Directory Server Kein Beitritt zu Synology Directory Server Domäne möglich

[1hase]

Guten Tag, ich habe den Synology Directory Server und DNS gemäß im Internet kursierender Beschreibungen installiert, kann aber kein weiteres NAS als sekundären Domaincontroller hinzufügen. Auch Windows 11-PC's können der Domäne nicht beitreten. Offenbar schlägt in beiden Fällen die Authentifizierung fehl.

Infos zum Setup:

• NAS03 (192.168.100.103 fixed) - DSM 7.2.2-72806 Update 2 @ DS923+
• NAS02 (192.168.100.102 fixed) - DSM 7.1.1-42962 Update 7 @ DS216+II
• fritz.box (192.168.100.1 fixed) - FritzOS 7.57 @Fritzbox7590
• PC04 (192.168.100.65 dynamisch) - PC Windows 11 neuester Patchstand, i5, 16GB RAM

Zuerst habe ich den DNS Server auf NAS03 aufgesetzt:

• DNS-Server im Paket-Zentrum installiert und aufgerufen
• Auflösung > Auflösungsdienste aktiveren angehakt und Forwarder 1 auf IP der fritz.box gesetzt
• Zonen > Erstellen > Primäre Zone
  • Forward Zone
  • Domain Name: DP.LOCAL
  • Primärer DNS-Server: 192.168.100.103
  • Alles andere unverändert
• Die Zone hat 2 Einträge
  • DP.LOCAL. NS 86400 ns.DP.LOCAL
  • ns.DP.LOCAL A 86400 192.168.100.103

Dann habe ich den Synology Directory Server auf NAS03 installiert:

• Synology Directory-Server im Paket-Zentrum installiert und aufgerufen
• Eine Domain erstellen
  • Domainname: DP.LOCAL
  • Arbeitsgruppe: DP
  • Name: Administrator
  • Passwort: 13 Stellen, Groß- und Kleinbuchstaben, Zahlen (nicht am Anfang), keine Sonderzeichen
• Hinweis erscheint:
  • Einstellungen von Synology DNS-Server kontrollieren
  • Es gibt einen Konflikt zwischen dem DSM-Hostnamen und einem Namen einer DNS-Zone
  • Es gibt einen Konflikt zwischen dem eingegebenen Domainnamen und einem vorhandenen Zonennamen in DNS Server.
  • Öffnen Sie das Paket DNS Server und kontrollieren Sie, ob die DNS-Zone mit Konflikten noch benötigt wird. Wenn die Zone nicht mehr benötigt wird, können Sie den Vorgang fortsetzen und die vorhandene Zone wird entsprechend deaktiviert.
• Die Domain wird dann erstellt. Der vorhandene Zoneneintrag (DP.LOCAL) wird deaktiviert, es werden folgende Zonen angelegt und aktiviert:
  • dp.local@Active Directory - Domain dp.local - primär - aktiviert
  • _msdcs.dp.local@Active Directory - Domain _msdcs.dp.local - primär - aktiviert

Versuch, NAS02 in die Domäne einzubinden:

• Synology Directory-Server im Paket-Zentrum installiert und aufgerufen
• Domain-Controller zu vorhand. Domain hinzufügen
  • Domainname: DP.LOCAL
  • DNS-Server: 192.168.100.103
  • Konto: DP\Administrator
• Ergebnis:
  • DSM-Einstellungen kontrollieren: bestanden
  • DNS überprüfen: bestanden
  • Einstellungen von Synology DNS Server kontrollieren: bestanden
  • Domaindienst prüfen: Benutzername oder Kennwort falsch

Versuch, PC04 in die Domäne einzubinden:

• Systemsteuerung > System > Info > Domäne oder Arbeitsgruppe > Ändern
  • Computername: PC04
  • Domäne: DP.LOCAL
  • Benutzername: DP\Administrator
• Ergebnis:
  • Der Mitgliedschaftsvorgang ist fehlgeschlagen. Mögliche Ursache hierfür könnte sein, dass ein vorhandenes Computerkonto namens "PC04" zuvor mit anderen Anmeldeinformationen erstellt wurde. Verwenden Sie einen anderen Computernamen, oder wenden Sie sich an den Administrator, um sämtliche veralteten in Konflikt stehenden Konten zu entfernen. Fehler: Zugriff verweigert

Anmerkungen:

• Ich habe es auch schon mit anderen Domainnamen, Passwörtern versucht.
• Ich habe auch schon versucht, die DNS-Zone zuvor nicht anzulegen.
• Ich habe es mit anderen Diskstations und PC's versucht, es ist immer das Gleiche.
• Es fühlt sich so an, als ob NAS03 (DNS, Synology Directory Server) nicht richtig eingestellt ist und deshalb kein System in die Domäne rein kann.

Ich würde mich über jeden Ratschlag sehr freuen und bedanke mich im Voraus für jegliche Unterstützung.

 

[maxblank]

DNS prüfen! Stichwort: Reverse- und auch Forward-Lookup-Zone

 

[1hase]

Hallo maxblank, danke für Deine prompte Reaktion. Das Setup von Synology Directory Server hat in den beiden beschriebenen Zonen (siehe #1) tonnenweise Einträge gemacht, welche ich teilweise nicht interpretieren kann. Worauf genau soll ich achten? Oder was kann ich posten, damit Du den Fehler sehen kannst?

 

[Adama]

@1hase Du solltest übrigens nicht .local als TLD benutzen, die wird u.a. von Apple Bonjour genutzt:
https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_an_Invalid_TLD

Diesen Wiki-Artikel solltest du dir mal durchlesen, was das Benennen von AD-Domänen angeht:
https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ

Der erste Link ist ein Unterteil dieses Artikels.

Der Synology Directory Server ist nichts anderes als ein Samba AD DC.

Die Einträge, die das Setup des Directory Servers anlegt, sind u.a. nichts anderes als die Verwaltungs-Einträge eines ADs, welches massiv auf DNS setzt. Anders gesagt, ohne DNS arbeitet ein AD nicht.

 

[NSFH]

Da du nicht genau beschreibst, wie du den Member Server einbinden wolltest hier ein Link zum Admin HB von Synology.
Ich kann dir nur sagen, dass ich sowas mehrfach am laufen habe und sowohl Installation als auch Betrieb (über zwei lokal getrennte Liegenschaften) funktioniert problemlos.
https://global.download.synology.co...AdminGuide_SynologyDirectoryServer4_4_ger.pdf

 

[1hase]

@1hase Du solltest übrigens nicht .local als TLD benutzen, die wird u.a. von Apple Bonjour genutzt:
https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_an_Invalid_TLD

Diesen Wiki-Artikel solltest du dir mal durchlesen, was das Benennen von AD-Domänen angeht:
https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ

Hallo Adama,

vielen Dank für den Input. Ich habe eine offizielle Domain, nennen wir sie mydomain.tld. Ich nehme als Domain für meinen Synology Directory Server nun int.mydomain.tld und als Netbios-Name mydomain. Bonjour ist bei mir als bekennendem Apple-Gegner zwar kein Thema, aber man kann die Sachen ja trotzdem sauber aufsetzen.

Eine Veränderung bei der Aufnahme des zweiten NAS oder des PC's ergab sich daraus leider nicht. Ich checke nun den Hinweis von NSFH.

Viele Grüße


Stefan

 

[1hase]

Da du nicht genau beschreibst, wie du den Member Server einbinden wolltest hier ein Link zum Admin HB von Synology.
Ich kann dir nur sagen, dass ich sowas mehrfach am laufen habe und sowohl Installation als auch Betrieb (über zwei lokal getrennte Liegenschaften) funktioniert problemlos.
https://global.download.synology.co...AdminGuide_SynologyDirectoryServer4_4_ger.pdf

Hallo NSFH,

leider weiß ich nicht, was Du damit meinst, wenn Du schreibst...

Da du nicht genau beschreibst, wie du den Member Server einbinden wolltest

Ich habe alles beschrieben, was man in den Dialogen sehen und auswählen konnte, mehr ist da nicht.

Ich habe mir das Handbuch angeschaut und bis Seite 7 (Kennworteinschränkungen) kann ich dem folgen und alles, was ich gemacht habe, passt zum Handbuch. Ab dann ist es auf meinem System anders, vermutlich ist das Handbuch veraltet. SMB-Signatur finde ich so nicht, die Domaininformationen enthalten nicht die zu prüfende Info. Das Szenario auf Seite 8 (IP-Adresse DC bearbeiten) trifft auf mich nicht zu, Die Hinweise auf den Seite 9 und 10 habe ich immer beachtet. Die FW ist bei mir aktiv, hat aber keine Regeln (Seiten 11-13). Kapitel 3 überspringe ich, das es m.E. keinen Sinn macht, die Domain auszuarbeiten, wenn man noch nicht einmal Systeme (NAS, PC) hinzufügen kann.

Seite 36: DNS-Einstellung korrekt (war schon vorher so) und Seite 37 die Domäne int.mydomain.tld angegeben. Hier haben wir nun eine Verschlimmbesserung, denn es kann keine Verbindung zum Domänencontroller hergestellt werden. Das ging bei den vorherigen Versuchen immer. Ob das am neuen Domainnamen liegt? --> Anmerkung: der PC hat WIndows 11 Professional.

Ich habe nun den Domainbeitritt des zweiten NAS versucht, wie auf Seite 38 beschrieben. (Vorher habe ich das wie beschrieben in #1 mit dem Directory Paket versucht) Allerdings passt das Handbuch auch hier nicht näherungsweise zu den Masken im System Der Assistent gibt Folgendes aus:
- DNS-Einträge überprüfen: Alle DNS-Einträge sind korrekt (grün)
- Netzwerk überprüfen: Abgeschlossen, 1 kleineres Problem erkannt, Der Hostname des Gerätes ist in der Domain bereits vorhanden. (Orange) Details: Es gibt einen Konflikt zwischen dem Hostnamen dieses Gerätes und einem vorhandenen Gerät in der Domain. Wenn Sie der Domain beitreten, wird das Gerät (109.237.140.20) mit demselben Hostnamen aus der Domain entfernt. --> Anmerkung: solche IP's kenne ich bei mir nicht. Deshalb: Trotzdem überspringen.
- Domaindienst überprüfen: 1 kritisches Problem erkannt. Klicken Sie auf die Schaltfläche "Details", um dieses zu beheben, bevor Sie fortfahren. (rot) Details: Domain-Controller antworten nicht. Kontrollieren Sie, ob alle Domainnamen (z.B. die IP-Adresse des DNS-Servers) korrekt eingegeben wurden. Geben Sie die IP-Adresse des Domain-Controllers (DC IP) an, der über eine einwandfreie Netzwerkverbindung verfügt. --> Anmerkung: er zeigt die korrekte und alle anderen Dienste des Servers sind erreichbar/funktionieren.
Die restlichen Schritte werden dann nicht ausgeführt.

Der DNS auf dem DC protokolliert nichts, der Directory Server auch nicht. Wenn ich auf dem DC in der Systemsteuerung, Domain/LDAP den Test laufen lasse, erhalte ich:
- DNS-Einträge überprüfen: Alle DNS-Einträge sind korrekt (grün)
- Netzwerk überprüfen: Netzwerkeinstellungen sind normal (grün)
- Domaindienst überprüfen: 1 kritisches Problem erkannt. Zugriff auf lokale Dienste nicht möglich (rot) Details: Zugriff auf lokale Dienste mit dem Computerkonto dieses Synology NAS nicht möglich. Die RPC-Verbindung zwischen Synology NAS und Domain-Controller ist möglicherweise verloren geangen. Versuchen Sie eine der folgenden Lösungen: 1. Überprüfen Sie die Protokolle des Domain-Controllers auf spezifische Verbindungsfehler und ermitteln Sie den Dienststatus des Domain-Controllers mit entsprechenden Diagnosetools. 2. Geben Sie eine verbundene Domain-Controller-IP-Adresse (DC IP) an, um ein ordnungsgemäßes Authentifizierungsverhalten zu gewährleisten. --> Anmerkung: Protokoll protokolliert nichts (s.o.); die IP-Adresse ist leer, man kann eine eintragen, bringt aber nichts.
- Domainfunktionalität überprüfen: Alle Domaindienste funktionieren einwandfrei (grün)

Offenbar ist hier etwas grundsätzlich krumm. Dabei habe ich die Maschinen neu aufgesetzt und dabei nichts verbastelt. DNS und Directory-Server wurden mit den defaults installiert, mal abgesehen von Domain-Name und IP-Adressen.

Da ich hier nicht wirklich etwas manuell eingestellt/angepasst habe, frage ich mich, was ich hier falsch gemacht heben kann.

Viele Grüße

Stefan

 

[1hase]

Wenn jemand hier im Forum bereit wäre, sich das mal remote (Teams Session) anzuschauen, wäre das klasse. Für Unterstützung, welche mich dem Ziel erkennbar näher bringt oder das Problem sogar löst, würde ich mich auch erkenntlich zeigen.