TrueNAS in Active Directory einbinden: SMB-Shares mit AD-Berechtigungen

TrueNAS hat sich in den letzten Jahren als zuverlässige ZFS-basierte Storage-Plattform im Mittelstand etabliert. Sobald jedoch Windows-Clients Zugriff auf zentrale Dateifreigaben benötigen, führt kein Weg an einer sauberen Integration in das vorhandene Active Directory vorbei. Nur so lassen sich Berechtigungen über vertraute AD-Gruppen pflegen, Single-Sign-On nutzen und Audit-Anforderungen erfüllen.

In diesem Beitrag zeigen wir, wie Sie ein TrueNAS SCALE 24.10 (oder TrueNAS Enterprise 25.04) Schritt für Schritt in eine Windows-Server-AD einbinden, SMB-Shares mit AD-Berechtigungen versehen und die häufigsten Stolperfallen rund um DNS, Kerberos und Samba 4.x ID-Mapping vermeiden.

Voraussetzungen: DNS, Zeit und Namensauflösung

Bevor Sie den Join-Vorgang anstoßen, müssen drei Grundlagen stimmen — sonst scheitert die Anbindung mit kryptischen Kerberos- oder LDAP-Fehlern.

1. DNS sauber konfigurieren. TrueNAS muss die AD-Domäne und ihre Domänencontroller per DNS auflösen können. Tragen Sie unter Network — Global Configuration ausschließlich die internen DCs als Nameserver ein. Externe Resolver wie 8.8.8.8 oder die Fritz.Box gehören nicht in diese Liste — sie kennen Ihre _ldap._tcp.dc._msdcs.firma.local-Records nicht.

2. Hostname und FQDN. Setzen Sie den Hostnamen kurz (z. B. truenas01) und tragen Sie die AD-Domäne als Domain ein. Der vollständige FQDN sollte also truenas01.firma.local lauten.

3. Zeitsynchronisation. Kerberos toleriert maximal 5 Minuten Drift. Konfigurieren Sie unter System Settings — General — NTP Servers genau die Domänencontroller als NTP-Quelle. Externe Pools führen bei isolierten Netzen oft zu Drift-Problemen.

Komponente	Empfohlene Quelle	Häufiger Fehler
DNS	Interne DCs	Externe Resolver
NTP	Interne DCs	pool.ntp.org bei isoliertem Netz
Hostname	Kurz, ohne Punkt	FQDN im Hostname-Feld
Domain	firma.local	NetBIOS-Name FIRMA

Domänenbeitritt: Service Account oder Standard-Join

TrueNAS unterstützt zwei Wege für den Domain Join. Beide erzeugen am Ende ein Computer-Objekt in der AD, unterscheiden sich aber im Berechtigungsmodell.

Standard-Join mit Domain-Admin-Account: Sie geben einmalig die Credentials eines Kontos mit Recht zum Erstellen von Computer-Objekten ein. TrueNAS legt das Maschinenkonto an, generiert das Computer-Passwort und verwirft die Admin-Credentials anschließend. Für kleine Umgebungen der einfachste Weg.

Vorab-erstelltes Computer-Objekt (empfohlen für Enterprise): Ein AD-Administrator legt das Computer-Objekt vorab in der gewünschten OU an und delegiert nur die Berechtigung zum Beitritt an ein dediziertes Service-Konto. So bleibt das TrueNAS-System auch in restriktiven Tier-0-Umgebungen sauber abgegrenzt.

Den eigentlichen Join finden Sie unter Credentials — Directory Services — Active Directory:

Domain Name:           firma.local
Domain Account Name:   svc-truenas-join
Domain Account Pwd:    ********
Computer Account OU:   OU=Fileserver,OU=Server,DC=firma,DC=local
Enable:                [x]

Nach dem Speichern aktiviert TrueNAS automatisch den Winbind-Dienst, holt sich ein Kerberos-Ticket-Granting-Ticket und richtet die idmap-Konfiguration ein. Der Status sollte innerhalb von 30 Sekunden auf HEALTHY springen.

SMB-Shares mit AD-Berechtigungen versehen

Nach dem erfolgreichen Join können Sie AD-Benutzer und -Gruppen direkt in den Share-ACLs verwenden. Wichtig: Auf TrueNAS gibt es zwei Berechtigungsebenen — die Share ACL (wer darf den Share überhaupt mounten) und die Filesystem ACL (NTFS-äquivalente Berechtigungen auf Datei- und Ordnerebene).

Für ein typisches Abteilungs-Share gehen Sie wie folgt vor:

1. Dataset anlegen: Datasets — Add Dataset, Share Type SMB, ACL-Typ NFSv4.
2. SMB-Share erstellen: Shares — Windows Shares (SMB) — Add. Pfad auswählen, Purpose Default share parameters.
3. Share-ACL setzen: Standardmäßig Everyone -- Full Control lassen — die echte Kontrolle erfolgt über die Filesystem-ACL.
4. Filesystem-ACL editieren: Edit Filesystem ACL. Hier tragen Sie AD-Gruppen wie FIRMA\GG-Marketing-RW mit den passenden Rechten ein.

Die ACL-Vererbung verhält sich dabei wie unter Windows. Ein Ordner mit Modify für die Gruppe GG-Buchhaltung-RW und Read & Execute für GG-Geschaeftsleitung-RO lässt sich exakt so abbilden, wie Sie es vom Windows-Dateiserver kennen. Mehr zu unseren Storage-Projekten finden Sie auf der TrueNAS-Seite.

Troubleshooting: Kerberos-Fehler und idmap-Ranges

In der Praxis tauchen drei Fehlerbilder besonders häufig auf. Hier die typischen Ursachen und Lösungswege:

Fehler: KRB5KDC_ERR_PREAUTH_FAILED Ursache: Falsches Service-Account-Passwort oder Zeitdrift > 5 Minuten. Prüfen Sie date auf TrueNAS und w32tm /query /status auf dem DC. Stimmen die Zeitzonen?

Fehler: Failed to join domain: failed to find DC Ursache: DNS-SRV-Records werden nicht aufgelöst. Test auf der TrueNAS-Shell:

host -t SRV _ldap._tcp.dc._msdcs.firma.local
nslookup -type=SRV _kerberos._tcp.firma.local

Kommt hier keine Antwort, prüfen Sie die DNS-Server-Einträge unter Network — Global Configuration.

Fehler: AD-Benutzer werden auf SMB-Shares mit UID nobody (65534) abgebildet Ursache: Der idmap-Range deckt die RIDs der AD-Benutzer nicht ab. Samba 4.x verwendet standardmäßig den Range 100000-200000. In großen Domänen mit vielen Objekten oder migrierten SIDs reicht das nicht. Erweitern Sie unter Active Directory — Advanced Options den Bereich z. B. auf 100000-999999. Achtung: Eine nachträgliche Änderung kann bestehende ACLs unbrauchbar machen — planen Sie diesen Schritt vor dem Produktiv-Setzen.

RID-Bereich	Beispiel-Anwendung
< 1000	Built-in-Konten (Administrator, Guest)
1000-9999	Erstinstallierte AD-Objekte
10000-50000	Typische SMB-Umgebung
> 50000	Migrierte oder große Forests

Häufige Pitfalls bei Samba 4.x ID-Mapping

Über die Range-Größe hinaus gibt es weitere Klippen, die in produktiven Umgebungen Schmerzen bereiten:

• Multiple Domains / Trusts: Bei Vertrauensstellungen müssen pro Domain separate idmap-Backends konfiguriert werden. Sonst kollidieren die UID-Ranges, und Benutzer aus der Trust-Domain landen wieder bei nobody.
• RFC2307-Attribute: Wenn in der AD bereits POSIX-Attribute (uidNumber, gidNumber) gepflegt sind, sollten Sie den idmap-Backend von rid auf ad umstellen. Sonst ignoriert Samba die vorhandenen UIDs und vergibt eigene — inkonsistent zu Linux-Clients.
• Snapshots vor Range-Änderungen: Vor jeder Änderung der idmap-Range ein ZFS-Snapshot des betroffenen Datasets. Stimmen die UIDs nach dem Restart nicht mehr, helfen Sie sich mit einem zfs rollback.
• winbind use default domain = yes: Spart das FIRMA\-Präfix bei der Anmeldung, kann aber bei mehreren vertrauten Domains zu Namenskollisionen führen.

Für komplexere Setups — etwa Multi-Site mit Read-Only-DCs oder Forest-Trusts — empfehlen wir die enge Abstimmung mit dem AD-Team. Unsere Linux-Beratung deckt genau diese hybriden Umgebungen ab.

Fazit: Sauber geplant, robust im Betrieb

Ein TrueNAS-System in Active Directory einzubinden ist technisch kein Hexenwerk — vorausgesetzt, DNS, Zeit und idmap-Konfiguration sitzen von Anfang an. Investieren Sie 30 Minuten in die Vorbereitung, sparen Sie sich später stundenlange Fehlersuche bei Kerberos-Timeouts oder verlorenen Berechtigungen. Besonders die idmap-Range sollten Sie großzügig planen, denn nachträgliche Korrekturen können bestehende ACLs entwerten.

DATAZONE unterstützt Sie bei Planung, Migration und Betrieb Ihrer TrueNAS-Fileserver — vom initialen Domain-Join bis zur Integration in komplexe Multi-Site-Forests. Sprechen Sie uns an: Kontakt aufnehmen.