• Homepage
  • >
  • Windows
  • >
  • Tutorial: So richtet Ihr die Active Directory-Funktion auf einem Synology-NAS ein

Tutorial: So richtet Ihr die Active Directory-Funktion auf einem Synology-NAS ein

Es ist schon eine interessante Funktion, die Synology einigen NAS-Modellen in der jüngeren Zeit spendiert hat: Die Rede ist von der Möglichkeit, als Verzeichnisdienst neben LDAP auch das von Microsoft Windows-Servern bekannte Active Directory auf die flotten Netzwerkspeicher zu packen. Reicht dem einen LDAP vollkommen aus, ist speziell die Anmelde-Implementierung für Windows-Systeme eine knifflige Sache, die nicht zwingend mit Bordmitteln funktioniert. Schöner Schnittpunkt für Windows- und Mac-Nutzer: Ein ordentliches Active Directory. Wie schnell das einzurichten ist, möchte ich nachfolgend kurz zeigen.

Der über das Paket-Zentrum schnell einzuspielende Active Directory Server bietet den Active Directory Domain-Service mit Hilfe von Samba. Er unterstützt hierbei häufig verwendete Active Directory-Funktionen wie Benutzerkonten, Gruppen-Mitgliedschaften, Windows-Domänenserver, Linux und Synology DSM, Kerberos-basierte Authentifizierung und Gruppenrichtlinien. Im Zuge der Installation folgt obligatorisch noch der DNS-Server, der für angeschlossene Rechner, die das Active Directory nutzen sollen, natürlich federführender Nameserver im Netzwerk sein muss. Die Funktion ist übrigens nicht für jedes NAS verfügbar – seht Ihr also in der Paketverwaltung das Active Directory-Paket nicht, unterstützt Euer NAS die Funktion leider nicht. Welche Synology-Geräte im Detail die Möglichkeit zur Einrichtung des Active Directory bieten, findet Ihr hier!

Nach der (hoffentlich) erfolgten Erstinstallation geht es zunächst an die Grundkonfiguration, die bequem über einen Assistenten abläuft:

Gebt also zunächst Euren gewünschten Domainnamen (hier: DE182840.LOCAL) ein – daraus resultiert auch der Name der Arbeitsgruppe ohne den .LOCAL-Suffix. Dem Domänen-Administrator muss dann noch ein Kennwort samt Kennwortbestätigung verpaßt werden und es kann weiter gehen:

Als grundsätzliche Angaben reichen diese Informationen aus – uns wird anschliessend eine Übersicht der eingetragenen Parameter angezeigt und nach dem Klick auf „Übernehmen“ arbeitet das NAS ein paar Sekunden, erstellt die Domain und legt die enthaltene Datenbank an:

Der Fortschrittsbalken verharrt hier einige Zeit auf den 50 Prozent, anschliessend sind aber sowohl DNS-Server als auch Active Directory in der Applikation-Übersicht des Synology-NAS zu finden. Ein kleiner Hinweis an der Stelle: Damit die DNS-Auflösung für die Clients und die internen Funktionen des NAS sauber arbeitet, muss eine Weiterleitung auf Euren eigentlichen Router erfolgen. Das sogenannte „Forwarding“ stellt Ihr im DNS-Server-Modul unter „Auflösung“ ein – hier müssen die Auflösungsdienste aktiviert werden und als Forwarder Euer Internet-Gateway-/Router (hier: 192.168.15.1) eingegeben werden. Wird dieser Punkt vergessen, hat nach Einrichtung des DNS-Servers das NAS Probleme, externe Seiten für Updates etc. zu erreichen, da es die DNS-Anfragen nicht auflösen kann.

Nutzt Ihr einen DHCP-Server zusammen mit der Active Directory-Funktion, muss auch dort der primäre DNS-Eintrag auf die IP des Synology-NAS verweisen. In meinem Fall ist das NAS auch DHCP-Server, weswegen die Konfiguration dann dort so aussehen würde:

Als primäres DNS ist im vorliegenden Beispiel somit das Synology-NAS, als sekundärer der Router angegeben. Doppelt gemoppelt hält bekanntlich besser, wobei gemäss der DNS-Konfiguration ja eh jede Anfrage, die intern nicht erreicht werden kann, über das externe Gateway aufgelöst wird. Doch zurück zum Thema „Active Directory“ – wir starten nun das Modul und sehen erst einmal eine überschaubare Übersicht, die sich in den Status, Benutzer und Gruppen und die Domänenrichtlinie gliedert:

In der Domänenrichtlinie kann man – wie erwähnt sehr überschaubar – die Kennwort-Vorgaben für die frisch erstelle Active Directory-Domäne einstellen:

Relativ schnell ist auch ein erster Benutzer erstellt – grundsätzliche Daten eingetragen, Gruppenzugehörigkeit (hier: Standard-Domänennutzer) zugewiesen: Fertig, den Rest macht der Assistent nach kurzer Zusammenfassung.

Im Nachgang wechseln wir dann einmal in die Eigenschaften des frisch geborenen Domänen-Nutzers und finden dort noch viele weitere Optionen vor, die man erst auf dem zweiten Blick präsentiert bekommt, unter anderem die Einstellungen für die Konto-Deaktivierung- oder den Ablauf, vollständige Nutzer-Informationen, Login-Skript, Profil-Pfad oder Home-Benutzer-Verzeichnis des Nutzers. Auch die nachträgliche Änderung der dazugehörigen Nutzer-Gruppe ist möglich – schaut Euch einfach einmal die einzelnen Optionen an.

Vergleiche ich die mit einem Windows-Server, sind eigentlich alle Anforderungen, die ich sowohl im Privat- als auch Firmen-Netzwerk an ein Active Directory stelle, an diesem Punkt erfüllt: Benutzerverwaltung, entsprechende Rechte, Profilpfad, Home-Verzeichnis, Login-Skript – wunderbar! Ebenso einfach, wie die Einrichtung des Verzeichnis-Dienstes auf Seiten des NAS war, gestaltet sich auch die Anbindung an ein Windows- und Mac-System. Bei Windows 10 sieht das dann wie folgt aus – als Domäne wird dann der Fully-Qualified Domain-Name (hier: DE182840.local) eingetragen, nach Drücken der Enter-Taste müssen dann noch die unlängst vergebenen Administrator-Daten eingetragen werden:

Ist das erfolgt, sollte sehr zeitnah die Bestätigung angezeigt werden, dass Euer Windows-PC nun Mitglied der Domäne ist:

Nach dem obligatorischen Neustart, den diese Änderungen mit sich bringt, könnt Ihr Euch nachfolgend nun mit dem Domänennutzer am System anmelden. Nutzt also die Option „Anderer Benutzer“ und gebt Eure festgelegten Daten im Format „Domäne\Benutzer“ oder „Benutzer@Domäne“ ein. Da wir bei der Nutzeranlage auf dem NAS angegeben haben, dass das Initial-Kennwort nach dem erstmaligen Anmelden zu ändern ist, machen wir genau das und können uns anschließend mit dem neuen Kennwort am System anmelden.

Nachdem Windows den Benutzer angelegt, angemeldet und das Profil erstmalig neu erstellt hat, finden wir nun den nackten Desktop unserer Domänen-Nutzers. Eine schnelle Prüfung über die Eingabeaufforderung via „whoami“-Befehl offenbart, dass wir mit dem Domänen-Benutzer angemeldet sind:

Der „set“-Befehl gibt weiterhin noch Informationen zur User-Domain, zur kompletten DNS-Domain, dem Logon-Server sowie zu Profilnamen- und Pfad: Wir hängen somit sauber in der frisch erstellen Active Directory-Domäne!

Die Anbindung eines Rechners mit macOS ist übrigens ebenso problemlos möglich, wenn man den Weg einmal kennt. In den Systemeinstellungen und dem Punkt „Benutzer & Gruppen“ findet Ihr die Anmeldeoptionen, die gegebenenfalls erst einmal durch Eingabe Eures lokalen Mac-Users mit Administrator-Rechten zu entsperren ist. Ist das erfolgt, könnt Ihr auf den Punkt „Verbinden“ neben dem Punkt „Netzwerkaccount-Server“ klicken. Tragt hier nun den Fully-Qualified Domain-Name des Active Directory-Servers-/NAS (hier: nas.de182840.local) ein, wählt – falls gewünscht – für Euren Mac den Namen, unter dem das Active Directory-Computerkonto erstellt werden soll und gebt auch hier das Kennwort zum Administrator-Login ein.

Ein Klick auf „OK“ sollte Euer Mac-Gerät nun sauber mit dem Active Directory verbinden und anschliessend den Netzwerk-Account-Server samt grünem Status angeben:

Eine Prüfung durch Klick auf „Bearbeiten“ unterstreicht respektive bestätigt die erfolgreiche Verbindung mit der Active Directory-Domain:

Hier können auch die Verzeichnisdienste geöffnet und im Verzeichniseditor auch die bisherigen Benutzer samt deren Active Directory-Attribute angezeigt werden: Auch hier ist also die Integration sauber gelungen!

Eine Option muss indes noch gesetzt werden, möchten wir den Active Directory-Nutzern auch die Anmeldung an dem Mac erlauben – die Option „Benutzern im Netzwerk die Anmeldung im Anmeldefenster erlauben“ ist standardmässig nicht gesetzt, was wir an dieser Stelle einmal fix nachholen:

Hier haben wir nun die Option, generell allen Nutzern im Active Directory die Anmeldung an dem jeweiligen Mac zu erlauben oder aber eine Einschränkung zu setzen, wer das denn darf. Aus egoistischen Gründen ist mein Mac auch nur mein Mac, ergo kommt hier nun auch nur mein Benutzername hin:

Bei dem ein oder anderen Szenario macht es natürlich Sinn, ein Gerät mehreren Nutzern, aber auch nicht jedem im Netzwerk zur Verfügung zu stellen – in meinem Fall und dem vorliegenden Beispiel gilt die Anmeldung auf diesem Gerät eben nur für den Benutzer „Pifferi, Oliver“.

Im Anmeldefenster des Macs können wir nun also auch die Anmeldung des Active Directory-Nutzers unter „Andere …“ entsprechend in Richtung des Netzwerk-Benutzers steuern, Login und Kennwort erzeugen so ein neues Profil und melden den Active Directory-Benutzer an:

Ist die Anmeldung erfolgt, könnt Ihr anschliessend noch in den Einstellungen des Benutzers die Option „Mobiler Account“ aktivieren respektive diesen Account erstellen – so ist eine Anmeldung am Mac auch ohne Netzwerk möglich, da even ein lokales Benutzerprofil angelegt wird. Das macht speziell bei den MacBooks Sinn, da man hier ja von einem mobilen Einsatz ausgehen sollte und auch mal unabhängig vom Netzwerk-Account-Server (ob nun Active Directory oder LDAP) arbeiten möchte.

Das war nun der rasche Exkurs im Rahmen eines kleinen Tutorials für die Realisierung eines Active Directory auf einem unterstützten Synology-NAS, hier dem DS916+. Nicht immer muss es ein dedizierter Windows-Server sein und wer eh eine Anschaffung für ein NAS plant, für einen Domänencontroller aber nicht zwingend ein Windows-System lizenzieren möchte, sollte vielleicht einmal über die geschilderten Möglichkeiten nachdenken. Auch die Umsetzung im kleinen wie grösseren Rahmen geht schnell vonstatten und ist für Windows- wie auch Mac-Nutzer schnell an den Endgeräten zu integrieren. Viel Spaß!

 

 

 

 

 

 

 

 

 

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
  • linkedin

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei XING. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

  • facebook
  • twitter
  • googleplus
  • linkedIn
  • instagram
  • telegram

Kommentar verfassen