Erfahrungen nach knapp einem Jahr

Nach nun einschließlich Planung und Vorbereitung knapp zwölf Monaten, davon acht im Dauereinsatz als Samba-AD-Server, haben wir den zuletzt unter Dauerlast stehenden Pi nun von den Bürden des Domänencontrollings befreit. Seine Aufgaben hat ein für den harten Dauereinsatz in einem wachsenden Unternehmen mit ausreichend Reserven ausgestatteter Windows-Server übernommen.

Bei dieser Migration war Gelegenheit, noch einmal über die gröbsten Anfängerfehler zu reflektieren. Auf einige will ich hier kurz eingehen.

Roaming-Profile richtig einrichten

Mit der Policy Pfad für servergespeicherte Profile können Benutzerprofile zentral gespeichert werden. Fast der gesamte Inhalt des eigentlich lokalen Ordners C:\Users\[Benutzername] wird hierbei bei der An- und Abmeldung des Benutzers mit einem zentralen Speicherort abgeglichen (was sich durch weitere optionale Policies wieder einschränken bzw. feintunen lässt). Hierbei gibt es zwei wichtige Punkte zu beachten:

  • Benutzerprofile können sehr groß werden, weshalb man gut daran tut, einige Ordner gezielt von diesem Prozess zu entkoppeln. Siehe dazu die entsprechenden Hinweise in der Anleitung und weiter unten.
  • Da dieses Synchronisieren direkt die Login-/Logoff-Dauer beeinflusst und das auch schnell spürbar wird, sollten zumindest die soweit wie möglich durch Umleitungen reduzierten Benutzerprofile, wenn möglich, auf einem besonders schnellen Speicherplatz mit besonders guter Netzwerkanbindung gelagert werden.

Finger weg vom AppData-Ordner!

Neuere Windows-Versionen erlauben die Einrichtung einer Ordnerumleitung (Folder Redirection) auch für den Ordner AppData. Das klingt im ersten Moment angesichts des eben geschriebenen sinnvoll, kann aber erhebliche Probleme bereiten:

  • Anwendungen verlassen sich oft darauf, dass auch der zum Serverprofil gehörende Bereich C:\Users\Benutzername\AppData\Roaming lokal vorliegt, da er normalerweise mit dem gesamten Benutzerprofil für die Dauer der Sitzung lokal zwischengespeichert wird. Bei langsamer oder unterbrochener Netzwerkanbindung kann es daher sehr schnell zu Anwendungsproblemen kommen, die günstigstenfalls nur drastische Geschwindigkeitseinbußen nach sich ziehen. In schlimmeren Fällen kann der gesamte Anmeldungsprozess außer Kontrolle geraten.
  • Neue Windows-Versionen aktivieren gerade wegen der Möglichkeit von Netzwerkproblemen standardmäßig für alle per GPO umgeleiteten Ordner die lokale Zwischenspeicherung (Offlinedateien, CSC). Was normalerweise ein Segen ist, wird hier schnell zum Fluch, sobald beispielsweise eine Anwendung sehr viele temporäre Dateien anlegt und schnell wieder löscht. Aus der eigentlich sinnvollen Offlinedateienfunktion wird so schnell eine nervige Dauerfehlermeldung, weil das Synchronisierungssystem irgendwann den Anschluss verliert und bei den vielen Dateien nicht mehr hinterherkommt.

Es empfiehlt sich also dringend, auf einen lokalen Pfad umzuleiten (der natürlich in jedem System dann auch beschreibbar sein muss) oder, wenn das nicht in Frage kommt, die Anwendungsdaten im Userprofil zu belassen.

Finger weg von den NAS-Innereien!

Wir arbeiten mit NAS-Geräten von Qnap. Diese arbeiten – wie vermutlich die meisten Geräte dieser Art – mit einem erheblich indivdualisierten Busybox-Linux. Zielgruppe solcher Geräte sind technisch weniger interessierte Anwender, denen man eine riesige Funktionsvielfalt und die Unterstützung etlicher aktuell beliebter Netzwerkdienste in einer auch für Laien klickbaren Oberfläche bieten will. Die Intensität der hierfür durchgeführten Anpassungen des Linux-Systems ist, das musste ich hier auch erst mit der Zeit einsehen, teilweise so massiv, dass es bei allem Sachverstand nur in Grenzen eine gute Idee ist, das System über die Kommandozeile mit eigenen Ergänzungen auszustatten. Zu viele Abhängigkeiten bestehen zwischen den verfügbaren Diensten, und schon ein Firmware-Upgrade kann alles zunichtemachen.
Wir haben daher die Struktur der für die Domäne genutzten Ordner bei der endgültigen Einrichtung noch einmal deutlich geändert und arbeiten auf Ebene des NAS nur noch mit den dort gebotenen Standardfunktionen. Auch diese erlauben, mit den richtigen AD-Policies kombiniert, problemlos das automatische Erstellen von Benutzershares und haben zudem nicht die oben genannten Nachteile.

Ordnerumleitungen sinnvoll einsetzen!

Nicht alles, was geht, muss auch gemacht werden. Das gilt natürlich auch hier. Inzwischen würde ich sagen, dass die Umleitung des Eigene Dateien-Ordners (und der an ihn verknüpften Bilder-, Video- und sonstigen Unterordner, die laut Policy Dem Ordner „Dokumente“ folgen können) völlig ausreicht. Ziel der Ordnerumleitung sollte immer bleiben, die Größe des gesamten Benutzerprofils so klein wie möglich zu halten, damit der Anmeldevorgang möglichst schnell ablaufen kann.

GPOs granuliert einsetzen!

Kurz gesagt: Der oft gelesene Rat, am besten für jede Aktion ein eigenes, zudem sinnvoll benanntes GPO anzulegen, kann gar nicht oft genug wiederholt werden. Zum einen findet man so in der Gruppenrichtlinien-Verwaltungskonsole jedes Element am schnellsten wieder, zum anderen lassen sich so die Berechtigungen wirklich für jede einzelne Aktion schnell ändern und, wenn nötig, auch die WMI-Filter zur genaueren Auswahl der betroffenen Empfänger viel gezielter anpassen.

Kommentare

Hallo, hab das AD nach der Anleitung installiert und lief bisher auch problemlos.
Jedoch kann ich seit Anfang September keine Updates mehr installieren.
Mach ich das (per apt-get upgrade und update) ist das OS komplett zerstört und ich muss ein Imagebackup hernehmen um wieder ein funktionierendes System zu bekommen.

Was ist den die korrekte Vorgehensweise um z.B. den bind9 upzudaten?
Hab den genauen Fehler nicht mehr hier (muss ich erst noch mal nachstellen), aber beim Update wurde irgendwie angemeckert, dass die Startdatei bind9custom ungültig sei und dann ist der Rest abgebrochen.

Schon mal Danke für die Hilfe im Voraus.

Das Problem hatte ich so nie, da Debian ja eigentlich nur die hauseigenen Binaries und Scripts aktualisiert bzw. aktualisieren sollte. Gerade deshalb haben wir den alternativen Bind ja in /usr/local und ein eigenes Initscript. Insofern wären ein paar mehr Detail zum konkreten Fehler bestimmt hilfreich.

Hallo ,
vorab erstmal vielen Danke für die tolle Anleitung zum Thema
"Raspberry Pi als AD-Controller".
Ich wollte schon immer privat einen Domainencontroller betreiben und
Benutzeraccounts anzulegen.
Nun habe ich es geschafft. Danke.

Eine Frage habe ich und ich hoffe Sie können und würden mir diese
beantworten.
Wenn ich mit den Win7 RSAT Tools auf die "Active Domänen +
Vertauenseinstellungen" zugreife kann ich sehen in welchem Modus das
AD läuft. Nach der Installation auf dem Raspi ist das die
"Domänenfunktionsebene" für "Windows Server 2003". Im Angebot habe ich
dort noch "Windows Server 2008".
Jetzt die Frage, kann ich die Funktionsebene auf "Server 2008"
heraufstufen?

Das sollte eigentlich für Samba egal sein. Die Policies sind ja immer rückwärtskompatibel ausgelegt. Entscheidend für alle Policies, die letztlich eh auf dem Client angewendet werden, ist also nur dass die richtige Vorlage („ADT“, „administrative template“) vorhanden ist. Die ADTs wiederum tun nichts anderes, als stumpfe Registry-Einträge in ein hübsches Interface (eben RSAT etc.) zu übersetzen (und daraus dann Registry-Daten zu generieren). Abgelegt wird jedes GPO ja denn auch als ganz normales Dateiobjekt auf dem Sysvol, da hat der ADC inhaltlich selbst erst mal keine Aktien drin.

TL;DR: Ich habe (während wir noch mit dem Pi experimentiert haben) auch 2008er-Vorlagen verwendet, da hier ja auch keine XP-Clients mehr laufen sondern W7 und W8. Daraus resultierten keine mir bekannten Probleme (nicht dass ich hafte, falls es bei Ihnen anders ist; ist klar).

Wahrscheinlich haben Sie es inzwischen eh ausprobiert.

Hallo,
vorab erstmal vielen Danke für die tolle Anleitung zum Thema "Raspberry Pi als AD-Controller".Ich wollte schon immer privat einen Domainencontroller betreiben und Benutzeraccounts anzulegen.Nun habe ich es geschafft. Danke.

Eine Frage habe ich und ich hoffe Sie können und würden mir diese beantworten.Wenn ich mit den Win7 RSAT Tools auf die "Active Domänen + Vertauenseinstellungen" zugreife kann ich sehen in welchem Modus das AD läuft. Nach der Installation auf dem Raspi ist das die "Domänenfunktionsebene" für "Windows Server 2003". Im Angebot habe ich dort noch "Windows Server 2008".Jetzt die Frage, kann ich die Funktionsebene auf "Server 2008" heraufstufen?