Active Directory: Vertrauensstellung und sehen der Gruppen einer fremden AD

NASUsr

Benutzer
Mitglied seit
07. Mai 2018
Beiträge
8
Punkte für Reaktionen
1
Punkte
3
Moin liebe Community,

wir haben folgendes Problem. Wir haben auf Windws-Server-Ebene (zwei Server2019) eine Vertrauensstellung zweier Domänen eingerichtet. Hinter jeder Domäne steht eine NAS als File-Server.
Auf Windows-Ebene können wir die Gruppen und die Benutzer der anderen Domäne sehen und theoretisch auch den Ordnern zuweisen.
Betrachten wir das ganze auf der Weboberfläche der NAS, so werden uns die Benutzer und Gruppen der anderen Domäne nicht angezeigt. Schaue ich mir die Systemsteuerung -> Domain/LDAB -> Domaingruppen an, so habe ich ein Dropdownmenü, an dem ich theoretisch weitere Domains auswählen könnte, von denen die NAS Benutzer-/Gruppen-Listen erhält. Jedoch kann ich auch hier nur die Domain auswählen, bei der die NAS mitglied ist, obwohl Serverseitig eine Vertrauensstellung besteht.
Sogar auf Dateiebene, wo uns Microsoft erzählt, die Gruppen der anderen Domäne hätten zugriff (nachdem wir sie hinzugefügt haben), da stellt uns die Synology NAS nichts da, was auf diese Gruppen hinweist.

Haben wir eine NAS-Seitige Einstellung übersehen? Oder fehlen euch noch Informationen um unsere Sachlage besser zu verstehen?

Schon einmal vielen lieben Dank, für eure konstruktiven Antworten.
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.203
Punkte für Reaktionen
1.077
Punkte
248
Erstmal die "doofen" Antworten:

1) Mach doch mal aus dem LDAB ein LDAP, vllt funktioniert es dann besser?
2) Liegt vermutlich daran, dass Du nur NAS"Usr" bist und kein NAS"Adm", das kann ja so auch garnicht funktionieren!

So, habe fertig ... 😜😁

Und nu mal Bütterken bei de Fischkes...:

Kann die Remote-Domäne überhaupt vom NAS aufgelöst werden? Richtige DNS-Server drin und so? Wenn es schon DNS-technisch schief hängt, wird das "niemals" was...

Wie erfolgt überhaupt die Bereitstellung des Storage für die Anwender (direkt vom NAS, oder via DFS, oder oder oder, etc. usw.)?
 
  • Like
Reaktionen: NASUsr

NASUsr

Benutzer
Mitglied seit
07. Mai 2018
Beiträge
8
Punkte für Reaktionen
1
Punkte
3
Moin blurrrr,

danke für deine schnelle Antwort.
Vielen Dank, das war der entscheidende Hinweis.
Wir hatten die Annahme getroffen, dass die DNS-Anfrage der NAS durch den DNS-Server weitergeleitet wird, an den DNS-Server der zweiten (externen-vertrauten) Domäne. Aber sobald wir die DNS-Server der anderen Domäne hinzugefügt haben waren alle Domänen-Benutzer der jeweiligs anderen Domäne ebenfalls da, und das besagte Dropdownmenü hatte die andere Domäne zusätzlich als Auswahl. So können wir weiterarbeiten.

Manchmal kann es so simpel sein. Vielen Dank noch mal.
 
  • Like
Reaktionen: blurrrr

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.203
Punkte für Reaktionen
1.077
Punkte
248
Schön, dass es funktioniert hat (hoffe mal über eine bedingte Weiterleitung, "hinzugefügt" kann ja auch wieder so einiges heissen), viel Erfolg weiterhin! ☺️
 

NASUsr

Benutzer
Mitglied seit
07. Mai 2018
Beiträge
8
Punkte für Reaktionen
1
Punkte
3
Na ja,
Systemsteuerung -> Domain/LDAP (Ja dieses Mal mit P ;) ) und dort bei "DNS-Server" den DNS-Server der anderen Domain zusätzlich eingetragen.
Oder sollte dies Nachteile mitsich ziehen?
 
  • Haha
Reaktionen: blurrrr

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.203
Punkte für Reaktionen
1.077
Punkte
248
Das NAS sollte ja "eigentlich" den entsprechenden lokalen DNS-Server der dazugehörigen primären Domäne nutzen (halt wie 1x AD, 1x DNS, 1x NAS) und jener DNS-Server sollte dann in der Lage sein, auch die zweite Domäne aufzulösen (z.B. durch eine bedingte Weiterleitung), was dann auch entsprechend den Vorteil hat, dass quasi jeder Client die zweite Domäne vernünftig auflösen kann. Sicherlich "kann" da auch irgendwie "anders" funktionieren, da nähern wir uns aber wieder dem Spruch "KANNSTE schon so machen, aber dann isset halt..." und so... weisst schon ☺️
 
  • Like
Reaktionen: NASUsr