Samba Active Directory

    Hallo,


    Ich möchte mir demnächst einen weiteren Server mieten, um dort Samba als primären Domänencontroller laufen zu lassen. Ich hab mal ein wenig gegoogelt und viele Tutorials gefunden. Jetzt wollte ich vorher mal fragen: Gibt es hier jemanden, der auch so ein Setup erfolgreich am laufen hat und die Installationsanleitung hier posten will? Ansonsten würd ich mal mit dem nächstbesten Tutorial schauen, obs geht. Eingesetzt wird Debian 9.

    Es gibt inzwischen fertige auch kostenlose Images (meistens auf Debian Basis). Vorteil hier sind schon vorhandene Werkzeuge für die Verwaltung. Diese waren bei meinen letzten SAMBA AD Erfahrungen noch nicht so berauschend (das ist aber schon ein paar jahre her und noch vor Samba 4).

    Die Online Artikel vom Admin Magazin fand ich damals ganz hilfreich.

    Wie mir gestern aufgefallen ist, hätte ich da ein paar Ansprüche:


    1. Es muss erklärt werden, wie ich sämlichten Traffic zwischen Client und Server von Beginn an verschlüssele

    2. Zudem wie ich weitere DC aufsetze, falls der erste DC mal nicht erreichbar ist.

    3. Windows 10 muss hinterher in der Lage sein, der Domain beizutreten

    Zitat von perryflynn

    Wieso installierst Du einen Domain Controller im Internet?

    Damit ich ihn von unterwegs auch problemlos erreichen kann. Ich will ja keinen DC, der mir dann auf Reisen oder so nichts bringt, weil er bei mir zuhause steht. Dann müsste ich die Logins alle auf dem PC cachen. Ein VPN ist auch keine Lösung, ich will ja nicht ständig erst einen Tunnel aufbauen müssen, um mich anmelden zu können. Meinst du, ich könne das so vergessen?

    Industriestandard ist eigentlich das Cachen der Credencials auf mobilen Clients und das anschließende Aufbauen einer VPN Verbindung. Mein Arbeitgeber nutzt CISCO AnyConnect, ich würde es halt mit OpenVPN machen.


    IMHO geht das auch nicht anders. Denn WLAN Verbindungen werden zB erst hergestellt, wenn man sich angemeldet hat. Ändern kann man dieses Verhalten zumindest bei Windows 7 nur mit Registry Hacks. Wie das bei Windows 10 ist keine Ahnung. Und wer hat Unterwegs schon Ethernet?


    Man kann mit Group Policies auch dafür sorgen, dass keine Netzwerkverbindungen möglich sind, ohne dass ein VPN Verbunden ist. Ob man das möchte hängt vom Anwendungsfall ab.


    Es ist einfach keine gute Idee Ports für LDAP, LDAPS, SMB oder NetBios offen im Internet zu haben. Dafür gab es in der Vergangenheit einfach zu viele Sicherheitsprobleme mit den Protokollen bze dessen Implementierungen. Je nach dem wie LDAP konfiguriert ist lässt dies auch unauthentifizerten Zugriff zu. Dann kann jeder im Internet die LDAP Objekte (OUs, PCs, Users, ...) auslesen.


    Ich hab das bei mir so gelöst, dass ich einen Windows Server 2012 R2 als KVM Gast auf meinem Home Server laufen habe und ich mich von meiner mobilen Workstation via VPN ins Heimnetz verbinde. Auf OpenVPN ist IMHO viel mehr verlass als auf die genannten Protokolle welche im Windows / Samba AD genutzt werden.

    Hay,


    ich teile die Ansicht bezüglich VPN-Nutzung. Ich brauche zwar keinen DC, aber ab und zu unterwegs schon mal Zugriff auf meinen Fileserver zuhause oder in der Firma. Ein VPN ist schnell gestartet (Mausklick rechts - connect) und fertig. Läuft sogar auf dem Android-Tablet. Anwendungen über den Port 1194 habe ich in meinen Firewalls priorisiert, damit ist alles auch schön schnell (u.a. mache ich auch VoIP über VPN).


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Nein, du möchtest keinen AD online im Netz haben.

    Wenn der AD nicht zur Verfügung steht, dann nimmt Windows die Login Infos aus dem Cache. Wir betreiben ca. ein Dutzend Windows Server und wir sehen genug Versuche gerade auf AD Dienste (bzw. Der Check ob diese laufen). Realisiere das übers VPN.