Synology Aide pour la Mise en place directory avec accés externe.

[Ryuzaki]

Bonjour, je voudrais installer un serveur Synology AD avec acces externe via DNS et nom de domaine OVH, après plusieurs essaie infructueux je me dirige vers votre communauté.

• Domaine principal OVH: radislabs.com il pointe via DDNS/DynHost vers mon ip publique (non fixe) et le syno AD (nom local RADIS).
• Sous domaine pour AD: actived.radislabs.com pointe vers le domaine principal.
• touts les port AD sont ouvert publique sur le server et box de plus le server est en DMZ.

Configuration DNS ovh:


redirection OVH:

Synology directory server:





Message d'erreur resaux local, Administrator:


erreur lorsque je rejoind le domaine avec un autre PC en resaux externe:


log windows du pc externe:
02/27/2025 17:33:13:066 -----------------------------------------------------------------

02/27/2025 17:33:13:066 NetpValidateName: checking to see if 'ASUS-ANTHONY' is valid as type 1 name

02/27/2025 17:33:13:070 NetpCheckNetBiosNameNotInUse for 'ASUS-ANTHONY' [MACHINE] returned 0x0

02/27/2025 17:33:13:070 NetpValidateName: name 'ASUS-ANTHONY' is valid for type 1

02/27/2025 17:33:13:072 -----------------------------------------------------------------

02/27/2025 17:33:13:072 NetpValidateName: checking to see if 'ASUS-Anthony' is valid as type 5 name

02/27/2025 17:33:13:072 NetpValidateName: name 'ASUS-Anthony' is valid for type 5

02/27/2025 17:33:13:074 -----------------------------------------------------------------

02/27/2025 17:33:13:074 NetpValidateName: checking to see if 'actived.radislabs.com' is valid as type 3 name

02/27/2025 17:33:13:074 NetpValidateName: 'actived.radislabs.com' is not a valid NetBIOS domain name: 0x7b

02/27/2025 17:33:13:256 NetpCheckDomainNameIsValid [ Exists ] for 'actived.radislabs.com' returned 0x0

02/27/2025 17:33:13:256 NetpValidateName: name 'actived.radislabs.com' is valid for type 3

02/27/2025 17:33:34:285 -----------------------------------------------------------------

02/27/2025 17:33:34:285 NetpDoDomainJoin

02/27/2025 17:33:34:285 NetpDoDomainJoin: using current computer names

02/27/2025 17:33:34:285 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0

02/27/2025 17:33:34:285 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0

02/27/2025 17:33:34:285 NetpMachineValidToJoin: 'ASUS-ANTHONY'

02/27/2025 17:33:34:285 OS Version: 10.0

02/27/2025 17:33:34:285 Build number: 26100 (26100.ge_release.240331-1435)

02/27/2025 17:33:34:290 SKU: Windows 11 Professionnel

02/27/2025 17:33:34:290 Architecture: 64-bit (AMD64)

02/27/2025 17:33:34:293 NetpMachineValidToJoin: status: 0x0

02/27/2025 17:33:34:293 NetpJoinDomain

02/27/2025 17:33:34:293 HostName: ASUS-Anthony

02/27/2025 17:33:34:293 NetbiosName: ASUS-ANTHONY

02/27/2025 17:33:34:293 Domain: actived.radislabs.com

02/27/2025 17:33:34:293 MachineAccountOU: (NULL)

02/27/2025 17:33:34:293 Account: actived.radislabs.com\administrator

02/27/2025 17:33:34:293 Options: 0x25

02/27/2025 17:33:34:295 NetpValidateName: checking to see if 'actived.radislabs.com' is valid as type 3 name

02/27/2025 17:33:34:295 NetpValidateName: 'actived.radislabs.com' is not a valid NetBIOS domain name: 0x7b

02/27/2025 17:33:34:357 NetpCheckDomainNameIsValid [ Exists ] for 'actived.radislabs.com' returned 0x0

02/27/2025 17:33:34:357 NetpValidateName: name 'actived.radislabs.com' is valid for type 3

02/27/2025 17:33:34:357 NetpDsGetDcName: trying to find DC in domain 'actived.radislabs.com', flags: 0x40001010

02/27/2025 17:33:34:826 NetpDsGetDcName: failed to find a DC having account 'ASUS-ANTHONY$': 0x525, last error is 0x0

02/27/2025 17:33:34:835 NetpDsGetDcName: status of verifying DNS A record name resolution for 'radis.actived.radislabs.com': 0x0

02/27/2025 17:33:34:835 NetpDsGetDcName: found DC '\\radis.actived.radislabs.com' in the specified domain

02/27/2025 17:33:34:835 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0

02/27/2025 17:33:34:835 NetpDisableIDNEncoding: using FQDN actived.radislabs.com from dcinfo

02/27/2025 17:33:34:838 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'actived.radislabs.com' succeeded

02/27/2025 17:33:34:838 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0

02/27/2025 17:33:57:071 NetUseAdd to \\radis.actived.radislabs.com\IPC$ returned 64

02/27/2025 17:33:57:071 NetpJoinDomainOnDs: status of connecting to dc '\\radis.actived.radislabs.com': 0x40

02/27/2025 17:33:57:071 NetpJoinDomainOnDs: Function exits with status of: 0x40

02/27/2025 17:33:57:079 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'actived.radislabs.com' returned 0x0

02/27/2025 17:33:57:079 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'actived.radislabs.com': 0x0

02/27/2025 17:33:57:079 NetpDoDomainJoin: status: 0x40

02/27/2025 17:33:57:083 -----------------------------------------------------------------

02/27/2025 17:33:57:083 NetpDoDomainJoin

02/27/2025 17:33:57:084 NetpDoDomainJoin: using current computer names

02/27/2025 17:33:57:084 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0

02/27/2025 17:33:57:084 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0

02/27/2025 17:33:57:084 NetpMachineValidToJoin: 'ASUS-ANTHONY'

02/27/2025 17:33:57:084 OS Version: 10.0

02/27/2025 17:33:57:084 Build number: 26100 (26100.ge_release.240331-1435)

02/27/2025 17:33:57:090 SKU: Windows 11 Professionnel

02/27/2025 17:33:57:090 Architecture: 64-bit (AMD64)

02/27/2025 17:33:57:094 NetpMachineValidToJoin: status: 0x0

02/27/2025 17:33:57:094 NetpJoinDomain

02/27/2025 17:33:57:094 HostName: ASUS-Anthony

02/27/2025 17:33:57:094 NetbiosName: ASUS-ANTHONY

02/27/2025 17:33:57:094 Domain: actived.radislabs.com

02/27/2025 17:33:57:094 MachineAccountOU: (NULL)

02/27/2025 17:33:57:094 Account: actived.radislabs.com\administrator

02/27/2025 17:33:57:094 Options: 0x27

02/27/2025 17:33:57:097 NetpValidateName: checking to see if 'actived.radislabs.com' is valid as type 3 name

02/27/2025 17:33:57:097 NetpValidateName: 'actived.radislabs.com' is not a valid NetBIOS domain name: 0x7b

02/27/2025 17:33:57:273 NetpCheckDomainNameIsValid [ Exists ] for 'actived.radislabs.com' returned 0x0

02/27/2025 17:33:57:273 NetpValidateName: name 'actived.radislabs.com' is valid for type 3

02/27/2025 17:33:57:273 NetpDsGetDcName: trying to find DC in domain 'actived.radislabs.com', flags: 0x40001010

02/27/2025 17:33:57:746 NetpDsGetDcName: failed to find a DC having account 'ASUS-ANTHONY$': 0x525, last error is 0x0

02/27/2025 17:33:57:856 NetpDsGetDcName: status of verifying DNS A record name resolution for 'radis.actived.radislabs.com': 0x0

02/27/2025 17:33:57:856 NetpDsGetDcName: found DC '\\radis.actived.radislabs.com' in the specified domain

02/27/2025 17:33:57:856 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0

02/27/2025 17:33:57:856 NetpDisableIDNEncoding: using FQDN actived.radislabs.com from dcinfo

02/27/2025 17:33:57:873 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'actived.radislabs.com' succeeded

02/27/2025 17:33:57:873 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0

02/27/2025 17:33:57:874 NetUseAdd to \\radis.actived.radislabs.com\IPC$ returned 64

02/27/2025 17:33:57:874 NetpJoinDomainOnDs: status of connecting to dc '\\radis.actived.radislabs.com': 0x40

02/27/2025 17:33:57:874 NetpJoinDomainOnDs: Function exits with status of: 0x40

02/27/2025 17:33:57:881 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'actived.radislabs.com' returned 0x0

02/27/2025 17:33:57:881 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'actived.radislabs.com': 0x0

02/27/2025 17:33:57:881 NetpDoDomainJoin: status: 0x40

 

[Yannick_G]

Hello,

Je ne suis pas expert mais dans ton log je remarque ça :

2/27/2025 17:33:13:074 NetpValidateName: checking to see if 'actived.radislabs.com' is valid as type 3 name
02/27/2025 17:33:13:074 NetpValidateName: 'actived.radislabs.com' is not a valid NetBIOS domain name: 0x7b

Le problème vient donc probablement du fait que tu utilises un FQDN (Fully Qualified Domain Name) au lieu d'un nom NetBIOS pour nommer ton DC sur le Syno.
Le NetBIOS Name est un nom court, en général 15 caractères max.
Le FQDN (ex: actived.radislabs.com) est un nom long qui suit la hiérarchie DNS.

Tu peux tenter de changer le nom NetBios de ton serveur par "activedc" , (via le Panneau de configuration > Domaines / LDAP) ensuite redémarrer le serveur pour tester.

Configurer les paramètres de domaine

 

[Ryuzaki]

Merci pour votre aide, malheureusement je crois ne pas avoir tout compris

J'ai donc fait comme ceci :

• en domaine indiquer un domaine qui n'est pas FQDN -> radislabs.ad
• En NetBIOS groupe de travail -> radislabs
• En nom du serveur -> radis

voici le résultat non concluant :




Autres config testés :

• En domaine indiquer le nom de domaine racine OVH -> radislabs.com
• En NetBIOS groupe de travail -> radislabs
• En nom du serveur -> radis
• Supprimer les enregistrements SRV OVH
• Garder l'enregistrement A chez OVH radislabs.com -> IP Publique

Résultat non concluant :

• En domaine indiquer le nom de domaine racine OVH -> radislabs.com
• En NetBIOS groupe de travail -> radislabs
• En nom du serveur -> radis
• Garder les enregistrements SRV OVH
  • _ldap._tcp.radislabs.com. 900 SRV 0 100 389 radislabs.com.
  • _ldap._tcp.default-first-site-name._sites.radislabs.com. 900 SRV 0 100 389 radislabs.com.
  • _ldap._tcp.dc._msdcs.radislabs.com. 900 SRV 0 100 389 radislabs.com.
  • _ldap._tcp.default-first-site-name._sites.dc._msdcs.radislabs.com. 900 SRV 0 100 389 radislabs.com.
  • _kerberos._tcp.radislabs.com. 900 SRV 0 100 88 radislabs.com.
  • _kerberos._tcp.default-first-site-name._sites.dc._msdcs.radislabs.com. 900 SRV 0 100 88 radislabs.com.
  • _kerberos._tcp.dc._msdcs.radislabs.com. 900 SRV 0 100 88 radislabs.com.
  • _kerberos._tcp.default-first-site-name._sites.radislabs.com. 900 SRV 0 100 88 radislabs.com.
• Garder l'enregistrement A chez OVH radislabs.com -> IP Publique

Résultat un peu mieux mais pas concluant non plus :

 

[Yannick_G]

Pourquoi as-tu que 127.0.0.1 paramétré dans tes DNS ? Cela ne me semble pas correct, au minima ce sera l'IP de ton serveur, idéalement celui de la passerelle.
Nous sommes d'accord, nous parlons bien des applications Synology Directory Server et DNS Server ?

J'ai donc fait comme ceci :

• en domaine indiquer un domaine qui n'est pas FQDN -> radislabs.ad

C'est l'erreur, regarde ma config.


Je viens de tester je ne rencontre pas d'erreur, pour info mon nom de domaine est ndd.fr

Chez OVH:

1. Créer la zone DNS radislabs.ndd.fr
2. Rediriger radislabs.ndd.fr sur l'IP WAN du NAS

Sur le NAS, créer un domaine:

1. Nom de domaine radislabs.ndd.fr
2. Groupe de travail = radislabs

 

[Ryuzaki]

remplacer ndd.fr par radislabs.com

Chez OVH:

1. Créer la zone DNS radislabs.ndd.fr
2. Rediriger radislabs.ndd.fr sur l'IP WAN du NAS

Sur le NAS, créer un domaine:
Nom de domaine radislabs.ndd.fr
Groupe de travail = radislabs

Pourquoi as-tu que 127.0.0.1 paramétré dans tes DNS ?
-> c'etais par defaut j' ai remplacer par ma passerelle 192.168.50.1

nous parlons bien des applications Synology Directory Server et DNS Server ?
-> j'utilise Synology Directory Server pour créé le domaine
-> DNS server sur le syno est par defaut je n' y ai pas toucher les zone désactiver ne sont plus utile depuis un moment.

 

[Yannick_G]

A noter: l'AD est conçu pour gérer les utilisateurs, les groupes et les ressources d'un réseau interne. L'exposer sur Internet créerait une faille de sécurité majeure, Si un accès distant est nécessaire, des solutions comme VPN, Azure AD, ou des proxys sécurisés doivent être mis en place pour protéger l’authentification et le trafic réseau

OVH ne gère que les zones DNS suivantes: ndd.fr et radislabs.ndd.fr (toutes les des 2 redirigées sur l'IP WAN du NAS).
Perso je n'ai pas créé ces entrées DNS chez OVH, et je pense qu'elles doivent être gérées par ton NAS via DNS Server de l AD (à confirmer / tester).

Pourquoi as-tu que 127.0.0.1 paramétré dans tes DNS ?
-> c'etais par defaut j' ai remplacer par ma passerelle 192.168.50.1

Tu as raison, mes excuses.
Voici ma config (.50 est mon serveur DNS (et aussi le DC )



Voici la config DNS de base une fois le service AD installé :

 

[Ryuzaki]

OVH ne gère que les zones DNS suivantes: ndd.fr et radislabs.ndd.fr (toutes les des 2 redirigées sur l'IP WAN du NAS).
Perso je n'ai pas créé ces entrées DNS chez OVH, et je pense qu'elles doivent être gérées par ton NAS via DNS Server de l AD (à confirmer / tester).

Si je ne mets pas ces enregistrements le NAS m'indique qu'ils sont manquant sur les DNS j'aurais donc un souci en amont du NAS sur mon réseaux local si je comprends bien.

A noter: l'AD est conçu pour gérer les utilisateurs, les groupes et les ressources d'un réseau interne. L'exposer sur Internet créerait une faille de sécurité majeure, Si un accès distant est nécessaire, des solutions comme VPN, Azure AD, ou des proxys sécurisés doivent être mis en place pour protéger l’authentification et le trafic réseau

Si j'arrive à mettre en oeuvre AD un VPN est prévu.
En effet un accés distant sera necessaire Azure AD est payant je voulais profiter d'un service auto héberger et gratuit.

 

[Yannick_G]

Si je ne mets pas ces enregistrements le NAS m'indique qu'ils sont manquant sur les DNS j'aurais donc un souci en amont du NAS sur mon réseaux local si je comprends bien.

As-tu essayé d’ajouter ces zones à ton DNS local ?
Pourquoi ces zones ne sont-elles pas présentes chez moi ?

Si j'arrive à mettre en oeuvre AD un VPN est prévu.

Dans ce cas, supprime ces entrées chez OVH, elles ne te servent à rien. Les tests doivent être réalisés dans des conditions réelles, donc sur ton réseau local (LAN). Pour l’instant, ton LAN est « protégé », et la mise en place du VPN soulèvera d’autres problématiques. À ce stade, mieux vaut rester sur une configuration simple pour faciliter le diagnostic.

Aussi sur ce message tu informes que ton AD est fonctionnel, que s'est il passé entre temps ?

Cela me semble bien compliquer pour être le methode approprié et resemble plus à une bidouille qu'autre chose.

De mon côté, mon Synology n’a pas vocation à être un DC, ce service a été ajouté récemment. C’est pourquoi j’aimerais comprendre pourquoi je n'ai pas rencontré ce problème en l'installant.

 

[Ryuzaki]

As-tu essayé d’ajouter ces zones à ton DNS local ?
Pourquoi ces zones ne sont-elles pas présentes chez moi ?

As-tu essayé d’ajouter ces zones à ton DNS local ?
Pourquoi ces zones ne sont-elles pas présentes chez moi ?


Dans ce cas, supprime ces entrées chez OVH, elles ne te servent à rien. Les tests doivent être réalisés dans des conditions réelles, donc sur ton réseau local (LAN). Pour l’instant, ton LAN est « protégé », et la mise en place du VPN soulèvera d’autres problématiques. À ce stade, mieux vaut rester sur une configuration simple pour faciliter le diagnostic.

Aussi sur ce message tu informes que ton AD est fonctionnel, que s'est il passé entre temps ?



De mon côté, mon Synology n’a pas vocation à être un DC, ce service a été ajouté récemment. C’est pourquoi j’aimerais comprendre pourquoi je n'ai pas rencontré ce problème en l'installant.

Je vais regarder si elle existe mais pourquoi une installation fraîche de AD server ne les crée pas puisqu'il les demande après installation ?

Pour l'autre message j'ai demandé à le supprimer car tout semblait fonctionnel mais en réalité les zone DNS n'étaient pas propagé. C'était la surprise du matin

Honnêtement je ne comprends pas pourquoi j'ai autant de difficultés à le mettre en service.

Je vais tenter ce soir de le recrée que en local en suivant ta préconisations de sécurité. Dans ce cas là si je comprends bien, je doit simplement indiquer lors de la création dans AD server:

Domaine: radislabs.ad
Groupe : radislabs

Puis sur le pc local indiquer mon synology comme DNS.

 

[Yannick_G]

Repartir de zéro tout en étant sur le même réseau que ton NAS est une bonne idée.
Si tu peux désinstaller les paquets Synology Directory Server et DNS Server, c’est encore mieux.

Côté OVH je n’ai rien ajouté, ce n’est pas nécessaire, car nous sommes dans un LAN .

Je pars du principe que ton PC et ton serveur sont dans le même VLAN / LAN !
Assure-toi de connaitre les informations de ce réseau:

• Depuis ton PC, ouvre une invite de commandes, exécute ipconfig /all
• Note la configuration (masque de sous-réseau, passerelle et DNS). Ce sera à reporter sur ton NAS)

Ton NAS est déjà en IP fixe en théorie :

• Vérifie que les infos réseaux sont cohérantes avec celles de ton PC.
• Tu dois le configurer via Panneau de configuration / Réseau / Interfaces réseaux .
  

De mon côté, j’ai refait une installation propre de mon NAS, que j’ai nommé actived. ⚠️ le nom ne doit pas être celui de ton domaine.

En installant uniquement le paquet Synology Directory Server, (je me permets d’insister sur ce fait, il peut être facile de se méprendre avec le paquet LDAP server) le paquet DNS Server s’est installé automatiquement.



L’application Synology directory Server, permet de créer un domaine:



Une fois le domaine créé, seules 2 zones sont présentes dans le DNS Server :



On teste les fonctionnalités Domaine / LDAP :

Force à toi

 

[Ryuzaki]

pour le réseau tout est ok j'ai tout de même vérifié par acquis de conscience
J'ai désinstallé le package DNS server et Directory server,
Installer Directory server qui à installer DNS server,
Créé le domaine AD radislabs.ad.
Créé un domaine DNS radislabs.local pour accéder à mes divers appareils via enregistrement - A sur le réseaux local

Tout fonctionne en local à premiere vue car j'ai tout au vert dans NAS et les outils RSAT de windows fonctionne lorsque je me connecte à radislabs\administrator.
Il me reste à mettre en place le VPN pour me connecter à distance.

Merci pour l'aide apporté jusqu'à present.