Einrichtung_Directory_Server

Das NAS Synology RS 1219+ “Datengarten” soll Domänencontroller werden um

1) Die lokalen Server über *.kommintern.de aus dem internen Netz erreichen zu können ohne jeweils eine IP angeben zu müssen.

2) mit diesen Servern mit einem gültigen Lets Encrypt Zertifikat kommunizieren zu können

3) Auf einem als Client der Domäne beigetretenen Windows 2016 Server Windows Anwendungen als Remote Apps bereit stellen zu können. (Windows Server 2019 wird nicht unterstützt, da dieser mit der AD Version von Windows Server 2008 wohl nicht mehr klarkommt ! Windows Server 2016 hat noch bis 2027 Support)

Einrichtung des Paketes Synology Directory Server (= Samba AD Server)

Siehe Admin Handbuch dazu

Paket aus dem Paketzentrum von Synology installieren

Domäne auf kommintern.de

Arbeitsgruppe auf kommintern einstellen

Admin Passwort wie Admin Passwort das Datengarten festlegen (damit es geht egal ob doch mal der lokale Admin gemeint ist)

SMB Signatur aus Performace Gründen auf “Automatisch” stellen

Über SMB-Signatur:
SMB-Signatur ermöglicht die digitale Signatur von SMB-Kommunikation auf Paketebene. Nach dem Erstellen einer Domain wird diese Funktion automatisch aktiviert, was die Lese-/Schreibleistung bei der SMB-Dateiübertragungen verringern kann. Um die Leistung zu verbessern, wählen Sie Automatisch oder Deaktivieren im Dropdown-Menü Server-Signierung aktivieren unter Systemsteuerung > Domain/LDAP > Domain > Domainoptionen.

weitere Einstellungen anpassen: Kennwortrichtlinien (Kennwörter sollen nicht ablaufen, denn das erhöht nur die wahrscheinlichkeit dass Menschen unsichere verwenden)

Backup DNS Server eintragen:

85.214.20.141 ist ein öffentlicher DNS Server von digital courage

Dann müssen noch anpassungen an dem Router vorgenommen werden der als DHCP Server fungiert damit dieser den Datengarten 192.168.1.8 als DNS Server bekannt gibt.

IPv6 DHCP in der Fritz Box deaktivieren! (Da sonst mit den v6 Adressen auch die Fritz Box als v6 DNS Server vergeben wird und die Rackstation nur v4 Adressen kann.)

Im DNS Rebind Schutz der Fritz Box für alle Server im internen Netz eine Ausnahme hinzufügen

Fritz Box ist leider künftig nur unter ihrer IP 192.168.1.1 oder unter fritzbox.kommintern.de ereichbar

kommintern.de

apparat.kommintern.de

datengarten.kommintern.de

*.kommintern.de

fritzbox.kommintern.de

fritz.box.kommintern.de

Durch Doppelklick auf die Zone der Domain die Verwaltung der Records dafür öffnen:

In dem aufgehenden Pop Up Fenster auf erstellen klicken und für alle Server im lokalen Netz einen A-Type Eintrag erstellen (also für IP v4 Adressen)

Beispielsweise hier für die Fritz Box, die sonst nicht mehr über fritz.box erreichbar ist.
Dazu macht es sinn auch noch fritzbox.kommintern.de einzurichten, da das schneller zu tippen ist.

In der Fritz Box die Synology 192.168.1.8 als DNS Server eintragen:

Firewall-Regeln zur Sicherung des Verzeichnisdienstes hinzufügen

siehe Kapitel 2: Erste Schritte mit Synology Directory Server im Handbuch

Damit ist der DNS Server, der Directory Server und der Samba Server nur im lokalen Netz erreichbar

Bzw. die Disk Station allgemein wenn das für alle Dienste so festgelegt wird was hier sinnvoll schien.

Sofern später irgendwann mal der Datengarten auch von extern zugänglich sein soll muss das hier noch konfiguriert werden

Backup Diskstation Aktenschrank der Domäne hinzufügen:

Haken bei Domain beitreten setzen

Domänennamen und IP des DNS Servers (Datengarten 192.168.1.8) eintragen

Rest geht automatisch

soweit erst mal, nun sollte als nächstem Schritt die Einrichtung eines Windows Server 2016 Domain Clients als Remote App Server möglich sein.

Darüber hinaus können jetzt weitere Rechner der Domäne beitreten und darüber deren Nutzer verwaltet werden. Damit wäre es möglich dass die NutzerInnen auf allen Rechnern der Domäne die selben Anmeldedaten verwenden und ein Nutzerprofil im Netzwerk haben das immer gleich bleibt, egal auf welchem Rechner sie sich anmelden. Sobald diese sich einmal angemeldet haben geht das auch offline. Lediglich ihr aktuelles Roaming Profil ist dann nicht verfügbar

Korrektur von falschen DNS Einträgen des Servers

Beim Beitritt von Clients in die Domäne werden deren DNS Einträge automatisch in den DNS Server eingetragen und normalerweise auch aktuell gehalten.
Wenn sich jedoch die Adresse des Domain Controllers ändert ist das nicht möglich.
In dem Fall müssen DNS Einträge von Hand aktualisiert werden.

Auf diese Notwendigkeit wird in der Status Anzeige des Domain Controllers hingewiesen:

Leider steht dort nicht um welche Einträge es geht, oft stimmt nicht mal die Anzahl.
Typische Ursache in unserem Kontext:
Wir verwenden IPv6 eigentlich nicht.
Daher weist der Router als DHCP Server dem Datengarten keine feste IPv6 Adresse zu.
Zum Beispiel beim Wechsel des Routers kann diese sich ändern. Dann stimmen die AAAA Records nicht mehr.
Die korrekte IP(v6)-Adresse des Datengartens lässt sich im DSM unter Systemsteuerung-Info ermitteln.
Diese muss dann bei allen AAAA Einträgen die auf den Datengarten verweisen sollen (erkennbar an ähnlichen IPv4 Einträgen die auf die Adresse des Datengarten verweisen) eingetragen werden.
Dann stimmt wieder alles.

Ob das relevante Auswirkungen hat ist unklar.