Active Directory mit DNS und DHCP Failover auf Debian

Dieser Beitrag beschreibt, wie ich mir eine Active Directory Domäne auf Basis von Debian gebaut habe.

Die Vorzüge einer zentralen Verzeichnisdienstes habe ich zwar schon als Benutzer zu Zeiten von Windows 3.11 bei der NATO und mit NT4.0 bzw. Windows 2000 bei der SAP kennengelernt, aber aus Sicht eines Admins wurde ich damit erstmals 2001 bei der MobilCom e-Commerce GmbH konfrontiert.

Dort bekam ich den Auftrag, für die kleine Zweigstelle in Heidelberg mit fünf Arbeitsplätzen eine Anmeldedomäne mit zentraler Benutzerverwaltung auf Basis von Samba zu installieren. Das gelang mir mehr schlecht als recht und im Laufe weniger Monate wurden wir von der großen MobilCom geschluckt und an deren Active Directory angebunden.

Erst bei meinem aktuellen Arbeitgeber bin ich durch Fluktuation zum AD Admin geworden und durfte mich zwischenzeitlich alleine um über 2.000 Konten und fast 1.000 Geräte kümmern. Mit ein bisschen Google hier und da, kann man das auch ganz gut verwalten, wenn nicht irgendetwas richtig schief läuft und man mit Bedacht und dem 4-Augen-Prinzip an Grundeinstellungen herumbastelt.

Irgendwann bin ich auch privat auf den Geschmack gekommen: 5 Personen Haushalt mit mehreren gebrauchten Windows Geräten. Jeder sollte einen Benutzer haben, mit dem er sich an jedem Rechner anmelden und auf seine Daten zugreifen kann. Anfangs konnte ich mich noch mit einer nicht aktivierten Version von Windows Server über Wasser halten. Das ist aber weder effizient, weil oversized, noch lizenztechnisch vertretbar.

Mir blieb eigentlich nur die Wahl, zurück zur lokalen Anmeldung oder auf Open Source zu setzen.

Samba ist seit einiger Zeit nativ in der Lage, eine Active Directory zu erstellen und mit Debian habe ich – inzwischen zum Netzwerkadmin geswitcht – auch immer mehr Berührungspunkte. Parallel betreue ich bei meinem Arbeitgeber auch die virtuelle Umgebung mit VMware mit knapp 20 Hosts und über 200 VMs, so dass ich mir vor ein paar Jahren aus zwei ausrangierten Mini-PCs (Terra Mini) mit 2 Netzwerkkarten einen VMware Host gebastelt habe. Bedingt durch die dort verbaute Netzwerkkarte war aber bei Version 5.1 Schluss. Hier bin ich vor einigen Wochen über Proxmox Virtual Environment (PVE) gestolpert und habe es direkt ausprobiert und nach kurzer Einarbeitung für (sehr) gut empfunden.

Also noch einmal einen ausrangierten Terra Mini PC mit Ersatzteilen zum Leben erweckt und mit 8 GB RAM ausgestattet. Proxmox VE installiert und Linux Container kennengelernt (dazu in einem anderen Artikel mehr).

Ich habe viele Dokumente im Netz gefunden, welche das Thema AD und Linux beschreiben. Manche gehen nur auf AD und DNS ein, andere nur auf DHCP und wieder andere auf die Kombination aus AD, DNS und DHCP – einmal mit und einmal ohne Failover. Das Problem bei der ganzen Sache waren die unterschiedlichen zu Grunde liegenden Distributionen (Ubuntu, Debian, CentOs,..) und die unterschiedlichen Versionen der eingesetzten Pakete. Samba hat z.B. in den letzten Versionen einige Pfade geändert und Ubuntu nutzt andere Paketversionen wie Debian.

Ich habe einige Tage damit verbracht, mir aus all diesen Dokumenten das richtige Schnipsel herauszunehmen und für meine Bedürfnisse zusammenzubauen.

Mein Ziel ist es, zwei AD/DNS/DHCP Server zu haben, die sich gegenseitig sehen, kennen, vertrauen, austauschen und vertreten. Basis meiner Dokumentation ist das Betriebssystem Debian 10 (ich kann mir Namen schlecht merken). Ich nutze hierfür Debian Container von Proxmox. Eine Umsetzung auf reinen Debian Maschinen ist aber auch möglich, sobald der Debian Rechner soweit ist, dass eine Anmeldung als root möglich ist. Vielleicht schreibe ich auch einen kleinen Artikel, wie ich persönlich Debian aufsetze.

So war oder ist mein Plan für meine AD Struktur

Active Directory Umgebung mit DNS und DHCP mit Failover
Name des 1. Serversdc1.intern.domain.tld
IP Adresse des 1. Servers192.168.178.11
Name des 2. Serversdc2.intern.domain.tld
IP Adresse des 2. Servers192.168.178.12
IP Adresse des Routers (z.B. FritzBox)192.168.178.1

Um das ganze etwas einheitlich zu machen und nicht meine Infrastruktur zu verraten, habe ich mich für meine Doku für den Standard IP Bereich einer FritzBox entschieden und die Domäne intern.domain.tld genannt. Bei den IP Adressen sollte man darauf achten, nicht in Konflikt mit dem DHCP Bereich seines Routers zu kommen. Soweit ich mich entsinne, fängt dieser bei der FritzBox bei .20 an.
Der Name der Domäne sollte auch weise gewählt werden, da sich dieser später nur mit Aufwand ändern lässt bzw. eine Änderung einen ordentlichen Rattenschwanz hätte. Im Internet gibt es ausreichend Dokumente zur Wahl eines guten und zukunftssicheren Domänennamens (Beispiel-Suche bei Google).

Hinweis

Ich übernehme mit der folgenden Doku keine Garantie auf Vollständigkeit und reibungslose Funktionalität. Jeder soll und muss für sich selbst entscheiden, wie produktiv er meine Gedanken in seiner Umgebung umsetzt.

Für Fragen, Ideen, Kritiken und Verbesserungsvorschläge steht wie immer das Kommentarfeld zur Verfügung.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.