17
Freigabe via DFS kein Zugriff?
Hallo zusammen,
ich verzweifle hier gerade ein wenig, da ich den Wald vor lauter Bäumen nicht sehe (trotz Borkenkäfer).
Ich habe hier einen Brother ADS-2400N, welcher auf eine Netzwerkfreigabe scannt.
Nun stelle ich gerade von einfachem Dateiserver auf DFS um (aktuell zwar auch nur ein Server, aber eben zentral erreichbar).
Pfad für die Scans: \\intern.domain.work\Scans
Freigabeberechtigung: Jeder (Lesen & Schreiben)
Sicherheitsberechtigung: Authentifizierte Benutzer (Lesen) - nur dieser Ordner
Unterordner nach Abteilung, bspw. EDV - Benutzer "scanner" zugewiesen mit Berechtigung (Lesen & Schreiben)
Entsprechend alles im Scanner eingestellt, inkl NTLMv2 Authentifizierung, beim Test vermeldet er aber:
Sendefehler. Diese Meldung wird angezeigt, wenn kein Zugriff auf den Zielordner möglich ist.
Stellen Sie Folgendes sicher:
*Der Verzeichnisname ist korrekt.
*Das Verzeichnis ist nicht schreibgeschützt.
ECODE: 0x21200000, -53, STATUS_OK
Ich akzeptiere die Meldung, kann diese aber nicht verifizieren da der Ordner für mich problemlos erreichbar ist und ich ihn auch als Netzlaufwerk mit den Anmeldedaten des "scanner"-Benutzer einbinden kann.
Nun habe ich auf dem Dateiserver eine einfache Freigabe erstellt (ohne DFS), Berechtigungen identisch zu o.g. und siehe da die Büchse scannt.
Dabei ist dem Scanner dann auch total egal ob ich als Pfadnamen:
\\server\Scans\EDV oder \\server.intern.domain.work\Scans\EDV angebe, geht beides (ich dachte an ein Problem mit dem FQDN).
Nun sitze ich hier mit Fragezeichen und verstehe nicht wo der Unterschied zu einer DFS-Freigabe ist - denn ich sehe keinen...
...identisches Verhalten übrigens bei einem OKI-Multifunktionsdrucker, einfache Freigabe ja, DFS-Freigabe nein.
Vielleicht kann jemand Licht ins Dunkel bringen?
Grüße
ToWa
P.S.: Gebe ich den direkten Pfad zum DFS-Ordner, also \\server.intern.domain.work\Scans\EDV geht es auch nicht.
ich verzweifle hier gerade ein wenig, da ich den Wald vor lauter Bäumen nicht sehe (trotz Borkenkäfer).
Ich habe hier einen Brother ADS-2400N, welcher auf eine Netzwerkfreigabe scannt.
Nun stelle ich gerade von einfachem Dateiserver auf DFS um (aktuell zwar auch nur ein Server, aber eben zentral erreichbar).
Pfad für die Scans: \\intern.domain.work\Scans
Freigabeberechtigung: Jeder (Lesen & Schreiben)
Sicherheitsberechtigung: Authentifizierte Benutzer (Lesen) - nur dieser Ordner
Unterordner nach Abteilung, bspw. EDV - Benutzer "scanner" zugewiesen mit Berechtigung (Lesen & Schreiben)
Entsprechend alles im Scanner eingestellt, inkl NTLMv2 Authentifizierung, beim Test vermeldet er aber:
Sendefehler. Diese Meldung wird angezeigt, wenn kein Zugriff auf den Zielordner möglich ist.
Stellen Sie Folgendes sicher:
*Der Verzeichnisname ist korrekt.
*Das Verzeichnis ist nicht schreibgeschützt.
ECODE: 0x21200000, -53, STATUS_OK
Ich akzeptiere die Meldung, kann diese aber nicht verifizieren da der Ordner für mich problemlos erreichbar ist und ich ihn auch als Netzlaufwerk mit den Anmeldedaten des "scanner"-Benutzer einbinden kann.
Nun habe ich auf dem Dateiserver eine einfache Freigabe erstellt (ohne DFS), Berechtigungen identisch zu o.g. und siehe da die Büchse scannt.
Dabei ist dem Scanner dann auch total egal ob ich als Pfadnamen:
\\server\Scans\EDV oder \\server.intern.domain.work\Scans\EDV angebe, geht beides (ich dachte an ein Problem mit dem FQDN).
Nun sitze ich hier mit Fragezeichen und verstehe nicht wo der Unterschied zu einer DFS-Freigabe ist - denn ich sehe keinen...
...identisches Verhalten übrigens bei einem OKI-Multifunktionsdrucker, einfache Freigabe ja, DFS-Freigabe nein.
Vielleicht kann jemand Licht ins Dunkel bringen?
Grüße
ToWa
P.S.: Gebe ich den direkten Pfad zum DFS-Ordner, also \\server.intern.domain.work\Scans\EDV geht es auch nicht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1232140089
Url: https://administrator.de/contentid/1232140089
Printed on: April 23, 2024 at 11:04 o'clock
17 Comments
Latest comment
Hi,
ja, das ist by design. Ich kenne jetzt kein Gerät dieser Art, welches als DFS-Client funktioniert. Der Vergleich mit Windows Computern bringt also nichts.
2 Lösungsansätze:
Am Rande:
Niemals direkt in der Wurzel eines DFS-Stamms schreiben lassen. Sowas bringt - früher oder später - nur Ärger mit sich!
E.
ja, das ist by design. Ich kenne jetzt kein Gerät dieser Art, welches als DFS-Client funktioniert. Der Vergleich mit Windows Computern bringt also nichts.
2 Lösungsansätze:
- Erstelle den DFS-Stamm auf Domänencontrollern dieser Domäne "intern.domain.work". Und nur auf DCs und auf allen DCs dieser Domäne.
- Du lässt den Scanner direkt auf die Freigabe schreiben, welche beim DFS-Ordner als Ziel eingetragen ist. Der Zugriff der Benutzer kann deswegen ja trotzdem über DFS-N erfolgen.
Am Rande:
Niemals direkt in der Wurzel eines DFS-Stamms schreiben lassen. Sowas bringt - früher oder später - nur Ärger mit sich!
E.
1
Zitat von @emeriks:
Hi,
ja, das ist by design. Ich kenne jetzt kein Gerät dieser Art, welches als DFS-Client funktioniert. Der Vergleich mit Windows Computern bringt also nichts.
Hi,
ja, das ist by design. Ich kenne jetzt kein Gerät dieser Art, welches als DFS-Client funktioniert. Der Vergleich mit Windows Computern bringt also nichts.
Hmm dann bin ich also doch nicht zu blöd, sondern die sche* funktioniert einfach nicht. :D
2 Lösungsansätze:
- Du lässt den Scanner direkt auf die Freigabe schreiben, welche beim DFS-Ordner als Ziel eingetragen ist. Der Zugriff der Benutzer kann deswegen ja trotzdem über DFS-N erfolgen.
Der zweite Lösungsansatz gefällt mir, aber den hatte ich schon probiert (erwähnt in P.S.):
Keine Sorge, es gibt nur Unterordner des DFS, somit passiert im Rootverzeichnis nichts. ;)
Dieses "\\srv-fs01....\Scans" ist eine "simple" Freigabe. Wenn der da nicht schreiben kann, dann hast Du da tatsächlich irgendwas übersehen.
Die Freigabe-Berechtigungen dieser "einfachen" Freigabe stimmen aber auch?
Die Freigabe-Berechtigungen dieser "einfachen" Freigabe stimmen aber auch?
Jap, das ist was mich wundert, der einzige Unterschied bei der Ansteuerung der "einfachen Freigabe" ist, dass diese initial über die DFS-Verwaltung angelegt wurde.
Kann ich genau so nachvollziehen, lege ich ihn über DFS an, füge die Berechtigung hinzu (auch Jeder), kann der Scanner nicht.
Mache ich es am selben Ort manuell funktioniert es direkt.
...selbst wenn ich via DFS-Verwaltung einen eigenständigen Namespace für den Fileserver und den Ordner anlege geht es nicht. :D
Das glaube ich so nicht. Du trickst Dich da selbst aus.
Schau genau nach, was da in den NTFS- und Freigabeberechtigungen drin steht.
Schau genau nach, was da in den NTFS- und Freigabeberechtigungen drin steht.
Mit welchem Konto greift denn der Scanner da zu?
Hast Du dessen effektive Berechtigungen mal berechnen lassen?
Hast Du dessen effektive Berechtigungen mal berechnen lassen?
Moin,
Kollege @emeriks hat recht. Wenn Du nicht direkt auf die unter dem DFS liegenden Freigaben schreiben kannst, muss was mit den Rechten nicht stimmen. Wie Du schon selbst sagst: Da ist dann kein Unterschied mehr zu einer einfachen Freigabe. Lass Dir mal die effektiven Rechte ausgeben.
Liebe Grüße
Erik
Zitat von @emeriks:
Das glaube ich so nicht. Du trickst Dich da selbst aus.
Schau genau nach, was da in den NTFS- und Freigabeberechtigungen drin steht.
Das glaube ich so nicht. Du trickst Dich da selbst aus.
Schau genau nach, was da in den NTFS- und Freigabeberechtigungen drin steht.
Kollege @emeriks hat recht. Wenn Du nicht direkt auf die unter dem DFS liegenden Freigaben schreiben kannst, muss was mit den Rechten nicht stimmen. Wie Du schon selbst sagst: Da ist dann kein Unterschied mehr zu einer einfachen Freigabe. Lass Dir mal die effektiven Rechte ausgeben.
Liebe Grüße
Erik
Hi
Kann es sein das der DNS an deinem Drucker fehlt wenn er den FQDN nicht auflösen kann aber den NetBIOS
\\server\Freigabe scheint ja zu heben
\\Server.intern.domain.tld\Freigabe scheint nicht zu gehen.
Mit freundlichen Grüßen Nemesis
Kann es sein das der DNS an deinem Drucker fehlt wenn er den FQDN nicht auflösen kann aber den NetBIOS
\\server\Freigabe scheint ja zu heben
\\Server.intern.domain.tld\Freigabe scheint nicht zu gehen.
Mit freundlichen Grüßen Nemesis
Moin,
Den Satz
Liebe Grüße
Erik
Zitat von @nEmEsIs:
Kann es sein das der DNS an deinem Drucker fehlt wenn er den FQDN nicht auflösen kann aber den NetBIOS
\\server\Freigabe scheint ja zu heben
\\Server.intern.domain.tld\Freigabe scheint nicht zu gehen.
Kann es sein das der DNS an deinem Drucker fehlt wenn er den FQDN nicht auflösen kann aber den NetBIOS
\\server\Freigabe scheint ja zu heben
\\Server.intern.domain.tld\Freigabe scheint nicht zu gehen.
Den Satz
Dabei ist dem Scanner dann auch total egal ob ich als Pfadnamen:
\\server\Scans\EDV oder \\server.intern.domain.work\Scans\EDV angebe, geht beides (ich dachte an ein Problem mit dem FQDN).
hast Du wohl überlesen ... \\server\Scans\EDV oder \\server.intern.domain.work\Scans\EDV angebe, geht beides (ich dachte an ein Problem mit dem FQDN).
Liebe Grüße
Erik
1Zitat von @emeriks:
Mit welchem Konto greift denn der Scanner da zu?
Hast Du dessen effektive Berechtigungen mal berechnen lassen?
Mit welchem Konto greift denn der Scanner da zu?
Hast Du dessen effektive Berechtigungen mal berechnen lassen?
Hey, nein das hatte ich tatsächlich noch nicht, wirft aber leider auch keine Überraschung raus, denn egal ob der DFS Ordner oder der manuell angelegte, die Sicherheiten sind gleich:
Wie gesagt, lege ich einen Ordner Test oder Scan manuell an (kann auch in D:\DFSRoots sein ist total egal) und gebe diesen manuell frei und berechtige den Scanner, so funktioniert alles wunderbar.
Aber ich würde gerne wissen warum, denn das erschließt sich mir einfach nicht.
P.S.: Freigabeberechtigung ist ganz simpel in beiden Fällen "Jeder = Ändern"
Wenn Du sie nicht manuell anlegst: Wie machst Du das dann?
- DFS-Verwaltung
- Neuer Namespace...
- Server "Srv-FS01"
- Name "Scans"
--> Alle Benutzer haben Lese- und Schreibberechtigung
- Typ Domänenbasierter Namespace (mit 2008-Modus)
Anschließend passe ich die Sicherheitseinstellung an, also füge den Benutzer "scanner" hinzu.
Damit ist die Freigabe über die beiden von dir genannten Wege erreichbar:
- intern.domain.work\Scans
- srv-fs01\Scans
Wenn ich das bei mir so mache, dann bekommt die dabei erstellte Freigabe in den Freigabeberechtigungen nur "Jeder - Lesen" eingetragen. Da kann ich dann unter "Sicherheit" ändern was ich will - es bleibt bei "Lesen" für alle.
Man muss die Freigabeberechtigungen ebenfalls anpassen.
Man muss die Freigabeberechtigungen ebenfalls anpassen.
Und die effektiven Berechtigungen solltest Du Dir über die Freigabe berechnen lassen und nicht lokal.
Also von einem anderen Rechner auf \\srv-fs01\Scans und dort für z.B. einem Unterordner die effektiven Berechtigungen berechnen lassen.
Also von einem anderen Rechner auf \\srv-fs01\Scans und dort für z.B. einem Unterordner die effektiven Berechtigungen berechnen lassen.
Zitat von @emeriks:
Wenn ich das bei mir so mache, dann bekommt die dabei erstellte Freigabe in den Freigabeberechtigungen nur "Jeder - Lesen" eingetragen. Da kann ich dann unter "Sicherheit" ändern was ich will - es bleibt bei "Lesen" für alle.
Man muss die Freigabeberechtigungen ebenfalls anpassen.
Wenn ich das bei mir so mache, dann bekommt die dabei erstellte Freigabe in den Freigabeberechtigungen nur "Jeder - Lesen" eingetragen. Da kann ich dann unter "Sicherheit" ändern was ich will - es bleibt bei "Lesen" für alle.
Man muss die Freigabeberechtigungen ebenfalls anpassen.
Hmm spannend, gerade noch mal mit einer Namespacefreigabe "Scan" versucht...
also beim Server 2019 ist das hier funktional über den Namespace (zumindest optisch):
Zitat von @emeriks:
Und die effektiven Berechtigungen solltest Du Dir über die Freigabe berechnen lassen und nicht lokal.
Das scheitert, da muss ich also erstmal in Richtung RPC schauen:Und die effektiven Berechtigungen solltest Du Dir über die Freigabe berechnen lassen und nicht lokal.
Mal die Firewall kurz deaktiviert. :D
Berechtigungen aber auch hier einwandfrei...
So, nach längerem Hin und Her geht es nicht, warum auch immer.
Ich habe mir nun durch einen Workaround beholfen der mir zwar auch noch nicht gefällt, aber erstmal funktional ist.
Wie gesagt, nicht ideal aber funktional und definitiv etwas, was ich später noch mal anfassen muss.
Ich habe mir nun durch einen Workaround beholfen der mir zwar auch noch nicht gefällt, aber erstmal funktional ist.
- DFS-Fileserver bekommt einen DFS-Ordner "Scans" auf den die Kollegen zugreifen
- Fileserver erhält zudem eine einfache Ordnerfreigabe (nicht über DFS) die ich mit "Scanfreigabe$" bezeichnet habe
- Netzwerkscanner scannen in Unterordner der Scanfreigabe$, was problemlos funktioniert
- Im DFS-Ordner "Scans" liegen Verknüpfungen zu den Unterordnern der Scanfreigabe$, so dass die Kollegen keinen Unterschied/Mehraufwand zum aktuellen Zustand haben
Wie gesagt, nicht ideal aber funktional und definitiv etwas, was ich später noch mal anfassen muss.
