Server 2008 R2 DC antwortet nur innerhalb der Domäne auf DNS-Anfragen
Hallo,
Habe hier ein Problem mit Server 2008 R2 und nicht-Domänenmitgliedern.
Das betrifft im speziellen den DNS-Server aber auch File-Shares.
Also wir migrieren hier gerade von einer 2003-Domäne auf 2008R2.
Dazu wurde ein zusätzlicher virtueller Domaincontroller geschaffen auf dem Server 2008 R2 läuft, natürlich mit DNS.
Die Domäne wurde mit adprep fehlerfrei erweitert und der 2008er DC läuft an sich auch problemlos.
Alle Master-Rollen sind auf den 2008er umgezogen aber die alten 2003er DC's laufen noch weiter.
Folgendes Problem tritt nun auf:
Wenn ich bei einem nicht-Domänencomputer den 2003er DC als DNS-Server angebe klappt ein nslookup problemlos. Gebe ich den 2008er an, kommt ein Time-Out.
Hebe ich den PC mit einem 2003er als DNS eingestellt in die Domäne und stelle dann um auf den 2008er DNS um, klappt ein nslookup wunderbar.
Generell läuft das DNS domänenintern fehlerfrei.
Irgenwie scheint der 2008 R2er also den Zugriff von "außen" zu blocken. Allerdings nutzt er dieselbe Policy wie die 2003er DC's für die lokalen Sicherheitseinstellungen und die Windows-Firewall ist für alle Netze deaktiviert.
Im selben Netz ist er mit den nicht-Domänenclients auch.
Ping geht, Zugriff auf z.B. netlogon-share nach manueller Authentifizierung mit einem Domänen-User auch.
Diese manuelle Authentifizierung ist auch das zweite Problem. Bei den 2003ern kann man mit einem PC, der nicht Domänenmitglied ist und auf dem man lokal mit Benutzername und Passwort eines Domänenbenutzers (also beides gleich wie bei einem Dom-User) angemeldet ist, sofort auf Freigaben zugreifen. Beim 2008er muss man sich nun erst erneut authentifizieren.
Hat jemand eine Idee, woran das liegen kann? Wurde da irgendwo eine neue Sicherheitseinstellung eingeführt?
Vorrang hat da die DNS-Sache, weil die 2003er eigentlich bald verschwinden sollen.
Habe hier ein Problem mit Server 2008 R2 und nicht-Domänenmitgliedern.
Das betrifft im speziellen den DNS-Server aber auch File-Shares.
Also wir migrieren hier gerade von einer 2003-Domäne auf 2008R2.
Dazu wurde ein zusätzlicher virtueller Domaincontroller geschaffen auf dem Server 2008 R2 läuft, natürlich mit DNS.
Die Domäne wurde mit adprep fehlerfrei erweitert und der 2008er DC läuft an sich auch problemlos.
Alle Master-Rollen sind auf den 2008er umgezogen aber die alten 2003er DC's laufen noch weiter.
Folgendes Problem tritt nun auf:
Wenn ich bei einem nicht-Domänencomputer den 2003er DC als DNS-Server angebe klappt ein nslookup problemlos. Gebe ich den 2008er an, kommt ein Time-Out.
Hebe ich den PC mit einem 2003er als DNS eingestellt in die Domäne und stelle dann um auf den 2008er DNS um, klappt ein nslookup wunderbar.
Generell läuft das DNS domänenintern fehlerfrei.
Irgenwie scheint der 2008 R2er also den Zugriff von "außen" zu blocken. Allerdings nutzt er dieselbe Policy wie die 2003er DC's für die lokalen Sicherheitseinstellungen und die Windows-Firewall ist für alle Netze deaktiviert.
Im selben Netz ist er mit den nicht-Domänenclients auch.
Ping geht, Zugriff auf z.B. netlogon-share nach manueller Authentifizierung mit einem Domänen-User auch.
Diese manuelle Authentifizierung ist auch das zweite Problem. Bei den 2003ern kann man mit einem PC, der nicht Domänenmitglied ist und auf dem man lokal mit Benutzername und Passwort eines Domänenbenutzers (also beides gleich wie bei einem Dom-User) angemeldet ist, sofort auf Freigaben zugreifen. Beim 2008er muss man sich nun erst erneut authentifizieren.
Hat jemand eine Idee, woran das liegen kann? Wurde da irgendwo eine neue Sicherheitseinstellung eingeführt?
Vorrang hat da die DNS-Sache, weil die 2003er eigentlich bald verschwinden sollen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173187
Url: https://administrator.de/contentid/173187
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
moin,
lass mich raten...
lass mich raten...
Gebe ich den 2008er an, kommt ein Time-Out.
- und im Eventlog des Servers taucht ein Fehler 5774 auf?
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.
Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit: Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" -> "Sicherheitsoptionen".
Mfg
Phyrexian
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.
Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit: Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" -> "Sicherheitsoptionen".
Mfg
Phyrexian
Ich werde das später wenn ich etwas Zeit finde, mir nocheinmal genauer ansehen. Ich muss mir allerdings erstmal wieder einen Win 2003 als DC aufsetzen, das kann noch etwas dauern
bis ich die CDs wieder gefunden hab.
Solltest du in der Zwischenzeit etwas herausfinden, poste bitte kurz deine Lösung.
bis ich die CDs wieder gefunden hab.
Solltest du in der Zwischenzeit etwas herausfinden, poste bitte kurz deine Lösung.
Zitat von @dduchardt:
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.
Moin,
das braucht dir nicht peinlich zu sein, sowas kommst eben schon mal vor. Schön, dass du uns vom Ergebnis informiert hast.
Erfahrung ist eine nützliche Sache. Leider macht man sie immer erst kurz nachdem man sie brauchte...
Gruß