12
Sicherheit auf Dateifreigaben in Windows 2008 nicht eindeutig via VPN
Sehr geehrte Damen und Herren,
vielen Dank an alle Mitwirkenden für dieses ausgezeichnete Forum.
Wir bitten um Hilfe zu einem Problem unter folgendem Szenario:
Windows 2003 Domäne mit 1x W2k3-SP2 und 2x W2k8-SP2 x64 Domänencontrollern, 1x Storagesystem (NAS) ebenfalls unter W2k8-Sp2 x64 als Mitgliedsserver.
Ca. 120 Clients gemischt WinXP-SP3 und Vista-SP2 w32 und Vista-SP2 x64 auf hauptsächlich CAD-Anlagen und BüroPCs, ca. 30 Notebooks.
Die FSMO-Rollen werden bald vom alten W2k3 PDC auf einen der beiden W2k8-Server übertragen. Der Globale Katalog ist auch auf beiden W2k8-DCs vorhanden.
Der gesamte Datenbestand und die Roaming Userprofiles wurden bereits vom W2k3-Server auf das NAS (W2k8) umgezogen.
Die Domäne soll bald in den einheitlichen 2008-Modus geschaltet werden, der W2k3-Server wird entfernt.
Internetzugang via Lancom 7111 an TDSL-Business. In der DMZ ein FTP- und Exchange-2003-Server - beide (noch) unter W2k3-SP2.
Die Notebooks greifen von unterwegs via VPN (NCP-Client) auf Netzwerkfreigaben zu. Die Lancom 7111 ist als RADIUS-Client eingetragen. In den Notebooks existieren Einträge zu allen Servern in den host-Dateien.
An den DCs sind alle erforderlichen Rollen installiert, NAP ist für VPN konfiguriert.
Beispiel für Ordnerfreigabe:
auf Partition D:\ des NAS ist der Ordner D:\Allgemein als "ALLGEMEIN" freigegeben. Freigaberechte: jeder (ändern/voll), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe "Jeder" (ändern), administrator (voll), System (voll) gesetzt.
Im Ordner D:\Allgemein existieren Unterordner, z.B.: D:\Allgemein\Formular. Dieser Unterordner ist im AD als Freigabe "FORMULAR" freigegeben. Die Rechte lauten hier Freigaberechte: Gruppe TECHNIK (ändern), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe TECHNIK (ändern), administrator (voll), System (voll) gesetzt.
Expliziet sollen auf die Freigabe FORMULAR nur Mitglieder der Usergruppe TECHNIK zugreifen können.
Solange die Zugriffe auf die Freigaben innerhalb des Netzwerkes erfolgen (Notebook ist im LAN) treten keine Probleme auf.
Nun das Problem:
Ein Notebook baut von unterwegs via VPN eine Verbindung zum Firmennetz auf. Ein Zugriff auf Dateien und nicht freigegebene Ordner aus der Freigabe "ALLGEMEIN" ist problemlos möglich. Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt. Diese Sperre tritt nur beim Zugriff via VPN auf und erst seitdem die Datenbestände auf Windows 2008 umgezogen wurden. Am alten W2k3-Server funktionieren vergleichbare Freigaben noch problemlos.
Wird die Sicherheit im Unterordner "FORMULAR" um die Gruppe "Jeder" erweitert, dann funktionieren auch die Remotezugriffe wieder.
Die Gruppe " Jeder " verhält sich offensichtlich kritisch.
Wir kämpfen nun schon seit Tagen mit diesem eigentlich lapidarem Problem und finden keine Lösung.
Hat irgendjemand eine Idee ...?
viele Grüße und Dank
erb-wa
vielen Dank an alle Mitwirkenden für dieses ausgezeichnete Forum.
Wir bitten um Hilfe zu einem Problem unter folgendem Szenario:
Windows 2003 Domäne mit 1x W2k3-SP2 und 2x W2k8-SP2 x64 Domänencontrollern, 1x Storagesystem (NAS) ebenfalls unter W2k8-Sp2 x64 als Mitgliedsserver.
Ca. 120 Clients gemischt WinXP-SP3 und Vista-SP2 w32 und Vista-SP2 x64 auf hauptsächlich CAD-Anlagen und BüroPCs, ca. 30 Notebooks.
Die FSMO-Rollen werden bald vom alten W2k3 PDC auf einen der beiden W2k8-Server übertragen. Der Globale Katalog ist auch auf beiden W2k8-DCs vorhanden.
Der gesamte Datenbestand und die Roaming Userprofiles wurden bereits vom W2k3-Server auf das NAS (W2k8) umgezogen.
Die Domäne soll bald in den einheitlichen 2008-Modus geschaltet werden, der W2k3-Server wird entfernt.
Internetzugang via Lancom 7111 an TDSL-Business. In der DMZ ein FTP- und Exchange-2003-Server - beide (noch) unter W2k3-SP2.
Die Notebooks greifen von unterwegs via VPN (NCP-Client) auf Netzwerkfreigaben zu. Die Lancom 7111 ist als RADIUS-Client eingetragen. In den Notebooks existieren Einträge zu allen Servern in den host-Dateien.
An den DCs sind alle erforderlichen Rollen installiert, NAP ist für VPN konfiguriert.
Beispiel für Ordnerfreigabe:
auf Partition D:\ des NAS ist der Ordner D:\Allgemein als "ALLGEMEIN" freigegeben. Freigaberechte: jeder (ändern/voll), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe "Jeder" (ändern), administrator (voll), System (voll) gesetzt.
Im Ordner D:\Allgemein existieren Unterordner, z.B.: D:\Allgemein\Formular. Dieser Unterordner ist im AD als Freigabe "FORMULAR" freigegeben. Die Rechte lauten hier Freigaberechte: Gruppe TECHNIK (ändern), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe TECHNIK (ändern), administrator (voll), System (voll) gesetzt.
Expliziet sollen auf die Freigabe FORMULAR nur Mitglieder der Usergruppe TECHNIK zugreifen können.
Solange die Zugriffe auf die Freigaben innerhalb des Netzwerkes erfolgen (Notebook ist im LAN) treten keine Probleme auf.
Nun das Problem:
Ein Notebook baut von unterwegs via VPN eine Verbindung zum Firmennetz auf. Ein Zugriff auf Dateien und nicht freigegebene Ordner aus der Freigabe "ALLGEMEIN" ist problemlos möglich. Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt. Diese Sperre tritt nur beim Zugriff via VPN auf und erst seitdem die Datenbestände auf Windows 2008 umgezogen wurden. Am alten W2k3-Server funktionieren vergleichbare Freigaben noch problemlos.
Wird die Sicherheit im Unterordner "FORMULAR" um die Gruppe "Jeder" erweitert, dann funktionieren auch die Remotezugriffe wieder.
Die Gruppe " Jeder " verhält sich offensichtlich kritisch.
Wir kämpfen nun schon seit Tagen mit diesem eigentlich lapidarem Problem und finden keine Lösung.
Hat irgendjemand eine Idee ...?
viele Grüße und Dank
erb-wa
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126594
Url: https://administrator.de/contentid/126594
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
muss der Ordner "FORMULAR" zwingend ein Unterordner von "ALLGEMEIN" sein? Ich denke mal Du hast hier Probleme mit den vererbten Rechten. Hast Du mal probiert die Rechte zu kopieren und dann mit den "effektiven Berechtigungen" zu überprüfen?
sysadmbonn
muss der Ordner "FORMULAR" zwingend ein Unterordner von "ALLGEMEIN" sein? Ich denke mal Du hast hier Probleme mit den vererbten Rechten. Hast Du mal probiert die Rechte zu kopieren und dann mit den "effektiven Berechtigungen" zu überprüfen?
sysadmbonn
Guten Morgen,
danke für Deine schnelle Antwort.
Die Ordnerstruktur ist mit Laufwerksbuchstaben gemappt. Diese
muss zwingend beibehalten werden, da tausende Verlinkungen von Officedokumenten und AutoCAD-DWGs mit xRefs existieren.
Die Rechte haben wir natürlich schon kopiert, die effektiven Berechtigungen sind OK.
Es funktioniert nicht einmal, wenn man z.B. der Freigabe FORMULAR in der Sicherheit die Gruppe SCHEMA-ADMINS hinzufügt und die Gruppe TECHNIK in die SCHEMA-ADMINS aufnimmt. Es steht und fällt mit der Gruppe JEDER !
erbwa
danke für Deine schnelle Antwort.
Die Ordnerstruktur ist mit Laufwerksbuchstaben gemappt. Diese
muss zwingend beibehalten werden, da tausende Verlinkungen von Officedokumenten und AutoCAD-DWGs mit xRefs existieren.
Die Rechte haben wir natürlich schon kopiert, die effektiven Berechtigungen sind OK.
Es funktioniert nicht einmal, wenn man z.B. der Freigabe FORMULAR in der Sicherheit die Gruppe SCHEMA-ADMINS hinzufügt und die Gruppe TECHNIK in die SCHEMA-ADMINS aufnimmt. Es steht und fällt mit der Gruppe JEDER !
erbwa
Hallo,
Mit der Gruppe Jeder werden hier nur die Probleme umgangen, die bei anderen Gruppen vorliegen.
Zitat:
[Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt.]
Hierzu meine Frage: nur bei Zugriff durch die Gruppe Technik oder auch von der Gruppe Administratoren?
Wenn beides problematisch ist würde ich zur Analyse sagen, dass eigentlich bei den über VPN zugreifenden keine der Gruppenmitgliedschaften erkannt wird.
Grüße
Speedhub
Mit der Gruppe Jeder werden hier nur die Probleme umgangen, die bei anderen Gruppen vorliegen.
Zitat:
[Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt.]
Hierzu meine Frage: nur bei Zugriff durch die Gruppe Technik oder auch von der Gruppe Administratoren?
Wenn beides problematisch ist würde ich zur Analyse sagen, dass eigentlich bei den über VPN zugreifenden keine der Gruppenmitgliedschaften erkannt wird.
Grüße
Speedhub
Noch mal ich ...
@ speedhub: Meinst Du der Radius zerschießt die Gruppenzugehörigkeit?
Nur so ein Gedanke: Ich weiß jetzt nicht genau den Fachbegriff dafür, aber es gibt doch diese Zoneneinstellungen um den Zugriff auf Dateien aus dem Internet einzuschränken. Vielleicht erkennt das OS die gemappten LW nicht als vertrauens würdiges Intranet?
@ speedhub: Meinst Du der Radius zerschießt die Gruppenzugehörigkeit?
Nur so ein Gedanke: Ich weiß jetzt nicht genau den Fachbegriff dafür, aber es gibt doch diese Zoneneinstellungen um den Zugriff auf Dateien aus dem Internet einzuschränken. Vielleicht erkennt das OS die gemappten LW nicht als vertrauens würdiges Intranet?
@sysadmbonn
naja, zunächst kommen alle als Remote Access User und wenn weiter nichts funktioniert, dann sind Sie vom AD nicht den Gruppen "Administratoren" oder "Technik" zuzuordnen.
Speedhub
naja, zunächst kommen alle als Remote Access User und wenn weiter nichts funktioniert, dann sind Sie vom AD nicht den Gruppen "Administratoren" oder "Technik" zuzuordnen.
Speedhub
Hallo,
die Gruppe ADMINISTRATOREN wären ja die lokalen Administratoren auf dem NAS.
Wie auch immer, die Administratoren - lokale oder domänen - haben das Problem nicht.
Unser Ansatz geht deshalb auch in Richtung RADIUS. Ich denke die Zoneneinstellung sollte unkritisch sein, da der Weg ja von aussen nach innen via VPN geht. Ausserdem funktioniert das Ganze ja bei Freigaben auf den alten Windows 2003.
Kann es sein das JEDER unter W2k8 anders behandelt wird ?
die Gruppe ADMINISTRATOREN wären ja die lokalen Administratoren auf dem NAS.
Wie auch immer, die Administratoren - lokale oder domänen - haben das Problem nicht.
Unser Ansatz geht deshalb auch in Richtung RADIUS. Ich denke die Zoneneinstellung sollte unkritisch sein, da der Weg ja von aussen nach innen via VPN geht. Ausserdem funktioniert das Ganze ja bei Freigaben auf den alten Windows 2003.
Kann es sein das JEDER unter W2k8 anders behandelt wird ?
Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.
Trotzdem das Problem.
Trotzdem das Problem.
@erb-wa
Kann es sein dass man mit JEDER (voll/ändern) schon immer Zugriffsprobleme ausschalten konnte?
Speedhub
Kann es sein dass man mit JEDER (voll/ändern) schon immer Zugriffsprobleme ausschalten konnte?
Speedhub
Noch ein Hinweis:
wir haben gerade ein vergleichbares Szenario auf einem der W2k8 DCs eingerichtet. Und dort funktioniert auch der Remotezugriff (!!!)
Am NAS funktioniert es dagegen nicht. Am NAS sind nur die Rollen Active Directory Lightwight Directory Services und die Dateidienste installiert.
Fehlt hier etwa eine Rolle oder ein Feature das auch der Remotezugriff klappt ?
wir haben gerade ein vergleichbares Szenario auf einem der W2k8 DCs eingerichtet. Und dort funktioniert auch der Remotezugriff (!!!)
Am NAS funktioniert es dagegen nicht. Am NAS sind nur die Rollen Active Directory Lightwight Directory Services und die Dateidienste installiert.
Fehlt hier etwa eine Rolle oder ein Feature das auch der Remotezugriff klappt ?
Nein, das war immer unkritisch. JEDER war nie zwingend erforderlich um Zugriff auf Freigaben zu erhalten. Ausserdem funktioniert die Rechtevergabe ja solange die Notebooks am LAN angeschlossen sind und nicht von remote kommen.
Hallo erb-wa,
[Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.
Trotzdem das Problem.]
Schade, dass die Remotedesktop User nicht Mitglied in der Gruppe TECHNIK sind.
Speedhub
[Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.
Trotzdem das Problem.]
Schade, dass die Remotedesktop User nicht Mitglied in der Gruppe TECHNIK sind.
Speedhub
Verstehe ich jetzt nicht ganz was Du meinst.
Jedenfalls sind alle User der Gruppe TECHNIK auch automatisch Mitglieder der Gruppe Remotedesktop-User, wenn TECHNIK Mitglied der Remotedesktop-User ist. Sollte zumindest so sein. Siehe ff.
Aber ist jetzt auch egal, da wir die Ursache nach 3,5 Tagen gefunden haben:
Die Remotedesktop-User wurden ja beim Hinzufügen der W2k8-DCs im Zuge der AD-Replikation auf die neuen Server übertragen.
Wie haben den Mitgliedsstatus zig-mal überprüft, aber nie bemerkt, dass die Replikation nicht OK war (keine Fehlermeldung, keine negativen Ereigniseinträge, nichts).
Heute abend haben wir einfach alle Mitglieder der Remotedesktop-User entfernt und wieder hinzugefügt. Danach die Replikation erzwungen. Seitdem funktioniert auch der Remotezugriff.
Aus meiner Sicht ein extrem dummer Replikationsfehler, der sich in einem für uns verwirrenden Verhalten äußerte. Offensichtlich muß man bei MS das Gleiche öfters machen damit's auch wirklich funktioniert.
Ich schließe nun den Fall und danke Dir recht herzlich für Deine Mithilfe.
Jedenfalls sind alle User der Gruppe TECHNIK auch automatisch Mitglieder der Gruppe Remotedesktop-User, wenn TECHNIK Mitglied der Remotedesktop-User ist. Sollte zumindest so sein. Siehe ff.
Aber ist jetzt auch egal, da wir die Ursache nach 3,5 Tagen gefunden haben:
Die Remotedesktop-User wurden ja beim Hinzufügen der W2k8-DCs im Zuge der AD-Replikation auf die neuen Server übertragen.
Wie haben den Mitgliedsstatus zig-mal überprüft, aber nie bemerkt, dass die Replikation nicht OK war (keine Fehlermeldung, keine negativen Ereigniseinträge, nichts).
Heute abend haben wir einfach alle Mitglieder der Remotedesktop-User entfernt und wieder hinzugefügt. Danach die Replikation erzwungen. Seitdem funktioniert auch der Remotezugriff.
Aus meiner Sicht ein extrem dummer Replikationsfehler, der sich in einem für uns verwirrenden Verhalten äußerte. Offensichtlich muß man bei MS das Gleiche öfters machen damit's auch wirklich funktioniert.
Ich schließe nun den Fall und danke Dir recht herzlich für Deine Mithilfe.
