Не видно групп домена в samba-3.0, куда рыть/копать?

Question

[Максим Васильев]

DC крутится на samba 3.0.28 (suse sles)
backend — openldap

net groupmap list все группы показывает, а вот rpc enumdomgroups — нет
виндовые клиенты группы распознают, а вот чёрный ящик NAS от synology — нет.

smb.conf:
passdb backend = ldapsam:ldap://alpha
idmap backend = ldapsam:ldap://alpha
ldap admin dn = cn=Manager,dc=mediasoft
ldap suffix = dc=mediasoft
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap user suffix = ou=People
ldap group suffix = ou=Groups
winbind gid = 10000-12000
winbind uid = 10000-12000

Например:

# ldapsearch -x cn=tech
dn: cn=tech,ou=Groups,dc=mediasoft
cn: tech
description:: SVQg0L7RgtC00LXQuw==
displayName: tech
gidNumber: 1007
member: uid=slesalex,ou=people,dc=mediasoft
member: uid=vasilmax,ou=People,dc=mediasoft
member: uid=belden,ou=people,dc=mediasoft
objectClass: top
objectClass: sambaGroupMapping
objectClass: posixGroup
objectClass: groupOfNames
sambaGroupType: 2
sambaSID: S-${SID домена}-3015

# net groupmap list ntgroup=tech
tech (S-${SID домена}-3015) -> tech

Как быть?