DS918+ als zweiten Domaincontroller in vorhandenes AD, geht das?

Status
Für weitere Antworten geschlossen.

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,
kann man eine Syno-DS als zweiten Domaincontroller in ein vorhandenes AD einbinden?

Hintergrund:
Bisher hatte ich einen HP PowerEdge als Domaincontroller laufen. Der ist leider gestern abend gestorben, nach einem Update startet die Maschine nicht mehr, weil der CPU Lüfter nicht anläuft.
Jetzt bin ich froh, daß ich vor zwei Wochen nach Syno-RAM-Aufrüstung einen W2K16 als VM installiert und als DC konfiguriert habe, so ist die Domain incl. DNS nicht futsch.
Mir ist allerdings nicht ganz wohl, DC/DNS/NTP/DHCP etc. als VM laufen zu haben. Der Syno-DNS Server kriegt leider keinen Zonentransfer zu MS-DNS hin, weil die Authentifizierung scheitert. Auch der Fileimport schlägt fehl, weil das Dateiformat aus dem MS-DNS Export ungültig ist.
Deswegen fürchte ich, daß der Syno-AD-Server keinen vollwertigen Domaincontroller incl. DNS-Zonenreplikation (AD-integrierte Zonen) spielen kann.

Oder hat jemand sowas am Laufen?

Zur Zeit habe ich DSM 6.1.7-15284 installiert, DSM 6.2 ist trotz Ankündigung noch nicht via DSM Aktualisierung verfügbar.

Gruß Roland
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Via VM bist Du doch "wesentlich" flexibler? Ich hab alles "nur" in VMs laufen und eigentlich keine Probleme.. HA-Cluster, Sorgenfreiheit. Zonentransfer hab ich auch laufen, aber vom Win-DNS (Büro) zur Syno (ext. Standort), funktioniert völlig problemlos.
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Hallo blurrrr,
Flexibel - ja.
Allerdings ist die Syno selbst Member der Domain, die jetzt nur noch als VM auf der Syno läuft. Hier sehe ich ein Henne-Ei Problem.
Bei einem Hyper-V Server weiß ich, daß bei einem Neustart des Hyper-V Hosts VOR dem Reboot alle VMs automatisch sauber heruntergefahren und anschließend auch wieder gestartet werden.
Das ist vor allem beim Stromausfall ungeheuer praktisch, weil dann die USV einen sauberen shutdown aller VMs anstößt.
Der VMM kann das nach meinem bisherigen Kenntnisstand nicht, ich lerne aber gern dazu. Ich werde das beim bevorstehenden Update auf DSM 6.2 mal beobachten.
Wenn sich das bestätigt, muß man die Maschine, auf der die essentiellen Netzdienste wie DNS, NTP, ADS etc. laufen, manuell nachstarten. Das ist jetzt nicht wirklich dramatisch, aber schön ist es nicht. Und bei Stromausfall werden die VMs brutal weggerissen, falls die Ausfallzeit die USV Kapazität überschreitet.
Thema DNS:
Wie hast Du denn die DNS Server konfiguriert, daß sie einen Zonetransfer machen? (die notwendigen Konfigurationen wie erlaubte Server für Zonetransfers etc. mal vorausgesetzt)
Mein Master ist natürlich der Domaincontroller. Wenn ich auf der Syno eine Slavezone einrichte, bekomme ich Fehlermeldungen wie:
Rich (BBCode):
transfer of 'meine.domain/IN' from 192.168.x.xxx#53: failed while receiving responses: REFUSED
Das riecht nach einem Authentifizierungsproblem. Ich hatte bis jetzt noch keine Lösung gefunden, hatte aber auch noch nicht so richtig Zeit zum Recherchieren.

Gruß Roland
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Das ist nicht nur beim Hyper-V so, das sollte bei allen Virtualisierungslösungen für Server so sein, ansonsten wäre es ja auch irgendwo ziemlich albern. Bei mir sind es ungefähr 40mins, welche die USV überbrücken kann. Sobald nur noch 20 Minuten übrig sind, wird der Shutdown für die VMs initiiert und danach fährt der Host herunter. VMM ist - so wie es sich anhört - bisher auch in keinster Weise für den Businessbereich gedacht, sondern eher für Privatanwender die mal eine (oder 2) VMs laufen lassen wollen. Dazu fehlen auch einfach viel zu viele Dinge...

Was den Zonentransfern angeht, die anderen DNS-Server müssen dem Master bekannt sein und die Zonenübertragung (per Domain) müssen beim Master konfiguriert werden. Dort kannst Du dann auch konfigurieren, ob der Transfer an alle bekannten DNS-Server erfolgt, oder nur an bestimmte). Auf der Syno wird dann die Slave-Zone erstellt und als DNS-Master eben die Windows-Büchse angegeben. Sobald dann eine Änderung beim Master erfolgt, wird diese dann sofort an die Slaves repliziert. Das ganze würde ich auch erstmal ohne TSIG testen (hier sind beide Netze sowieso via Site2Site-VPN verbuinden).

"while receiving responses: REFUSED" ..."könnte" auch an der Firewall der Windows-Kiste liegen, würde ich einfach der Form halber mal prüfen.
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Was den Zonentransfern angeht, die anderen DNS-Server müssen dem Master bekannt sein und die Zonenübertragung (per Domain) müssen beim Master konfiguriert werden. Dort kannst Du dann auch konfigurieren, ob der Transfer an alle bekannten DNS-Server erfolgt, oder nur an bestimmte). Auf der Syno wird dann die Slave-Zone erstellt und als DNS-Master eben die Windows-Büchse angegeben. Sobald dann eine Änderung beim Master erfolgt, wird diese dann sofort an die Slaves repliziert. Das ganze würde ich auch erstmal ohne TSIG testen (hier sind beide Netze sowieso via Site2Site-VPN verbuinden).
"while receiving responses: REFUSED" ..."könnte" auch an der Firewall der Windows-Kiste liegen, würde ich einfach der Form halber mal prüfen.
Eben so hatte ich meinen Chef-DNS konfiguriert. Aber gut zu wissen, daß es generell funktioniert.
An die Firewall hatte ich schon gedacht, habe aber noch nicht kontrolliert, weil ich es für unwahrscheinlich hielt, daß Port 53 geblockt wird. Da gehe ich nochmal hin.

Gruß Roland
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Da es bei mir unterschiedliche Netze sind (hatte ich ja oben schon geschrieben), musste die Firewall dafür noch angepasst werden, bzw. eben nur diese eine Slave-Host eingetragen werden. Die Clients im entfernten Netz nutzen halt direkt die Syno als DNS. Alles was diese dann beantworten kann, beantwortet Sie auch, falls nicht, geht es dann weiter zum lokalen Router im entfernten Netz, usw., damit generelle Anfragen nicht noch über das VPN geschickt werden. "Kann" man machen, wenn man möchte (ggf. auch wegen einer DNS-Filterung beim Hauptstandort via Firewall o.ä.), ich für mich habe darauf aber verzichtet :)
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
So...
Die Firewall war's nicht - hätte mich auch gewundert.
Ich habe jetzt auf MS-DNS den Zonentransfer auf "Nur an folgende Server" und BEIDE Syno-IP's (ich habe kein Teaming eingestellt) erlaubt, jetzt geht's, der Syno-DNS hat alle records bekommen. Man kann hier auch nicht einstellen, auf welcher NIC gelauscht werden soll, das hat mich auf die Idee gebracht. Netstat zeigt auch, daß 53 an allen NICs incl. Loopback lauscht.
Mit DNS Redundanz ist mir jetzt etwas wohler.
Einen zweiten DC habe ich damit aber noch nicht... Auf der Syno ist eine zweite DC-VM RAM-seitig nicht mehr drin.

Gruß Roland
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Freut mich zu lesen, dass es nun funktioniert :) Bezüglich zweitem DC hilft vielleicht dieser Link. Nicht zu vergessen wäre auch das hier "The support for Windows Server 2012 and 2012 R2 DCs, including the directory schemas 56 and 67, is experimental.". Ist also durchaus möglich, dass noch diverse Bugs auftreten, von daher würde ich da auch nicht unbedingt drauf vertrauen :)
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Da bin ich raus, ich habe in der Syno-VM einen Windows Server 2016 am Laufen. Das bleibt auch so, ich stelle mir ja zuhause eine Spiel-Umgebung hin, um nach vorne zu schauen.
In der Prozesslandschaft der Firma geht sowas viiiiiel zu zäh. Dafür sind zuhause die Hardwaregrenzen viiiiel enger gesteckt.:(
Vielleicht stelle ich mir einen NUC oder GigaByte Barebone mit SSD und 16GB RAM hin. Da wäre dann wieder Luft für 3,4 Hyper-V VM's und einen "richtigen" Domaincontroller.

Gruß Roland
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Naja, die Kohlen kannst Du vllt besser investieren... SSD muss ja nicht sein, aber 32-64GB RAM wären halt schon angebracht - soll ja auch ein bisschen länger halten das ganze... Viel Storage brauchen die VMs ja i.d.R. nicht, aber CPU-Cores und RAM (grade in Testumgebungen). Da würde ich lieber über ein kleines Raid10 nachdenken (ggf. mit 1TB WD Gold oder so) und einen Quad- oder Hexacore mit 32-64GB RAM. Da hätte man vermutlich auf Dauer auch länger was von. Ich hatte mal als "Testumgebung" vor zig Jahren einen Server (aber Eigenbau) zusammengestellt... schallgedämmtes Gehäuse (Tower), 8-Kerner, 48GB RAM... hat soweit für alles ausgereicht, selbst bei sehr komplexen Projekten (AD + Exchange + TK-Anlage + Storage + ein paar Testclients). Weiss ja nicht, was Du da so im stillen Kämmerlein treibst :eek: Habe aber auch nix mit Hyper-V an der Mütze, sondern bin mit KVM unterwegs.
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Jaaa, wenn man könnte wie man wollte. Das klingt schon alles verlockend. Ich kenne mich jetzt lang genug, da läuft beim Einkauf schon mal was aus dem Ruder und kommt dann großzügiger daher. Dann muß ich mir wieder klar machen, daß ich Vieles nur aus Spaß an der Freude mache - und um am Ball zu bleiben. Zuhause kann ich mir mal neue Sachen anschauen, die man in der Firma nicht so einfach hingestellt bekommt. Aber irgendwo sind auch Grenzen, man bekommt in der Familie nicht alles argumentiert.:D:cool:
KVM kenne ich nicht aus eigener Erfahrung, ich bin beruflich als AD-Admin für ein paar Dutzend DC's unterwegs, von daher bin ich in der Microsoft Welt zuhause, wenn ich zuhause auch zwei Ubuntu Server und ein paar Raspis für die Hausautomatisierung laufen habe.

Gruß Roland
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Naja die Hardware die Du sowieso schon hast, wird ja auch einiges (in Summe) gekostet haben. Ein schöner Virtualisierungsserver hätte Dir die restliche Hardware erspart ;) Kann aber auch gut verstehen, dass man nicht unbedingt gewillt ist, gleich zig Euros für sowas auszugeben (wobei sich das langfristig natürlich schon lohnt). Auf dem Testserver laufen grad um die 30 VMs (Windows/Linux), wobei es mittlerweile performancetechnisch auch schon eher hart am Limit ist. aber ist ja auch nur Spielwiese. Quadcore+32GB RAM sollten aber schon sein... auch physikalische Testclients sind nichts für mich... Lieber die vorhandene Vorlage eines Clients nutzen, die ein paar mal klonen und fertig sind die Testclients. Alternativ eben auch das testen von mehreren DCs in einer Hierarchie ist damit flott erledigt, wenn man die Kisten klont (natürlich zzgl. MAC-Änderungen und dergleichen).

Wenn es einfach (und möglichst ohne Shell) sein soll, gibt es einige "Fertig"-Lösungen wie z.B. Proxmox, welche mitunter auch kostenlos sind (ohne Enterprise-Updates, aber ist ja auch nur Spielwiese). Ansonsten gibt es noch zig Lösungen, welche auf Linux und KVM basieren, wo man dann einfach "on-top" noch ein Webinterface setzen kann, was aber wieder Shell-Arbeit bedeutet. Proxmox dagegen ist innerhalb von 5 Minuten installiert und mehr als "IP-Infos" und "root-Passwort" muss man auch bei der Installation garnicht angeben, also auch etwas für den Laien. Für die entsprechenden Virtio-Treiber lädt man einfach die entsprechende ISO hoch, so dass man diese auch kurzerhand bei den Clients einbinden kann und damit ist das Thema eigentlich auch schon durch :)

Interessant dabei ist natürlich auch, dass man sich eben auch mitunter eine langfristige Testumgebung aufbauen kann (natürlich nicht via Microsoft wegen den Lizenzgebühren), aber dauerhaft z.B. ein Samba AD als Test-AD laufen zu haben ist schon ganz okay. Da erspart man sich dann auch die Mühe, "immer wieder" (und das kennen wir ja alle nur zu gut) Testumgebungen von Grund auf neu aufzubauen. Also wenn Du dauerhaft etwas zum virtualisieren/testen nimmst, ich würde schon sagen, dass es mindestens 32GB RAM und ein Quadcore sein sollten... weniger auf gar keinen Fall. Die Systeme werden ja auch nicht genügsamer. Wäre ja schade, wenn Du in ein paar Jahren schon wieder alles neu kaufen musst, weil die Kapazitäten einfach nicht reichen. Ein NUC ist halt sehr beschränkt, aber ein kleines Gehäuse (ggf. so ein Cube) mit einem Mainboard, welches ggf. noch ein bisschen mehr verkraften kann wäre schon sinnig. Da kann man ja auch erstmal klein anfangen und wenns nicht mehr passt, eben aufrüsten. Dann muss man aber auch nicht gleich das ganze Gerät entsorgen, sondern packt einfach eine andere CPU drauf oder eben etwas mehr RAM dazu :)
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Mal schauen, was kommt. Ich habe derzeit noch andere Investitionen geplant: Eine ordentliche Photovoltaik Anlage, daß der Mini-RZ-Betrieb stromtechnisch nicht so weh tut. Aber auch beim Thema Strom haben VMs die Nase vorn. Plattformtechnisch werde ich aber auf Microsoft setzen, weil dort mein beruflicher Fokus liegt. Lizenzen sind dank MSDN Account kein Thema, da habe ich für alle notwendigen Produkte ausreichend Lizenzen zur Verfügung.

Gruß Roland
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Na das hört sich doch gut an (sowohl Photovoltaikanlage, als auch MSDN-Account ;)). Stromtechnisch muss man sich da aber eigentlich keine Sorgen machen... Man muss nur bei der Auswahl der Komponenten ein wenig auf den Stromverbrauch aufpassen, dann passt das schon... Meine Spielwiese zieht unter fast Volllast grade mal 100 Watt... Wenn man ein wenig aufpasst (und ggf. wird es auch bei der Anschaffung ein paar Euro teurer) rentiert sich das aber schon recht flott :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat