Domain Beitritt nicht möglich

elektron · December 3, 2025 at 4:32 PM

Hallo zusammen,

ich versuche gerade, mein Ugreen NAS per AD-Domain-Join in meine Windows-Domäne aufzunehmen, aber der Join schlägt jedes Mal fehl. Der Netzwerkcheck läuft durch, aber beim Verbindungstest zur Domäne bricht der Assistent ab.

This image is exclusive to our members!
Please log in or register for free to view graphics and attachments.

Leider ist der Punkt "Einzelheiten" nicht sehr hilfreich, dort werde ich nur aufgefordert das Passwort bzw. den User neu einzutragen. Benutzername und Passwort sind jedoch zu 100% korrekt.

Meine Konfiguration:

Domänenname: intern.meinedomain.de
DNS-Server: 192.168.30.10 (Domaincontroller)
Domain-Konto: meinedomain\Administrator bzw. auch getestet: Administrator

DNS-Auflösung funktioniert, der DC ist erreichbar. Zeit ist synchron. Trotzdem kommt das NAS nicht in die Domäne.

Ich habe verschiedene Domänen Benutzer getestet, mit keinem funktioniert der Domain-Join. Auf meiner Synology funktioniert es ohne Probleme.

Hat jemand das Ugreen NAS erfolgreich an ein Windows-AD angebunden oder eine Idee, was ich übersehe?
Besonders interessant wären Hinweise zu:

korrektem Domain-Format für den Join
benötigten Rechten des Benutzerkontos
Besonderheiten beim Ugreen AD-Join

Danke für jeden Tipp!

alter Mann · December 3, 2025 at 4:35 PM

Quote from elektron

oder eine Idee, was ich übersehe?

Das Log der beiden. Da sollte was zu sehen sein.

elektron · December 3, 2025 at 5:14 PM

Auf meinem DC finde ich keine Einträge von der NAS. Welche Logs kann ich auf dem NAS prüfen?

Ich die folgenden Logs geprüft, aber viel hilfreiches steht da nicht drin:

Code

cat /var/log/samba/log.smbd
[2025/12/03 15:25:47.716213,  0, pid=2842] ../../source3/smbd/server.c:1741(main)
 smbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 16:51:31.568216,  0, pid=14550] ../../source3/smbd/server.c:1741(main)
 smbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 17:02:12.706217,  0, pid=16006] ../../source3/smbd/server.c:1741(main)
 smbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022

Code

cat /var/log/samba/log.nmbd
[2025/12/03 20:51:04.410192,  0] ../../source3/nmbd/nmbd.c:901(main)
 nmbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 20:51:04.410752,  0] ../../lib/util/become_daemon.c:150(daemon_status)
 daemon_status: daemon 'nmbd' : No local IPv4 non-loopback interfaces available, waiting for interface ...
[2025/12/03 20:51:04.410762,  0] ../../source3/nmbd/nmbd_subnetdb.c:252(create_subnets)
 NOTE: NetBIOS name resolution is not supported for Internet Protocol Version 6 (IPv6).
[2025/12/03 20:51:11.608203,  0] ../../source3/nmbd/nmbd.c:59(terminate)
 Got SIGTERM: going down...
[2025/12/03 14:03:18.593955,  0] ../../source3/nmbd/nmbd.c:901(main)
 nmbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 14:03:18.594970,  0] ../../lib/util/become_daemon.c:150(daemon_status)
 daemon_status: daemon 'nmbd' : No local IPv4 non-loopback interfaces available, waiting for interface ...
[2025/12/03 14:03:18.594988,  0] ../../source3/nmbd/nmbd_subnetdb.c:252(create_subnets)
 NOTE: NetBIOS name resolution is not supported for Internet Protocol Version 6 (IPv6).
[2025/12/03 14:03:46.204817,  0] ../../source3/nmbd/nmbd_become_lmb.c:398(become_local_master_stage2)
 *****

 Samba name server DXP4800PLUS is now a local master browser for workgroup WORKGROUP on subnet 192.168.30.169

 *****
[2025/12/03 14:04:06.357893,  0] ../../source3/nmbd/nmbd.c:59(terminate)
 Got SIGTERM: going down...
[2025/12/03 14:40:35.966934,  0, pid=10286] ../../source3/nmbd/nmbd.c:901(main)
 nmbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 15:24:56.985074,  0, pid=10286] ../../source3/nmbd/nmbd.c:59(terminate)
 Got SIGTERM: going down...
[2025/12/03 15:25:41.030240,  0, pid=1336] ../../source3/nmbd/nmbd.c:901(main)
 nmbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 15:25:41.030781,  0, pid=1336] ../../lib/util/become_daemon.c:150(daemon_status)
 daemon_status: daemon 'nmbd' : No local IPv4 non-loopback interfaces available, waiting for interface ...
[2025/12/03 15:25:41.030790,  0, pid=1336] ../../source3/nmbd/nmbd_subnetdb.c:252(create_subnets)
 NOTE: NetBIOS name resolution is not supported for Internet Protocol Version 6 (IPv6).
[2025/12/03 16:51:31.584599,  0, pid=1336] ../../source3/nmbd/nmbd.c:59(terminate)
 Got SIGTERM: going down...
[2025/12/03 16:51:31.708878,  0, pid=14561] ../../source3/nmbd/nmbd.c:901(main)
 nmbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022
[2025/12/03 17:01:42.337769,  0, pid=14561] ../../source3/nmbd/nmbd.c:59(terminate)
 Got SIGTERM: going down...
[2025/12/03 17:02:12.831192,  0, pid=16016] ../../source3/nmbd/nmbd.c:901(main)
 nmbd version 4.17.12-Debian started.
 Copyright Andrew Tridgell and the Samba Team 1992-2022

Display More

Code

cat /var/log/samba/log.winbindd

ist ohne Inhalt

bs00038bu · December 3, 2025 at 5:22 PM

Interessantes Thema. Ein nicht funktionierendes DNS ist für ein Active Directory der Endgegner. Und der wird gewinnen!

Mein Vorschlag ist der, dass du dich per SSH auf die NAS-Box verbindest. Und im Terminal setzt du folgende Befehle ab:

1. dig intern.meinedomain.de <-- da sollte eine IP-Adresse bei rausspringen, die dir bekannt vorkommen wird.

2. dig -x rausgesprungene IP-Adresse

Weder bei 1. noch bei 2. darf es einen Fehler geben.

alter Mann · December 3, 2025 at 5:25 PM

Ich sehe kein Kerberos. Bekommt denn der DC was von dem Verbindungsversuch mit?

elektron · December 3, 2025 at 5:27 PM

Am Ende ist es doch immer DNS aber ich behaupte einfach mal mein DNS ist sauber konfiguriert.

Die Befehle kommen ohne Fehler zurück:

Code

dig meinedomain.de

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> meinedomain.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57728
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;meinedomain.de.       IN      A

;; ANSWER SECTION:
meinedomain.de. 600    IN      A       192.168.30.9
meinedomain.de. 600    IN      A       192.168.30.10

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Wed Dec 03 17:22:51 CET 2025
;; MSG SIZE  rcvd: 84

root@DXP4800PLUS:/var/log# dig -x 192.168.30.9

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x 192.168.30.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11675
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;9.30.168.192.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
9.30.168.192.in-addr.arpa. 1200 IN      PTR     SRV10-DC02.meinedomain.de.

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Wed Dec 03 17:23:05 CET 2025
;; MSG SIZE  rcvd: 102

root@DXP4800PLUS:/var/log# dig -x 192.168.30.10

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> -x 192.168.30.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53179
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;10.30.168.192.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
10.30.168.192.in-addr.arpa. 1200 IN     PTR     SRV09-DC01.meinedomain.de.

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Wed Dec 03 17:23:14 CET 2025
;; MSG SIZE  rcvd: 103

Display More

bs00038bu · December 3, 2025 at 5:29 PM

Weiter braucht ein Linux Client in aller Regel eine brauchbare Authentifizierung. Und ich meine damit Kerberos-Geraffel. Die Pakete liegen mit Sicherheit auf dem Ding. Nur konfiguriert hat die garantiert niemand.

Und spätestens an dem Punkt fängt die googlei an... Ich empfehle dir quant.com/?l=de Die Suchmaschine ist gefühlt deutlich schneller.

elektron · December 3, 2025 at 5:33 PM

Quote from alter Mann

Ich sehe kein Kerberos. Bekommt denn der DC was von dem Verbindungsversuch mit?

Im Eventlog sehe ich nichts

alter Mann · December 3, 2025 at 5:36 PM

Quote from elektron

Im Eventlog sehe ich nichts

Dann wird wohl auch nichts passiert sein.

Ticket > Ugreen

bs00038bu · December 3, 2025 at 5:42 PM

Ich nehme an, deine Domäne steht bei dir im Wohnzimmer? Lass mal einen Best-Practise-Analyzer drüberlaufen. Mag sein, dass ich mich irre, aber ich habe im Hinterkopf, dass es Schwierigkeiten gibt, wenn 127.0.0.1 und Konsorten verwendet werden.

elektron · December 3, 2025 at 6:01 PM

Quote from bs00038bu

Ich nehme an, deine Domäne steht bei dir im Wohnzimmer? Lass mal einen Best-Practise-Analyzer drüberlaufen. Mag sein, dass ich mich irre, aber ich habe im Hinterkopf, dass es Schwierigkeiten gibt, wenn 127.0.0.1 und Konsorten verwendet werden.

Ja ist mein "Homelab". Was meinst genau du mit 127.0.0.1? Die DNS Einstellungen bei den DCs?

Die zeigen jeweils auf:

DC1 (192.168.30.10)

DNS-Server . . . . . . . . . . . : 192.168.30.10
192.168.30.9

und DC2 (192.168.30.9)

DNS-Server . . . . . . . . . . . : 192.168.30.9
192.168.30.10

Da LDAP von diversen anderen System (Synlogy NAS, Zammad usw.) problemlos funktioniert gehe ich von einem Problem mit der UGREEN NAS aus.

bs00038bu · December 3, 2025 at 6:18 PM

Sind das die Einstellungen auf Netzwerkkarte? IPv4-Geschisse? Abteilung DNS-Geraffel? Dann sind sie meiner Meinung nach in der falschen Reihenfolge notiert.

Allerdings wird das allein die Box auch nicht in die Domäne heben.

Zwei kleine Vorschläge habe ich noch. Einer ist nur wild geraten: Kürze den Domänen-Namen für die Anmeldung ein. Das wäre dann meinedomain.de. Mal schauen, ob die Box ihr Computerkonto bekommt.

Der zweite Vorschlag wäre ein Ticket, das du gegen den Support eröffnest. Weil, es kann ja nicht angehen, das Hinz- und Kunz auf dem NAS rumhühnert, ohne vorher von der Domäne überprüft worden zu sein. Die sollen dir bis Freitag eine neue Firmware schicken. Wenn sie möchten, können sie aber auch früher reagieren. Das mit dem Ticket meine ich tatsächlich so.

elektron · December 3, 2025 at 7:37 PM

Quote

Sind das die Einstellungen auf Netzwerkkarte? IPv4-Geschisse? Abteilung DNS-Geraffel? Dann sind sie meiner Meinung nach in der falschen Reihenfolge notiert.

Ja, das sind die DNS-Einstellung auf der Netzwerkkarte. Microsofts Best Practices erläutert mehrere Szenarien die möglich und unterstützt sind: https://learn.microsoft.com/en-us/troubles…tion-ad-domains

Der kürzere Domain-Name hat leider auch nicht geholfen, ich habe auch schon alle erdenklichen Kombinationen ausprobiert. Ich hab jetzt mal ein Ticket beim Support geöffnet. Ich werde euch auf dem laufenden halten!

bs00038bu · December 4, 2025 at 2:44 PM

elektron, hast du Interesse daran, mein gefährliches Halbwissen umzusetzen?

Du schreibst, dass deine anderen Boxen problemlos in die Domäne aufgenommen werden. Meines Wissens ist dafür eine sauber konfigurierte krb5.conf eine Vorraussetzung. Ich gehe davon aus, dass diese Einstellungen von den anderen NASen automatisch gemacht wurden.

Erstell dir eine Arbeitskopie von einer "funktionierenden" krb5.conf und schau dir das Ding in einem Texteditor an. Und das vergleichst du mit der krb5 auf der Ugreen. Wenn du nennenswerte Unterschiede findest, sprich dich mit dem Support ab und frag mal, ob du die Änderungen schmerzfrei übernehmen kannst.

Es gibt noch drei vier weitere Dateien, die man sich anschauen muss. Aber das Kerberos-Geraffel ist meiner Meinung nach ein guter Anfang für einen Bastelfeierabend.

elektron · December 5, 2025 at 12:35 PM

Ich habe inzwischen eine Antwort vom Support erhalten und entsprechend umgesetzt. Der Domain Beitritt hat funktioniert.

Die folgende GPO auf meinem DC war dafür notwendig:

This image is exclusive to our members!
Please log in or register for free to view graphics and attachments.

Weiterhin ist notwendig den User für den Beitritt so anzugeben: Userxyz@intern.meinedomain.de

Die Signaturanforderungen zu deaktivieren mag für das Homelab in Ordnung sein, ich habe den Support aber dennoch gebeten, das in einem Firmwareupdate zu fixen.

Danke für eure Hilfe und Ideen!

mikayil · February 4, 2026 at 2:25 PM

gibt es ein Rückmeldung von Support wann wir ein update dazu erhalten können ?

Domain Beitritt nicht möglich

Participate now!

Tags