Directory Server Synology Directory Server als weiteren Domain-Controller in Windows Server 2022 Domain

[sayNO]

Hallo zusammen,

ich betreibe eine Windows 2022 Domain mit einem HYPER-V Hostrechner und einigen VMs, darunter ein Primary Domain Controller (PDC). Jetzt würde ich gern einen zweiten Domain-Controller auf anderer Hardware einbinden und habe an meine SYNOLOGY-NAS und den Directory Server gedacht.
Das scheint nicht zu gehen. Bei der Einrichtung meldet der Synology Directory Server, dass die Domänenstruktur inkompatibel ist. Es wird nur die Domänenstruktur von Window Server 2008 und 2008 R2 unterstützt.

Das ist jetzt schon einige Jahre her, das ich den letzten 2008er Domaincontroller gesehen habe. End of Life von Windows Server 2008 R2 war in 2020, vor drei Jahren.

Weiß jemand ob hier eine Änderung/Anpassung geplant ist.

Lohnt es sich zu warten oder schaue ich mich besser nach einer anderen Plattform um?

 

[Adama]

Da wird Synology vermutlich nicht viel machen können. Der Directory Server basiert ja auf Samba.

Samba beherrscht maximal 2008R2, 2012R2 mit Einschränkungen:
https://wiki.samba.org/index.php/Raising_the_Functional_Levels

Wobei ja bei MS AD nicht die Server-Version sondern die Funktions-Level entscheidend sind. Man kann durchaus einen Server 2022 mit AD Level 2008R2 haben.

Aber ich vermute mal, das wird bei euch nicht der Fall sein.

 

[sayNO]

Danke Adama! Ja, ich habe eine Domänenstruktur von Windows Server 2019 übernommen.
Dann schaue ich mich mal bei Linux um. Da gibt es eine Anleitung einen Ubuntu 20.04 LTS als Domänencontroller für Windows einzusetzen. Vielleicht bekomme ich das ja als Dockerlösung auf der Synology NAS gehostet.

 

[maxblank]

Wird diese Umgebung produktiv eingesetzt?

 

[Adama]

Ja, ich habe eine Domänenstruktur von Windows Server 2019 übernommen.

Aber auf welchem Funktions-Level läuft diese Domäne? Sobald der Level größer 2008R2 ist, wird das alles keinen Unterschied machen.

Grundsätzlich geht das natürlich mit Linux/Samba. Hab ja selbst eine Spieldomäne mit Samba 4.17.6. Aber mehr als 2008R2 geht beim Level nicht. Wenn dein MS AD einen Funktions-Level größer 2008R2 hat, wird das nicht gehen.

 

[sayNO]

@maxblank: das ist eine Test-Labor Umgebung und Danke @Adama, jetzt habe ich es verstanden und auch im SAMBA Wiki nachgelesen: AD auf Linux auf Basis von SAMBA ist nicht kompatibel mit Windows Server >2008 R2.
Der Funktionslevel meiner Domain ist Windows Server 2016, damit habe ich mal angefangen. Linux ist da also eine Sackgasse.
Jetzt werde ich versuchen auf einer DS918+ einen Windows Server als 2. Domaincontroller als virtuelle Machine zum Laufen zu bringen.

 

[Adama]

Da wäre ja die Frage interessant, ob man einen Core oder Nano Server als DC verwenden kann. Das würde die Last für die 918 sicher verringern...

 

[sayNO]

Ja, daran habe ich auch schon gedacht, das wäre dann der nächste Schritt. Eine Win 10 Installation als VM auf der DS918+ hatte ich schon mal am Laufen, aber die Performance ist mehr als mäßig trotz 16GB RAM. Die CPU scheint dafür zu schwach ausgelegt zu sein.
Ich rüste jetzt zwei NVMe SSDs auf der DS918+ nach und versuche die als normales RAID1 Volume einzubinden. Das wird von SYNOLOGY wohl nicht offiziell unterstützt, soll aber stabil laufen. Hab da eine Anleitung gefunden,: https://www.youtube.com/watch?v=NqYJJxbsrHs, werde berichten.

 

[Adama]

Naja, der INTEL Celeron J3455 ist ja eher ein Low-End-Prozessor...

SSD als Volume: Da gibt's hier übrigens auch einen Thread:
https://www.synology-forum.de/threads/nvme-ssd-als-volume-nutzen-erfahrungen.111849/

 

[sayNO]

Ich kann abschließend berichten das die Installation eines 2. Domaincontrollers (DC) mit Windows Server 2022 auf einer DS918+ erfolgreich war und sich jetzt in der Praxis seit einer Woche bewährt hat.
Die DS918+ hat 16 GB RAM und wurde mit zwei performanten SAMSUNG NVMe, als RAID1 installiert, aufgerüstet. Das NVMe RAID1 ist als 2. Speicherpool für den Virtual Manager eingerichtet. Die VM läuft mit vier vCPU, zwei davon reseviert und den virtio-Netzwerk und SCSI-Controller Treibern von Red-Hat.
Der neue DC ist auch alternativer DNS Server und steht als DHCP-Failover Server bereit. Die Synchronization des Active Directory läuft einwandfrei. Die Sicherung des DC mit Veeam Backup funktioniert ebenfalls.

Fazit: wer eine Domain und eine DS918+ oder performanter betreibt, kann sich weitere Hardware für einen zweiten DC sparen.

 

[Adama]

Naja, der zweite und ev. dritte DC ist ja u.a. für Ausfallsicherheit gedacht. Ein AD, welches die gesamte Anmelde- und Rechtestruktur hält, sollte nicht nur auf einem Bein stehen...