Lokale Anmeldung am NAS für Dateifreigabe vom DC

[hary]

Das NAS ist und darf nicht in die Domäne.
Von jedem Arbeitsplatz funktioniert SMB auf \\nas mit nas\benutzer + passwort
die SMB Versionen sind korrekt konfiguriert
trotzdem kommt immer Benutzer oder Kennwort Fehler

Hat jemand eine Idee, die ich übersehe?
(.\benutzer funktioniert auch nicht)

Das Problem ist nur an den DCs, an keinem andere Server/Rechner.

 

[plang.pl]

Willkommen im Forum!
Versuche doch mal HOSTNAMEVOMNAS\Benutzername

 

[hary]

Hostname funktioniert scheinbar bei jedem anderen (nasname\benutzer s.o.) nicht aber beim Domaincontroler.

Ich vermute, dass es eines Registrieeintrages bedarf... :-(
Aber das zu finden ist wieder mal ein Grausen für sich.

 

[Adama]

Mir würden da spontan zwei Sachen einfallen:
1. Auf den DCs ist NetBIOS deaktiviert?
2. NAS im DNS eingetragen?

 

[hary]

Ja, NAS ist im DNS und Netbios ist aktiviert...

Wie gesagt, das Problem existiert nur auf den DCs (und einem ehemaligen) Es muss also mit der Umstellung zu tun haben, dass ein DC eigentlich keinen lokalen Rechnernamen bzw. Login mehr kennt...

 

[Adama]

Hmmm, GPO gesetzt?

https://learn.microsoft.com/de-de/w...security-policy-settings/allow-log-on-locally

 

[hary]

Es geht nicht um die lokale Anmeldung am DC, sondern um die Anmeldung am NAS mit einem lokalen NAS Benutzer, vom DC aus für die SMB Freigabe.
Die Anmeldung mit Domänenbenutzer bei eingehängter Domäne funktioniert ohne Problem.

 

[Adama]

Das hab ich schon verstanden, aber vielleicht wird genau das unterbunden. Immerhin willst du auf ein Gerät von einem DC zugreifen, welches keine Sicherheit in Verbindung mit der Domäne hat.

Ich als Admin würde jedenfalls sowas unterbinden.

 

[hary]

Es handelt sich um eine ausgehende Verbindung, die aus Sicherheitsgründen keine Domäneninformationen nach außen transportieren darf. Sobald das NAS in die Domäne eingebunden wird wäre das kein Problem, darf aber nicht.

 

[maxblank]

Du willst auf dem Domain Controller (Windows?) ein Netzlaufwerk vom NAS mounten bzw. zugreifen? Das versuchst du mit welchem Benutzer? Domain-Admin?

Was gibt dir ein nslookup vom DC auf das NAS zurück, wenn du den Hostnamen vom NAS benutzt?

Separater Benutzer vom NAS, testweise über IP, sollte auch vom DC ohne Probleme gehen.

 

[metalworker]

und bei deinem ´NAS hast auch kein Synology Directory aktiviert?

 

[hary]

Einmal zusammengefaßt:
Laufwerk vom NAS Mounten vom DC aus ist korrekt.
NAS in der Domäne funktioniert, NAS ohne Domäne nicht.
nslookup bis zum reverse usw, sind korrekt.
nasname\benutzername funktioniert nicht auf DC, auf allen anderen Servern und Workstation funktioniert es.
externeDomain\externerBenutzer auf entferntes System funktioniert vom den DC aus auch.
Nur nicht auf das Synology NAS ohne AD.
Meldung ist Benutzer oder Passwort falsch...

und bei deinem ´NAS hast auch kein Synology Directory aktiviert?

Nein, sonst wäre das NAS in der Domäne...

 

[hary]

Du willst auf dem Domain Controller (Windows?) ein Netzlaufwerk vom NAS mounten bzw. zugreifen? Das versuchst du mit welchem Benutzer? Domain-Admin?

Was gibt dir ein nslookup vom DC auf das NAS zurück, wenn du den Hostnamen vom NAS benutzt?

Separater Benutzer vom NAS, testweise über IP, sollte auch vom DC ohne Probleme gehen.

Die korrekte IP auf das NAS...
Weder IP noch NAS-Name funktionieren

 

[maxblank]

Welches Betriebssystem?
Welche Domänen-Funktionsebene?

 

[hary]

Windows Server 2019
Funktionsebene: Aus Veeam heraus bzw. direkt über \\nas\... aus dem Explorer

Nochmal... Domaincontroler SMB/CIFS Anmeldung an NAS Freigabe ohne Domäne (NAS ist nicht in der Domäne)
benutzer & kennwort und nasname\benutzer & kennwort - beide melden Benutzer oder Kennwort falsch.

nasname steht in Systemsteuerung - Netzwerk - Allgemein - Servername eine andere Stelle wüsste ich nicht

 

[hary]

Vielen Dank, all denen, die versucht haben mir zu helfen...

Wie immer ist die Lösung ganz einfach, wenn man in die richtige Richtung kuckt. Der DC gibt nach extern, also außerhalb der Domäne, automatisch NTLMv1 frei bzw. meldet sich darüber an. (scheinbar default noch aus 2012er GPO) Das Synology NAS deaktiviert dies ab DSM v7 automatisch. Also entweder NTLM v1 wieder freigeben (schlechte Idee) oder im DC deaktivieren (weit besser)

 

[maxblank]

Daher meine Frage nach der Funktionsebene, welche bei euch eingerichtet ist.
Was das mit Veeam und dem Explorer zu tun hat, erschließt sich mir nicht.

Wenn du die Lösung gefunden hast, passt es ja.
Wie bereits vorher von mir angemerkt, hatte das Verhalten an sich nichts mit dem DC zu tun.