6.1 RC; Active Directory Server einrichten

[Havusilta]

Ja!

Also ein Ticket aufmachen. Das Produkt muss noch reifen

Antwort von Syno:

It's an expected behavior to prevent your DSM cannot connect to the internet.

If you'd like to prevent this situation, please follow the instruction below:

Stop AD Server.
Assign the DNS Server as DSM itself.
Set up DNS forwarder.
Run AD Server.
*
Also sie wollen immer einen Forwarder. Warum ist mir ein Rätsel. Der DNS von Syno ist ja ein vollwertiger DNS Server (Bind). Eine Anfrage an einen Provider weiterzureichen der meistens auch nur einen BIN hat macht ja nicht viel Sinn und wenn der eigene nicht mehr geht ist ja meistens ein Netzwerkproblem vorhanden. Sich selber als Forwarder einzutragen geht.

 

[dougi]

Irgendwelche Tipps?

AD neu gestartet, schon geht's.

Beta halt würde ich sagen

 

[Havusilta]

Also auch nach dem letzten DNS update funktioniert der automatische dynamic DNS update immer noch nicht. Dafür habe ich eine Menge 'update-security' update xxx.xxx.xxx denied im DNS Logfile. Haben das andere auch?

 

[guwen]

Ja, das Problem habe ich auch: update-security client 192.168.x.yz # 49446: update 'BlaBla' denied

 

[Havusilta]

Super, bin nicht alleine. Vor 1 Stunde kam eben die DSM Version 6.1.1. Habe die installiert, zuerst auf der 2. Syno und dann auf dem AD Sysno. Haben beide problemlos funktioniert. Kurz danach kam die Meldung, dass es eine neue Active Directory Version gibt. Habe die auch installiert (IST NUN KEINE BETA MEHR) und nun bin ich gespannt was nun besser geht (oder nicht mehr).
Habe noch 2 Tickets offen.
1. Ticket: Habe eine 2. Syno als Domain Member an der ersten Syno (wo die AD ist) angehängt. Dort kann man nun Domainüberprüfen auswählen. Wenn man das macht, kommen einige Fehlermeldungen. Habe das gemeldet.
2. Ticket: Siehe oben, Problem mit dem DNS.
Melde mich wieder.

 

[Havusilta]

Super, bin nicht alleine. Vor 1 Stunde kam eben die DSM Version 6.1.1. Habe die installiert, zuerst auf der 2. Syno und dann auf dem AD Sysno. Haben beide problemlos funktioniert. Kurz danach kam die Meldung, dass es eine neue Active Directory Version gibt. Habe die auch installiert (IST NUN KEINE BETA MEHR) und nun bin ich gespannt was nun besser geht (oder nicht mehr).
Habe noch 2 Tickets offen.
1. Ticket: Habe eine 2. Syno als Domain Member an der ersten Syno (wo die AD ist) angehängt. Dort kann man nun Domainüberprüfen auswählen. Wenn man das macht, kommen einige Fehlermeldungen. Habe das gemeldet.
2. Ticket: Siehe oben, Problem mit dem DNS.
Melde mich wieder.

Dafür haben die User nun keine Berechtigung mehr auf das Netlogon und das Sysvol!! Das heisst das Logon Script geht nicht mehr. Finde das nicht lüstig.

 

[AndiHeitzer]

Dafür haben die User nun keine Berechtigung mehr auf das Netlogon und das Sysvol!! Das heisst das Logon Script geht nicht mehr. Finde das nicht lüstig.

Als ich vom WIN-Server auf die DS umgestiegen bin, durfte das Verzeichnis nicht mehr NETLOGOGN heissen, sonder ich benannte das in N-LOGON um, und schon lief das Ganze wieder.
Auch heute noch nutze ich das Thema AD und so nicht ...
Vielleicht hilft das?

 

[dany]

Hallo Zusammen

Ich teste gerade das AD auf einer ds716+ und bin recht erstaunt wie gut sie läuft. Sogar das replizieren auf ein Raspbery Pi funktioniert tadellos. Sobald ich kann werde ich einen Wikibeitrag verfassen, sofern gewünscht.
Beim Replizieren hatte ich vor allem mit dem DNS zu kämpfen.

Das Problem mit den SYSVOL und NETLOGON hatte ich auch, mittels samba-tools konnte ich wieder drauf zugreifen.

Probier mal:

samba-tool ntacl sysvolreset

Gruss Dany

 

[guwen]

Hallo Dany,
da auch ich nicht mehr auf SYSVOL und NETLOGON zugreifen kann habe ich

samba-tool ntacl sysvolreset

ausprobiert.

Daraufhin habe ich 34x folgende Meldung direkt untereinander geschrieben bekommen: We Support connectpath is /volumeX/share, but we get /

Irgendeine Idee was das bedeutet?

Aber zumindest kann ich nun wieder auf SYSVOL und NETLOGON zugreifen.
Gibt es so etwas auch für das user home?

Apropos, was mir dazu noch einfällt, wie sieht denn eure smb.conf in /volumeX/@appstore/ActiveDirectoryServer/private aus?
habe mal zur smb.conf gegooglet und gefunden, dass hier (normalerweise) auch der Eintrag für [home] steht. Bei mir aber nicht, obwohl user home im DSM angeklickt ist.
Kann mal bitte jemand schauen, ob das bei euch so ist, und wie der Eintrag aussieht.
Bei mir stehen nur die folgenden Einträge:
[global]
tls enabled = yes
tls keyfile = /usr/local/etc/certificate/ActiveDirectoryServer/ldaps/privkey.pem
tls certfile = /usr/local/etc/certificate/ActiveDirectoryServer/ldaps/cert.pem
tls cafile = /usr/local/etc/certificate/ActiveDirectoryServer/ldaps/syno-ca-cert.pem
include=/var/tmp/nginx/smb.netbios.aliases.conf
server services=s3fs,rpc,nbt,wrepl,ldap,cldap,kdc,drepl,winbind,ntp_signd,kcc,dnsupdate
min protocol=SMB2_10
realm=MEINEDOMAIN.LOCAL
netbios name=SYNO-RS
private dir=/var/packages/ActiveDirectoryServer/target/private
server role=active directory domain controller
wins server=192.168.0.43
max protocol=SMB3
workgroup=MEINEDOMAIN
[netlogon]
read only = No
path = /var/packages/ActiveDirectoryServer/target/private/sysvol/wdt.de/scripts
[sysvol]
read only = No
path = /var/packages/ActiveDirectoryServer/target/private/sysvol

Danke

 

[Havusilta]

Hallo zusammen
Danke Dany für die Info und zu Guwen, nein ich habe auch keinen 'Home' Eintrag im smb.conf.

Noch eine Frage: Hat jemand eine Lösung für das Dynamic Update Problem gefunden? Bei mir können sich Windows Client nicht im DNS eintragen, es gibt jedesmal einen 'update-security update xxx.xxx.xxx denied' Eintrag im DNS Logfile.

Eigentlich sollte das seit dem letzten AD Update funktioniere. Vieleicht nur bei neuinstallationen??

 

[maulsim]

Ich nutze aktuell noch den Directory Server (LDAP) und überlege umzustellen.
Gibt es irgend eine Möglichkeit die Benutzeraccounts zu übertragen?
Wenn nicht und ich alle Accounts neu anlegen müsste, wie schaut es aus mit den Daten aus den Paketen Office, Note Station, Calendar? Diese lassen sich ja nur über HyperBackup sichern?
Hat damit jemand Erfahrungen?

 

[Dave DrinkALot]

Hallo,

ich habe das 'update-security update XXX.XXX.XXX.XXX denied' Problem auch,
obwohl ich nach dem letzten Update neu installiert habe.

Ich habe außerdem noch ein Problem:
Der Radius-Server verliert bei jedem Neustart oder Backup des AD die Einstellung, dass Domainuser authentifiziert werden dürfen.

Ich vermute, dass Radius diese Einstellung löscht, weil der Radius Server die AD nicht findet, weil Radius zuerst startet, bzw. AD während des Backup deaktiviert ist.
Ich habe dazu ein Ticket bei Synology auf gemacht.

Hat außer mir noch jemand ein solches Verhalten festgestellt?

 

[CS407Rudi]

@MikeDeltaHH

so, hatte Zeit zum testen..... hat gestimmt ertmal ca. 70 mbyte/s
habe danach (SMB 3.0 war ja schon eingestellt) mindest SMB auf 2.0 mit large files gestellt und signierung abgeschaltet dach SMB2.0 lease unter erweitert gesetzt....
und siehe da:

Hallo:

Nach der Active Directory Server Installation und dem Anlegen einer Domäne ist bei mir der Netzwerkverkehr von SMB gemappten Laufwerken von ehemals über 100Mbyte/s auf 30Mbyte/s zusammengebrochen. Was macht der Active Directory Server beim Anlegen einer Domäne kaputt? Habe die EInstellungen von Zyklone gesetzt außer das Abschalten der Signierung. Die EInstellung scheint es nicht mehr zu geben oder habe ich Tomaten auf den Augen?
Domäne gelöscht, alles ok. FTP Freigaben und iSCSCI Laufwerke sind nicht betroffen, nur SMB gemappte Laufwerke.
kleine Hilfe wäre nett

LG Rüdi

 

[hannesm]

Hi
ich hab hier noch einen alten SBS 2008 Server der getauscht gehört - jetzt ist es so, dass ich Mail in die Cloud stelle und mein Server dann nur noch FileServer ist (30 User mit 35 GB Daten - nur Dokumente und so was) - unsere Warenwirtschaft läuft auf einem eigenen Server und hat mit SBS nichts zu tun

ich denke nun, dass ich bei einer NAS besser aufgehoben bin (wir haben auch schon eine für Fotos) - was meint ihr?

wie bekomme ich die Clients am einfachsten auf die neue AD?

Danke für die Hilfe

 

[maulsim]

Ich habe da jetzt keinen guten Vorschlag für dich hannesm, aber ich kann sagen, dass ich bezüglich der Migration wie ich es in meinem Post weiter oben (http://www.synology-forum.de/showth...richten/page18&p=713653&viewfull=1#post713653) beschrieben habe mal bei Synology angefragt habe. Eine Migration ist da nicht möglich, man arbeite aber an einer Lösung, da Ihnen das umständliche bekannt ist.
Ich warte noch auf eine Antwort ob da bereits ein Zeitpunkt absehbar ist.

Vielleicht gibt es für Windows AD zu Synology AD aber andere Möglichkeiten, das weiß ich nicht. Gegebenenfalls über das RSAT?

 

[mspa]

Hast du neuigkeiten für uns was die migrantion von Directory auf AD betrifft?

 

[maulsim]

Gibt leider keine Informationen bezüglich eines Termins. Der Typ vom Support meinte da gibt es keine Rückmeldungen zu von den Entwicklern...
Es bleibt lediglich die Variante; Accounts im AD neu anlegen und alle Daten manuell transferieren.
Daten transferieren ist bei den Daten die in den Shared Folders liegen simpel (natürlich etwas Arbeit bei den Home-Ordnern - dafür ließe sich bei einer großen Umgebung aber sicher ein Skript schreiben) - aber bei den Daten aus NoteStation etc. hat man einen sehr aufwendigen Weg vor sich:
Da muss man sich in jeden der alten Accounts einloggen, die Daten exportieren und in den jeweiligen neuen Account importieren. Das ganze muss dann für alles was auf Datenbankbasis läuft machen - Office, NoteStation, Calendar, Chat(?).

Ich habe mal in einer Testumgebung experimentiert und versucht die Datenbank von NoteStation zu manipulieren, ich bin aber gescheitert. Ich habe in den .db Dateien zwar die User-IDs geändert, alle Ordner umbenannt und auch die json Dateien manipuliert - aber irgendwie hat das alles nicht funktioniert. Vielleicht habe ich da auch noch was übersehen.

Also gibt es momentan keinen simplen Weg. Das nervigste Problem ist in meiner Umgebung nicht das Neuanlegen der Accounts und transferieren der Home-Ordner - das ist bei meiner Benutzerzahl relativ schnell machbar. Aber jeden Account zu kapern und den kram zu exportieren und anschließend importieren finde ich doof - vor allem sind das ja irgendwo auch die Daten der anderen Benutzer. Natürlich könnte man jeden Benutzer auffordern seine Daten selbst zu exportieren und importieren - aber das geht mit Sicherheit auch bei irgendwem schief...

 

[coolius]

Ich habe vor ein paar Woche erfolgreich auf AD gewechselt und es klappt auch alles soweit. Aber beim Bereitstellen von Updates meint meine Syno nun:

Ihr DNS-Server verweist derzeit auf die IP-Adresse Ihrer DiskStation. Um mögliche Netzwerkprobleme nach der Aktualisierung von DSM zu vermeiden, können Sie unter Systemsteuerung > Netzwerk einen anderen, alternativen DNS-Server eingeben.

gefolgt von

DSM automatische Aktualisierung wird abgebrochen

Ich kann das Update zwar manuell ausführen 6.1.1 U4->6.1.2, aber ich fände es schon wenn die Sicherheitsupdates automatisch eingespielt werden. Wenn ich AD habe, bleibt mir ja nichts anderes übrig als den DNS auf der Syno zu betreiben (ich stelle ja nicht extra noch nen separaten DNS Server in mein Netz).

Kann man die Syno irgenwo dazu zwingen automatisch zu updaten?

 

[maulsim]

Also ich bin generell kein Freund von automatischen Updates, da ja doch manchmal ein Update von Synology zurückgezogen wird.
Aber kannst du nicht einfach deinen Router als zweiten DNS Server eintragen?

 

[coolius]

Der DNS Eintrag ist nicht mutierbar in der Systemsteuerung. Es ist ein Verweis auf Domäne/LDAP angegeben.

Dort ist das Feld DNS zwar weiss, aber trotzdem nicht editierbar wie alle Domänenparameter.

Beim DNS kann man zwei DNS Forwarder angeben, da habe ich meinen Router angegeben und somit keine Probleme.

Das Update hat zwar recht, wenn der DNS nachher nicht mehr funktiniert, dann ist auch das Internet tot, aber das wäre es auch, wenn man manuell updated.