2 Diskstation, CIFS Mount will nicht mit Admin

Status
Für weitere Antworten geschlossen.

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen

Ich lese schon länger mit, jetzt brauche ich tatsächlich einmal selber Hilfe, da ich für mein exaktes Problem nichts gefunden habe.
Hoffentlich kriege ich das strukturiert genug dargestellt:

1. Klassische Umgebung mit 1 Cablemodem im Bridgemode, dahinter Synology Router und AP als MESH (RT2600ac / MR2200ac), darin per LAN und WLAN diverse Clientgeräte inkl. Diskstations
2. Alte DS212j: Feste IP, SMB aktiviert
3. Neue DS918+: Feste IP, SMB aktiviert

Aufgabe: Freigegebener Ordner von DS212j in der File Station auf der DS918+ einbinden (Hintergrund: Datentransfer auf neues NAS anstatt backup via HyperBackup etc)

Problem(e):
1. Wenn ich versuche \\Diskstation\Ordner1 einzuhängen bekomme ich eine Fehlermeldung, dass ich prüfen soll ob CIFS aktiviert ist.
1.1 Vom Win10 Rechner aus kann ich \\Diskstation\... ohne Probleme auflösen, die DS918+ jedoch nicht.
1.2 Verwende ich die IP, dann funktioniert es auch auf der DS918+, also \\192.168.1.6\Ordner1

2. ABER: Die Mount/Zugriffsrechte machen keinen Sinn. Ich kann als administrator den mount NICHT machen. Im Benutzer des administrators ist aber lesen/schreiben für dieses verzeichnis gesetzt, auch wenn ich innerhalb des Ordners nachschaue steht da, dass der besagte admin user lesen/schreiben kann.
2.1 verwende ich einen eingeschränkten user, der nur leserechte auf den ordner hat, klappt der mount.

Daraus ergeben sich für mich folgende Fragen:
1. Wieso klappt die Namensauflösung nicht in der DS918? Kann es sein, dass geänderte Einstellungen am Router oder der DS212 dazu führten, und der Win10 rechner sich das noch irgendwo gemerkt hat?
2. Wieso kann mein admin nicht mounten? welche Dienste / Optionen kann ich noch prüfen?
3. Ganz generell: Muss SMB auch auf dem RT2600ac aktiviert sein, oder wird das nur benutzt um Dateien zu verteilen, die via USB Port am RT2600ac hängen?

Besten Dank für Feedbacks,
der Noob mit gefählichem Halbwissen :)
(aka Marc)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
https://de.wikipedia.org/wiki/Windows_Internet_Naming_Service

Um generell Fehler zu vermeiden, wäre es allerdings auch sinnvoller, dass man die Kisten via IP verbindet und nicht via Name. Was die Freigabe angeht, da kann man i.d.R. auch Rechte für vergeben. Dein Router hat da übrigens mal so "garnichts" mit zu tun (ausser er sperrt Ports, welche für SMB/CIFS-Zugriffe benötigt werden). :)
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Für Datenablage im LAN binde ich die Freigaben auch per IP ein, aber beim testen ist mir halt aufgefallen, dass der Name via Windowsrechner aufgelöst wird, via DS918 nicht.
Dass der router eigentlich keine Rolle spielen sollte, war meine Vermutung. Zumal es ja mit gewissen Ordnern klappt.

Und wie gesagt: Der Admin hat volle Rechte, inkl. überprüftem Schreiben/Lesen für alle freigegebenen Ordner. Deswegen verstehe ich nicht, wieso meine admin login credentials abgelehnt werden.

Meines Wissens muss SMB aktiviert sein und der user (dessen credentials auf der 918 beim einbinden in die Maske eingegeben werden) muss lesen dürfen im Verzeichnis, das eingebunden werden soll. Ist alles da, nur tuts nicht.
Darum meine Frage, ob da noch was anderes reinfunken kann auf der DS...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Lass den Namensmist mal einfach weg (und Link lesen...). Ansonsten gilt:

Wenn Du von A nach B willst, muss Du beim Login logischerweise auch die Credentials von Admin B eingeben, nicht die von A und der Admin B muss auf Gerät B auch das entsprechende Recht haben auf die spezifische Freigabe zuzugreifen. Zudem sollte der "admin"-Account eigentlich sowieso deaktiviert sein (zumindestens bei der 918er). Bei der 212er gab es das meine ich noch nicht, da müsste es noch den User "admin" geben.

"reinfunken" kann eigentlich nur der Benutzer davor ;)
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
mein admin-account namens "admin" ist deaktiviert. Ich habe da schon vor jahren einen neuen admin angelegt, dessen name extra lang und kompliziert ist.
und ja, ich möchte die Freigabe auf DS918 erstellen. Auf DS918 wähle ich "Remote-Ordner bereitstellen - Freigegebener CIFS-Ordner". Dann gebe ich die Login-Daten ein des Administrators auf der DS212...

Ist mir schon klar, dass die DS212 einen bekannten user braucht um die daten freizugeben.
Und ich versuche es ja über die IP, die Info mit der Namensauflösung hab ich dazugeschrieben weil es ggf ursächlich damit zusammenhängt (was es offenbar nicht tut).

Problem ist also: Auf der neuen DS kann ich keinen Ordner aus der alten DS mounten mit dem Admin-Konto. je nach ordner geht es aber mit einem anderen, eingeschränkten user.
(Hintergrund: wenn ich alle daten rüberziehe über die Freigabe und ich einfach "irgend einen user nehme, mit dem der mount klappt" weiss ich nicht, ob dieser user auch zugriff auf alle daten / verzeichnisse hat. deswegen wollte ich via admin gehen aber der tut nicht. ich fall vom glauben ab).

ich glaube ich aktivier bald NFS und mache den vergleichstest :)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Hört sich grade irgendwie alles etwas komisch an, denn solche Probleme sind mir bisher noch nicht untergekommen. Es "scheint" aber so, als hätte der 212er Admin dann keine Berechtigung auf die Shares, denn ansonsten würde das mit dem mount funktionieren. Kannst Du die Shares der 212 denn "direkt" am Rechner via SMB/CIFS mit dem Admin-Konto der 212 einbinden? Alternativ, schau Dir auch nochmal die Einstellung zu den Samba-Versionen an, ich habe grade k.A. ob SMB1 auch noch supported wird beim mount, ggf. mal auf der 212 auf v2 hochschrauben.
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Ich habe SMB schon auf 3 hochgeschraubt auf beiden DS (also min. stufe 1, max. stufe 3). Der DS212er Admin kann via Windows-Rechner auch nicht zugreifen - innerhalb des Protokolls also konsistent. Bloss habe ich keine Ahnung, WARUM er das nicht kann.

Es gibt sicher iiiirgendwo ein Häckchen für einen Dienst oder so, der daran Schuld ist. SMB cache leeren hat auch nix gebracht.

Da ich vorhabe die DS212 komplett zu wipen und dann als onsite backup ziel zu nutzen ist es nicht sooo tragisch, aber mich wurmt sowas :)

EDIT: Ach Dreck, jetzt hab ich vor lauter wütend sein und hin und her fummeln den admin-account in eine gruppe gesteckt, die keinen zugriff auf DSM hat. Es gibt so Tage...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
SMB min. v2 würde ich schon nehmen. Wenn Du Dir die Freigaben anschaust, sollten da auch die kumulierten Berechtigungen zu sehen sein. Da sollte dann auch zu sehen sein, dass der Admin-Acc auch entsprechend Zugriff haben sollte (was anscheinend nicht funktioniert, also mal Berechtigungen prüfen). Ein Tip noch von jemandem der sich täglich mit so einem Mist auseinander setzen darf: Wenn die Stimmung kocht, lass es einfach eine Zeit lang ruhen. Ich habe mich auch schon stundenlang in Dinge verbissen, bin keinen Schritt weiter gekommen, hab dann die Brocken einfach hingeworfen und mich nicht mehr drum gekümmert, kurze Zeit später (und wesentlich entspannter) kam dann die (meist recht triviale) Idee... Wald und Bäume und so :eek:
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Es ist auf jeden Fall etwas nicht so, wie es müsste. Die Berechtigungsauskunft zeigt an, dass der admin-user vollen Zugriff hat.
Wenn ich mit dem anderen user via Windowsrechner die Eigenschaften anschaue, kann ich ebenfalls sehen, dass der admin-user alles darf.

Windows sagt via Eigenschaften > Sicherheit ebenfalls, dass der user alles darf, allerdings wirft das abfragen via "Effektiven Zugriff" eine Fehlermeldung (Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt).
Den gleichen Fehler wirft es auch beim user, der mounten kann - dies wird also, wenn überhaupt, eher symptom als ursache sein.

Auch versucht, ohne Erfolg:
Explizit Vollzugriff erteilt, inkl. "Besitz übernehmen" (obwohl das als admin ja sowieso gegeben sein sollte)
via erweiterte Freigabe / ACL explizit alles erlaubt.

Nützt alles nix, admin darf nicht mounten.

(Konnte dann übrigens via DS Finder noch zugreifen und den admin wieder aus der gruppe nehmen, die DSM gesperrt hat)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
"Den gleichen Fehler wirft es auch beim user, der mounten kann - dies wird also, wenn überhaupt, eher symptom als ursache sein." das ist doch schon erstmal ein Ansatzpunkt. Hast Du explizit noch die ACLs auf der kleinen Syno aktiviert? Grundsätzlich - wie bei Windows - gilt es auch hier zwischen Freigabeberechtigungen und Dateiberechtigungen und deren Kumulation zu unterscheiden.

Wenn der mount allerdings mit einem berechtigten User (welcher über Windows auf die kleine DS zugreifen kann), von der grösseren Syno aus nicht funktioniert, macht das in der Tat schon einen merkwürdigen Eindruck. Hast Du mal einen komplett neuen gemeinsamen Ordner auf der kleinen Syno erstellt und damit mal getestet? Nicht, dass es jetzt nur an einer Berechtigungsverwurschtelung auf der kleinen Syno liegt... Alternativ wäre auch noch das Thema Firewall da... nicht, dass die alle Anfragen über den Jordan jagt :)
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Ich habe sogar extra alle Firewalls in der Kette ausgemacht, inkl. Router, hat aber keinen Unterschied gemacht. SMB auf lvl 2 erzwungen ging auch nicht.
Zu Testzwecken könnte ich jetzt den original "admin" reaktivieren und damit schauen ob es geht.

Die ganze Übung hat aber so lange gedauert, dass zwischenzeitlich Hyper Backup alles in den DS918 vault gepackt hat und ich die Datenübernahme ab dem lokalen vault durchführe.

Dabei beschränke ich mich aber auf reine Daten und ein paar user, den Rest konfiguriere ich von Grund auf neu, sonst schlepp ich mir da noch was ein ;-)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat