13
Laufwerkmapping über DNS CNAME in der GPO erzeugt auf dem Server Event ID 4098
Über einzelne GPO‘s erzeuge ich verschiedene Freigaben, wobei das gemappte Laufwerk bei der Anmeldung immer erst gelöscht und dann neu gemappt wird.
Zwei Freigaben erfolgen unter Nutzung eines DNS CNAME Eintrags, z.B.
\\fileserver\<Freigabe>
und fileserver ist ein CNAME (Alias) auf server.contoso.com
Die Freigabe ist auf server.contoso.com eingerichtet.
Dies funktioniert auf allen Clients problemlos, nur wenn sich ein User am Server.contoso.com anmeldet, werden diese Freigaben nicht als Laufwerk gemappt und ich erhalte einen Fehler 4098 und die Meldung das eingegebe Netzwerkkennwort sei falsch.
Ich kann auf dem Server auch \\fileserver\<Freigabe> nicht aufrufen (es erscheint eine Kennworteingabe und die wird trotz richtiger credentials immer abgelehnt.
Woran liegt dieses Verhalten auf dem Server der die Freigabe bereitstellt?
Zwei Freigaben erfolgen unter Nutzung eines DNS CNAME Eintrags, z.B.
\\fileserver\<Freigabe>
und fileserver ist ein CNAME (Alias) auf server.contoso.com
Die Freigabe ist auf server.contoso.com eingerichtet.
Dies funktioniert auf allen Clients problemlos, nur wenn sich ein User am Server.contoso.com anmeldet, werden diese Freigaben nicht als Laufwerk gemappt und ich erhalte einen Fehler 4098 und die Meldung das eingegebe Netzwerkkennwort sei falsch.
Ich kann auf dem Server auch \\fileserver\<Freigabe> nicht aufrufen (es erscheint eine Kennworteingabe und die wird trotz richtiger credentials immer abgelehnt.
Woran liegt dieses Verhalten auf dem Server der die Freigabe bereitstellt?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 558012
Url: https://administrator.de/contentid/558012
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
hast du für den DNS Cname auch die entsprechenden Service Principal Names (SPN) für den Server erzeugt?
Gruß,
Dani
hast du für den DNS Cname auch die entsprechenden Service Principal Names (SPN) für den Server erzeugt?
setspn -a host/server.contoso.com fileserver01.contoso.comGruß,
Dani
Nein, davon wusste ich bisher nichts. Danke für den Hinweis, ich lese mich mal ein.
Zwei Freigaben erfolgen unter Nutzung eines DNS CNAME Eintrags, z.B.
\\fileserver\<Freigabe>
und fileserver ist ein CNAME (Alias) auf server.contoso.com
\\fileserver\<Freigabe>
und fileserver ist ein CNAME (Alias) auf server.contoso.com
Hallo,
meiner Neugier halber, warum nutzt du nicht DFS dafür?
Grüße
meiner Neugier halber, warum nutzt du nicht DFS dafür?
Meines Wissens funktioniert ein DFS-Link nach wie vor nicht vom Server auf sich selbst. Nutzer am Server selbst (RDP) können nicht per DFS-Link auf eine Freigabe des selben Servers rauf - ein alter Bug, der auch in Win10/Server 2016 noch Bestand hatte.
Dafür gibt es keinen richtigen Grund.
Ich habe schlichtweg die alte Infrastruktur von einem SBS2011 auf mehrere neue Server übertragen und für diese Freigaben auf dem Fileserver (er stellt nur zwei Freigaben bereit, den größten Teil tragen zwei externe NAS) den gleichen Weg gewählt.
Es stört auch nicht wirklich weil ja kein User auf dem Server selbst arbeitet, aber es interessiert mich, warum die Freigabe auf dem Server selbst nicht über den DNS CNAME erreichbar ist.
Ich habe schlichtweg die alte Infrastruktur von einem SBS2011 auf mehrere neue Server übertragen und für diese Freigaben auf dem Fileserver (er stellt nur zwei Freigaben bereit, den größten Teil tragen zwei externe NAS) den gleichen Weg gewählt.
Es stört auch nicht wirklich weil ja kein User auf dem Server selbst arbeitet, aber es interessiert mich, warum die Freigabe auf dem Server selbst nicht über den DNS CNAME erreichbar ist.
Hmm...
setspn -a host/server.contoso.com fileserver.contoso.com
Die Domäne "DC=contoso,DC=com" wird überprüft.
FindDomainForAccount: Fehler beim Aufrufen von DsGetDcNameWithAccountW mit dem Rückgabewert 0x00000525.
Konto fileserver.contoso.com wurde nicht gefunden.
setspn -a host/server.contoso.com fileserver.contoso.com
Die Domäne "DC=contoso,DC=com" wird überprüft.
FindDomainForAccount: Fehler beim Aufrufen von DsGetDcNameWithAccountW mit dem Rückgabewert 0x00000525.
Konto fileserver.contoso.com wurde nicht gefunden.
Moin,
Gruß,
Dani
setspn -a host/server.contoso.com fileserver.contoso.com
du musst natürlich den Befehl an deine Gegegebenheiten anpassen. Du hast leider nicht deine realen FQDN für den Server als auch DNS Alias angegeben.Gruß,
Dani
Ich habe schon meine reale Umgebung benutzt aber hier dann diese allgemeine Schreibform.
Das Problem hat sich dennoch gelöst:
1. Den SPN (HOST/fileserver.contoso.com) für den Server habe ich über die Attribute in der erweiterten Ansicht direkt im AD gesetzt. Dies brachte aber keine Änderung.
2. Ich habe dann das Laufwerkmapping in der GPO überprüft und den Pfad von
\\fileserver\<Freigabe> in
\\fileserver.contoso.com\<Freigabe>
geändert. Das Laufwerk stand bei der nächsten Anmeldung sofort auch auf dem Server selbst zur Verfügung.
Das Problem hat sich dennoch gelöst:
1. Den SPN (HOST/fileserver.contoso.com) für den Server habe ich über die Attribute in der erweiterten Ansicht direkt im AD gesetzt. Dies brachte aber keine Änderung.
2. Ich habe dann das Laufwerkmapping in der GPO überprüft und den Pfad von
\\fileserver\<Freigabe> in
\\fileserver.contoso.com\<Freigabe>
geändert. Das Laufwerk stand bei der nächsten Anmeldung sofort auch auf dem Server selbst zur Verfügung.
Servus Marc,
dann liegt aber ein DNS Fehler vor oder? oder sind deine clients, fileserver und dc nicht der selben Domäne angehörig?
VIele Grüße
dann liegt aber ein DNS Fehler vor oder? oder sind deine clients, fileserver und dc nicht der selben Domäne angehörig?
VIele Grüße
Doch, sind sie und ein Ping fileserver löst auch auf das richtige Ziel auf (server.contoso.com).
Ich denke das es mit dem DNS CNAME zu tun hat und das es das Problem mit einem A-Record nicht gäbe, aber das ist nur ein Bauchgefühl.
Einen richtigen Reim kann ich mir darauf auch nicht machen zumal es ja nur das Mapping auf dem Server selbst betrifft. Auf allen anderen Servern/Clients wird das Mapping ja richtig durchgeführt.
Ich denke das es mit dem DNS CNAME zu tun hat und das es das Problem mit einem A-Record nicht gäbe, aber das ist nur ein Bauchgefühl.
Einen richtigen Reim kann ich mir darauf auch nicht machen zumal es ja nur das Mapping auf dem Server selbst betrifft. Auf allen anderen Servern/Clients wird das Mapping ja richtig durchgeführt.
Ich habe jetzt zusätzlich auf dem Server auch noch einen NetBIOS Alias nach dieser Vorlage eingerichtet:
https://www.faq-o-matic.net/2004/10/24/servermigration-mit-netbios-alias ...
https://www.faq-o-matic.net/2004/10/24/servermigration-mit-netbios-alias ...
Moin,
Gruß,
Dani
Das Problem hat sich dennoch gelöst:
Du hast nicht verstanden, für was SPN notwendig ist. dann liegt aber ein DNS Fehler vor oder? oder sind deine clients, fileserver und dc nicht der selben Domäne angehörig?
Es fehlt natürlich noch der SPN für den NetBiosName des DNS Alias.Gruß,
Dani
Ich habe Dir ja die Fehlermeldung geschrieben:
setspn -a host/server.xxx.local fileserver.xxx.local
führt zu der o.g. Fehlermeldung
Desgleichen bei
setspn -a host/server.xxx.local fileserver
Ich habe dann über die erweiterten Attribute im AD für das Computerkonto Server die SPN hinzugefügt und zwar
HOST/fileserver.xxx.local
Dies hatte jedoch keine Auswirkungen auf den Server selbst.
Der Zugriff über \\fileserver.xxx.local\<Freigabe> funktioniert allerdings.
Was habe ich nicht verstanden?
Edit:
Ok, die Reihenfolge war falsch.
setspn -a HOST/fileserver Server
hat natürlich funktioniert weil ja Server das Computerkonto ist.
setspn -a host/server.xxx.local fileserver.xxx.local
führt zu der o.g. Fehlermeldung
Desgleichen bei
setspn -a host/server.xxx.local fileserver
Ich habe dann über die erweiterten Attribute im AD für das Computerkonto Server die SPN hinzugefügt und zwar
HOST/fileserver.xxx.local
Dies hatte jedoch keine Auswirkungen auf den Server selbst.
Der Zugriff über \\fileserver.xxx.local\<Freigabe> funktioniert allerdings.
Was habe ich nicht verstanden?
Edit:
Ok, die Reihenfolge war falsch.
setspn -a HOST/fileserver Server
hat natürlich funktioniert weil ja Server das Computerkonto ist.
