Aller au contenu

[Résolu] MAJ DSM 6.0: jonction AD impossible


_Megalegomane_

Messages recommandés

Bonjour,

j'ai passé deux NAS en DSM 6.0 et me suis rendu compte quelques jours plus tard que la jonction au domaine AD ne se faisait plus.
Du coup, ayant toujours les utilisateurs et groupes AD (mais plus mis à jour):

  • j'ai sorti un des NAS du domaine pour le joindre à nouveau => message d'erreur suivant "Impossible de rejoindre le domaine Windows. Vérifiez vos paramètres de domaine et de pare-feu et réessayez."
  • pour l'autre j'ai simplement resaisi les infos de jonction sans sortir du domaine mais même message

J'ai essayé toutes les options possibles dans la fenêtre de jonction + vérification des DNS + vérification sur le serveur que le protocole SMB v1 soit bien activé.

Pour isoler le problème, j'ai sorti du domaine deux de mes NAS dont le DSM est en 5.2 => nouvelle jonction au domaine sans aucun soucis.

Je n'avais pas eu ce soucis sur mon nas de test en DSM 6.0 qui lui est sur le même sous réseau que mon serveur. J'ai passé un autre NAS sur ce sous réseau en DSM 6.0 => pas de soucis non plus.

Donc le problème semble toucher seulement les NAS en DSM 6.0 sur un sous réseau différent... Je précise que le serveur est joignable depuis les sous réseau puisque cette configuration a toujours marché pour une centaine de NAS et continue de marcher pour mes NAS en DSM 5.2.

J'ai biensur fait remonter le soucis au support synology mais comme bien souvent le forum est plus rapide pour les résolutions.
Des idées?

Merci pour votre temps.

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 61
  • Créé
  • Dernière réponse
Il y a 5 heures, bryce426 a dit :

J'ai passé un autre NAS sur ce sous réseau en DSM 6.0 => pas de soucis non plus.

Avec ce même nas, dans un autre sous réseau, ça marchait ?

Je n'ai pas de quoi tester (aucun syno au taf ne supporte DSM 6.0, ceux sont tous des XXX10).

Revérifie tout de même les points suivants :

  • NAS :
    • les DNS du syno DOIVENT être ceux de l'AD (sauf si tu fais de la délégation de zone, dans ce cas adapte) pour s'enregistrer
    • le NTP doit être l'AD (token kerberos)
    • coupe tout ce qui est firewall, ddos, docker, ... (tout ce qui touche aux interfaces réseau)
    • active (ou désactive) l'ipv6
    • vérifie que ton nas ping correctement ton AD
    • renomme ton nas
  • AD/DNS :
    • vérifie les Events Logs
    • supprime les références à ton nas dans l'annuaire et dans le DNS (vérifie aussi qu'il n'y ai pas un autre objet avec la même adresse)

Tu peux aussi essayer de créer manuellement l'objet dans l'annuaire et le dns AVANT de faire la jonction

Lien vers le commentaire
Partager sur d’autres sites

Le problème c'est que les sous-réseaux correspondent à des sites physiques distants donc je ne peux pas faire de manipulations physiques ni changer les NAS de sous-réseaux (vu que j'ai un backup sur un autre NAS au cas où, ça va peut-être se terminer par un reset du NAS...)

Pour les points, j'avais vérifié la plupart:

  • NAS :
    • les DNS du syno DOIVENT être ceux de l'AD (sauf si tu fais de la délégation de zone, dans ce cas adapte) pour s'enregistrer TESTÉ HIER
    • le NTP doit être l'AD (token kerberos) TESTÉ APRÈS TON MESSAGE
    • coupe tout ce qui est firewall, ddos, docker, ... (tout ce qui touche aux interfaces réseau) TESTÉ HIER
    • active (ou désactive) l'ipv6 TESTÉ HIER
    • vérifie que ton nas ping correctement ton AD TESTÉ APRÈS TON MESSAGE
    • renomme ton nas TESTÉ HIER
  • AD/DNS :
    • vérifie les Events Logs => j'ai vérifié les journaux sur l'interface DSM et il n'est même pas mentionné la tentative de jonction... Est-ce qu'il y'a des logs à récupérer directement en console?
    • supprime les références à ton nas dans l'annuaire et dans le DNS (vérifie aussi qu'il n'y ai pas un autre objet avec la même adresse) TESTÉ HIER
    • jonction manuelle TESTÉ APRÈS TON MESSAGE : n'ayant jamais fait cette opération en manuel j'ai donc créé l'ordinateur dans l'AD sans toucher aux options ce qui semble me créer un objet identique aux autres NAS fonctionnels mais sans succès
Lien vers le commentaire
Partager sur d’autres sites

Je viens de mettre à jour en DSM 6.0, 2 NAS qui sont à quelques kilomètres de chez nous (plus simple en cas de problèmes) et le soucis n'apparait pas pour le moment...

Je viens de me relire et vois que je n'ai pas bien expliqué la chose:
Mes 2 NAS qui posent soucis ne sont pas sur le même sous-réseaux et ils sont en plus sur un sous réseau différent de celui du serveur:
- NAS1 : 10.44.7.1/16
- NAS2 : 10.143.7.1/16
- Serveur : 10.20.5.5/16

Je précise que cette configuration réseau est parfaitement fonctionnelle. 90% de mon parc de NAS est sur des sous-réseaux différents et continu de fonctionner correctement.
 

Lien vers le commentaire
Partager sur d’autres sites

Je viens de copier les paramètres smb.conf d'un autre NAS fonctionnel après redémarrage de samba voilà ce que cela donne au niveau du DSM (voir capture).

Je reviens donc simplement au point de départ de mon soucis : le champs domaine en rouge et les onglets utilisateurs et groupes du domaine en grisés. EDIT: le fond rouge ne se voit plus quand je fais la capture mais le domaine est bien en erreur.

Donc clairement il n'est toujours pas joint au domaine malgré les bonnes infos...

snip_20160401114255.png

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, bryce426 a dit :

vérifie les Events Logs => j'ai vérifié les journaux sur l'interface DSM et il n'est même pas mentionné la tentative de jonction... Est-ce qu'il y'a des logs à récupérer directement en console?

Je parlais des logs de l'AD, sur l'AD

Du coté du syno il faut regarder dans /var/log et ses sous dossiers

----

Sur ta capture :

  • Domaine : il faut mettre le suffixe de domaine (c'est ce qui suit le @ dans l'upn), il doit pouvoir être résolu par le nas
  • Serveur DNS : le DNS (la plupart du temps c'est l'AD)
  • Type de serveur : AD Domaine
  • Mode de gestion : Trusted Domain
  • DC IP/FQDN : tonad.ton.domaine (son nom dns, qui doit pouvoir être résolu depuis le nas)
  • Netbios : le nom netbios du domaine (ce que tu met AVANT ton login, si c'est TRUC\login il faut mettre TRUC)
  • FQDN : normalement c'est comme pour le Domaine
  • Enregistrer l'interface : ne mets que l'interface qui est utilisée
Il y a 7 heures, bryce426 a dit :

le champs domaine en rouge

si tu mets la souris au dessus, il n'affiche pas un message d'erreur ?

Il y a 6 heures, bryce426 a dit :

J'ai suivi les manip de cette page afin de faire une jonction au domaine par ssh mais j'ai un échec au moment de la commande de jonction:

il faut passer root avant de faire les commandes (je n'ai pas vérifié si elles étaient correcte) : sudo -s

 

Lien vers le commentaire
Partager sur d’autres sites

Citation

Je parlais des logs de l'AD, sur l'AD

Du coté du syno il faut regarder dans /var/log et ses sous dossiers

sur le serveur AD, j'ai cet événement:
"Le contrôleur de domaine Kerberos a rencontré plusieurs noms dupliqués lors du traitement d’une demande d’authentification Kerberos. Le nom dupliqué est cifs/NAS-1.intranet.fr (de type DS_SERVICE_PRINCIPAL_NAME). Cette situation peut entraîner des échecs d’authentification ou des rétrogradations à NTLM. Pour éviter ce problème, supprimez les entrées dupliquées pour cifs/NAS-1.intranet.fr dans Active Directory."

Du coup j'ai essayé les commandes suivantes sur le serveur:
C:\Users\Administrateur.RESEAU> setspn -l NAS-1
Noms ServicePrincipalName inscrits pour CN=nas-1,CN=Computers,DC=intranet,DC=fr:
        HOST/NAS-1
        HOST/NAS-1.intranet.fr

C:\Users\Administrateur.RESEAU>setspn -D HOST/NAS-1 NAS-1
Désinscription des ServicePrincipalNames pour CN=nas-1,CN=Computers,DC=intranet,DC=fr
        HOST/NAS-1
Objet mis à jour

C:\Users\Administrateur.RESEAU>setspn -D HOST/NAS-1.intranet.fr NAS-1
Désinscription des ServicePrincipalNames pour CN=nas-1,CN=Computers,DC=intranet,DC=fr
        HOST/NAS-1.intranet.fr
Objet mis à jour

sur le syno, j'ai ce log dans le fichier log.wb-RESEAU qui se répéte inlassablement:
"libads/kerberos_util.c:101: [2012/09/19 10:03:52.843630, all 0, pid=5824] ads_kinit_password
  kerberos_kinit_password NAS-1$@INTRANET.FR failed: Preauthentication failed"

 

Citation

 

  • Domaine : il faut mettre le suffixe de domaine (c'est ce qui suit le @ dans l'upn), il doit pouvoir être résolu par le nas
  • Serveur DNS : le DNS (la plupart du temps c'est l'AD)
  • Type de serveur : AD Domaine
  • Mode de gestion : Trusted Domain
  • DC IP/FQDN : tonad.ton.domaine (son nom dns, qui doit pouvoir être résolu depuis le nas)
  • Netbios : le nom netbios du domaine (ce que tu met AVANT ton login, si c'est TRUC\login il faut mettre TRUC)
  • FQDN : normalement c'est comme pour le Domaine
  • Enregistrer l'interface : ne mets que l'interface qui est utilisée

 

Pour le domaine j'ai essayé la suite de l'UPN et aussi le début du SAMaccountname, c'est d'ailleurs avec ce dernier que je fais la jonction normalement mais pas mieux.
Pour le reste, je viens de tout réessayé pas mieux non plus.
 

Citation

si tu mets la souris au dessus, il n'affiche pas un message d'erreur ?

oui j'ai le message suivant : "Impossible de trouver le domaine Windows spécifié."

 

Citation

il faut passer root avant de faire les commandes (je n'ai pas vérifié si elles étaient correcte) : sudo -s

Pour les commandes ssh sur le syno, j'étais bien passé en root.


Merci pour tes réponses.

Lien vers le commentaire
Partager sur d’autres sites

admin@NAS-1:/$ nslookup intranet.fr
;; Truncated, retrying in TCP mode.
Server:         10.20.5.5
Address:        10.20.5.5#53

Name:   intranet.fr
Address: 10.232.5.1
Name:   intranet.fr
Address: 10.97.5.2
Name:   intranet.fr
Address: 10.34.5.1
Name:   intranet.fr
Address: 10.112.5.2
Name:   intranet.fr
Address: 10.20.5.100

J'ai raccourci la liste mais tous les serveurs ressortent.

Lien vers le commentaire
Partager sur d’autres sites

j'avais fait un dcdiag qui ne m'a sortie aucune erreur. Je viens d'en refaire un avec succès.
Pour les DNS, chaque site distant comportant un serveur a en effet le rôle de DNS pour éviter les requêtes sur le DNS du serveur du siège. Afin d'éviter un traffic supplémentaire entre nos sous-réseaux.

Je cherche une solution que ce soit côté serveur ou synology mais j'avoue privilégier la piste du syno étant donné que seuls les DSM 6.0 sont impactés.

Lien vers le commentaire
Partager sur d’autres sites

Petite info au passage: je viens de préparer un nouveau nas, arrivé à l'écran de démarrage je choisis l'option "Installer automatiquement les mises à jour importantes de DSM".
Cette option n'est censé installer que les mise à jour de sécurité et non passer à la dernière version de DSM.
Une fois sur le bureau DSM, si je retourne dans les options, j'ai l'autre option qui est coché "DSM le plus récent et toutes les mises à jour".

J'ai réessayé 3 fois pour en avoir le coeur net. Donc si vous avez des NAS qui se mettent en DSM 6.0 alors que vous ne l'aviez pas demandé ne vous étonnez pas!
 

snip_20160405100325.jpg

snip_20160405100531.jpg

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, bryce426 a dit :

chaque site distant comportant un serveur a en effet le rôle de DNS

Tous ces serveurs sont en RW, pas de RO-DC ? (le syno à le droit de s'enregistrer dessus) ?

Paramètre ton syno avec les coordonnées du CG (DC qui tiens le rôle catalogue global)

Lien vers le commentaire
Partager sur d’autres sites

je me suis mal expliqué. Ce sont tous des RW-DC qui ont en plus le rôle de DNS.
Tous mes sites n'ont pas forcément des serveurs (ce qui est le cas pour les sites où mes 2 nas posent soucis).
Mais j'ai bien une trentaine de sites où les NAS sont seuls sans serveurs et je n'ai jamais eu de soucis de jonction au domaine.

Je paramètre toujours mes NAS avec les coordonnées du contrôleur de domaine principal.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, bryce426 a dit :

j'avais fait un dcdiag qui ne m'a sortie aucune erreur. Je viens d'en refaire un avec succès.

Et repadmin /showrepl

L'erreur Kerberos indique tout de même un soucis d'unicité sur un SPN (setspn -x pour trouver les doublons et setspn -L nas-1 pour lister les spn d'un objet). Vérifie aussi les enregistrements DNS associés au Kerberos (un test de "_kerberos._tcp.TONDOMAIN" en SRV doit renvoyer le même résultat sur tous les serveurs).

Tu peux aussi tester en changeant le nom d'un nas qui ne fonctionne pas.

il y a 45 minutes, bryce426 a dit :

Tous mes sites n'ont pas forcément des serveurs (ce qui est le cas pour les sites où mes 2 nas posent soucis).

Autre piste, soucis netbios (ce qui serait bien dommage en 2016)

De ce que j'ai compris, tu as exemple :

  • site A :
    • subnet : 10.1.0.0/16
    • dc A : 10.1.0.1
    • nas A : 10.1.0.2
    • =>ok
  • site B :
    • subnet : 10.2.0.0/16
    • pas de DC
    • nas B : 10.2.0.2
    • =>ko
  • site C : hypothèse de travail
    • subnet : 10.3.0.0/16 et 172.16.0.0/16
    • dc C : 10.3.0.1
    • nas C : 172.16.0.2
    • =>???

Si ça fonctionne dans le site C mais pas dans B, c'est probablement un soucis dans ton réseau (ACL, DNS, Firewall, ...). Si ça ne fonctionne pas non plus en C et que coté acl/firewall il n'y a rien entre 10.3 et 172.16, ça sent mauvais le netbios.

Lien vers le commentaire
Partager sur d’autres sites

la commande repadmin /showrepl ne me retourne aucune erreur.

si je fais un setspn -x j'ai bien mon nas en doublon. Du coup après avoir listé avec setspn -L, j'ai supprimé les entrées avec setspn -D puis revérifier que le nas ne soit pas revenu dans l'AD. J'avais fait ces manips dans un de mes messages précédents. Après ça je suis toujours au même stade.

Pour le test de "_kerberos._tcp.intranet.fr", je l'ai testé avec un NSLOOKUP et voilà le retour de la commande (j'ai raccourci le résultat mais tous les serveurs DNS ressortent bien):
 

> _kerberos._tcp.intranet.fr
Serveur :   dc-seg2.intranet.fr
Address:  10.20.5.2

_kerberos._tcp.intranet.fr      SRV service location:
          priority       = 0
          weight         = 100
          port           = 88
          svr hostname   = dc-savoie.intranet.fr
_kerberos._tcp.intranet.fr      SRV service location:
          priority       = 0
          weight         = 100
          port           = 88
          svr hostname   = dc-tarbes.intranet.fr
dc-savoie.intranet.fr   internet address = 10.73.5.2
dc-tarbes.intranet.fr   internet address = 10.165.5.1

 

Pour le test en changeant le nom du NAS, pas mieux.

 

Citation

De ce que j'ai compris, tu as exemple :

  • site A :
    • subnet : 10.1.0.0/16
    • dc A : 10.1.0.1
    • nas A : 10.1.0.2
    • =>ok
  • site B :
    • subnet : 10.2.0.0/16
    • pas de DC
    • nas B : 10.2.0.2
    • =>ko

C'est exactement ça!

Citation

site C : hypothèse de travail

  • subnet : 10.3.0.0/16 et 172.16.0.0/16
  • dc C : 10.3.0.1
  • nas C : 172.16.0.2
  • =>???

Pour ce test, mon premier soucis c'est que déjà de base le ping entre dc C et nas C qui ne se fait pas et encore moins la jonction AD.
Il va falloir que je vois avec notre admin réseau quand il sera plus en déplacement  :S

Par contre je viens de disjoindre du domaine plusieurs NAS en DSM 5.2 (sans serveur sur site) et la jonction a pu se faire (obligé de cocher la case "options avancées du domaine", chose que je n'ai pas à faire à la préparation au siège de l'entreprise).
Du coup, bien qu'étant presque certain d'avoir déjà testé ces réglages je me suis empresser de tester sur mes NAS en DSM 6.0 mais pas mieux non plus.

J'attends toujours une réponse de Synology pour savoir ce qui a changé entre leurs deux versions...

En attendant, j'ai créé les utilisateurs en local pour mes NAS en DSM 6.0... Heureusement le nombre de NAS et d'utilisateurs touchés restent limités.

En tout cas, bien qu'il reste possible qu'il y ait un soucis sur notre réseau, je m'étonne de ne pas voir apparaitre d'autres sujets sur ce problème surtout avec cette fameuse option de mise à jour qui au final n'est pas prise en compte et force la maj en version supérieure...

Lien vers le commentaire
Partager sur d’autres sites

Au cas où, pour les différents tests, ils sont à effectuer depuis le réseau qui pose problème (si possible depuis le nas lui même) ou sur l'AD que tu configures sur le nas.

il y a une heure, bryce426 a dit :

J'attends toujours une réponse de Synology pour savoir ce qui a changé entre leurs deux versions...

N'hésite pas à les relancer si ça fait plus de 5jours ouvrés.

nb : il ne faut pas leur demander ce qui a changé, il faut simplement leur indiquer que la jonction AD ne fonctionne plus si l'AD et le Synology ne sont pas dans le même réseau, en précisant bien qu'en 5.2 ça fonctionne. Précise aussi que c'est pour une entreprise avec X Synology.

il y a une heure, bryce426 a dit :

je m'étonne de ne pas voir apparaitre d'autres sujets sur ce problème

Le nombre d'utilisateurs de Synology qui l'utilise en entreprise avec plusieurs réseaux ET qui attendent si peu de temps entre la sortie d'une version majeur et son installation est fortement réduis.

Lien vers le commentaire
Partager sur d’autres sites

ARF! Alors problème résolu et c'est entièrement de ma faute :redface: !
Le PDC était en cours de changement (merci la communication chez nous) donc pendant ce laps de temps ça ne marchait plus...

Les DSM 5.x fonctionnait puisque avec juste l'information du domaine il me retrouvait surement le PDC tout seul alors que sur DSM 6.0 je suis obligé de saisir domaine, serveur DNS, DC IP/FQDN, nom de domaine NetBIOS, FQDN du domaine pour joindre le domaine.

Désolé de vous avoir fais chercher pour rien :rolleyes:

Mise à part ce soucis de MAJ forcé pas de bug de jonction à l'AD.

 

Lien vers le commentaire
Partager sur d’autres sites

sur le DNS le serveur était pourtant bien noté en tant que PDC et sur le serveur qui était PDC j'avais bien des dates d'événements correspondants à mes essais de jonctions :eek:
le DSM 5.x s'y retrouvait et le DSM 6.0 non... J'avoue ne pas avoir d'explications valables surtout que je suis pas un expert windows server.

Là je suis juste content que tout soit rentré dans l'ordre parce que je commencer à baliser un peu!

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.