6
benutzerkennung wird nicht übergeben - kerberos oder ldap?
kann nichts vom laufwerk öffnen
Hallo zusammen,
hab ein riesenproblem - im netzwerk werden die nutzerberechtigungen nicht übermittelt.
Woran kann es liegen? Meine Vermutung ist, dass Berechtigungen über kerberos oder ldap nicht übergeben werden. Aber wie kann ich kontrollieren, ob die Protokolle richtig funktionieren?
Im DNS verweisen die Einträge auf jeden Fall auf unseren DC.
Hallo zusammen,
hab ein riesenproblem - im netzwerk werden die nutzerberechtigungen nicht übermittelt.
Woran kann es liegen? Meine Vermutung ist, dass Berechtigungen über kerberos oder ldap nicht übergeben werden. Aber wie kann ich kontrollieren, ob die Protokolle richtig funktionieren?
Im DNS verweisen die Einträge auf jeden Fall auf unseren DC.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56586
Url: https://administrator.de/contentid/56586
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
hast Du mal auf einer Maschine in der cmd gpupdate gemacht?
Dann sollte die Richtlinie vom DC gezogen werden.
Kontrolliere dann das Event Log nach Fehlern oder einem positiven eintrag.
hast Du mal auf einer Maschine in der cmd gpupdate gemacht?
Dann sollte die Richtlinie vom DC gezogen werden.
Kontrolliere dann das Event Log nach Fehlern oder einem positiven eintrag.
Hallo,
ich kann deine Frage leider nicht so richtig nachvollziehen. Hat deine heutige Frage etwas mit der Frage von vor 2 Tagen gemeinsam? ("zugriff auf netzlaufwerk authentifizierung - kerberos?")
Von wo nach wo versuchst du welche "Nutzerberechtigungen" zu übermitteln?
Vor zwei Tagen sagtest du
Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen.
Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?
www.eventid.net ist dann meine bevorzugte Quelle.
Gruß Rafiki
ich kann deine Frage leider nicht so richtig nachvollziehen. Hat deine heutige Frage etwas mit der Frage von vor 2 Tagen gemeinsam? ("zugriff auf netzlaufwerk authentifizierung - kerberos?")
Von wo nach wo versuchst du welche "Nutzerberechtigungen" zu übermitteln?
Vor zwei Tagen sagtest du
der fileserver ist auch neu installiert. Lediglich die festplatte, mit den dateien ist geblieben. rechte sind aber korrigiert
Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen.
Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?
www.eventid.net ist dann meine bevorzugte Quelle.
Gruß Rafiki
Hallo Rafiki,
danke für Deine Antwort. Die Berechtigungen werden über die Group Policy des DC verwaltet.
Wenn ich mich an einem Client anmelde, müsste mir die GP bspw volle Schreibrechte auf dem Fileserver geben.
Dies funktioniert aber nicht.
Der Filesever (und der DC) kann keinen Nutzer identifizieren. Lokal kann ich mit meinem Benutzernamen alles durchführen (bspw. Programme über auführen als).
Daher meine Vermutung, die Anmeldung wird nicht übergeben. Wie kann ich das kontrollieren, ob das so ist?
Vielen Dank
danke für Deine Antwort. Die Berechtigungen werden über die Group Policy des DC verwaltet.
Wenn ich mich an einem Client anmelde, müsste mir die GP bspw volle Schreibrechte auf dem Fileserver geben.
Dies funktioniert aber nicht.
Der Filesever (und der DC) kann keinen Nutzer identifizieren. Lokal kann ich mit meinem Benutzernamen alles durchführen (bspw. Programme über auführen als).
Daher meine Vermutung, die Anmeldung wird nicht übergeben. Wie kann ich das kontrollieren, ob das so ist?
Vielen Dank
Hallo bbecker, ich habe den Eindruck, dass du wenig über das von Dir administrierte Netzwerk weißt. Das ist an sich kein Problem, wir helfen gerne. Aber wenn ich die eine Frage stelle, z.B. nach den Berechtigungen, wäre es höflich diese auch zu beantworten. Sonst kommen wir nicht weiter und es macht mir dann auch keinen Spaß hier noch weitere Kommentare zu schreiben.
Nun versuchen wir mal etwas Struktur in deine Fehlersuche zu bringen. Aus diesem Posting und den beiden vorhergehenden habe ich entnommen, dass es sich um einen Windows 2003 Server handelt der Domain Controller ist. Dann einen File Server der Domain Member ist und ca. 15 Clients PC’s und Benutzer in der Domain.
Zu erst muss der Domain Controller fehlerfrei laufen, dann der FileServer. Erst danach interessieren und Benutzerkonten, Client PCs und wenn das alles funktioniert können GPO’s aktiviert werden.
Da die GPO’s das letzte in der Kette sind würde ich an deiner Stelle alle selbst gebauten GPO’s deaktivieren, bzw. die default domain policy und die default domain controller policy auf Standardwerte zurücksetzen.
Auf dem DC bitte das adminpak installieren und die Befehle dcdiag und netdiag ausführen. Beide Befehle prüfen diverse Einstellungen und Funktionen. Wenn dir dabei Fehler angezeigt werden, und davon gehe ich jetzt erst einmal aus, dann musst du dich um diese Probleme zuerst kümmern bzw. die Ursache dafür finden und verstehen.
Es kann beispielsweise sein das netdiag das fehlen von WINS bemängelt. Wenn das bei euch so gewollt ist dann darfst du diese Warnung ignorieren. Eine Warnung im Zusammenhang mit DNS muss sehr ernst genommen werden.
Notire dir die Uhrzeit wann du dcdiag startest. Anschließend im Eventlog nachsehen welche Fehler und Warnungen zu dieser Zeit erzeugt wurden.
Die Fehlermeldungen bei google eingeben bzw. die Eventlogs bei www.eventid.net nachsehen. Wenn du mit einem Fehler nicht weiterkommst dann poste gerne hier im Forum.
Wenn der DC dann fehlerfrei läuft, bitte wie in meinem Kommentar von gestern Abend, den Fileserver prüfen:
Gruß Rafiki
Nun versuchen wir mal etwas Struktur in deine Fehlersuche zu bringen. Aus diesem Posting und den beiden vorhergehenden habe ich entnommen, dass es sich um einen Windows 2003 Server handelt der Domain Controller ist. Dann einen File Server der Domain Member ist und ca. 15 Clients PC’s und Benutzer in der Domain.
Zu erst muss der Domain Controller fehlerfrei laufen, dann der FileServer. Erst danach interessieren und Benutzerkonten, Client PCs und wenn das alles funktioniert können GPO’s aktiviert werden.
Da die GPO’s das letzte in der Kette sind würde ich an deiner Stelle alle selbst gebauten GPO’s deaktivieren, bzw. die default domain policy und die default domain controller policy auf Standardwerte zurücksetzen.
Auf dem DC bitte das adminpak installieren und die Befehle dcdiag und netdiag ausführen. Beide Befehle prüfen diverse Einstellungen und Funktionen. Wenn dir dabei Fehler angezeigt werden, und davon gehe ich jetzt erst einmal aus, dann musst du dich um diese Probleme zuerst kümmern bzw. die Ursache dafür finden und verstehen.
Es kann beispielsweise sein das netdiag das fehlen von WINS bemängelt. Wenn das bei euch so gewollt ist dann darfst du diese Warnung ignorieren. Eine Warnung im Zusammenhang mit DNS muss sehr ernst genommen werden.
Notire dir die Uhrzeit wann du dcdiag startest. Anschließend im Eventlog nachsehen welche Fehler und Warnungen zu dieser Zeit erzeugt wurden.
Die Fehlermeldungen bei google eingeben bzw. die Eventlogs bei www.eventid.net nachsehen. Wenn du mit einem Fehler nicht weiterkommst dann poste gerne hier im Forum.
Wenn der DC dann fehlerfrei läuft, bitte wie in meinem Kommentar von gestern Abend, den Fileserver prüfen:
Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen. Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen. Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?
Gruß Rafiki
Guten Morgen,
da kann ich mich Rafki nur anschließen.
Immer zu erst sehen, dass alles Systeme fehlerfrei laufen (Schön der Reihe nach) und immer testen!
Die Schreib/Leserechte werden aber nicht über die Policy vom DC sondern über die Eigenschaften der Objekte auf der Festplatte (Sorry, steh auf dem Schlauch wie ich das Beschreiben soll
)
In den Policys vom DC regelst Du ja das Verhalten von Windows, Sicherheitseinstellungen (Nicht die des Filessystems!), ect.
Erst wenn alles Fehlerfrei läuft, auch die Zugriffe auf den Filesserver, dann anfangen die Gruppenrichtlinien zu implementieren.
Grüße
Lars
da kann ich mich Rafki nur anschließen.
Immer zu erst sehen, dass alles Systeme fehlerfrei laufen (Schön der Reihe nach) und immer testen!
Die Schreib/Leserechte werden aber nicht über die Policy vom DC sondern über die Eigenschaften der Objekte auf der Festplatte (Sorry, steh auf dem Schlauch wie ich das Beschreiben soll
)In den Policys vom DC regelst Du ja das Verhalten von Windows, Sicherheitseinstellungen (Nicht die des Filessystems!), ect.
Erst wenn alles Fehlerfrei läuft, auch die Zugriffe auf den Filesserver, dann anfangen die Gruppenrichtlinien zu implementieren.
Grüße
Lars
danke für den suppoort hier im forum. ist klar, dass die berechtigungen über eigenschaften - sicherheit vergeben werden.
so habe ich das auch auf dem fileserver getan. es gibt mehrere sicherheitsgruppen, denen für verschiedene ordner vollzugriff gewährt wurde. der domänenadmin hat vollzugriff auf alle verzeichnisse.
im eventlog des fileservers stehen keine besonders bedeutenden einträge. Was mich allerdings wundert, unter sicherheit finde ich die an bzw abmeldung aller benutzer. Somit erkennt der Fileserver die Benutzer doch.
aber nun zum DC:
habe dcdiag ausgeführt. alle tests waren erfolgreich, bis auf as problem hier:
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:19
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:20
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:21
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:22
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:24
(Event String could not be retrieved)
An Error Event occured. EventID: 0x825A0011
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC25A001D
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
......................... -DE-SBS failed test systemlog
bei netdiag haben auch alle test funktioniert, ausser:
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.16.2'.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '217.237.151.205'. Please wait for 30 minutes for DNS server replication.
192.168.16.2 -> IP eigener DC
217.237.151.205 -> IP externer DNS SERVER
im systemlog (verzechnisdienst) werden sekändlich folgende Meldungen produziert:
Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1139
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: -DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search nach 0 ms abgeschlossen.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1138
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: **-DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search eingegeben.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
so habe ich das auch auf dem fileserver getan. es gibt mehrere sicherheitsgruppen, denen für verschiedene ordner vollzugriff gewährt wurde. der domänenadmin hat vollzugriff auf alle verzeichnisse.
im eventlog des fileservers stehen keine besonders bedeutenden einträge. Was mich allerdings wundert, unter sicherheit finde ich die an bzw abmeldung aller benutzer. Somit erkennt der Fileserver die Benutzer doch.
aber nun zum DC:
habe dcdiag ausgeführt. alle tests waren erfolgreich, bis auf as problem hier:
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:19
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:20
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:21
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:22
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:24
(Event String could not be retrieved)
An Error Event occured. EventID: 0x825A0011
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC25A001D
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
......................... -DE-SBS failed test systemlog
bei netdiag haben auch alle test funktioniert, ausser:
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.16.2'.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '217.237.151.205'. Please wait for 30 minutes for DNS server replication.
192.168.16.2 -> IP eigener DC
217.237.151.205 -> IP externer DNS SERVER
im systemlog (verzechnisdienst) werden sekändlich folgende Meldungen produziert:
Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1139
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: -DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search nach 0 ms abgeschlossen.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1138
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: **-DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search eingegeben.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
