bedienen, falls der 1. Server mal die Grätsche macht.

4) Hat jemand noch eine Idee für eine bidirektionale Sync ohne Cloud?
Synology-Cloudstation??

Und jetzt noch ein paar ernste Worte...: Warum fummelst Du da rum, wenn Du offensichtlich keinerlei Ahnung hast, was Du da genau treibst? Wenn Dein IT-Boi weg ist, such Dir einen neuen. Hast Du als (vermutlich) Geschäftsführer nichts besseres zu tun, als Dich mit Themen rumzuschlagen, von denen Du offensichtlich keine Ahnung hast? Wie wäre es mit "Business ankurbeln, mehr Geld verdienen und jemanden für den IT-Kram bezahlen"? Ich mein, klar, "bunte Knöpfchen drücken" ist total unterhaltsam und das macht jeder gern (auch die Affen im Zoo sind mit sowas sehr gut unterhalten), sicher, aber bist Du Dir sicher, dass das der Kern ist, mit dem "Du" Dich als Geschäftsführer beschäftigen solltest?

Sorry, da hört bei mir auch jedes Verständnis auf... Viel Erfolg und wenn alles brennt und nix mehr geht, wird sich sicherlich ein Idiot finden lassen, der für Dich die Kohlen aus dem Feuer holt... Prost Mahlzeit, muss man selber wissen.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
1.948
Punkte für Reaktionen
556
Punkte
134
2) Das Ausblenden von Unterordnern für Benutzer ohne Berechtigung funktioniert nicht.
... keine Ahnung was Du da gemaecht hast, aber "Unterordner" ausblenden ist mir neu, Freigaben können ausgeblendet werden meines Wissens nach, Unterordner nicht (man kann sie maximal komplett verstecken). Entweder hat man das Recht oder nicht. Was das verstecken angeht: eine vernünftige Aufteilung der Shares sollte das Problem lösen...

Mal abgesehen davon, dass man in diesem Fall wissen muss, was man tut, geht das schon. Bei Windows Server nennt sich das ABE (Access Based Enumeration). Ich denke, das meint er.

Das geht auch bei Samba, bedeutet aber einen Eingriff in die SMB.conf. Das hab' ich hier beschrieben und das funktioniert wie bei Windows Server: https://www.synology-forum.de/showthread.html?97813-User-sieht-alle-Gemeinsamen-Ordner/page2&p=820790&viewfull=1#post820790
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
@Adama: Danke für den Hinweis! :)

Ich bin allerdings nach wie vor der Meinung, dass eine sinnvolle Aufteilung der Shares deutlich zielführender wäre (das verhält sich eben wie mit der Vererbung von Rechten, die man nicht in zig Unterordnern ständig unterbricht, sondern sich eben ein vernünftiges Konzept überlegt, wo sowas kaum bis garnicht nötig ist).
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
1.948
Punkte für Reaktionen
556
Punkte
134
Darüber kann man sicherlich diskutieren, manchmal hat es halt auch Vorteile.

Da ich usprünglich aus der Novell-Welt komme, kenne ich das gar nicht anders, da war das Standard, ohne dass Du das konfigurieren musstest: Keine Rechte, keine Sicht darauf...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ok... Du bist alt... :p ;) Aber mal ernsthaft: Die Shares werden ja sowieso nur entsprechend den Berechtigungen "verteilt" (Leute ohne Rechte brauchen auch keinen Zugriff auf anderweitige Netzlaufwerke) und für den 0815-"User" ist sowieso alles was nicht angezeigt wird, schlichtweg nicht vorhanden. Mag sein, dass es noch Szenarien gibt, wo es nur das EINE Netzlaufwerk gibt und man darin dann zig Dinge klären müsste, aber das halte ich persönlich für ein ziemlich (sorry :p) veraltetes Konstrukt ... Das hat noch sowas von "Das ist der Server, das ist das Serverlaufwerk!" und irgendwo im Hintergrund schleppt grade jemand ein neues Festplattenlaufwerk (!!!) durch die Gegend.. :D
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
1.948
Punkte für Reaktionen
556
Punkte
134
Es geht ja nicht um die Shares an sich, sondern um die Verzeichnis-Struktur darunter.

Wir haben auch nicht nur einen Server und einen Share gehabt. Außerdem konnte Novell schon Dinge, die MS erst lernen musste oder bis heute nicht kann.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ja, sicher, aber warum sollte man die Shares so definieren, dass man schon im Vorfeld weiss, dass dort rechte-technisch schon wieder Unterbrechungen stattfinden, die dann wieder schwerer administrierbar sind? Sicherlich kann man sowas dokumentieren, aber einfach anhand der Shares schon die gröbste Vordefinition zu machen und dann maximal noch einzelne Ordner auf der ersten Ebene rechteteschnisch zu unterbrechen, halte ich doch für wesentlich sinnvoller, als im Unterunterunterordner irgendwo noch irgendwelche Dinge zu unterscheiden... Da blickt doch hinterher keiner mehr durch... (Doku hin oder her). Ich verteile lieber 5 Shares an einen Benutzer, anstatt nur 1-2 Shares wo ich dann aber wieder irgendwo irgendwelche Rechte unterbrechen muss (und/oder im schlimmsten Fall noch irgendwelche Unterordner "verstecken" soll). Also geht es schlussendlich doch um die Shares, weil damit einfach Probleme (Rechte/Sichtbarkeit) der diversen Ordnerstrukturen vermieden werden können.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
1.948
Punkte für Reaktionen
556
Punkte
134
Unser Directory-Struktur entsprach der Org-Struktur der Firma. Die Verzeichnis-Struktur sah genauso aus und die Rechte wurden durch die OUs gesteuert (Was AD nicht kann).

Sobald ein User in seine OU geschoben wurde, hat er automatisch alle Rechte seiner Abteilung gehabt, ohne zusätzliche Gespiele mit Gruppen etc..

Das nur als kurzes Beispiel...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Verschachtelte Gruppen wäre wohl die Antwort darauf, zudem sich so - wo Du von Abteilungen (und/oder ggf. auch unterschiedlichen Standorten) sprichst - auch noch zig andere Dinge bequem regeln lassen (Druckerzuweisung, Sanner-Berechtigungen, etc. pp). Ich für mich halte es i.d.R. auch so, dass ein Benutzer in maximal 1-2 Gruppen zugewiesen werden muss, damit direkt "alles" funktioniert, aber ich glaube, dass diese Thematik jetzt doch ein wenig zu weit führt, also in diesem Sinne nochmal Danke für den Hinweis bzgl. ABE (nice2know für mich) aber praxisrelevant erscheint mir das nicht in der heutigen Zeit (ausser natürlich man "will" es so und nicht anders machen und insofern ist der Hinweis auf ABE schon ziemlich hilfreich für den ein oder anderen) :)
 

claudelamont

Benutzer
Mitglied seit
06. Jun 2018
Beiträge
6
Punkte für Reaktionen
1
Punkte
3
@ Garfield_22: inzwischen - ist nun ja schon eine weile her - läuft alles perfekt, auch gegenseitige Sicherungen 3er NAS (Home-Office01-Office02). Ich denke jedoch Du soltest Dich an blurrrrrrrr wenden, denn ich bin nur ein kleines dummers würstchen, das keine Ahnung hat und sich fast kriminell in die weiten des synology-universums gewagt hat. sorry wenn ich jeman auf den schlips getreten habe, der damit vielleicht sein geld verdient. Ich habe zuerst ein systemhaus verloren, danach einen selbsternannten profi - die gibt es leider überall und in jedem bereich - und nun mache ich es halt selbst. es mag nicht perfekt sein, aber es funktioneirt bislang besser und zuverlässiger als alles, was ich von den sog. profis bekommen habe. Zukünftig werde ich wohl nicht mehr eure augen beleidigen mit meinem mist, den ich hier poste - komisch, dabei dachte ich, ein forum ist für hilfesuchende da und nicht für selbstverherrlichung? und wem das zu starker tobac ist - schießt mich halt hier aus...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Ja nu, jeder wie er meint, kannst doch gegen die Wand fahren was/wie Du lustig bist, ist ja Deine Firma ;) Mit Selbstverherrlichung hat das nix zu tun (eher mit der Selbstverherrlichung derer, die selber machen aber keine Ahnung haben), aber dieses Geseier von wegen "IT kann ja jeder" geht einem dann schon ein bisschen auf den Nerv (grade in bestimmten Ausmaßen) :rolleyes: Administratoren gibt es nicht umsonst und wenn Du sowohl ein Systemhaus als auch einen "selbsternannten Profi" (letzteres kenne ich leider übrigens auch) "verloren" hast, sollte man sich schon fragen, woran es schlussendlich gelegen hat. "zuverlässiger als alles, was ich von den sog. profis bekommen habe" ist eine sehr traurige Aussage, zeugt aber auch von dem, wie es mittlerweile so da draussen in weiten Teilen aussieht (nervt mich ja selbst ;)), denn "IT kann ja jeder" (da simma wieder). Es selbst zu machen (ohne tiefer greifende Kenntnisse) ist allerdings nicht DIE Lösung und kann es auch auf Dauer nicht sein (vor allem nicht als Geschäftsführer). Ist wie mit Ärzten... 2 geben die eine falsche Diagnose, was machst Du nun? Suchst Du weiter nach einem "passenden" Arzt, welcher nicht nur Mist erzählt, oder fängst Du an die selbst zu behandeln? Schlussendlich ist und bleibt es aber Deine Entscheidung, ganz einfach, da kann ein blurrrr noch so zetern... ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ich sage immer: Lernen durch Schmerzen, anders kapieren es viele Firmen nicht.
 

Garfield_22

Benutzer
Mitglied seit
24. Mai 2011
Beiträge
35
Punkte für Reaktionen
0
Punkte
12
@claudelamont, danke erstmal für Deinen Input
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat