mg-one
Goto Top

Gruppenrichtlinien mit Ordnerumleitung, Netzlaufwerk ergibt Zugriffsverweigerung ohne DNS Suffix ABER nur

Hallo zusammen,
der Kuriositätenladen der IT Welt stellt mich mal wieder vor eine neue Herausforderung.

Ich habe in einem Netzwerk per Gruppenrichtlinien die Ordnerumleitung für Dokumente und Co auf den Fileserver aktiviert. Funktioniert.
Außerdem ist über die Gruppenrichtlinien (Benutzerkonfig -> Win Einstellungen -> Laufwerkszuordnung) die Verteilung der Netzlaufwerke eingestellt.
Die Netzlaufwerke werden alle nach dem Moto \\srvfile1\ordner -> Verbindung wiederherstellen verbunden. Funktioniert soweit auch bei allen Netzlaufwerken, außer beim Usershare.
Wenn ich das Usershare mit dem UNC Pfad \\srvFILE1\Benutzer\%username% in der Gruppenrichtlinie stehen habe, verbindet er das Laufwerk beim ersten mal richtig. Melde ich den Client dann ab und wieder an bekomme ich eine Zugriffsverweigerung auf das Laufwerk. Auch wenn ich auf \\srvfile1\Benutzer direkt zugreifen will komme ich nicht auf den Pfad. \\srvfile1.domain.local\Benutzer funktioniert hingegen problemlos.
Trenne ich das mit srvfile1\benutzer\%username% gemappte Laufwerk und melde mich ab und wieder an klappt es wieder bis zur nächsten Anmeldung.
Alle anderen Shares auf srvfile1 funktionieren normal.
Ich habe daraufhin in der GPO den Pfad mal auf \\srvfile1.domain.local\Benutzer\%username% umgestellt. Alles funktioniert. Auch der direkte Zugriff auf das Usershare über \\srvfile1\benutzer\%username% funktioniert dann.
Besonders lustig daran finde ich aber, dass Ältere Rechner die schon länger im Netz sind nicht davon betroffen sind.

Die Serversysteme sind alles Windows 2019 Std.
Clients alle Windows 10 Pro Build 2004.
Im Netz gibt es einen DC der auch gleichzeitig DNS macht.

Mir fehlt ehrlicherweise ein wenig die Idee wo ich mit suchen anfangen soll. DNS schließe ich eigentlich aus, da die Namensauflösung sauber funktioniert.
Berechtigungsproblem schließe ich ebenfalls aus, funktioniert ja an sich.
Virenschutz / Firewall habe ich ebenfalls schon komplett entfernt / ausgeschalten.

Hat jemand eine Idee wo ich ansetzen könnte?

Vielen Dank und beste Grüße
Maik

Content-ID: 614745

Url: https://administrator.de/contentid/614745

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

support-m
support-m 21.10.2020 um 11:22:10 Uhr
Goto Top
Hi!
Ohne die genaue Lösung zu kennen, versuche mal den Haken "Verbindung wiederherstellen" bei den Usershares raus zu machen. Ich könnte mir vorstellen, dass das möglicherweise Probleme machen könnte.
Ansonsten, sagen
dcdiag
und
dcdiag /test:dns
auf dem DC irgendetwas auffälliges?

Welche NTFS- und Freigaberechte hast du auf dem Usershare liegen?

Was passiert, wenn du das Usershare direkt im AD hinterlegst? Nicht per GPO.

MfG
user217
user217 21.10.2020 um 11:58:29 Uhr
Goto Top
hatte ich auch mal. Ich glaube es lag daran das es sich um eine Computerrichtlinie gehandelt hat und das wiederum hatte zur Folge das irgendwas zeitlich nicht so ausgeführt wurde das es die exclusiven User Berechtigungen nur sporadisch bekam.
Dr.Bit
Dr.Bit 21.10.2020 um 12:22:32 Uhr
Goto Top
Zitat von @MG-One:

Hallo zusammen,
der Kuriositätenladen der IT Welt stellt mich mal wieder vor eine neue Herausforderung.

Dann geh doch in einen anderen Laden. face-smile

Was passiert denn, wenn du IPv6 auf den Clients deaktivierst?

🖖
MG-One
MG-One 21.10.2020 um 13:15:44 Uhr
Goto Top
Verbindung wiederherstellen hatte ich testweise auch schon rausgenommen. Ich hatte auch Testweise die Richtlinie von Aktualisieren auf Erstellen umgestellt. Hatte aber keinen Effekt.

Der dcdiag test:dns ist sauber.

Beim dcdiag wirft er mir einen Fehler für den DFSREvent aus:
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für SRVDC1 ist fehlgeschlagen.

Das würde ich aber mal unter ignorieren abtun, da wir kein DFS verwenden.


Auf den Usershares liegen die Standardberechtigungen -> System Vollzugriff und der jeweilige Benutzer Vollzugriff.

Usershare direkt hinterlegen kann ich erst heute Abend testen wenn keiner mehr am Arbeiten ist.
Was mich einfach wundert ist, warum klappt es, wenn der DNS Suffix angefügt wird problemlos?
MG-One
MG-One 21.10.2020 um 13:18:24 Uhr
Goto Top
Zitat von @Dr.Bit:

Zitat von @MG-One:

Hallo zusammen,
der Kuriositätenladen der IT Welt stellt mich mal wieder vor eine neue Herausforderung.

Dann geh doch in einen anderen Laden. face-smile

Was passiert denn, wenn du IPv6 auf den Clients deaktivierst?

🖖


Laden wechseln.... hmmmm.... muss nicht sein, die Gummibärchen sind ganz gut hier.

IPv6 deaktivieren hatte ich bereits versucht, hat damit nichts zu tun.
MG-One
MG-One 21.10.2020 um 13:23:44 Uhr
Goto Top
Zitat von @user217:

hatte ich auch mal. Ich glaube es lag daran das es sich um eine Computerrichtlinie gehandelt hat und das wiederum hatte zur Folge das irgendwas zeitlich nicht so ausgeführt wurde das es die exclusiven User Berechtigungen nur sporadisch bekam.

Hatte ich auch schon im Verdacht, passt aber nicht so ganz, da dann das Problem ja auch auf allen alten Clients auftreten würde/müsste und nicht nur auf welchen die ich jetzt erst installiere. Da die Benutzerrichtlinien ja erst beim Anmelden verarbeitet werden, dürfte es vom Timing her auch kein Timing Problem mehr sein.
FullMetal
FullMetal 21.10.2020 aktualisiert um 15:57:18 Uhr
Goto Top
Hi Maik,


Zitat von @MG-One:

Besonders lustig daran finde ich aber, dass Ältere Rechner die schon länger im Netz sind nicht davon betroffen sind.


Hat jemand eine Idee wo ich ansetzen könnte?

Vielen Dank und beste Grüße
Maik


Da du Clients hast auf denen es funktioniert würde ich dort ansetzten.
Was ist der Unterschied zwischen den älteren PCs und den neueren? Sind die u.U. auf einer anderen OS-Version oder Update Stand? Hier sollte es ja einen Unterschied geben und den muss man finden.

Und um DNS Probleme wirklich auszuschliessen würde ich mal statt den UNC-Pfad die IP zum Fileserver verwenden.


Viele Grüße
Florian
erikro
erikro 21.10.2020 um 20:35:14 Uhr
Goto Top
Moin,

Zitat von @MG-One:

Die Serversysteme sind alles Windows 2019 Std.
Clients alle Windows 10 Pro Build 2004.

Wie immer an der Stelle die Rückfrage bei solchen Problemen: Die üblichen Gruppenrichtlinien, die man für Windows 10 in der Domain konfigurieren **muss*, sind konfiguriert? Ich meine: Beim Starten und Anmelden auf Netzwerk warten, schnelle Benutzerumschaltung aus, letzten Benutzer anzeigen aus, letzten Benutzer beim Neustart wieder anmelden aus. Habe ich was vergessen? Wenn nicht und Du weißt nicht, wo, kopiere ich das gerne aus meinem Workflow. Kann aber dauern. Ich bin im Moment ziemlich beschäftigt. face-wink

Liebe Grüße

Erik
nEmEsIs
nEmEsIs 22.10.2020, aktualisiert am 16.05.2023 um 15:16:09 Uhr
Goto Top
Hi

Klar verwendest du DFSR !
Dein Sysvol und Netlogon werden darüber gesynct.
Und was liegt im Sysvol. Deine Gruppenrichlinien.

Bitte prüfe das mal.

Ein Netzlaufwerk mit FQDN zu Mappen schadet nie.
Auch ist es m.e. Besser einen DFSN Space zu bauen und da deine Freigaben drin zu verwalten. Auch deine Ordnerumleitung. Denk nur mal in ein paar Jahren wenn du nen neuen Server brauchst / machst was dann los ist.
So musst du nur das backend verändern.
Und srv1 ist so ne Sache als Hostname...

Prüf mal deinen DHCP was der so verteilt bzgl Suffix.

Welchen Suffix haben deine Clients? Nicht das die den Server in ner anderen DNS Zone suchen.

Das mit den älteren Rechnern spricht für eine andere Config / GPO ?


Mit freundlichen Grüßen Nemesis