Raspberry

Erfahrungen nach knapp einem Jahr

Nach nun einschließlich Planung und Vorbereitung knapp zwölf Monaten, davon acht im Dauereinsatz als Samba-AD-Server, haben wir den zuletzt unter Dauerlast stehenden Pi nun von den Bürden des Domänencontrollings befreit. Seine Aufgaben hat ein für den harten Dauereinsatz in einem wachsenden Unternehmen mit ausreichend Reserven ausgestatteter Windows-Server übernommen.

Bei dieser Migration war Gelegenheit, noch einmal über die gröbsten Anfängerfehler zu reflektieren. Auf einige will ich hier kurz eingehen.

Hack: Bessere fake-hwclock für den Pi

Nicht jeder will oder kann die fehlende Echtzeituhr im Raspberry Pi mit der Raspbian-Lösung fake-hwclock kompensieren. Eine Alternative ist es, die aktuelle Zeit beim Systemstart mittels SSH von einem anderen Gerät im Netzwerk zu beziehen. Am besten von einem, das immer läuft und eine eigene eingebaute Uhr besitzt. In unserem Fall ist das ein Qnap-NAS. Dieses wird der Pi mit Hilfe eines Systemstart-Cronjobs als „Zeitansage“ „mißbrauchen“. Und das geht so:

Bind9 installieren: Vorbereitungen

Vorbereitung

Auf wessen Pi noch kein Bind existiert, der installiert sich nun trotzdem erst die „offizielle“ Debian-Version. Auf diese Weise lösen wir fast alle Abhängigkeiten ohne großen Aufwand auf und erhalten außerdem ein Init-Skript und weitere Konfigurationen, die wir später nur noch geringfügig für unsere eigene Version anpassen müssen.

a) Bind noch nicht installiert

Wer Bind bereits installiert hat, fährt mit dem nächsten Abschnitt fort. Alle anderen gehen nun an die Konsole:

Tips, Einschränkungen und Hinweise

Leistung generell

Der Raspberry Pi als Samba4-Active Directory-Server kann in einem überschaubaren Team gute Dienste leisten und die Arbeit mit geteilten Dateien, Diensten und Computern sehr erleichtern. Dennoch gibt es einige Einschränkungen, die man kennen und beachten sollte. Und egal, wie sehr man seinen kleinen Pi mag: Ab einer gewissen Domänengröße sollte der Einsatz eines „echten“ Windows-Servers mit angemessener Hardware einfach in Erwägung gezogen werden.

Bind9

Wer zu Beginn dieses Projekts bereits einen fertig konfigurierten Bind hat und diesen auch mit Samba weiter nutzen will, muss sicherstellen, dass er die richtige Version einsetzt und diese mit den richtigen Optionen kompiliert wurde:

named -V | grep gssapi

sollte ein Ergebnis auswerfen, in dem neben der Versionsnummer unter anderem

'--with-gssapi=/usr/include/gssapi'

und

'--with-dlopen=yes'

enthalten ist:

Raspberry Pi als AD-Controller fürs NAS

In dieser Anleitung dokumentiere ich das Installieren und Einrichten eines voll funktionsfähigen Active Directory-Domänenservers („Domain Controller“) auf Basis von Samba4 und Bind9 mit dem Ziel, eine AD-Domäne zu betreiben und deren Einstellungen, Nutzer, Datei- und Druckdienste sowie Computer-, Benutzer- und Gruppeneinstellungen so weit wie möglich bequem von einem beliebigen Windows (7)-Rechner mit Hilfe der Remote Server Administration Tools vornehmen zu können.