Erfahrungen nach knapp einem Jahr

Nach nun einschließlich Planung und Vorbereitung knapp zwölf Monaten, davon acht im Dauereinsatz als Samba-AD-Server, haben wir den zuletzt unter Dauerlast stehenden Pi nun von den Bürden des Domänencontrollings befreit. Seine Aufgaben hat ein für den harten Dauereinsatz in einem wachsenden Unternehmen mit ausreichend Reserven ausgestatteter Windows-Server übernommen.

Bei dieser Migration war Gelegenheit, noch einmal über die gröbsten Anfängerfehler zu reflektieren. Auf einige will ich hier kurz eingehen.

Roaming-Profile richtig einrichten

Mit der Policy Pfad für servergespeicherte Profile können Benutzerprofile zentral gespeichert werden. Fast der gesamte Inhalt des eigentlich lokalen Ordners C:\Users\[Benutzername] wird hierbei bei der An- und Abmeldung des Benutzers mit einem zentralen Speicherort abgeglichen (was sich durch weitere optionale Policies wieder einschränken bzw. feintunen lässt). Hierbei gibt es zwei wichtige Punkte zu beachten:

  • Benutzerprofile können sehr groß werden, weshalb man gut daran tut, einige Ordner gezielt von diesem Prozess zu entkoppeln. Siehe dazu die entsprechenden Hinweise in der Anleitung und weiter unten.
  • Da dieses Synchronisieren direkt die Login-/Logoff-Dauer beeinflusst und das auch schnell spürbar wird, sollten zumindest die soweit wie möglich durch Umleitungen reduzierten Benutzerprofile, wenn möglich, auf einem besonders schnellen Speicherplatz mit besonders guter Netzwerkanbindung gelagert werden.

Finger weg vom AppData-Ordner!

Neuere Windows-Versionen erlauben die Einrichtung einer Ordnerumleitung (Folder Redirection) auch für den Ordner AppData. Das klingt im ersten Moment angesichts des eben geschriebenen sinnvoll, kann aber erhebliche Probleme bereiten:

  • Anwendungen verlassen sich oft darauf, dass auch der zum Serverprofil gehörende Bereich C:\Users\Benutzername\AppData\Roaming lokal vorliegt, da er normalerweise mit dem gesamten Benutzerprofil für die Dauer der Sitzung lokal zwischengespeichert wird. Bei langsamer oder unterbrochener Netzwerkanbindung kann es daher sehr schnell zu Anwendungsproblemen kommen, die günstigstenfalls nur drastische Geschwindigkeitseinbußen nach sich ziehen. In schlimmeren Fällen kann der gesamte Anmeldungsprozess außer Kontrolle geraten.
  • Neue Windows-Versionen aktivieren gerade wegen der Möglichkeit von Netzwerkproblemen standardmäßig für alle per GPO umgeleiteten Ordner die lokale Zwischenspeicherung (Offlinedateien, CSC). Was normalerweise ein Segen ist, wird hier schnell zum Fluch, sobald beispielsweise eine Anwendung sehr viele temporäre Dateien anlegt und schnell wieder löscht. Aus der eigentlich sinnvollen Offlinedateienfunktion wird so schnell eine nervige Dauerfehlermeldung, weil das Synchronisierungssystem irgendwann den Anschluss verliert und bei den vielen Dateien nicht mehr hinterherkommt.

Es empfiehlt sich also dringend, auf einen lokalen Pfad umzuleiten (der natürlich in jedem System dann auch beschreibbar sein muss) oder, wenn das nicht in Frage kommt, die Anwendungsdaten im Userprofil zu belassen.

Finger weg von den NAS-Innereien!

Wir arbeiten mit NAS-Geräten von Qnap. Diese arbeiten – wie vermutlich die meisten Geräte dieser Art – mit einem erheblich indivdualisierten Busybox-Linux. Zielgruppe solcher Geräte sind technisch weniger interessierte Anwender, denen man eine riesige Funktionsvielfalt und die Unterstützung etlicher aktuell beliebter Netzwerkdienste in einer auch für Laien klickbaren Oberfläche bieten will. Die Intensität der hierfür durchgeführten Anpassungen des Linux-Systems ist, das musste ich hier auch erst mit der Zeit einsehen, teilweise so massiv, dass es bei allem Sachverstand nur in Grenzen eine gute Idee ist, das System über die Kommandozeile mit eigenen Ergänzungen auszustatten. Zu viele Abhängigkeiten bestehen zwischen den verfügbaren Diensten, und schon ein Firmware-Upgrade kann alles zunichtemachen.
Wir haben daher die Struktur der für die Domäne genutzten Ordner bei der endgültigen Einrichtung noch einmal deutlich geändert und arbeiten auf Ebene des NAS nur noch mit den dort gebotenen Standardfunktionen. Auch diese erlauben, mit den richtigen AD-Policies kombiniert, problemlos das automatische Erstellen von Benutzershares und haben zudem nicht die oben genannten Nachteile.

Ordnerumleitungen sinnvoll einsetzen!

Nicht alles, was geht, muss auch gemacht werden. Das gilt natürlich auch hier. Inzwischen würde ich sagen, dass die Umleitung des Eigene Dateien-Ordners (und der an ihn verknüpften Bilder-, Video- und sonstigen Unterordner, die laut Policy Dem Ordner „Dokumente“ folgen können) völlig ausreicht. Ziel der Ordnerumleitung sollte immer bleiben, die Größe des gesamten Benutzerprofils so klein wie möglich zu halten, damit der Anmeldevorgang möglichst schnell ablaufen kann.

GPOs granuliert einsetzen!

Kurz gesagt: Der oft gelesene Rat, am besten für jede Aktion ein eigenes, zudem sinnvoll benanntes GPO anzulegen, kann gar nicht oft genug wiederholt werden. Zum einen findet man so in der Gruppenrichtlinien-Verwaltungskonsole jedes Element am schnellsten wieder, zum anderen lassen sich so die Berechtigungen wirklich für jede einzelne Aktion schnell ändern und, wenn nötig, auch die WMI-Filter zur genaueren Auswahl der betroffenen Empfänger viel gezielter anpassen.