R

[Lallinec_Yann]

Bonjour à tous,

Après de nombreuses recherches, les solutions proposées sur les différents forums ne fonctionnent pas.

J'ai un DS213+ à la maison, ça tourne parfaitement.

Je suis en cour d'installation d'un DS1513+ dans ma PME, et là c'est plus compliqué.

Voici l'environnement :

• Serveur Windows 2008 avec domaine TOTO disons.
• LiveBox Pro V3 (pourrie => Nas basculé en DMZ) relié à un switch Netgear. C'est à ce switch que tous les ordinateurs, le serveur déjà existant sous windows 2008, etc. sont connectés.
• DS1513+

Le DS1513+ aura des fonctions de sauvegarde locale, à distance via un paquet, hébergement web, plateforme pour nos principaux clients (dossier home), cloudstation pour les collaborateurs en déplacement.

Mon problème => enfin

Le DiskStation est visible sur le réseau (fichier windows activé, nom de domaine TOTO ok, ports ouvert). Mais l'accès m'y est refusé. Pourtant il est parfaitement accessible en rentrant l'adresse IP locale 192.168.0.241

Je tourne en rond et ne trouve aucune solution. Une idée ?

En vous remerciant par avance

Yann

[CoolRaoul]

Tu nous confirmes que le syno a bien rejoint le domaine ? (panneau de conf -> service d'annuaire -> onglet "domaine")

[Lallinec_Yann]

Oh boy ! Non.

J'ai jamais eu cette manip' à faire à la maison pour rendre le réseau visible.

Je viens de faire la manip, mais à distance - impossible donc de vérifier si elle a marché. Ce que j'ai pu constater c'est que les Utilisateurs du serveur Windows sont utilisables sur le synology maintenant. Je préférerais que ce ne soit pas le cas.

Merci beaucoup en tous cas CoolRaoul Je te dis dès que je rentre de vacances si ça permet l'ouverture de Nas - 192.168.0.241 fonctionnant parfaitement...

[CoolRaoul]

J'ai jamais eu cette manip' à faire à la maison pour rendre le réseau visible.

Bien entendu: a la maison, contrairement au réseau de la PME -et c'est toi qui nous l'a fait remarquer!-, j'imagine que tu n'es pas dans un environnement de type "domaine" (authentification centralisée) mais "workgroup" (chaque machine ne dispose que d'une gestion de compte locale et indépendante)

Je viens de faire la manip, mais à distance - impossible donc de vérifier si elle a marché. Ce que j'ai pu constater c'est que les Utilisateurs du serveur Windows sont utilisables sur le synology maintenant. Je préférerais que ce ne soit pas le cas.

Au contraire: c'est justement l'intéret de la manip, ça leur permet d'accécer au NAS et d'être identifiés sur ce dernier avec leurs identifiants windows. Par exemple les utilisateurs en déplacement pourront utiliser les mêmes identifiants que ceux du domaine pour accéder à leur répertoire home.

Mais tu peux décider, pour chaque partage, qui à accès à quoi (de préférence en utilisant les groupes). Donc être authentifié par le NAS n'implique pas forcément avoir accès aux données.

[Lallinec_Yann]

Ok, merci pour la distinction domaine / workgroup et gestion des comptes ; je n'y était pas du tout. Pour être sur d'avoir bien compris, quand j'appelle l'IP directement, on s'écarte de la notion de domaine et donc aucun pb d'accès. A l'inverse, quand bien même le gestionnaire de fichiers windows est activé, avec le bon nom de domaine, si l'annuaire n'est pas enregistré avec le nom de domaine, je le vois apparaître sur le réseau sans que la connexion ne soit possible ? Il faudrait que je fasse le ménage dans les comptes du serveur dans ce cas ; mais c'est vrai que ce serait plus intelligent, tu as raison. Je vais m'y atteler à la rentrée. J'ai déjà des profils, clients / collaborateurs / administrateurs / users ; avec les droits attribués sur les dossiers partagés en fonction. Je fais ça rapidement, et je te dis. Je te remercie bcp en tous cas

[CoolRaoul]

Pour être sur d'avoir bien compris, quand j'appelle l'IP directement, on s'écarte de la notion de domaine et donc aucun pb d'accès.

Ca dépend ce que tu veux dire par la, si tu fait ça dans un navigateur internet, dans ce cas la réponse est oui: c'est du simple http.

Via l'explorateur de fichiers par contre (avec une addresse UNC du genre "<ip>") on reste dans le contexte partage réseau Windows.

Me semble bien aussi qu'il soit requis, en configuration domaine Windows, que le NAS utilise le serveur de domaine comme serveur DNS et non pas le DNS Orage. Dans ce cas il est important que le DNS du Windows serveur soit proprement configuré niveau forwarding de requêtes (sinon ton NAS ne saura pas accéder au monde extérieur, ce qui n'est pas forcément indispensable sauf pour les mises à jour de DSM)

A l'inverse, quand bien même le gestionnaire de fichiers windows est activé, avec le bon nom de domaine, si l'annuaire n'est pas enregistré avec le nom de domaine, je le vois apparaître sur le réseau sans que la connexion ne soit possible ?

En fait elle devrait peut-être quand même être possible mais sous réserve de forcer windows a demander un user/password pour la connexion au NAS en mode partage de fichiers. Mais j'avoue ne pas avoir sous la main de quoi reproduire cette architecture.

Peut-être une option alternative, si tu tiens à cloisonner la gestion des comptes entre le NAS et le domaine (mais je répète que je ne suis pas sur que soit la meilleure approche) est non seulement de ne pas joindre le NAS au domaine mais aussi de lui mettre un nom de domaine ("groupe de travail" dans ca cas) *différent* de celui du serveur Windows.

Et pour terminer tu as oublier de nous préciser ce que tu voulait dire par "connexion impossible": est-ce que le mot de passe est refusé ou une erreur de type "timeout"?

[Lallinec_Yann]

Via un explorateur web, aucun problème pour accéder à l'interface HTTP ou HTTPS.

Pour l'IP je parlais bien dans l'exporateur Windows. Je n'ai aucun soucis d'accès à l'IP 192.168.0.241.

Il est visible dans le réseau, mais quand je veux y accéder, l'accès m'est refusé - pas de timeout à priori.

Tu m'as convaincu de fusionner les comptes - je ne vais pas retenir l'option WORKGROUP.

C'était plus simple de repartir d'une base neuve, mais je vais faire le travail de nettoyage sur les comptes du serveur windows. Cependant, j'ai rapidement fais la manip' d'annuaire, j'ai pu me connecter via les users du serveur windows (à nettoyer), sans que la liste des utilisateurs synology soit mise à jour avec tous ces utilisateurs windows serveur. Il faut importer les utilisateurs pour ensuite pouvoir ventiler les droits sur les dossiers partagés ?

[CoolRaoul]

Pour l'IP je parlais bien dans l'exporateur Windows. Je n'ai aucun soucis d'accès à l'IP 192.168.0.241.

Il est visible dans le réseau, mais quand je veux y accéder, l'accès m'est refusé - pas de timeout à priori.

Ca aurait été peut-être utile de savoir le message d'erreur exact, parfois même Windows indique un code numérique.

Tu m'as convaincu de fusionner les comptes - je ne vais pas retenir l'option WORKGROUP.

C'était plus simple de repartir d'une base neuve, mais je vais faire le travail de nettoyage sur les comptes du serveur windows. Cependant, j'ai rapidement fais la manip' d'annuaire, j'ai pu me connecter via les users du serveur windows (à nettoyer), sans que la liste des utilisateurs synology soit mise à jour avec tous ces utilisateurs windows serveur. Il faut importer les utilisateurs pour ensuite pouvoir ventiler les droits sur les dossiers partagés ?

Je ne pense pas à priori (j'avoue cependant ne pas avoir eu l'occasion de manipuler un syno dans un contexte domaine Microsoft).

Me semblerait normal qu'une fois le NAS intégré au domaine, les comptes et les groupes de ce dernier soit utilisables pour donner des droits d’accès aux partages sans avoir à faire une importation explicite (c'est bien ce qui se passe pour un poste client windows après tout)

Sinon je sais que d'autre membres du forum ont des compétences sur ce type d'architecture, j'espère que l'un d'entre pourra passer sur ce fil donner plus de détails.

[Lallinec_Yann]

De retour au bureau, je ferai les différents tests et te donnerai les retours. J'ai rapidement vu qu'on pouvoir importé les comptes windows dans le syno, une fois le domaine rejoint dans l'annuaire selon tes indications. J'en profiterai pour te donner également les détails du message d'erreur, ce sera plus constructif que mon "accès refusé"