Nach Reconnect mit Windows AD: Domain User können sich nicht mehr anmelden

Burkhard-FS · 25. Nov 2020

Hallo, vielleicht stand jemand schon einmal vor dem gleichen Problem:

Aufgrund eines Umzugs mussten wir unsere bestehenden Synology DS und RS und die dazu gehörigen Netzwerke neu strukturieren. Das heißt neues Netz und neuer Namen.
Folgende Schritte habe ich durchgeführt:

eine DS718+ und eine RS815RP+ aus der Windows AD entfernt
beide jeweils umbenannt
beide in einen neuen IP-Netzbereich eingebunden
beide wieder in die Windows AD integriert, der Domain Status bei der Prüfung ist "verbunden"

Trotz des Domainstatus "verbunden" können sich keine Domain User mehr anmelden, weder die bisher schon mal angemeldet waren noch neue.
Domain User und Domain Gruppen sind aktualisiert und werden in der Systemverwaltung korrekt aufgelistet.
Prüfung der Domain-Status alles OK (alles auf grün).

Die Windows Domain Admins haben alle Berechtigungen auf beiden Synologys.
Woran scheitert die Anmeldung?

Danke im Voraus.

Anzeige · 25. Nov 2020

Hallo Burkhard-FS,

Bücher und Hardware zum Thema gibt es bei Amazon: Nach Reconnect mit Windows AD: Domain User können sich nicht mehr anmelden

blurrrr · 25. Nov 2020

Wurden die denn zwischenzeitlich auch mal neugestartet und ist es die gleiche (alte) Domäne, oder eine neue?

Burkhard-FS schrieb:
Die Windows Domain Admins haben alle Berechtigungen auf beiden Synologys.

Können die sich denn anmelden?

NSFH · 26. Nov 2020

Verstehe nur Bahnhof!
Wenn du die beiden Synos aus der Domäne entfernt hast hast muss es ja noch einen AD Server geben, denn später schreibst du, du hast die beiden umbenannten Synos der Domäne wieder zugefügt.
Wieso melden sich die Clients dann auf einmal an den beiden NAS an und nicht mehr an dem verbliebenen Server?
Verstehe also überhaupt nicht, wie dein Tree aufgebaut ist.

Burkhard-FS · 26. Nov 2020

@blurrrr : Danke für die Reaktion. Ich habe in der Aufzählung was vergessen:

3.5 Neustart beider Synology's

4.5 Es ist das gleiche Windows AD wie vorher.

Auch die Domain Admins können sich nicht anmelden.

@NSFH : Die Synology's waren in einem Windows AD (und sollen da auch wieder rein). In diesem AD gibt es natürlich weitere AD Server, an die sich die Benutzer auch weiterhin anmelden können. Bei meinem Setup geht es darum, dass ich die Domain-Integration der Synology's benötige, damit sich die Windows AD User mit ihren AD Zugangsdaten die verschiedenen Dienste der Synology's verwenden können (z. B. Note Station). Außerdem kann ich damit die User- und Gruppen-Rechte auf den Synology's anhand der AD User und AD Gruppen festlegen, ohne dass ich noch einmal alle User und Gruppen auf den Synology's anlegen muss.

NSFH · 26. Nov 2020

Hast du in den NAS die vorigen Domänenbenutzer entfernt und nach der Migration neu angelegt?

Burkhard-FS · 26. Nov 2020

Dafür gibt es kein händisches Verfahren. Wenn man die Domainverknüpfung entfernt, verschwinden die Reiter für Domainuser und Domaingruppen automatisch aus der Systemsteuerung. Was da im Hintergrund passiert, weiß ich nicht.

Nur noch mal zu Klarstellung: Es handelt sich bei dem Setup nicht um eine Migration der Windows AD Domainuser und -gruppen in ein Synology AD sondern um eine Intergration der Synology in eine Windows AD.

blurrrr · 26. Nov 2020

Najo, diverse Systeme reagieren unterschiedlich auf solche Konstrukte (ggf. via Mapping auf lokale Gruppen und so ein Zeug), von daher ist die Überlegung (Restbestände) garnicht so abwägig. ?

Die grundsätzliche Frage wäre natürlich erstmal: Was passiert denn auf dem System, wenn ein Domänenbenutzer sich anmeldet (funktioniert nicht, schon klar, aber es geht hier primär um die Logs)? Wenn die Domänenadministratoren sämtliche Rechte haben, sollten die sich ja zumindestens anmelden können. Ist dem nicht so, wird es irgendwo einen Fehler geben, diesen gilt es dann zu finden (-> Logs @ DNS, DC, Syno). Eine schöne Zeit für die Anmeldung aussuchen (sowas wie glatt 18:00 Uhr (sollte im besten Fall niemand mehr arbeiten), hoffe die Zeit auf den Systemen ist via NTP überall ansatzweise die gleiche ?) und dann fröhliches suchen... Je nach verfügbarem Monitorplatz/Monitore, ggf. auch direkt alles an Logs gleichzeitig offen haben, dann findet es sich vllt auch schneller

Kurzum: a) Irgendwo tritt ein "Fehler" auf, oder b) irgendwer redet nicht mit wem anders. Also entweder der Fehler ist irgendwo "sichtbar", oder es fehlt irgendwo in der Kommunikation etwas, was allerdings vorhanden sein sollte.

Wünsche gutes Gelingen und wenn Du die Fehlermeldung findest und damit nicht weiter kommst, hier kannste bestimmt auch nochmal nachfragen, ansonsten bewegt es sich ggf. auch in Richtung MS-Technet und Co.

NSFH · 27. Nov 2020

Ich möchte fast wetten, dass irgendwo im System noch Reste der alten Domain vorhanden sind.
Ich glaube der richtige Weg wäre gewesen erst die Nutzer samt Domain auf den NAS zu löschen und dann erst Namenänderungen im DSM etc vorzunehmen.
Wenn die NAS noch nicht wirklich in Betrieb sind würde ich DSM sichern um die Grundeinstellungen zu retten und dann testweise eines der Beiden reseten und neu aufsetzen.