Hallo zusammen,
ich habe hier ein seltsames Phänomen und hoffe, der Fehler ist hier ggf. jemandem bekannt.
Nach einer Migration mittels Snapshot-Replikation von RS3617RPxs HA-Cluster auf SA3400 HA-Cluster unter DSM 7.1 U1 habe ich ein Problem mit den SMB Freigaben.
Sporadisch bekommen Windows-User, welche - teils auch per RDP Server - in einer Windows-Domäne arbeiten, den Fehler, dass sie keine Berechtigung auf eine als Laufwerk verbundene Freigabe haben. Das Laufwerk wird also gemappt, aber wenn man versucht es zu öffnen, kommt der Fehler: kein Zugriff, keine Berechtigung. Egal ob lokal oder per RDP Server, welche im gleichen Netzwerksegment sind, sodass eine Firewall Regel nicht greift.
Es ist dabei unerheblich, um welche Freigabe des NAS-Systems es sich handelt. Das passiert also bei mehreren Freigegeben Ordnern.
Auch ob die Freigabe direkt \\NAS\Freigabe oder per DFS \\DOMAIN\dfs-Namespace\Freigabe angebunden ist macht keinen Unterschied.
Nach Ab- Anmelden der User funktioniert es manchmal! wieder, das kann aber durchaus 5-10 Versuche dauern. Dann kann man wieder auf sein Laufwerk zugreifen, als sei nichts gewesen. Ein Anmeldung später kann schon wieder der Fehler auftreten, man habe keine Berechtigung.
Ich habe die Freigaben ohne Erweitere Berechtigungen konfiguriert. Also nur die Domain-Gruppen auf die freigegebenen Ordner berechtigt. Im Grunde so, wie vom DSM Vorgeschlagen, mit SMB2 und SMB3 sowie Client-Verschlüsselung.
Ich habe zudem nochmal die Domain-Anbindung getestet und auch die DNS Server überprüft, die eingetragen sind. Namensauflösung klappt einwandfrei. Im SMB Protokoll der NAS ist zu sehen, dass sich die Clients/User per SMB3 verbinden. Die Gruppen werden Stündlich von der Domäne angefragt.
Auch den SMB Cache habe ich geleert, wodurch der Dienst ja neu gestartet wird. Half aber auch nicht.
Das System mal eben neu starten ist nicht drin, da ca, 1500 User + Volumes mit iSCSI LUNs auf denen VMs laufen.
Ich könnte da höchstens mal nen Schwenk vom aktiven auf den passiven Knoten machen. (Ist im Zuge von Wartung und Update Installation auf U4 geplant, aber das dauert noch etwas)
Natürlich ist das Netzwerktechnisch alles getrennt. Management (DSM) ist für sich.
Die Freigaben laufen über ein Frontend per 10Gbit-T
iSCSI hat ein Netz für sich und die SFP NICs sind entsprechend dafür gebunden.
Ich habe die Vermutung, dass die Gruppenmitgliedschaften nicht richtig ausgelesen werden. Wüsste das aber nicht zu testen oder zu beseitigen.
ich habe hier ein seltsames Phänomen und hoffe, der Fehler ist hier ggf. jemandem bekannt.
Nach einer Migration mittels Snapshot-Replikation von RS3617RPxs HA-Cluster auf SA3400 HA-Cluster unter DSM 7.1 U1 habe ich ein Problem mit den SMB Freigaben.
Sporadisch bekommen Windows-User, welche - teils auch per RDP Server - in einer Windows-Domäne arbeiten, den Fehler, dass sie keine Berechtigung auf eine als Laufwerk verbundene Freigabe haben. Das Laufwerk wird also gemappt, aber wenn man versucht es zu öffnen, kommt der Fehler: kein Zugriff, keine Berechtigung. Egal ob lokal oder per RDP Server, welche im gleichen Netzwerksegment sind, sodass eine Firewall Regel nicht greift.
Es ist dabei unerheblich, um welche Freigabe des NAS-Systems es sich handelt. Das passiert also bei mehreren Freigegeben Ordnern.
Auch ob die Freigabe direkt \\NAS\Freigabe oder per DFS \\DOMAIN\dfs-Namespace\Freigabe angebunden ist macht keinen Unterschied.
Nach Ab- Anmelden der User funktioniert es manchmal! wieder, das kann aber durchaus 5-10 Versuche dauern. Dann kann man wieder auf sein Laufwerk zugreifen, als sei nichts gewesen. Ein Anmeldung später kann schon wieder der Fehler auftreten, man habe keine Berechtigung.
Ich habe die Freigaben ohne Erweitere Berechtigungen konfiguriert. Also nur die Domain-Gruppen auf die freigegebenen Ordner berechtigt. Im Grunde so, wie vom DSM Vorgeschlagen, mit SMB2 und SMB3 sowie Client-Verschlüsselung.
Ich habe zudem nochmal die Domain-Anbindung getestet und auch die DNS Server überprüft, die eingetragen sind. Namensauflösung klappt einwandfrei. Im SMB Protokoll der NAS ist zu sehen, dass sich die Clients/User per SMB3 verbinden. Die Gruppen werden Stündlich von der Domäne angefragt.
Auch den SMB Cache habe ich geleert, wodurch der Dienst ja neu gestartet wird. Half aber auch nicht.
Das System mal eben neu starten ist nicht drin, da ca, 1500 User + Volumes mit iSCSI LUNs auf denen VMs laufen.
Ich könnte da höchstens mal nen Schwenk vom aktiven auf den passiven Knoten machen. (Ist im Zuge von Wartung und Update Installation auf U4 geplant, aber das dauert noch etwas)
Natürlich ist das Netzwerktechnisch alles getrennt. Management (DSM) ist für sich.
Die Freigaben laufen über ein Frontend per 10Gbit-T
iSCSI hat ein Netz für sich und die SFP NICs sind entsprechend dafür gebunden.
Ich habe die Vermutung, dass die Gruppenmitgliedschaften nicht richtig ausgelesen werden. Wüsste das aber nicht zu testen oder zu beseitigen.
Zuletzt bearbeitet: