bbecker
Goto Top

benutzerkennung wird nicht übergeben - kerberos oder ldap?

kann nichts vom laufwerk öffnen

Hallo zusammen,

hab ein riesenproblem - im netzwerk werden die nutzerberechtigungen nicht übermittelt.

Woran kann es liegen? Meine Vermutung ist, dass Berechtigungen über kerberos oder ldap nicht übergeben werden. Aber wie kann ich kontrollieren, ob die Protokolle richtig funktionieren?

Im DNS verweisen die Einträge auf jeden Fall auf unseren DC.

Content-ID: 56586

Url: https://administrator.de/forum/benutzerkennung-wird-nicht-uebergeben-kerberos-oder-ldap-56586.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

LarsJakubowski
LarsJakubowski 13.04.2007 um 14:21:16 Uhr
Goto Top
Hi,

hast Du mal auf einer Maschine in der cmd gpupdate gemacht?
Dann sollte die Richtlinie vom DC gezogen werden.
Kontrolliere dann das Event Log nach Fehlern oder einem positiven eintrag.
Rafiki
Rafiki 13.04.2007 um 20:12:48 Uhr
Goto Top
Hallo,

ich kann deine Frage leider nicht so richtig nachvollziehen. Hat deine heutige Frage etwas mit der Frage von vor 2 Tagen gemeinsam? ("zugriff auf netzlaufwerk authentifizierung - kerberos?")

Von wo nach wo versuchst du welche "Nutzerberechtigungen" zu übermitteln?
Vor zwei Tagen sagtest du
der fileserver ist auch neu installiert. Lediglich die festplatte, mit den dateien ist geblieben. rechte sind aber korrigiert

Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen.
Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?
www.eventid.net ist dann meine bevorzugte Quelle.

Gruß Rafiki
bbecker
bbecker 14.04.2007 um 08:44:24 Uhr
Goto Top
Hallo Rafiki,

danke für Deine Antwort. Die Berechtigungen werden über die Group Policy des DC verwaltet.

Wenn ich mich an einem Client anmelde, müsste mir die GP bspw volle Schreibrechte auf dem Fileserver geben.

Dies funktioniert aber nicht.

Der Filesever (und der DC) kann keinen Nutzer identifizieren. Lokal kann ich mit meinem Benutzernamen alles durchführen (bspw. Programme über auführen als).

Daher meine Vermutung, die Anmeldung wird nicht übergeben. Wie kann ich das kontrollieren, ob das so ist?

Vielen Dank
Rafiki
Rafiki 14.04.2007 um 11:42:40 Uhr
Goto Top
Hallo bbecker, ich habe den Eindruck, dass du wenig über das von Dir administrierte Netzwerk weißt. Das ist an sich kein Problem, wir helfen gerne. Aber wenn ich die eine Frage stelle, z.B. nach den Berechtigungen, wäre es höflich diese auch zu beantworten. Sonst kommen wir nicht weiter und es macht mir dann auch keinen Spaß hier noch weitere Kommentare zu schreiben.

Nun versuchen wir mal etwas Struktur in deine Fehlersuche zu bringen. Aus diesem Posting und den beiden vorhergehenden habe ich entnommen, dass es sich um einen Windows 2003 Server handelt der Domain Controller ist. Dann einen File Server der Domain Member ist und ca. 15 Clients PC’s und Benutzer in der Domain.

Zu erst muss der Domain Controller fehlerfrei laufen, dann der FileServer. Erst danach interessieren und Benutzerkonten, Client PCs und wenn das alles funktioniert können GPO’s aktiviert werden.

Da die GPO’s das letzte in der Kette sind würde ich an deiner Stelle alle selbst gebauten GPO’s deaktivieren, bzw. die default domain policy und die default domain controller policy auf Standardwerte zurücksetzen.

Auf dem DC bitte das adminpak installieren und die Befehle dcdiag und netdiag ausführen. Beide Befehle prüfen diverse Einstellungen und Funktionen. Wenn dir dabei Fehler angezeigt werden, und davon gehe ich jetzt erst einmal aus, dann musst du dich um diese Probleme zuerst kümmern bzw. die Ursache dafür finden und verstehen.
Es kann beispielsweise sein das netdiag das fehlen von WINS bemängelt. Wenn das bei euch so gewollt ist dann darfst du diese Warnung ignorieren. Eine Warnung im Zusammenhang mit DNS muss sehr ernst genommen werden.

Notire dir die Uhrzeit wann du dcdiag startest. Anschließend im Eventlog nachsehen welche Fehler und Warnungen zu dieser Zeit erzeugt wurden.

Die Fehlermeldungen bei google eingeben bzw. die Eventlogs bei www.eventid.net nachsehen. Wenn du mit einem Fehler nicht weiterkommst dann poste gerne hier im Forum.

Wenn der DC dann fehlerfrei läuft, bitte wie in meinem Kommentar von gestern Abend, den Fileserver prüfen:
Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen. Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?

Gruß Rafiki
LarsJakubowski
LarsJakubowski 15.04.2007 um 12:00:35 Uhr
Goto Top
Guten Morgen,

da kann ich mich Rafki nur anschließen.
Immer zu erst sehen, dass alles Systeme fehlerfrei laufen (Schön der Reihe nach) und immer testen!

Die Schreib/Leserechte werden aber nicht über die Policy vom DC sondern über die Eigenschaften der Objekte auf der Festplatte (Sorry, steh auf dem Schlauch wie ich das Beschreiben soll face-smile )

In den Policys vom DC regelst Du ja das Verhalten von Windows, Sicherheitseinstellungen (Nicht die des Filessystems!), ect.

Erst wenn alles Fehlerfrei läuft, auch die Zugriffe auf den Filesserver, dann anfangen die Gruppenrichtlinien zu implementieren.


Grüße
Lars
bbecker
bbecker 16.04.2007 um 08:59:48 Uhr
Goto Top
danke für den suppoort hier im forum. ist klar, dass die berechtigungen über eigenschaften - sicherheit vergeben werden.

so habe ich das auch auf dem fileserver getan. es gibt mehrere sicherheitsgruppen, denen für verschiedene ordner vollzugriff gewährt wurde. der domänenadmin hat vollzugriff auf alle verzeichnisse.

im eventlog des fileservers stehen keine besonders bedeutenden einträge. Was mich allerdings wundert, unter sicherheit finde ich die an bzw abmeldung aller benutzer. Somit erkennt der Fileserver die Benutzer doch.

aber nun zum DC:

habe dcdiag ausgeführt. alle tests waren erfolgreich, bis auf as problem hier:

Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:19
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:20
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:21
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:22
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:24
(Event String could not be retrieved)
An Error Event occured. EventID: 0x825A0011
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC25A001D
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
......................... -DE-SBS failed test systemlog

bei netdiag haben auch alle test funktioniert, ausser:


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.16.2'.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '217.237.151.205'. Please wait for 30 minutes for DNS server replication.


192.168.16.2 -> IP eigener DC
217.237.151.205 -> IP externer DNS SERVER

im systemlog (verzechnisdienst) werden sekändlich folgende Meldungen produziert:

Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1139
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer:
-DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search nach 0 ms abgeschlossen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1138
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: **-DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search eingegeben.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.