dduchardt
Goto Top

Server 2008 R2 DC antwortet nur innerhalb der Domäne auf DNS-Anfragen

Hallo,
Habe hier ein Problem mit Server 2008 R2 und nicht-Domänenmitgliedern.
Das betrifft im speziellen den DNS-Server aber auch File-Shares.

Also wir migrieren hier gerade von einer 2003-Domäne auf 2008R2.
Dazu wurde ein zusätzlicher virtueller Domaincontroller geschaffen auf dem Server 2008 R2 läuft, natürlich mit DNS.
Die Domäne wurde mit adprep fehlerfrei erweitert und der 2008er DC läuft an sich auch problemlos.
Alle Master-Rollen sind auf den 2008er umgezogen aber die alten 2003er DC's laufen noch weiter.

Folgendes Problem tritt nun auf:
Wenn ich bei einem nicht-Domänencomputer den 2003er DC als DNS-Server angebe klappt ein nslookup problemlos. Gebe ich den 2008er an, kommt ein Time-Out.
Hebe ich den PC mit einem 2003er als DNS eingestellt in die Domäne und stelle dann um auf den 2008er DNS um, klappt ein nslookup wunderbar.
Generell läuft das DNS domänenintern fehlerfrei.

Irgenwie scheint der 2008 R2er also den Zugriff von "außen" zu blocken. Allerdings nutzt er dieselbe Policy wie die 2003er DC's für die lokalen Sicherheitseinstellungen und die Windows-Firewall ist für alle Netze deaktiviert.
Im selben Netz ist er mit den nicht-Domänenclients auch.
Ping geht, Zugriff auf z.B. netlogon-share nach manueller Authentifizierung mit einem Domänen-User auch.

Diese manuelle Authentifizierung ist auch das zweite Problem. Bei den 2003ern kann man mit einem PC, der nicht Domänenmitglied ist und auf dem man lokal mit Benutzername und Passwort eines Domänenbenutzers (also beides gleich wie bei einem Dom-User) angemeldet ist, sofort auf Freigaben zugreifen. Beim 2008er muss man sich nun erst erneut authentifizieren.

Hat jemand eine Idee, woran das liegen kann? Wurde da irgendwo eine neue Sicherheitseinstellung eingeführt?
Vorrang hat da die DNS-Sache, weil die 2003er eigentlich bald verschwinden sollen.

Content-ID: 173187

Url: https://administrator.de/contentid/173187

Ausgedruckt am: 25.11.2024 um 21:11 Uhr

60730
60730 15.09.2011 um 16:56:02 Uhr
Goto Top
moin,

lass mich raten...

Gebe ich den 2008er an, kommt ein Time-Out.
  • und im Eventlog des Servers taucht ein Fehler 5774 auf?
DerWoWusste
DerWoWusste 15.09.2011 um 20:41:21 Uhr
Goto Top
Tag.
Ich fürchte, das ist kein normales Verhalten.
Hier (non-domain-Client: Win7 x64 SP1, Admin hat das selbe Kennwort wie ein gleichnamiges Domänenkonto auf 2008 R2 SP1) geht sowohl nslookup als auch der Freigabezugriff ohne Weiteres. Einstellungen sind bei beiden definitiv default.
83466
83466 15.09.2011 um 23:14:50 Uhr
Goto Top
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit: Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" -> "Sicherheitsoptionen".

Mfg

Phyrexian
dduchardt
dduchardt 19.09.2011 um 08:01:03 Uhr
Goto Top
Zitat von @60730:

* und im Eventlog des Servers taucht ein Fehler 5774 auf?

Nein kein Fehler 5774.
Die einzigen Fehler im Eventlog betreffen nicht vorhandene Druckertreiber für Terminalservices was normal ist.
dduchardt
dduchardt 19.09.2011 um 08:05:03 Uhr
Goto Top
Zitat von @83466:
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip
gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit:
Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" ->
"Sicherheitsoptionen".


Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Das mit den Shares betrifft leider auch XP und 2k aber werde das mal untersuchen. Möglich, dass der Server 2008 die Authentifizierung aber auch ablehnt oder so. Werde mir besagtew Richtlinien mal Client- und Serverseitig ansehen.
dduchardt
dduchardt 19.09.2011 um 08:29:02 Uhr
Goto Top
Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als
Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Suffix hat nichts geändert. Ich bin mir auch ziemlich sichher, dass es ein Problem des Servers ist und nicht des Clients. Wie gesagt bei der 2003ern gehts ja.
dduchardt
dduchardt 19.09.2011 um 08:31:29 Uhr
Goto Top
Habe jetzt ergänzend mal einen zweiten Server 2008 R2 Sp1 aufgesetzt und der zeigt die gleichen Symptome wenn ich versuche mit dem 2008er AD-Controller zu verbinden. Also Authentifizierung bei Shares trotz gleicher Userdaten und kein DNS vom 2008er sondern nur vom 2003er solange er nicht in der Domäne ist.
83466
83466 19.09.2011 um 08:53:53 Uhr
Goto Top
Ich werde das später wenn ich etwas Zeit finde, mir nocheinmal genauer ansehen. Ich muss mir allerdings erstmal wieder einen Win 2003 als DC aufsetzen, das kann noch etwas dauern
bis ich die CDs wieder gefunden hab.

Solltest du in der Zwischenzeit etwas herausfinden, poste bitte kurz deine Lösung.
dduchardt
dduchardt 19.09.2011 um 09:49:08 Uhr
Goto Top
Also die Sache mit den Freigaben kann man anders regeln, was aber nicht wirklich toll ist.
Zum einen kann man das Gast-Konto aktivieren, dann gehts. Oder man reduziert diese neue Sicherheitsstufe mit der anonymen Authentifizierung, dass diese nicht in der Gruppe "jeder" mit inbegriffen ist.
Leider aktiviert man damit letztlich einen anonymen Zugriff auf den Server oder nur auf gewisse Shares wenn man den anonymen Zugriff nur auf Share-Ebene aktiviert.
Das ist letztlich keine Lösung.
Wir haben uns allerdings ein Workaround überlegt indem wir bei den betroffenen Shares einen eigenen User im AD definieren und diesen dann beim mappen des Shares übers Logon-Script mitgeben.

Bezüglich des DNS-Servers hilft das jedoch alles nichts.
Ich habe mal noch versucht in den Eigenschaften des DNS-Servers bei der Sicherheit den anonymen, Gast- und jeder-Zugriff zu aktivieren aber auch das brachte nichts. Ich würde ja sagen, dass der DNS nen Schlag weg hat aber dann verstehe ich nicht warum er innerhalb der Domäne einwandfrei funktioniert.
Wenn ich es nicht besser wüsste, bin ich fast geneigt zu glauben, dass die Windows-Firewall im Hintergrund immer noch läuft obwohl deaktiviert. Werde deshalb als nächstes Mal versuchen was passiert, wenn ich die wieder aktiviere aber DNS freigebe.
dduchardt
dduchardt 19.09.2011 um 10:10:12 Uhr
Goto Top
Moin,

Danke an alle für die Hilfestellungen. Problem mit dem DNS ist gelöst.
Hatte bei der IP in der DNS-Config auf der abhört einen Zahlendreher drin. Server hat nämlich mehrere Netzwerke und soll nur auf bestimmten als DNS dienen.
Domänenmitglieder bekommen nach dem Beitritt automatisch eine andere IP und fallen dann ins das Netzwerk was ich richtig angegeben hatte.
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Da das mit den Shares über Umwege auch zu lösen ist, habe ich den Beitrag als gelöst markiert.
99045
99045 19.09.2011 um 10:18:29 Uhr
Goto Top
Zitat von @dduchardt:
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Moin,

das braucht dir nicht peinlich zu sein, sowas kommst eben schon mal vor. Schön, dass du uns vom Ergebnis informiert hast.

Erfahrung ist eine nützliche Sache. Leider macht man sie immer erst kurz nachdem man sie brauchte...

Gruß