Menge Probleme mit AD Verbindung (WinSrv 2003 / Qnap TS-459)

    Hallo,


    wir haben seit Montag eine Menge Probleme mit der Qnap TS-459U-RP+/SP+ Turbo NAS (aktuelle Firmware 3.4.1 Build0315).
    Am Montag war überhaupt kein Zugriff auf die NAS via Netzwerkshare möglich. Nach einem Reboot der NAS war alles wie vorher.
    Heute, am Donnerstag Morgen, das gleiche Spiel. Aber auch nach einem Reboot der NAS ging diesmal immer noch nichts. Also wurde der DC ebenfalls neu gestartet und die NAS daraufhin auch nochmal.
    Der Fehler bestand aber immer noch. Bei den Netzwerkfreigaben wurde ebenfalls kein Domänenuser bzw. Gruppe angezeigt. Also habe ich unter den Netzwerkeinstellungen den Domänenadmin + Passwort neu eingegeben und ein rejoin zu Domäne durchgeführt.
    Danach wurden die Domänenuser und Gruppen wieder angezeigt, jedoch waren alle vorherigen Berechtigungen verworfen und durcheinander. Bei den TS-Profilen waren z.B. Rechner Besitzer von Profilordnern.
    Die Gruppen Domänen-Benutzer sowie Domänen-Admins waren komplett verschwunden. Dafür waren nun Gruppen wie DNS-Admins oder Exchange Domain Servers vorhanden.
    Nun bin ich dabei, bei jedem Ordner bzw. Freigabe die Berechtigungen neu zu setzen.
    Außerdem habe ich bei 4-5 Ordnern aus einer Freigabe das Problem, dass sobald ich bei den Berechtigungen aus der Klappbox "Lokale Gruppe" bzw "Domänen Gruppe" auswähle, sofort wieder bei der Anmeldemaske lande. Ist so etwas bekannt?


    Kann es durch die Zeitumstellung am Sonntag verursacht worden sein? Vorher hatte ich als NTP "pool.ntp.org" mit einem Intervall von 7 Tagen eingetragen.
    Dies habe ich nun auf die IP des DCs geändert mit einem Intervall von 2h. Sollte die automatische Umschaltung von Sommer- auf Winterzeit ebenfalls deaktiviert werden?



    Zum Domänencontroller:
    Windows Server 2003 + Exchange Server 2003
    alle WinUpdates installiert
    Gesamtstrukturfunktionsebene: Windows Server 2003-interim
    Domänenfunktionsebene: Windows Server 2003-interim



    Vielen Dank für eure Hilfe.

    Hallo Sebastian


    Grundsätzlich kann das schon mit Unterschieden in der Systenzeit zusammenhängen.
    Das AD duldet nur geringfügige Abweichungen.
    Vor längerer Zeit hatte ich mal das gleiche Problem mit der AD-Membership, aber seither ist das nie wieder aufgetaucht.
    Deshalb kann ich hier auch erst mal wenig dazu mutmassen.


    Gegen das Zurückfallen auf den Startbildschirm hilft normalerweise das Leeren des Browser Caches.
    Den DC als ntp für das NAS zu verwenden ist auf jeden Fall die richtige Wahl, automatische Umstellung sollte auch passen.


    Ich habe eine recht ähnliche Umgebung, auch 2003 DC und ein weiterer als Fileserver mit Exchange.
    Allerdings sind beide VM's und das NAS habe ich von Anfang an wegen der iSCSI Unterstützung gekauft.
    Ein Target ist mit dem Filserver verbunden und somit habe ich die gesamte Benutzer- und Freigabenverwaltung, sowie die ACL's ausschliesslich auf Windows Seite.
    Ein Netzwerkadapter ist nur für diese iSCSi Verbindung eingerichtet.
    Die Performance ist ok und ich habe auch die Exchange DB's in diesem Target liegen.
    Backups usw mache ich ebenfalls vom Windows Host aus.


    Gruss
    Micha

    Moin Micha,


    Zitat von "TrueFazer"


    Gegen das Zurückfallen auf den Startbildschirm hilft normalerweise das Leeren des Browser Caches.


    Das Problem trat jedoch nur bei bestimmten Unterordnern von zwei Freigaben auf. Ich hatte dies auch von verschiedenen Systemen sowie Browser getestet.
    Jedoch immer das gleiche Bild. Sobald ich bei den Berechtigungen "Lokale Gruppen" bzw. "Domänen Gruppen" auswählen wollte, hat er mich rausgeschmissen.
    Ich habe mir nun so geholfen, dass ich mir diese Freigaben neu erstellt habe.



    Zitat von "TrueFazer"


    Allerdings sind beide VM's und das NAS habe ich von Anfang an wegen der iSCSI Unterstützung gekauft.


    iSCSI wollte wir vermeiden, um unabhängig vom Server zu sein. Sollte sich die Verbindung zum AD jedoch nicht stabilisieren, werden wir auf iSCSI umsteigen müssen.



    Nun habe ich das Problem, wenn ein User z.B. eine Excel Datei öffnet und abspeichert, wird dieser automatisch in die ACL sowie als Besitzer eingetragen. Die ACL Gruppe "Domänen Benutzer" fliegt raus, sodass kein anderer User mehr auf die Datei zugreifen kann. Dann muss ich die Gruppe "Domänen Benutzer" neu hinzufügen, was solange hält, bis der nächste die Datei öffnet und speichert.
    Kennt jemand das Problem?



    Gibt es ein "Best Practice" bezüglich AD & Qnap oder sollte man lieber iSCSI verwenden?

    Das Problem kenne ich in etwa.
    Direkte Freigaben auf dem NAS verwende ich nur im domain admin Kontext.
    Aber selbst da ist es schon vorgekommen, dass bei einem Neustart die ACL's verhunzt waren.
    Die Ordner selbst waren noch richtig berechtigt, aber auf Dateiebene war kein Zugriff da, musste erst wieder runter vererben.


    Best practice ist schlecht anzuraten, andere verwenden die herkömmliche Anbindung auf Freigaben recht erfolgreich.
    Bei mir war nur nie der Bedarf mich da tiefer in dieses Phänomen hinein zu arbeiten.
    Wegen der vm's war iSCSI die beste Möglichkeit unnötigen I/O auf der host-hdd zu vermeiden und hat von Anfang an einfach funktioniert.


    Gruss
    Micha

    Hallo ich habe genau das gleiche Phänomen bei mir in einer ähnlichen Umgebung (Small Business Server 2003, Terminalserver 2003 und das TS-459U-RP+)
    Neueste Firmware ist drauf. DNS und WINS und IP stimmen und sind komplett erreichbar. Logon auf die WebGUI ohne Probleme. Zeit von DC immer innerhalb 1 Stunde synchronisiert. Sobald ich auf die Freigaben Berechtigungen setzen will, werde ich zum Logon befördert. Egal ob IE oder Firefox.


    Ich kann auch auf die Shares nicht zugreifen (ich werde dann nach Benutzername und Passwort gefragt).


    Das komische daran ist jetzt, dass es beim ersten join ins AD geklappt hat. Nur jetzt geht nichts mehr. Neueste Firmware ist auch drauf

    Servus juwick,


    scheint bei dir ein DC bzw. DNS-Problem zu sein.
    Was sagt dcdiag auf dem SBS ... irgendeine Fehlermeldung?
    Namensauflösung von und zum NAS funktioniert?
    Join zum AD muß auf alle Fälle funktionieren ... egal wie oft.
    Gibts Fehlermeldungen im SBS?


    Gruß, Hotte