Toggle sidebar

Directory Server Active Directory Ordnerumleitung macht Faxen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Philipp06

Philipp06

Benutzer
Registriert
25. Aug. 2021
Beiträge
268
Reaktionspunkte
34
Punkte
34
Hallo Community,

in meiner AD Umgebung habe ich eine Test-OU erstellt, in der ich gerade die Ordnerumleitung teste. Ich bin also in die GPO Konsole und habe eine neue GPO erstellt und die Ordnerumleitung so konfiguriert:

Beispiel für Downloads:
Typ: Standard
Option: Pfad angeben
Pfad: \\server.domäne.de\home\Eigene Dateien\Downloads

Mein Problem ist nun folgendes: Die Ordnerumleitungsgpo wird erkannt und auch übernommen. Jedoch funktioniert die Umleitung irgendwie nicht, d.h., dass beispielsweise eine Word (.docx) Datei nicht geöffnet werden kann. Word bringt mir den Fehler, dass die Datei nicht gefunden werden kann. Als Pfad gibt Word aber den richtigen (auch existierenden) Pfad an.

Was kann ich hier machen bzw. was muss getan werden?

Versionen:
DSM: 7.1 (42661 Update 4)
Synology Directory Server: 4.10.18-0387
DNS Server: 9.16.23-6174 (PiHole leitet Anfragen, welche an domäne.de gehen an diesen weiter - alles andere geht nur übers PiHole)

Danke im vorraus :D

MfG
Philipp
 
Keiner eine Idee, was hier das Problem sein könnte?
 
...keine Windows Rechner = keine Idee... ;-)
 
Ich hab' mal versucht, die Ordnerumleitung einzurichten, aber ich hab's nicht sauber zum Laufen bekommen. Es hat mir igrendwann die Ganglien verklebt und ich hab's dann gelassen... :)

Was mich allerdings bei dir zum Stutzen bringt: Sehe ich das richtig, dass alle DNS-Anfragen erst an den PiHole gehen? Eigentlich sollten in einer AD-Domäne immer die DCs die authoritativen DNS-Server sein, da eine Domäne massiv auf DNS setzt.

Ich kann mir zwar nicht vorstellen, dass das dein Problem verursacht, aber Pferde, Apotheke etc... ;)
 
Adama schrieb:
Was mich allerdings bei dir zum Stutzen bringt: Sehe ich das richtig, dass alle DNS-Anfragen erst an den PiHole gehen? Eigentlich sollten in einer AD-Domäne immer die DCs die authoritativen DNS-Server sein, da eine Domäne massiv auf DNS setzt.
Zum Vergrößern anklicken....
Du hast Recht! Und das passiert auch - alle Anfragen die an *.*.*.*.usw.domäne.de gehen leitet der PiHole so wie sie sind an den DC DNS weiter.
 
Ich misch ja ein wenig in der Samba-Mailliste mit. Und wenn solche oder ähnliche Konstrukte auftauchen, ist das Erste was gesagt wird: Das ist nicht gut, die DCs müssen die authoritativen DNS-Server sein, alles andere macht nur Schwierigkeiten.

Korrekt wäre also: Workstations > DC DNS > PiHole
 
Das Ding ist halt: Alles andere funktioniert ja Problemlos. Ich habe es auch Mal andersrum betrieben, half nichts.

Ich Versuche es nochmal andersrum.
 
Naja, zumindestens hast du das Gefühl, dass alles richtig läuft. Ich weiß nicht, was der DNS-Server der Syno in der Oberfläche zeigt, aber so sieht's in der DNS-Verwaltung von MS in einer Domäne aus:

dns.png

Da steht schon etwas mehr drin, als nur die Rechner. Alle Dienste des AD finden sich dort auch wieder.
 
So sieht's bei mir auch aus ;)

Wir gesagt: Der PiHole verändert an den Anfragen nichts - werden Stumpf an den DC (Die DS) weitergeleitet.
Die Dienste sind auch alle erreichbar - nur zeigt er dann an, dass der Server nicht erreichbar sei, obwohl ich dieselbe Adresse im Explorer aufrufen kann.
 
Der korrekte Weg wäre ja immer erst den internen DNS und dann den Forwarder anzusprechen. Der Forwarder wäre in dem Fall der PiHole. So betreibe ich das auch bei mir.

Aber wie dem auch sei, wie schon erwähnt, hab' ich bei der Ordnerumleitung die Segel gestrichen. Der Aufwand war mir dann doch zu hoch für meine kleine Domäne und die paar Rechner.

Ich versuch mal zu schauen, ob ich die GPO sehen kann, die bei uns in der Firma die Ordnerumleitung regelt. Damit hab' ich nämlich in dem Fall nichts zu tun.
 
Adama schrieb:
Der korrekte Weg wäre ja immer erst den internen DNS und dann den Forwarder anzusprechen. Der Forwarder wäre in dem Fall der PiHole. So betreibe ich das auch bei mir.
Zum Vergrößern anklicken....
So sehe ich leider nur den DC mit allen Anfragen im PiHole und das gefällt mir nicht. Ich möchte trotz des AD's alle Clients im PiHole aufgelistet haben.

Adama schrieb:
Aber wie dem auch sei, wie schon erwähnt, hab' ich bei der Ordnerumleitung die Segel gestrichen. Der Aufwand war mir dann doch zu hoch für meine kleine Domäne und die paar Rechner.
Zum Vergrößern anklicken....
So langsam denke ich da glaube ich auch drüber nach xD.
Muss ich halt mit Synology Drive arbeiten. Da kann man ja leider nix vorkonfigurieren.
Meine Domäne ist ja auch echt klein.
 
Philipp06 schrieb:
Ich möchte trotz des AD's alle Clients im PiHole aufgelistet haben.
Zum Vergrößern anklicken....
Das stört mich nun gar nicht, ob ich die DCs oder die Rechner bei mir im PiHole sehe, Hauptsache er blockt... ;)

Statt Drive (hat mich irgendwie nicht befriedigt) hab ich mich für Nextcloud im Docker entschieden. Ich nutze aber da nicht nur den Datei-Sync sonder auch Kontakte und Kalender.

Kann man auch problemlos per LDAP ins AD einhängen. Wobei Drive - glaube ich - auch AD-Benutzer unterstützt.
 
Adama schrieb:
Das stört mich nun gar nicht, ob ich die DCs oder die Rechner bei mir im PiHole sehe, Hauptsache er blockt... ;)
Zum Vergrößern anklicken....
Ja ich möchte per-Device Blocks benutzen.

Adama schrieb:
Statt Drive (hat mich irgendwie nicht befriedigt) hab ich mich für Nextcloud im Docker entschieden. Ich nutze aber da nicht nur den Datei-Sync sonder auch Kontakte und Kalender
Zum Vergrößern anklicken....
Hab ich auch probiert. Ja, Drive kann Domänenbenutzer.

Adama schrieb:
Kann man auch problemlos per LDAP ins AD einhängen
Zum Vergrößern anklicken....
Das war richtiger Krampf. Musste in der Samba Config der DS den LDAPS Zwang deaktivieren.
 
Philipp06 schrieb:
Samba Config der DS den LDAPS Zwang deaktivieren
Zum Vergrößern anklicken....
Das ist richtig, muss man. Allerdings ist der Sicherheitsgewinn durch LDAPS zweifelhaft. Da verweist das Samba-Team immer auf Kerberos.

Ich frag mich ja sowieso, ob die smb.conf der Syno-Implementation den Standards von Samba entspricht, ich kann da ja nur den SMB-Anteil beurteilen, da ich "richtige" Samba-DCs habe, die auch auf einer aktuellen Samba-Version (4.16.4) und nicht auf was völlig veraltetem (4.10.x) laufen. Die Version wird ja nicht mehr supportet.
 
Adama schrieb:
"richtige" Samba-DCs habe, die auch auf einer aktuellen Samba-Version (4.16.4) und nicht auf was völlig veraltetem (4.10.x) laufen. Die Version wird ja nicht mehr supportet.
Zum Vergrößern anklicken....
Guter Punkt! Das stört mich massiv, dass Syno hier auf eine veraltete Version setzt. Ich hätte auch gerne einen DC auf Basis eines Servers 2016. Ist das schon implementiert?
Bei normalen Debian Sambas ist halt die Installation etwas aufwendiger, als ohne schönen KlickiBunti Installer.
 
Meine drei DCs sind Raspberrys mit Debian Bullseye und Samba 4.16.4. Das war weniger aufwendig, als man denkt.

Es gibt ja mittlerweile auch aktuelle Pakete über die Debian-Repositories.

Ich hab' da auch mal eine Anleitung von einem der Entwickler bekommen, die auch sehr hilfreich war. Und wenn die Dinger erstmal laufen, hat man ja KlickiBunti wieder zur Administration. Und das Ganze ohne teure Lizenzen.

Der einzige Pferdefuss wäre, dass Samba noch bei Forest/Domänen-Level 2008R2 hängt. Aber für Zuhause reicht das bei weitem.

Windows-Server hab' ich auf der Arbeit, da reichen die mir. ;)
 
Den Raspberry kann ich leider nicht benutzen. Der macht schon das PiHole - dementsprechend ist der DNS Port belegt.

Und bei der Syno kann ich den Directory Server easy backupen & restoren. (Ich weiß Denglisch eben xD)

Hmmm Drive scheint eine gute Alternative zu sein, aber die fehlende Autokonfiguration ist ärgerlich...
 
Der PiHole läuft bei mir im Docker...

Die Raspberrys haben ihr root als iSCSI-LUN auf der Syno gemountet. Dank BTRFS habe ich dadurch Snapshots, die ich zusätzlich auf meine Backup-Syno repliziere. Und selbst bei dem langsamsten Raspberry (100 MBit NIC) ist der "Plattenzugriff" schneller als auf die SD-Karte.
 
Adama schrieb:
Raspberrys haben ihr root als iSCSI-LUN auf der Syno gemountet.
Zum Vergrößern anklicken....
??? Was hat das für Vorteile und wie richtet man das ein? Ist dann eventuell etwas off-topic. Kannst mir das im Zweifel ja auch per PN schreiben.
Das interessiert mich jetzt....
 
Naja, der eine Vorteil ist, das die SD-Karte nicht belastet wird, außerdem ist das Filesystem selbst über LAN deutlich schneller...

Und dann natürlich die schon erwähnten Snapshots...

D.h. selbst wenn ich was verbockt hab', gehe ich einen Snapshot zurück oder mach einen manuell, bevor ich was testen will.

Eingerichtet hab' ich nach dieser Anleitung: https://www.domoticz.com/forum/viewtopic.php?t=28797
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten