7
Kein Freigabenzugriff wegen DNS-Alias
Hallo zusammen.
Ich habe folgendes Problem:
In einem Windows-Domäne (AD-Level leider noch 2008R2) habe ich auf dem Fileserver (Windows Server 2016) eine Freigabe verknüpft, deren Benutzung nur einer bestimmten Nutzergruppe erlaubt ist, in der ich Mitglied bin. Die Gruppe 'Jeder' ist entfernt. Funktioniert auch soweit.
Jetzt wollte ich den Fileserver so umstellen, dass in Zukunft ein Zugriff über DNS-Alias erfolgt, um bei Ausfall auf den Replikatserver umzustellen.
Also habe ich einen Alias angelegt und ich kann über diesen Alias auch auf alles zugreifen.
Jetzt kommt das Merkwürdige:
Sobald ich in meinem Benutzerprofil das Profilverzeichnis und das Homeverzeichnis nicht mehr auf den Dateiserver sondern auf den Alias umgestellt habe, habe ich auf die diese verknüpfte Freigabe (\\Servername\Freigabename] keinen Zugriff mehr.
Der Zugriff funktioniert nur noch über den Alias (\\Aliasname\Freigabename).
Auch neu erstellte Freigaben mit Gruppenzuordnung, in denen die Gruppe 'Jeder' entfernt wurde funktionieren nicht.
Alle anderen verknüpften Freigaben (\\Servername\Freigabename) die für Jeden freigegeben sind funktionieren anstandslos.
Selbst wenn ich mich Namentlich eintrage geht es nicht, erst wenn ich die Gruppe 'Jeder' hinzufüge habe ich wieder Zugriff.
Gibt es eine Lösung für dieses Problem, oder muss ich die Gruppe 'Jeder' immer in den Freigabeberechtigungen drin lassen?
Gruß
Hans
Ich habe folgendes Problem:
In einem Windows-Domäne (AD-Level leider noch 2008R2) habe ich auf dem Fileserver (Windows Server 2016) eine Freigabe verknüpft, deren Benutzung nur einer bestimmten Nutzergruppe erlaubt ist, in der ich Mitglied bin. Die Gruppe 'Jeder' ist entfernt. Funktioniert auch soweit.
Jetzt wollte ich den Fileserver so umstellen, dass in Zukunft ein Zugriff über DNS-Alias erfolgt, um bei Ausfall auf den Replikatserver umzustellen.
Also habe ich einen Alias angelegt und ich kann über diesen Alias auch auf alles zugreifen.
Jetzt kommt das Merkwürdige:
Sobald ich in meinem Benutzerprofil das Profilverzeichnis und das Homeverzeichnis nicht mehr auf den Dateiserver sondern auf den Alias umgestellt habe, habe ich auf die diese verknüpfte Freigabe (\\Servername\Freigabename] keinen Zugriff mehr.
Der Zugriff funktioniert nur noch über den Alias (\\Aliasname\Freigabename).
Auch neu erstellte Freigaben mit Gruppenzuordnung, in denen die Gruppe 'Jeder' entfernt wurde funktionieren nicht.
Alle anderen verknüpften Freigaben (\\Servername\Freigabename) die für Jeden freigegeben sind funktionieren anstandslos.
Selbst wenn ich mich Namentlich eintrage geht es nicht, erst wenn ich die Gruppe 'Jeder' hinzufüge habe ich wieder Zugriff.
Gibt es eine Lösung für dieses Problem, oder muss ich die Gruppe 'Jeder' immer in den Freigabeberechtigungen drin lassen?
Gruß
Hans
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4733216046
Url: https://administrator.de/contentid/4733216046
Ausgedruckt am: 28.10.2024 um 08:10 Uhr
7 Kommentare
Neuester Kommentar
Moin,
erstmal versteh' ich nicht warum du das nicht per DFS(-R) regelst. Das ist genau für solche Szenarien gedacht.
Und dann würde ich auf Freigabe-Ebene nie irgendwelche Rechte setzen (Bei mir hat da "Jeder" read/write) sondern nur auf NTFS-Ebene.
Fragen dazu:
- Wie hast du denn den DNS-"Alias" gesetzt (Den Begriff gibt's im DNS Kontext eigentlich nicht)
- Was steht denn zu deinem konkreten Problem im Eventlog?
- was bedeutet "keinen Zugriff mehr"? Welche Meldung kommt genau?
lg,
Slainte
erstmal versteh' ich nicht warum du das nicht per DFS(-R) regelst. Das ist genau für solche Szenarien gedacht.
Und dann würde ich auf Freigabe-Ebene nie irgendwelche Rechte setzen (Bei mir hat da "Jeder" read/write) sondern nur auf NTFS-Ebene.
Fragen dazu:
- Wie hast du denn den DNS-"Alias" gesetzt (Den Begriff gibt's im DNS Kontext eigentlich nicht)
- Was steht denn zu deinem konkreten Problem im Eventlog?
- was bedeutet "keinen Zugriff mehr"? Welche Meldung kommt genau?
lg,
Slainte
Schliesse mich an, nie Berechtigungen auf Freigabe-Ebene machen.
Würde die Berechtigungen auf der NTFS Ebene (Register Security) überprüfen, bei der Umstellung deines Home/Profil Ordners wurden vermutlich diese Berechtigungen angepasst. Wichtig, dort unbedingt auf "Adavanced" klicken, sonst ist nicht alles ersichtlich.
Gruess
Luke
Würde die Berechtigungen auf der NTFS Ebene (Register Security) überprüfen, bei der Umstellung deines Home/Profil Ordners wurden vermutlich diese Berechtigungen angepasst. Wichtig, dort unbedingt auf "Adavanced" klicken, sonst ist nicht alles ersichtlich.
Gruess
Luke
Stichwörter SMB und Kerberos mal geprüft wegen DateTime und SPN? Das ist meistens das Problem.
Hallo,
DFS ist leider nicht gewünscht.
Natürlich sind die Rechte auf NTFS-Ebene gesetzt, aber der 'normale' User soll schon gar nicht erst sehen, welche Verzeichnisse sich hinter der Freigabe verbergen, zumindest war das der dahinterliegende Gedanke.
Aber so wie es aussieht greifen die NTFS-Rechte da schon und der nicht berechtigte Benutzer bekommt den Zugang verweigert. War vielleicht mit früheren Serverversionen anders, habe das irgendwie so im Gedächtnis.
Also kommt 'Jeder' wieder rein. Seltsam ist es doch. Dann braucht's auch keine Benutzerverwaltung auf Freigabeebene.
Die Fehlermeldung ist "Auf \\Servername\Freigabename konnte nicht zugegriffen werden. Sie besitzen keine Berechtigung...", Eintrag im Eventlog gibt es keinen.
Die Effektiven NTFS-Rechte auf dem Ordner habe ich gecheckt, alle Rechte für 'Ändern' vorhanden, die Rechte des Vollzugriffs sind deaktiviert.
Ändere ich meinen Profil- und Homepfad wieder zurück auf den Servernames statt des Alias habe ich Zugriff auf die Freigabe auf beiden Wegen.
Und das mit dem Alias:
Gedacht ist, dass bei Wartung oder Ausfall des primären Fileservers der Alias-Eintrag im DNS geändert wird:
Name: FileServer
Typ: Alias (CNAME)
Daten: Fileservername1.FQDN (Wird bei Bedarf auf Fileservername2.FQDN geändert.)
Die beiden Fileserver werden per Replikation möglichst identisch gehalten.
Aber da viele Verlinkungen in Datenbanken und Dokumenten geändert werden müssen zieht sich das eh noch hin.
SMB 1.0 ist nicht installiert, mit Kerberos habe ich mich jetzt nicht beschäftigt, keine Zeit dafür.
Werde bei Gelegenheit mal eine Testumgebung einrichten, um zu sehen, ob sich das jetzt generell so verhält, oder ob ich in unserem Netzwerk vielleicht durch irgendwelche Altlasten solche Probleme bekomme; wie durch den 2008R2 Domänencontroller zum Beispiel, den ich im Moment nicht herausnehmen kann. Aber das ist ein anderes Kapitel...
Gruß
Hans
DFS ist leider nicht gewünscht.
Natürlich sind die Rechte auf NTFS-Ebene gesetzt, aber der 'normale' User soll schon gar nicht erst sehen, welche Verzeichnisse sich hinter der Freigabe verbergen, zumindest war das der dahinterliegende Gedanke.
Aber so wie es aussieht greifen die NTFS-Rechte da schon und der nicht berechtigte Benutzer bekommt den Zugang verweigert. War vielleicht mit früheren Serverversionen anders, habe das irgendwie so im Gedächtnis.
Also kommt 'Jeder' wieder rein. Seltsam ist es doch. Dann braucht's auch keine Benutzerverwaltung auf Freigabeebene.
Die Fehlermeldung ist "Auf \\Servername\Freigabename konnte nicht zugegriffen werden. Sie besitzen keine Berechtigung...", Eintrag im Eventlog gibt es keinen.
Die Effektiven NTFS-Rechte auf dem Ordner habe ich gecheckt, alle Rechte für 'Ändern' vorhanden, die Rechte des Vollzugriffs sind deaktiviert.
Ändere ich meinen Profil- und Homepfad wieder zurück auf den Servernames statt des Alias habe ich Zugriff auf die Freigabe auf beiden Wegen.
Und das mit dem Alias:
Gedacht ist, dass bei Wartung oder Ausfall des primären Fileservers der Alias-Eintrag im DNS geändert wird:
Name: FileServer
Typ: Alias (CNAME)
Daten: Fileservername1.FQDN (Wird bei Bedarf auf Fileservername2.FQDN geändert.)
Die beiden Fileserver werden per Replikation möglichst identisch gehalten.
Aber da viele Verlinkungen in Datenbanken und Dokumenten geändert werden müssen zieht sich das eh noch hin.
SMB 1.0 ist nicht installiert, mit Kerberos habe ich mich jetzt nicht beschäftigt, keine Zeit dafür.
Werde bei Gelegenheit mal eine Testumgebung einrichten, um zu sehen, ob sich das jetzt generell so verhält, oder ob ich in unserem Netzwerk vielleicht durch irgendwelche Altlasten solche Probleme bekomme; wie durch den 2008R2 Domänencontroller zum Beispiel, den ich im Moment nicht herausnehmen kann. Aber das ist ein anderes Kapitel...
Gruß
Hans
Moin,
Gruß,
Dani
SMB 1.0 ist nicht installiert, mit Kerberos habe ich mich jetzt nicht beschäftigt, keine Zeit dafür.
das kommt dabei raus, wenn man nicht versteht wie Authentisierung, Authentifizierung und Autorisierung funktionieren, aber damit "spielt". Es ist die Lösung für dein Problem. Wie Kollege @2423392070 schon sagte: Service Principal Name (SPN ) erweitert?!Gruß,
Dani
Zum lösen des Problems, so habe ich es verstanden, hat er keine Zeit.
1
Moin,
Das ist doch kein unbekanntes Problem.
Schau mal hier:
https://www.tech-faq.net/windows-server-2012-alias-erstellen/
Ja, derzeit bestehende, dateiübergreifende Verlinkungen verrecken dann. Aber wenn man das mit allen sauber bespricht, muss das dann halt einmal bei den relevanten Dateien begradigt werden und hat aber die nächsten Jahre/ Jahrzehnte Ruhe
Das ist doch kein unbekanntes Problem.
Schau mal hier:
https://www.tech-faq.net/windows-server-2012-alias-erstellen/
DFS ist leider nicht gewünscht.
Und wer wünscht das nicht?Ja, derzeit bestehende, dateiübergreifende Verlinkungen verrecken dann. Aber wenn man das mit allen sauber bespricht, muss das dann halt einmal bei den relevanten Dateien begradigt werden und hat aber die nächsten Jahre/ Jahrzehnte Ruhe
