QNAP "vergisst" Benutzer und Gruppen (Active Directory)

  • Hallo zusammen,


    seit ca. 3 Wochen treten immer häufiger Probleme beim Zugriff auf unser NAS auf. Vorher lief es ca. 6 Monate ohne Probleme. Die Benutzer können sich weder über den Dateibrowser (Mac,Win,Linux) noch über das Webinterface vom QNAP anmelden:

    1. Benutzer, welche über den Dateiexplorer zugreifen, erhalten die Meldung, dass sie nicht über ausreichende Rechte verfügen oder
    2. dass die Verbindung zum NAS nicht möglich ist.
    3. Benutzer, welche über das Webinterface zugreifen, erhalten die Meldung "Sie sind kein Qsyc Benutzer" oder
    4. der Login ist nicht möglich aufgrund von ungültigen Logindaten

    Eckdaten der Systeme:

    • Active Directory kompatibler DC von Univention (aktuell)
    • QNAP TS-673 mit aktueller Firmware

    Bisheriger Kenntnisstand:

    • Das NAS zeigt unter Domänengruppen und -benutzern manchmal keine Einträge an.
    • Beim AD DC laufen "ungültige" LDAP-Anfragen ein. Diese unterscheiden sich deutlich im Umfang von erfolgreichen anfragen.
    • Das Problem tritt meistens in den Morgenstunden auf.
    • Andere Server/Programme die ebenfalls mit dem Domaincontroller kommunizieren haben keine Probleme.

    Meine Fragen:

    • Kann man das NAS aus der Domäne "werfen" und neu eingliedern, ohne dass man alle Rechte neu setzen muss? Wäre das überhaupt einen Versuch wert?
    • Hat QNAP Probleme mit "nested Groups" im LDAP-Baum?
    • Gibt es eine Möglichkeit ausdrucksvolle LDAP-Anfragen im Betrieb zu speichern? tcpdump z.B. liefert nur oberflächliche Informationen.
    • Welche weiteren Ursachen könnte es für die Punkte 1-4 Geben?


    Herzlichen Dank für eure Zeit und Hilfe.

  • QNAP4HT

    Hat den Titel des Themas von „QNAP "vergisst" Benutzer und Gruppen“ zu „QNAP "vergisst" Benutzer und Gruppen (Active Directory)“ geändert.
  • Ich hatte in den letzten Wochen auch vermehrt seltsame Probleme, dass AD-User nicht mehr auf die Shares zugreifen konnten. Meist half dann ein Neustart des Samba-Dienstes auf dem NAS.

    Da der PDC noch ein SBS2003 war, der eh weg sollte habe ich nach einem erfolglosen Versuch den PDC auf die QNAP zu migrieren das AD dort komplett neu aufgesetzt und auch die Clients neu verbunden. Nach Deinem Post werde ich das Gefühl aber nicht los, dass da was im SAMBA der QNAP nicht rund läuft. Ahne ausführliche SAMBA.logs und dem QNAP-Support wirst Du wohl nicht weiterkommen.

  • Hallöchen,


    leider habe ich noch keine aussagefähigen LOGs von Samba gefunden. Könnten SIe mir hier vielleicht weiter helfen?


    Den Support werde ich wohl anschreiben müssen, da die Zugriffsprobleme nach keinem erkennbaren Muster auftreten.


    MfG

  • Hallo zusammen,


    wir haben unser Problem gefunden und behoben:


    Problem: DDoS via CLDAP führt zu Verzögerung bzw. Timeout der LDAP-AD-Anfragen an den AD. Dies scheint bei QNAP wesentlich kritischer zu sein, als bei anderen Diensten.


    Umweg zur Lösung: Backup-AD-Controller übernimmt die Anfragen von QNAP


    Endgültige Lösung: Externe Portsperre für alle betroffenen Ports oder abschalten von CLDAP