Freigabe via DFS kein Zugriff?

dertowa
Goto Top
Hallo zusammen,

ich verzweifle hier gerade ein wenig, da ich den Wald vor lauter Bäumen nicht sehe (trotz Borkenkäfer).

Ich habe hier einen Brother ADS-2400N, welcher auf eine Netzwerkfreigabe scannt.
Nun stelle ich gerade von einfachem Dateiserver auf DFS um (aktuell zwar auch nur ein Server, aber eben zentral erreichbar).

Pfad für die Scans: \\intern.domain.work\Scans
Freigabeberechtigung: Jeder (Lesen & Schreiben)
Sicherheitsberechtigung: Authentifizierte Benutzer (Lesen) - nur dieser Ordner
Unterordner nach Abteilung, bspw. EDV - Benutzer "scanner" zugewiesen mit Berechtigung (Lesen & Schreiben)

Entsprechend alles im Scanner eingestellt, inkl NTLMv2 Authentifizierung, beim Test vermeldet er aber:
Sendefehler. Diese Meldung wird angezeigt, wenn kein Zugriff auf den Zielordner möglich ist.
Stellen Sie Folgendes sicher:
*Der Verzeichnisname ist korrekt.
*Das Verzeichnis ist nicht schreibgeschützt.
ECODE: 0x21200000, -53, STATUS_OK


Ich akzeptiere die Meldung, kann diese aber nicht verifizieren da der Ordner für mich problemlos erreichbar ist und ich ihn auch als Netzlaufwerk mit den Anmeldedaten des "scanner"-Benutzer einbinden kann.

Nun habe ich auf dem Dateiserver eine einfache Freigabe erstellt (ohne DFS), Berechtigungen identisch zu o.g. und siehe da die Büchse scannt.
Dabei ist dem Scanner dann auch total egal ob ich als Pfadnamen:
\\server\Scans\EDV oder \\server.intern.domain.work\Scans\EDV angebe, geht beides (ich dachte an ein Problem mit dem FQDN).

Nun sitze ich hier mit Fragezeichen und verstehe nicht wo der Unterschied zu einer DFS-Freigabe ist - denn ich sehe keinen...
...identisches Verhalten übrigens bei einem OKI-Multifunktionsdrucker, einfache Freigabe ja, DFS-Freigabe nein.

Vielleicht kann jemand Licht ins Dunkel bringen?

Grüße
ToWa

P.S.: Gebe ich den direkten Pfad zum DFS-Ordner, also \\server.intern.domain.work\Scans\EDV geht es auch nicht.

Content-Key: 1232140089

Url: https://administrator.de/contentid/1232140089

Ausgedruckt am: 19.08.2022 um 02:08 Uhr

Mitglied: emeriks
emeriks 06.09.2021 aktualisiert um 14:03:56 Uhr
Goto Top
Hi,
ja, das ist by design. Ich kenne jetzt kein Gerät dieser Art, welches als DFS-Client funktioniert. Der Vergleich mit Windows Computern bringt also nichts.

2 Lösungsansätze:
  1. Erstelle den DFS-Stamm auf Domänencontrollern dieser Domäne "intern.domain.work". Und nur auf DCs und auf allen DCs dieser Domäne.
  2. Du lässt den Scanner direkt auf die Freigabe schreiben, welche beim DFS-Ordner als Ziel eingetragen ist. Der Zugriff der Benutzer kann deswegen ja trotzdem über DFS-N erfolgen.

Am Rande:
Niemals direkt in der Wurzel eines DFS-Stamms schreiben lassen. Sowas bringt - früher oder später - nur Ärger mit sich!

E.
Mitglied: dertowa
dertowa 06.09.2021 um 14:13:33 Uhr
Goto Top
Zitat von @emeriks:

Hi,
ja, das ist by design. Ich kenne jetzt kein Gerät dieser Art, welches als DFS-Client funktioniert. Der Vergleich mit Windows Computern bringt also nichts.

Hmm dann bin ich also doch nicht zu blöd, sondern die sche* funktioniert einfach nicht. :D

2 Lösungsansätze:
  1. Du lässt den Scanner direkt auf die Freigabe schreiben, welche beim DFS-Ordner als Ziel eingetragen ist. Der Zugriff der Benutzer kann deswegen ja trotzdem über DFS-N erfolgen.

Der zweite Lösungsansatz gefällt mir, aber den hatte ich schon probiert (erwähnt in P.S.):
dfs
Also mache ich wohl eine simple Freigabe, oder switche das auf die DCs um. ace-sad"

Keine Sorge, es gibt nur Unterordner des DFS, somit passiert im Rootverzeichnis nichts. ;)
Mitglied: emeriks
emeriks 06.09.2021 um 14:20:17 Uhr
Goto Top
Dieses "\\srv-fs01....\Scans" ist eine "simple" Freigabe. Wenn der da nicht schreiben kann, dann hast Du da tatsächlich irgendwas übersehen.
Die Freigabe-Berechtigungen dieser "einfachen" Freigabe stimmen aber auch?
Mitglied: dertowa
dertowa 06.09.2021 aktualisiert um 14:40:27 Uhr
Goto Top
Zitat von @emeriks:
Die Freigabe-Berechtigungen dieser "einfachen" Freigabe stimmen aber auch?

Jap, das ist was mich wundert, der einzige Unterschied bei der Ansteuerung der "einfachen Freigabe" ist, dass diese initial über die DFS-Verwaltung angelegt wurde.

Kann ich genau so nachvollziehen, lege ich ihn über DFS an, füge die Berechtigung hinzu (auch Jeder), kann der Scanner nicht.
Mache ich es am selben Ort manuell funktioniert es direkt.

...selbst wenn ich via DFS-Verwaltung einen eigenständigen Namespace für den Fileserver und den Ordner anlege geht es nicht. :D
Mitglied: emeriks
emeriks 06.09.2021 um 15:14:06 Uhr
Goto Top
Das glaube ich so nicht. Du trickst Dich da selbst aus.
Schau genau nach, was da in den NTFS- und Freigabeberechtigungen drin steht.
Mitglied: emeriks
emeriks 06.09.2021 um 15:14:55 Uhr
Goto Top
Mit welchem Konto greift denn der Scanner da zu?
Hast Du dessen effektive Berechtigungen mal berechnen lassen?
Mitglied: erikro
erikro 06.09.2021 um 17:40:52 Uhr
Goto Top
Moin,

Zitat von @emeriks:

Das glaube ich so nicht. Du trickst Dich da selbst aus.
Schau genau nach, was da in den NTFS- und Freigabeberechtigungen drin steht.

Kollege @emeriks hat recht. Wenn Du nicht direkt auf die unter dem DFS liegenden Freigaben schreiben kannst, muss was mit den Rechten nicht stimmen. Wie Du schon selbst sagst: Da ist dann kein Unterschied mehr zu einer einfachen Freigabe. Lass Dir mal die effektiven Rechte ausgeben.

Liebe Grüße

Erik
Mitglied: nEmEsIs
nEmEsIs 06.09.2021 um 19:08:16 Uhr
Goto Top
Hi

Kann es sein das der DNS an deinem Drucker fehlt wenn er den FQDN nicht auflösen kann aber den NetBIOS
\\server\Freigabe scheint ja zu heben
\\Server.intern.domain.tld\Freigabe scheint nicht zu gehen.

Mit freundlichen Grüßen Nemesis
Mitglied: erikro
erikro 06.09.2021 um 19:12:42 Uhr
Goto Top
Moin,

Zitat von @nEmEsIs:
Kann es sein das der DNS an deinem Drucker fehlt wenn er den FQDN nicht auflösen kann aber den NetBIOS
\\server\Freigabe scheint ja zu heben
\\Server.intern.domain.tld\Freigabe scheint nicht zu gehen.

Den Satz
Dabei ist dem Scanner dann auch total egal ob ich als Pfadnamen:
\\server\Scans\EDV oder \\server.intern.domain.work\Scans\EDV angebe, geht beides (ich dachte an ein Problem mit dem FQDN).
hast Du wohl überlesen ... face-wink

Liebe Grüße

Erik
Mitglied: dertowa
dertowa 07.09.2021 aktualisiert um 08:31:55 Uhr
Goto Top
Zitat von @emeriks:

Mit welchem Konto greift denn der Scanner da zu?
Hast Du dessen effektive Berechtigungen mal berechnen lassen?

Hey, nein das hatte ich tatsächlich noch nicht, wirft aber leider auch keine Überraschung raus, denn egal ob der DFS Ordner oder der manuell angelegte, die Sicherheiten sind gleich:
mit
vs.
ohne

Wie gesagt, lege ich einen Ordner Test oder Scan manuell an (kann auch in D:\DFSRoots sein ist total egal) und gebe diesen manuell frei und berechtige den Scanner, so funktioniert alles wunderbar.
Aber ich würde gerne wissen warum, denn das erschließt sich mir einfach nicht. ace-sad"

P.S.: Freigabeberechtigung ist ganz simpel in beiden Fällen "Jeder = Ändern"
Mitglied: emeriks
emeriks 07.09.2021 um 09:14:57 Uhr
Goto Top
Wenn Du sie nicht manuell anlegst: Wie machst Du das dann?
Mitglied: dertowa
dertowa 07.09.2021 aktualisiert um 09:45:44 Uhr
Goto Top
Zitat von @emeriks:

Wenn Du sie nicht manuell anlegst: Wie machst Du das dann?

  • DFS-Verwaltung
  • Neuer Namespace...
  • Server "Srv-FS01"
  • Name "Scans"
--> Einstellung Pfad auf D:\DFSRoots\Scans
--> Alle Benutzer haben Lese- und Schreibberechtigung
  • Typ Domänenbasierter Namespace (mit 2008-Modus)

Anschließend passe ich die Sicherheitseinstellung an, also füge den Benutzer "scanner" hinzu.

Damit ist die Freigabe über die beiden von dir genannten Wege erreichbar:
  • intern.domain.work\Scans
  • srv-fs01\Scans
...aber eben nicht für die Multifunktionsgeräte/Dokumentenscanner.
Mitglied: emeriks
emeriks 07.09.2021 um 10:37:41 Uhr
Goto Top
Wenn ich das bei mir so mache, dann bekommt die dabei erstellte Freigabe in den Freigabeberechtigungen nur "Jeder - Lesen" eingetragen. Da kann ich dann unter "Sicherheit" ändern was ich will - es bleibt bei "Lesen" für alle.

Man muss die Freigabeberechtigungen ebenfalls anpassen.
Mitglied: emeriks
emeriks 07.09.2021 um 10:42:40 Uhr
Goto Top
Und die effektiven Berechtigungen solltest Du Dir über die Freigabe berechnen lassen und nicht lokal.
Also von einem anderen Rechner auf \\srv-fs01\Scans und dort für z.B. einem Unterordner die effektiven Berechtigungen berechnen lassen.
Mitglied: dertowa
dertowa 07.09.2021 um 10:53:25 Uhr
Goto Top
Zitat von @emeriks:

Wenn ich das bei mir so mache, dann bekommt die dabei erstellte Freigabe in den Freigabeberechtigungen nur "Jeder - Lesen" eingetragen. Da kann ich dann unter "Sicherheit" ändern was ich will - es bleibt bei "Lesen" für alle.

Man muss die Freigabeberechtigungen ebenfalls anpassen.

Hmm spannend, gerade noch mal mit einer Namespacefreigabe "Scan" versucht...
also beim Server 2019 ist das hier funktional über den Namespace (zumindest optisch):
name
-->
freigabe
Bei Sicherheit steht dann niemand drin, das muss ich anpassen, klar.
Mitglied: dertowa
dertowa 07.09.2021 aktualisiert um 11:04:02 Uhr
Goto Top
Zitat von @emeriks:

Und die effektiven Berechtigungen solltest Du Dir über die Freigabe berechnen lassen und nicht lokal.
Das scheitert, da muss ich also erstmal in Richtung RPC schauen:
rpc

Mal die Firewall kurz deaktiviert. :D
Berechtigungen aber auch hier einwandfrei...
lala
Mitglied: dertowa
Lösung dertowa 22.09.2021 um 10:34:44 Uhr
Goto Top
So, nach längerem Hin und Her geht es nicht, warum auch immer.
Ich habe mir nun durch einen Workaround beholfen der mir zwar auch noch nicht gefällt, aber erstmal funktional ist.

  • DFS-Fileserver bekommt einen DFS-Ordner "Scans" auf den die Kollegen zugreifen
  • Fileserver erhält zudem eine einfache Ordnerfreigabe (nicht über DFS) die ich mit "Scanfreigabe$" bezeichnet habe
  • Netzwerkscanner scannen in Unterordner der Scanfreigabe$, was problemlos funktioniert
  • Im DFS-Ordner "Scans" liegen Verknüpfungen zu den Unterordnern der Scanfreigabe$, so dass die Kollegen keinen Unterschied/Mehraufwand zum aktuellen Zustand haben

Wie gesagt, nicht ideal aber funktional und definitiv etwas, was ich später noch mal anfassen muss.