von Domäne Client kein Zugriff auf NAS

[brandenburg3]

Ich habe eine Synology Rackstation, Firmwareupdate durchgeführt, Raid erstellt, Freigabeordner erstellt, verschiedene Benutzer für verschiedene Ordner erstellt.

Wenn ich von einem PC der in keiner Domäne ist nun auf die Freigaben zugreifen will, kommt ein Anmeldebildschirm und die angelegten Nutzer funktionieren.

Wenn ich von einem Client zugreifen möchte, der sich in einer Domäne befindet, kommt auch ein Anmeldefenster aber es steht direkt der Domänename dabei und der LogIn schlägt fehl.
\\NAS-IP\Freigabeorder habe ich bei beiden Clients verwendet.

Wenn ich beim Anmeldename .\Benutzer eingebe, nimmt er zwar den Domänenamen weg, setzt dafür die lokalen Computernamen.

Ich habe noch eine andere NAS von einem anderen Hersteller. Wenn ich dort \\NAS-IP\Freigabeordner eingebe, setzt er vom Domäneclient nicht die Domäne vor dem Benutzer,
daher vermute ich eine Einstellung auf der Synology NAS.

Ich habe beide NAS Systeme verglichen soweit möglich.
Ich habe auf beiden SMB aktiviert und Netzwerkerkennung, sonst nichts.
Wenn ich SMB auf der Synology deaktiviere, kommt nicht Mal das Anmeldefenster, sondern die Meldung dass der Netzwerkpfad nicht gefunden wurde.

 

[Philipp06]

Heyho!

Du musst das bei Domänenclients so schreiben:
Servername: Testserver
Adresse: \\Testserver\testbenutzer

Dann klappt's

MfG
Philipp

 

[plang.pl]

Hi
Hast du es dennoch mal mit .\User oder mit SERVERNAME\User (als Benutzername) versucht?
Dass Windows dort automatisch Domänenbenutzer verwendet, ist keine NAS-Einstellung, sondern ein Standardverhalten von Windows. Bei dem anderen NAS wird er das wahrscheinlich nur nicht tun, weil du dich dort schon mal lokal angemeldet hast.

SMB ist für den Dateizugriff da, wenn du das ausmachst, kannst du via Explorer nicht mehr zugreifen.

 

[brandenburg3]

Das ich \\Nas-IP\Nasbenutzer eingeben soll, leuchtet mir nicht ein, trotzdem getestet ohne erfolg.

Ich habe .\Nasbenutzer und Nas-Ip\Nasbenutzer als Benutzername probiert, kommt trotzdem falsche Benutzerdaten als Meldung.

Mittlerweile habe ich das Problem dass ich die NAS nur noch pingen kann.
Wenn versuche auf ein Freigabeordner zuzugreifen, kommt kein Anmeldefenster mehr, nur die Meldung dass der Pfad ungültig ist.
PC und NAS neugestartet, bringt nichts.
Im SMB Menü auf zurücksetzen gedrückt, bringt auch nichts.

Ein Reset Button finde ich bei der Rackstation weder vorne noch hinten.
In der Nasadministration finde ich nur Werkseinstellung, wobei aber auch alle Daten auf dem Speicher gelöscht werden.

Das es bei der anderen NAS ohne Probleme funktioniert, sollte nicht wie vermutet an vergangenen Zugängen liegen, da der Admin Client frisch aufgesetzt ist und zu beiden NAS Systemen bisher keine Verbindung bestand.

 

[Philipp06]

Vielleicht wegen zu vielen falschen Anmeldeversuchen ausgesperrt?

 

[brandenburg3]

Vielleicht wegen zu vielen falschen Anmeldeversuchen ausgesperrt?

Nein nicht gesperrt.

 

[Philipp06]

Was sagt das DiskStation Log und was das Windows Log?

Eventueller Passwortfehler?

Kleine Korrektur für oben: Sorry, habe mich verschrieben. Meinte natürlich Nas-Ip\benutzername.

Mal sehen, was das Log sagt... Andere Ideen habe ich nämlich momentan nicht.

 

[plang.pl]

Bei meinen Kunden funktionierte das eigentlich immer mit .\User. Denn dabei handelt es sich um kein Domain-Konto. Auch wenn da im Anmeldefenster dann erscheint, dass man sich mit dem Konto vom PC anmeldet. Wenn das nicht funktionierte, ging es spätestens mit SERVER-NAME\User. Da das bei dir auch nicht klappt, würde ich ebenfalls auf eine Sperre wegen zu vielen Anmeldeversuchen tippen (Systemsteuerung->Sicherheit->Konto und Systemsteuerung->Sicherheit->Schutz).
EDIT: Zusätzlich wie gesagt Logs prüfen und den Client mal neu starten. Zudem die Anmeldedaten aus der Anmeldeinformationsverwaltung (Windows) löschen.

 

[brandenburg3]

Da die NAS genug Netzwerkschnittstellen hat, habe ich noch ein zusätzliches Interface in einem anderen Netz zum Testen konfiguriert.
Macht aber kein Unterschied (Bild im Anhang). Ich komme auf die Weboberfläche, Ping geht durch, aber kein Netzlaufwerk. Vll. bin ich heute auch schon blind, aber das seht ihr dann auf dem Bild.

Es wird von der NAS nichts gesperrt, habe die Autosperre nun auch deaktiviert. Passwortfehler ausgeschlossen, weil ich dass heute schon mindestens 20 Mal auf dem Standalone eingegeben habe wo es funktioniert. Zusätzlich habe ich noch ein Script zum Verbinden der Netzlaufwerke. Auch das funktioniert auf dem Standalone.

Während ich vom Domäneclient nun nicht Mal mehr eine Passwortabfrage bekomme (wie im Bild zu sehen), gibt mir mein Script aber zumindest noch die Meldung zurück, dass die Anmeldedaten nicht korrekt sind.
Die Meldung sehe ich auch im Log der NAS:
User....... from IP..... failed to log in via [SMB] due to [NTLMv1 not permitted].

Ich vermute das bei dem Skript auch automatisch die Domäne irgendwie davor geschoben wird.
Das Script funktioniert mit der alten NAS (welche die gleiche IP hatte) und funktioniert auch mit der neuen NAS wenn ich es von einem Standalone ausführe.

Ich habe nun auch schon mehrere Domäneclients und Server getestet um mir die Neustarts zu sparen. Irgendwas in der Anmeldeinformationsverwaltung brauch ich damit auch nicht gucken.

 

[plang.pl]

Die Meldung besagt, dass sich der Client mit NTLMv1 anmelden will.
Aktiviere doch mal testweise das hier:

 

[Benares]

User....... from IP..... failed to log in via [SMB] due to [NTLMv1 not permitted].

Die Meldung ist ja relativ eindeutig. Der Client versucht sich über SMB1/NTLMv1 zu verbinden, was auf dem NAS nicht freigeschaltet ist - gut so.
Bleibt aber die Frage, wieso er es so versucht. Ich würde nicht einfach SMB1/NTLMv1 NAS-seitig einschalten, sondern erstmal untersuchen, wieso der Client sowas macht.

Wenn das ein Windows-Client ist, würde ich erstmal schauen, ob dort noch SMB1 aktiv ist. Das braucht kein Mensch mehr.

 

[plang.pl]

Unter Windows 10/11 kann man in der Systemsteuerung unter "Programme und Features" und links unter "Windows-Features aktivieren oder deaktivieren" SMB1.0 komplett entfernen (was auch standardmäßig der Fall sein sollte.).

 

[brandenburg3]

IT ist mies. In meinem nächsten Leben mache ich was anderes, Steine sammeln oder so.

Ich habe NTLMv1 aktiviert. Danach kam ich über den Explorer immer noch nicht drauf. Aber das Skript lief durch und hat alle Laufwerke verbunden.
Danach konnte ich auch ganz normal über den Explorer in die Laufwerke.

Bei der alten NAS konnte ich nur SMB 2 aktivieren, sonst keine weiteren Einstellungsmöglichkeiten.

Das Script verbindet mit dem Befehl: objNetwork.MapNetworkDrive.
Da es ein offline Inselnetzwerk ist, stört es mich grundsätzlich erst Mal nicht.

Außer es hat Jemand eine einfache Lösung, dann kann ich das noch umbauen.

 

[plang.pl]

IT ist mies.

Das ist manchmal in der Tat richtig. Aber ich finde, dass es deutlich miesere Sachen/Berufe gibt. Aber das wäre jetzt OFF-Topic.
Du verwendest also ein VBScript(?)
Ich kenne das eigentlich als Batch mit net use

Und auch, wenn das nicht empfehlenswert ist, kann man selbst unter DSM7 noch SMB1 zulassen:

 

[brandenburg3]

Die SMB Dienste hab ich verglichen beim Standalone (wo es schon ganze Zeit funktionierte und beim Domäneclient.
SMB Direct aktiviert und und SMB 1 deaktiviert bei beiden. Das kann es also auch nicht gewesen sein.

Genau ist ein VBS Skript was am ende zu einer exe kompiliert ist.

In der NAS habe ich mindest SMB2 stehen, und maximum SMB3. Mit der Zusatzoption NTLMv1 geht es nun.

Habe nun aber immer noch das Mysterium dass ich vorhin zumindest eine Anmeldeabfrage erhalten habe über den Explorer und jetzt nicht mehr. Erst wenn ich das Skript durchführe.
Dafür würde ich gerne die Einstellungen zurücksetzen ohne die Speicherdaten zu löschen.
Im Internet finde ich nur die Resetknopfvariante für die kleinen NAS Systeme, nicht für Rackstation.

 

[Benares]

Wie gesagt, untersuche besser, wieso deine Clients noch das alte, unsichere SMB1/NTLMv1 Protokoll verwenden und gewöhne ihnen das ab.

 

[Philipp06]

Huch, da war man ein Stündchen nicht am Handy und Zack ist der Beitrag voll bis unters Dach...

In der NAS habe ich mindest SMB2 stehen, und maximum SMB3. Mit der Zusatzoption NTLMv1 geht es nun.

Das ist sehr unsicher. Du solltest hier überprüfen, wer das Protokoll bei dir benutzt und warum. Schnellstens deaktivieren...

Edit: @Benares war schneller

 

[brandenburg3]

Ok dann danke ich erst Mal. Ich frag Mal den Domäneadmin.