Kann leider keiner AD Domäne beitreten.

[NASMorph]

Hallo zusammen,

ich poste es hier im deutschen Forum, weil es einfacher für mich ist in deutsch zu fragen und im AD Subforum, die Frage schon zig mal gestellt worden ist, aber entweder nie beantworted oder selbst auf den Fehler dann draufgekommen.

Ich schaffe es einfach nicht mit NAS4Free meiner MS Server 2016 Domäne beizutreten.


Die Eingaben sollten ja nicht so schwer sein und wurden laut

https://www.nas4free.org/wiki/documenta ... _directory

eingetragen.

trotzdem bekomme ich in den AD Informationen folgende Fehlermeldungen.


Results for net rpc testjoin:

Environment LOGNAME is not defined. Trying anonymous access.
Join to domain 'xxxxxxx' is not valid: NT_STATUS_CANT_ACCESS_DOMAIN_INFO

Ping winbindd to see if it is alive:
could not ping winbindd!
Ping to winbindd failed

Check shared secret:
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret
checking the trust secret for domain (null) via RPC calls failed


Leider ist mein Fachwissen von FreeBSD bei 0,001%

Zur Info NAS4Free läuft bei mir in einer VM auf einem ESXi Server.


Vielen Dank für Infos und Hilfestellung.

[Lander]

Hast du den Rechner im AD angelegt ?
Ich habe die NAS im AD angelegt dann hat es auch mit dem beitritt geklappt

Kontrolle auf der Console dann mit: wbinfo -i einUsernameAusDemAD

[NASMorph]

Danke für den Tipp.

Habe es mit angelegtem Computer im AD versucht und ohne, dachte vielleicht legt NAS4Free sich selbst an.

Leider bei keiner Variante einen Erfolg gehabt.

Bei der Abfrage mit wbinfo, bekomme ich wieder einen Error.

failed to call wbgetpwnam: WBC_ERR_WINBIND_NOT_AVAILABLE

[Lander]

Die Aufloesung an der N4F geht. Also N4F kann den Namen des AD aufloesen ???
DNS an der NAS ist der AD oder ?? Falls du externe Namen brauchst kannst du im DNS des AD die Weiterleitung des DNS deines Providers einrichten.

[kreuzberger]

Tach Leute,

also für FreeNas hab ich das hin bekommen. Für Nas4Free noch nie ausprobiert. Ist aber hoch interessant. Ich setz mich da auch mal bei Gelegenheit ran, würde aber eher darauf hoffen, dass dieser Thread zu einer schlüssigen Anleitung führt, an der man sich hier sicher durchhangeln kann.

Für mich interessant wäre anschliessend die Diskussion über Vor- und Nachteile ein Nas per AD Anbindung zu betrieben, oder iSCSI.

Kreuzberger

[NASMorph]

Ja DNS Auflösung funktionert, in beide Richtungen.

Ja DNS Server ist der AD DNS.

[NASMorph]

Noch zur Info, vielleicht hilft das ja.

Unter Diagnostics/Information sind meine DomainUsers eingetragen unter dem Punkt, List Imported Users.

[Lander]

Jetzt den Samba (Services > CIFS/SMB > Settings) unter Authentication auf Active Directory stellen.
Dann sollte er eigentlich die Domain-User benutzen.

[NASMorph]

Leider funktioniert das nicht, habe ich natürlich auch schon getestet.

Wenn ich Active Directory in den CIFS/SMB Settings verwende. bekomme ich immer diese Fehlermeldung.

AD Error.JPG

Die Fehlermeldungen zum Join der Domäne sind ja noch immer vorhanden in den Informationen, nur die Infos List Impoirted Useres stimmt.

[NASMorph]

Ich werde am WE wenn ich etwas mehr Zeit habe NAS4Free in meiner Testumgebung nochmals aufsetzen.

[Lander]

Hmmm Naja da bist du schon ein Schritt zu weit. Er kann ja den Ordner nicht oeffnen wenn er dich nicht kennt. Und die Rechte auf dem Ordner nicht auf den User/Gruppe gesetzt sind die dann evtl. vom AD kommen.
Wichtig ist das er hier einen User zurueck gibt: wbinfo -i einUsernameAusDemAD

Was kommt den fuer eine Meldung wenn du: net ads join deineDomain -U deinWindowsAdministrator auf der N4F eingibst ???

[kreuzberger]

ääääähm, NASMorph,

kannst du dich mit dem DOMÄNEN Admin vielleicht anmelden auf dem Sambaserver? Denn solange es ja keine über AD erstellte Freigaben auf dem Nas4Free gibt kann da ein normaler User auch nix machen. Ich kann mich dunkel erinnern, dass man über das WWEBGUI erst mal einen Stammordner für das AD und dessen Unterordner anlegen sollte. Und dem dann somit die Rechte an den DomänenAdmin geben. Der kann dann die Unerreichter entsprechend verteilen. Wie gesagt, dunkle Erinnerung.........

Kreuzberger

[kreuzberger]

Nachtrag: Oft ist es was ganz banales!

Sieh mal nach ob die Systemzeit auf dem Domänencontroller und dem Nas4Free nicht mehr als 5 min voneinander abweichen. Ist das der Fall ist ein Domänenbeitritt nicht möglich.

Im Zweifel die Systemzeit des Nas4Free erst mal über das BIOS Setup korrigieren, nach dem Domänenbeitritt funktioniert die Zeitanpassung über den Domänencontroller automatisch. Da sollte man dann auch nicht dran fummeln.

Kreuzberger

[NASMorph]

Hmmm Naja da bist du schon ein Schritt zu weit. Er kann ja den Ordner nicht oeffnen wenn er dich nicht kennt. Und die Rechte auf dem Ordner nicht auf den User/Gruppe gesetzt sind die dann evtl. vom AD kommen.
Wichtig ist das er hier einen User zurueck gibt: wbinfo -i einUsernameAusDemAD

Wie oben schon mal angegeben, leider kein Connect

failed to call wbcGetpwnam: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not get info for user xxxx

Was kommt den fuer eine Meldung wenn du: net ads join deineDomain -U deinWindowsAdministrator auf der N4F eingibst ???

Edit

Hier stand sehr dummer Blödsinn

------------
Edit.

Mit deinem befehl joine ich die AD Domain ohne Fehlermeldung

Joined 'NAS4FREE' to dns domain 'xxxxx"

nach nochmaliger Versuch mit wbinfo -i, bleibt es trotz join bei der oben genannten Fehlermeldung

[NASMorph]

ääääähm, NASMorph,

kannst du dich mit dem DOMÄNEN Admin vielleicht anmelden auf dem Sambaserver? Denn solange es ja keine über AD erstellte Freigaben auf dem Nas4Free gibt kann da ein normaler User auch nix machen. Ich kann mich dunkel erinnern, dass man über das WWEBGUI erst mal einen Stammordner für das AD und dessen Unterordner anlegen sollte. Und dem dann somit die Rechte an den DomänenAdmin geben. Der kann dann die Unerreichter entsprechend verteilen. Wie gesagt, dunkle Erinnerung.........

Kreuzberger

Ich habe leider absolut keine Ahnung was du meinst?
Muss ich bei NAS4Free zuerst etwas bei den Services Samba AD eintragen?

Mein momentanes NAS ist OmniOS mit napp-it, da ging das ratzfatz, AD eingetragen, connected, läuft.

[NASMorph]

Nachtrag: Oft ist es was ganz banales!

Sieh mal nach ob die Systemzeit auf dem Domänencontroller und dem Nas4Free nicht mehr als 5 min voneinander abweichen. Ist das der Fall ist ein Domänenbeitritt nicht möglich.

Im Zweifel die Systemzeit des Nas4Free erst mal über das BIOS Setup korrigieren, nach dem Domänenbeitritt funktioniert die Zeitanpassung über den Domänencontroller automatisch. Da sollte man dann auch nicht dran fummeln.

Kreuzberger

Nein danke trotzdem für den Tipp, bei mir rennt alles über den pfSense NTP und der holt sich seine Zeit von den ntp.org Servern.

[kreuzberger]

Moin NASMorph,

sofern du User im AD eingetragen hast können die sich zwar im AD auf dem Windows Server anmelden. Aber solange es keine Freigaben auf dem NAS gibt können die User auf dem NAS nichts machen. Somit muss also der Admin vom Windows Server, der über das AD nun die rechte auf dem NAS hat Freigaben für die User anlegen und die Rechte über das AD verteilen. Das wird dann über das AD automatisch in das LDAP vom NAS übertragen.

Kreuzberber

[kreuzberger]

Moin NASMorph,

also ich habe nun hin bekommen. Es funktioniert bei mir in einer kleinen Testumgebung.
Da das aber etwas "tricky" ist und ich gerade Hunger habe werde ich die Beschreibung lieber sorgfältig machen und das dauert ein wenig.
Ein paar kurz Anmerkungen sind aber möglich:

A: Es ist gaaaanz wichtig, das Domänencotroller und Nas4Free die (fast) gleiche Zeit haben. Mehr als 5 darf nicht sein.
B: Der Weg führt an einer Stelle über die Computerverwaltung des Windows Servers, in der man wiederum sich mit dem Nas4free verbinden muss. Da klickt man sich durch von "System / Freigegebene Ordner / Freigaben" durch (kann etwas dauern beim ersten Mal) und wählt auf der zuvor auf dem NAS angelegten Freigebe die Eigenschaften auf.
Hier muss dann im Reiter "Sicherheit" ganz unten "Erweitert" der "Besitzer" von root auf Administrator (Voreingestellt Administrator des Domänencontrollers) geändert werden. Erst danach kann diese Unerreichte (auch für sich selbst zuerst) vergeben.

Kreuzberger

[NASMorph]

Hy Kreuzberger und Lander,

danke für eure Hilfe, ich bin jetzt erst mal 2 Wochen auf Urlaub, wenn ich zurück bin werde ich mir NAS4Free diesbezüglich nochmals ansehen.

Danke nochmals und LG