Knowledgebase: NAS - deutsch
Active Directory - häufige Fehlerursachen und Tipps zur SAMBA und AD-Einbindung des QNAP NAS
Posted by Mathias Fuerlinger on 14 July 2016 09:17 PM

Active Directory - häufige Fehlerquellen bei der AD-Einbindung eines QNAP NAS an einen AD-Server
Active Directory - mögliche Fehler beim Aufsetzen des QNAP NAS als AD-Server
allgemeine Netzwerk-Verbindungs-Tipps.

 

Zunächst allgemeine Netzwerk-Anmelde Tipps unter Windows:

  • Beim ersten Netlogon über Windows Explorer an ein NAS ist man als Gast eingeloggt
  • Wenn der Benutzer einen Ordner ohne Gast-Berechtigungen öffnen will – erscheint ein Dialog mit der Bitte zur Eingabe der korrekten Benutzerdaten
  • Diese Anmeldetaten merkt sich Windows generell
    Auf dem NAS kann man prüfen als welcher Benutzer man angemeldet ist unter Protokolle (Protokollierung muss aktiviert sein): System-Connection-Logs
  • Im Windows Kommandofenster kann man eine "gemerkte" Verbindung trennen: net use * /delete

Unterschiede zwischen lokaler- und Domainen-Anmeldung:

  • nas-name\username für local users
  • domain\username für domain users
  • Unter Mac OSX: domain+username

Vorsicht bei Verwendung von gleichen Namen für Domainen Nutzer und lokale Nutzer

Erweiterte Dateirechte und Windows ACL

Um ein reine Windows ACL Umgebung einzurichten, sollten die erweiterten Dateirechte deaktiviert sein.

 

Einer AD-Domaine beitreten, oder das QNAP NAS* als AD-Server nutzen - häufige Fehlerursachen:
*nicht alle QNAP NAS Modelle unterstützen das QNAP AD-Server Feature

  • Der Time Sync Unterschied von NAS, DNS Server, und AD Server ist zu groß (keine Abweichungen > 2 Minuten!)
    (über das QNAP CLI hilft der folgende Befehl um einen Timeout fest zu stellen: # /usr/local/samba/bin/net time set -S dc01.domain.local -d10)
  • prüfen ob NetBIOS und Domain Namen bei der Einstellung absolut korrekt übernommen worden?
  • DNS-Server Eintragungen sind korrekt? (zum Testen: ping domain.com, nslookup domain.com und ping dc.domain.com nslookup dc.domain.com)
  • Der AD-Server ist der PrimaryDomainController (PDC)?
  • Der AD-Server ist vom NAS erreichbar (ping Befehl von LINUX-Shell - oder ping Befehl über die App "shellinabox" absetzen. Als Ziel den FQDN des Servers verwenden.)
  • Letzten Firmwarestand erneut aufspielen (re-updaten)
  • Das allgemein Verbindungs-Fehlerprotokoll (System-Connection-Logs) oder das Protokoll des AD-Assistenten nennt Gründe warum ein AD-Zugriff nicht gelingt
  • Falls einzelne Benutzer keinen Zugriff haben bitte RID un-map issue prüfen: 
    http://helpdesk.qnap.com/index.php?/Knowledgebase/Article/View/296
  • Domain-Security Einstellungen auf dem NAS prüfen: http://docs.qnap.com/nas/4.2.2/cat2/en/index.html?domain_security.htm

Hier ein Tutorial welches die AD-Ersteinrichtung beschreibt: https://www.qnap.com/i/de/tutorial/con_show.php?op=showone&cid=47

und der Link ins Handbuch auf die Seiten, welche das AD-Setup beschreiben: http://docs.qnap.com/nas/4.2.1/cat2/de/index.html?domain_controller.htm

sowie ein Link welcher die Verbindung zu einem AD-Server zeigt: http://docs.qnap.com/nas/4.2.1/cat2/de/index.html?join_nas_to_windows_ad.htm

 

Troubleshooting - erste Fehlerlösungen unter Windows:
Die hier aufgeführten Lösungen verlangen einen sicheren Umgang mit der LINUX Shell. Bitte die folgenden Schritte nur Ausführen wenn Sie wissen was die jeweiligen Linux Befehle bedeuten und verursachen können. Der Autor dieser Anleitung oder QNAP übernehmen keinerlei Haftung für mögliche Schäden oder Datenverlust durch Kommandoeingaben auf der Linux Shell Ihres NAS.

  1. Sicherstellen dass Samba daemon (smbd) läuft:
    # smb2status
    # ps | grep smbd

    Falls Samba daemon nicht läuft, debug message auslesen mit folgendem Befehl:
    # /usr/local/samba/sbin/smbd -SF -d5 -s /etc/config/smb.conf

  2. Bestehende Windows Netzwerkverbindungen trennen - Im DOS-Fenster der Clients:
    - net use * /d /y

    Hinweis: durch den obigen Befehl, werden auch Netzwerkmounts getrennt.

  3. Manuell die Verbidnung im Windows Client testen - im DOS Fenster:
    - net use \\NAS-IP /user:username
    Beispiel NAS: 192.168.0.102: net use \\192.168.0.102 /user:admin

  4. samba locks und temp Dateien löschen, smb-Dienst neu starten:
    # rm -r /share/CACHEDEV1_DATA/.locks
    # rm -r /share/CACHEDEV1_DATA/.samba
    # /etc/init.d/smb.sh restart

  5. smb.conf auf Werkseinstellungen setzen, smb-Dienst neu starten:
    # cp /etc/config/smb.conf /etc/config/smb.conf.original
    # cp /etc/default_config/smb.conf /etc/config/
    # /etc/init.d/smb.sh restart

    Warnung: Freigabelinks (shares) gehen evtl verloren und müssen nachher wieder manuell gesetzt werden.

  6. SMB Version schrittweise ändern und jeweils testen
    smb2status → check current SMB version
    smb2disable → use SMB 1.0
    smb21enable → use SMB 2.1
    smb3enable → use SMB 3.0
    Hinweis: Clients müssen sich neu anmelden nach jeder Änderung der SMB Version (im Client DOS-Fenster: net use * /d /y)

Probleme bei Zugriff von Mac / AFP aus:

  • OSX und QTS Firmware auf letzten Stand bringen
  • die versteckten Systemdateien .AppleDB and .DS_Store in jedem Share folder löschen (diese werden automatisch wieder hergestellt)

 

(49 vote(s))
Helpful
Not helpful

Comments (0)