Einen 2. DC auf Raspi - sinnvoll oder Schnappsidee?

[anderl1969]

Hallo Forum,

ich spiele mit dem Gedanken, meinem WSE einen zweiten Domain Controller (DC) zur Seite zu stellen - und zwar auf einem Raspi laufend.

Primär geht's mir dabei um's "Basteln". Nebenbei versprech ich mir davon aber auch einen kleinen Nebeneffekt: der WSE läuft nicht rund um die Uhr, sondern nur bei Bedarf. Aus diesem Grund ist aktuell der DHCP-Server noch über die Fritz Box implementiert.
Wenn jetzt auf einem Raspi - der natürlich 24h online ist - ebenfalls ein DC läuft, dann sollte der doch vom WSE alle Einstellungen (AD) repliziert bekommen. Damit würde der Raspi doch immer einspringen, wenn der WSE grad offline ist.

Hat das schon jemand gemacht?
Oder ist die Idee totaler Unfug?

[JoachimL]

das ist für mich kein Unfug. Ich experimentiere auch gerade mit Samba DCs und hab ganz frisch 2 VMs am Start, die aber nicht permanent erreichbar sind (und ab Sonntag auch noch an verschiedenen Standorten via VPN). Ich möchte auch gerne einen DC dauernd erreichbaren haben, bei mir eher ein (oder zwei) Banana, aber das ist nicht so wichtig - Notfalls kauf ich noch einen Pi. Ich hab zwei Probleme damit:
(a) Authorisierungsdaten betrachte ich als kritisch, das System muss also verschlüsselt sein. Das wiederum ist schwierig wenn das Gerät automatisch hochfahren soll - und standardisiert ist das auch nicht gerade.
(b) welche Distribution? Ich hätte gerne Ubuntu (oder Derivat) 16.04 weil das auch die Version ist, die ich in den VMs habe. Die Installationsanleitung ist aber unvollständig. Beim Ableger Armbian waren die Samba-Packages leider unvollständig. Selber kompilieren hab ich angefangen, gefällt mir aber nicht wirklich weil dann Patches mehr Aufwand machen.
Wenn Du da Ideen oder Lösungen hast, dann gerne...
Gruß Joachim

[JoachimL]

Aus diesem Grund ist aktuell der DHCP-Server noch über die Fritz Box implementiert.

wie finden denn Deine PCs dann den DC? Mein DHCP Server delegiert die Domain an den (lokalen) DC. Pflegst Du dafür hostname?

[anderl1969]

Ursprünglich hatte ich den Clients in der Domäne tatsächlich manuell den DNS-Server auf den WSE umgebogen. Mittlerweile kann der DHCP-Server der Fritzbox aber auch einen externen DNS-Server propagieren.

[anderl1969]

So, den ersten Rückschlag hab ich schon:

Laut Samba-Wiki darf das bestehende AD, in das man einen Samba-basierten Domain-Controller einbinden will, einen maximalen Forest-Schema-Level von 47 haben, was Windows Server 2008 R2 entspricht. Das AD, das der WSE 2012 R2 aufspannt, hat Schema-Level 69.

So wie ich das interpretiere, ist Samba in der aktuellen Version noch nicht in der Lage, einem 2012 R2 AD als weiterer DC beizutreten. Lieg ich hier richtig?

[JoachimL]

Ursprünglich hatte ich den Clients in der Domäne tatsächlich manuell den DNS-Server auf den WSE umgebogen. Mittlerweile kann der DHCP-Server der Fritzbox aber auch einen externen DNS-Server propagieren.

D.h. Deine ganze Samba-Domain ist extern sichtbar? Gefällt mir nicht..

So wie ich das interpretiere, ist Samba in der aktuellen Version noch nicht in der Lage, einem 2012 R2 AD als weiterer DC beizutreten. Lieg ich hier richtig?

Sieht so aus. Und die Seite ist relativ aktuell. Muss der WSE 2012 DC sein oder kann er auch als Member aufgesetzt werden? Anderseits wird der Raspi dann kritisch und muss gesichert werden..

[anderl1969]

Deinen Einwand mit der "Samba"-Domain versteh ich nicht. Mal abgesehen davon, dass ich keine Samba-Domain hab, wie kommst du darauf, dass sie extern sichtbar sei?

Der WSE soll schon DC bleiben. Ich möchte auf keinen Fall auf die Funktionalität des Dashboards verzichten. Nachdem ich gelernt habe, dass Server 2012 R2 und Samba 4 sich aktuell nicht vertragen, ist das Projekt auf Eis. Bis Samba soweit ist, läuft bei mir wahrscheinlich schon WSE 2016

[JoachimL]

Deinen Einwand mit der "Samba"-Domain versteh ich nicht. Mal abgesehen davon, dass ich keine Samba-Domain hab, wie kommst du darauf, dass sie extern sichtbar sei?

Mit Samba-Domain meine ich das was in der Samba-Doku immer mit samdom.example.com angegeben ist - idR eine Unterdomain Deiner öffentlichen Domain. Von lokalen bzw. nicht registrierten wird ausdrücklich abgeraten.
In meiner Fritzbox 7320 kann ich einen anderen DNS Server angeben als den vom ISP angegebenen. Da würde ich vielleicht die OpenDNS-Server eintragen oder so, aber nicht einen internen - denn dann muss der interne immer erreichbar sein, oder kein Gerät kann DNS-Namen auflösen. Das ist Dein WSE wie Du schreibst nicht, Dein Raspi schon eher. Wenn Du aber einen externen einträgst oder den vom ISP lässt, dann muss samdom.example.com nach außen sichtbar sein.
Bei mir leitet Dnsmasq auf dem Netgear die Anfragen für samdom.example.com auf den DC um, für example.com auf meinen Banana (mein Host für die externen Domains und Webserver), alle anderen gehen zum ISP.. Wenn der DC nicht läuft dann können halt keinen neuen User angelegt werden, aber sonst läuft das meiste weiter. Wenn der Netgear nicht läuft kann sowie kaum ein Gerät ins Internet weil fast alles wireless ist..
Schade dass Du das Projekt auf Eis legst...
Gruß Joachim