+49 8431 - 536737-0 info@datazone.de WhatsApp EN
Fernwartung Download starten

TrueNAS SMB Shares mit Active Directory: Dateifreigaben fuer Unternehmen

TrueNASSMBActive DirectoryStorage
TrueNAS SMB Shares mit Active Directory: Dateifreigaben fuer Unternehmen

Dateifreigaben gehoeren zu den Grundpfeilern jeder Unternehmens-IT. Ob Projektordner, Abteilungslaufwerke oder persoenliche Home-Verzeichnisse — der Zugriff muss schnell, sicher und zentral verwaltbar sein. TrueNAS mit SMB und Active-Directory-Anbindung liefert genau das: Enterprise-taugliches File Sharing auf Basis von ZFS, ohne Lizenzkosten fuer proprietaere Storage-Systeme.

Dieser Artikel zeigt, wie Sie TrueNAS in eine bestehende Active-Directory-Domaene einbinden und SMB-Freigaben mit granularen Berechtigungen einrichten.

Warum SMB mit Active Directory?

SMB (Server Message Block) ist das Standard-Protokoll fuer Dateifreigaben in Windows-Umgebungen. Ohne Active Directory muessten Sie lokale Benutzer auf dem TrueNAS-System pflegen — bei 50 oder 500 Mitarbeitern ein Albtraum. Die AD-Integration bringt entscheidende Vorteile:

  • Zentrale Benutzerverwaltung: Benutzer und Gruppen werden ausschliesslich im Active Directory gepflegt. Kein doppeltes Anlegen, kein manueller Abgleich.
  • Single Sign-On: Mitarbeiter melden sich einmal an der Domaene an und greifen ohne erneute Passworteingabe auf alle Freigaben zu.
  • Granulare ACLs: Windows-ACLs (Access Control Lists) ermoeglichen Berechtigungen bis auf Dateiebene — deutlich feiner als POSIX-Rechte.
  • Audit-Faehigkeit: Wer hat wann auf welche Datei zugegriffen? Mit AD-Integration lassen sich Zugriffe personenbezogen protokollieren.

Voraussetzungen

Bevor TrueNAS der Domaene beitreten kann, muessen drei Grundvoraussetzungen erfuellt sein:

DNS-Konfiguration

TrueNAS muss den Domain Controller ueber DNS aufloesen koennen. Tragen Sie die IP-Adresse Ihres AD-DNS-Servers als primaeren DNS-Server auf dem TrueNAS-System ein:

Network > Global Configuration
  Nameserver 1:  10.0.1.10 (Domain Controller)
  Domain:        firma.local

Pruefen Sie die Namensaufloesung vorab per Shell: nslookup firma.local muss die IP des Domain Controllers zurueckliefern. Eine fehlerhafte DNS-Konfiguration ist die haeufigste Ursache fuer fehlgeschlagene Domain Joins.

Zeitsynchronisation (NTP)

Kerberos — das Authentifizierungsprotokoll hinter Active Directory — toleriert maximal fuenf Minuten Zeitabweichung. Konfigurieren Sie TrueNAS so, dass es die Zeit vom Domain Controller bezieht:

System > General > NTP Servers
  Server:  10.0.1.10 (Domain Controller)

Domain Controller

Ein funktionierender Active-Directory-Domain-Controller mit Windows Server (2016 oder neuer) ist Voraussetzung. Das Konto, mit dem TrueNAS der Domaene beitritt, benoetigt Rechte zum Erstellen von Computer-Objekten in der Ziel-OU.

TrueNAS der Active Directory beitreten

Der Domain Join erfolgt unter Directory Services > Active Directory:

Directory Services > Active Directory
  Domain Name:    firma.local
  Domain Account: truenas-join (Dienstkonto mit Join-Rechten)
  Domain Password: ********
  Enable:         checked

Nach dem Klick auf Save tritt TrueNAS der Domaene bei. Pruefen Sie den Status unter Directory Services: Der Zustand muss Healthy anzeigen. Im Active Directory erscheint TrueNAS als Computer-Objekt in der Standard-OU Computers (oder der von Ihnen konfigurierten OU).

Wichtig: Verwenden Sie fuer den Domain Join ein dediziertes Dienstkonto — niemals ein persoenliches Admin-Konto. So bleibt der Join auch bei Passwortwechseln des Admins bestehen.

SMB-Freigaben mit ACLs einrichten

Dataset erstellen

Erstellen Sie zunaechst ein ZFS-Dataset fuer die Freigabe. Der entscheidende Punkt: Setzen Sie den Share Type auf SMB, damit TrueNAS automatisch die richtigen ACL-Einstellungen waehlt.

Storage > Pools > [Ihr Pool] > Add Dataset
  Name:        abteilung-finanzen
  Share Type:  SMB
  Case Sensitivity: Insensitive (Windows-kompatibel)

Freigabe anlegen

Sharing > Windows Shares (SMB) > Add
  Path:         /mnt/tank/abteilung-finanzen
  Name:         Finanzen
  Purpose:      Default Share
  Enable:       checked

Berechtigungen konfigurieren

Nach dem Erstellen der Freigabe setzen Sie die ACLs auf dem Dataset. Navigieren Sie zu Storage > Pools > Dataset > Edit Permissions und wechseln Sie zum ACL Manager:

Owner:         FIRMA\domain-admins
ACL Entries:
  FIRMA\GRP-Finanzen        — Full Control
  FIRMA\GRP-Finanzen-RO     — Read & Execute
  FIRMA\Domain Admins       — Full Control

Berechtigungen richtig planen: Gruppen statt Benutzer

Die wichtigste Regel fuer nachhaltige Berechtigungsstrukturen: Vergeben Sie Rechte ausschliesslich an Gruppen, niemals an einzelne Benutzer. In der Praxis bewahrt sich das AGDLP-Prinzip:

  • Account wird Mitglied einer Globalen Gruppe
  • Globale Gruppe wird Mitglied einer Domaenen-Lokalen Gruppe
  • Domaenen-Lokale Gruppe erhaelt die Permission auf der Freigabe

Wenn ein Mitarbeiter die Abteilung wechselt, aendern Sie nur die Gruppenmitgliedschaft im AD — nicht die ACLs auf dem Storage. Bei 20 Freigaben mit je drei Berechtigungsstufen macht das den Unterschied zwischen fuenf Minuten und einer Stunde Administrationsaufwand.

Home Directories: Persoenliche Laufwerke

TrueNAS unterstuetzt automatische Home Directories fuer AD-Benutzer. Aktivieren Sie die Option in der SMB-Freigabe:

Sharing > Windows Shares (SMB) > Add
  Path:         /mnt/tank/homes
  Name:         homes
  Purpose:      Home Directories
  Use as Home Share: checked

Beim ersten Zugriff legt TrueNAS automatisch ein Unterverzeichnis mit dem AD-Benutzernamen an. Per Gruppenrichtlinie (GPO) koennen Sie das Home-Laufwerk als H:\ verbinden:

User Configuration > Preferences > Windows Settings > Drive Maps
  Drive:   H:
  Path:    \\truenas\homes
  Reconnect: checked

Shadow Copies mit ZFS-Snapshots

Ein grosser Vorteil von TrueNAS: ZFS-Snapshots werden automatisch als Windows Shadow Copies bereitgestellt. Benutzer koennen geloeschte oder ueberschriebene Dateien selbst wiederherstellen — ueber Rechtsklick > Eigenschaften > Vorherige Versionen.

Konfigurieren Sie periodische Snapshots unter Tasks > Periodic Snapshot Tasks:

Dataset:      tank/abteilung-finanzen
Lifetime:     2 Wochen
Schedule:     Stuendlich (Geschaeftszeiten), taeglich (nachts)
Naming:       auto-%Y-%m-%d_%H-%M

Shadow Copies reduzieren Helpdesk-Tickets fuer Dateiwiederherstellungen drastisch und entlasten Ihr Backup-System von einzelnen Restore-Anfragen.

Performance-Tuning

SMB Multichannel

SMB Multichannel nutzt mehrere Netzwerkverbindungen parallel und steigert sowohl Durchsatz als auch Ausfallsicherheit. Voraussetzung: TrueNAS und die Clients verfuegen ueber mindestens zwei Netzwerkschnittstellen im selben Subnetz.

SMB Multichannel ist in TrueNAS SCALE standardmaessig aktiviert. Pruefen Sie auf der Client-Seite mit PowerShell:

Get-SmbMultichannelConnection -ServerName truenas

Jumbo Frames und Netzwerk

Fuer maximalen Durchsatz bei grossen Dateien:

  • MTU 9000 auf allen beteiligten Interfaces und Switches
  • Dediziertes Storage-VLAN fuer SMB-Traffic
  • 10 GbE oder schneller — bei 50+ gleichzeitigen Benutzern ist 1 GbE ein Flaschenhals

Haeufige Probleme beim AD Join

  • DNS-Aufloesung fehlerhaft: TrueNAS kann den Domain Controller nicht finden. Pruefen Sie nslookup und stellen Sie sicher, dass der AD-DNS-Server als primaerer DNS konfiguriert ist.
  • Zeitabweichung zu gross: Kerberos verweigert die Authentifizierung bei mehr als fuenf Minuten Differenz. NTP auf den Domain Controller setzen und Synchronisation pruefen.
  • Falsches Konto oder fehlende Rechte: Das Join-Konto braucht die Berechtigung, Computer-Objekte in der Ziel-OU zu erstellen. Ein normales Benutzerkonto reicht nicht aus.
  • Reverse-DNS fehlt: Manche AD-Konfigurationen erfordern einen funktionierenden PTR-Record fuer die TrueNAS-IP. Legen Sie den Eintrag in der Reverse-Lookup-Zone an.
  • SMB-Dienst startet nicht: Nach dem Domain Join muss der SMB-Dienst unter Services aktiv und auf Auto-Start gesetzt sein.

Monitoring mit DATAZONE Control

Dateifreigaben sind geschaeftskritisch — ein Ausfall bedeutet sofortigen Produktivitaetsverlust. Mit DATAZONE Control ueberwachen wir die gesamte SMB-Infrastruktur:

  • Freigabe-Verfuegbarkeit: SMB-Dienststatus und AD-Verbindungszustand
  • Storage-Kapazitaet: Dataset-Belegung, Snapshot-Verbrauch, Pool-Auslastung
  • Performance-Metriken: IOPS, Durchsatz, Latenz auf den SMB-Shares
  • ZFS-Gesundheit: Scrub-Status, Checksum-Fehler, Disk-SMART-Werte

Schwellenwert-basierte Alarme warnen fruehzeitig — bevor ein volles Dataset den Zugriff fuer die gesamte Abteilung blockiert.

Fazit

TrueNAS mit Active-Directory-Anbindung liefert Enterprise-File-Sharing ohne Enterprise-Preise. SMB-Freigaben mit Windows-ACLs, automatische Home Directories, Shadow Copies durch ZFS-Snapshots und SMB Multichannel fuer Performance — das sind Funktionen, die sonst nur in teuren proprietaeren Systemen zu finden sind.

Der Schluessel liegt in der Vorbereitung: DNS und NTP muessen stimmen, Berechtigungen gehoeren auf Gruppen und nicht auf Benutzer, und ohne Monitoring wird aus einer kleinen Stoerung schnell ein grosses Problem.

Sie moechten TrueNAS als zentrale Dateifreigabe in Ihrer Active-Directory-Umgebung einsetzen? Kontaktieren Sie uns — wir planen und implementieren Ihre SMB-Infrastruktur von der AD-Integration bis zum Monitoring.

Mehr zu diesen Themen:

TrueNAS Enterprise Storage

Weitere Artikel

Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept

Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.

TrueNAS mit MCP: KI-gestützte NAS-Verwaltung per natürlicher Sprache

TrueNAS mit MCP (Model Context Protocol) verbinden: KI-Assistenten für NAS-Verwaltung, Status-Abfragen, Snapshot-Erstellung per Chat, Sicherheitsaspekte und Zukunftsausblick.

ZFS SLOG und Special VDEV: Sync Writes beschleunigen und Metadaten optimieren

ZFS SLOG (Separate Intent Log) und Special VDEV erklärt: Sync Writes beschleunigen, SLOG-Sizing, Special VDEV für Metadaten, Hardware-Auswahl mit Optane und Risiken bei Ausfall.

Zurück zur Übersicht

IT-Beratung gewünscht?

Kontaktieren Sie uns für eine unverbindliche Beratung zu Proxmox, OPNsense, TrueNAS und mehr.

Jetzt Kontakt aufnehmen