9
SMB Share mit NTFS Berechtigungen zugänglich von nicht Domänen Clients
Hallo Leute,
ich stehe vor einem Problem. Ich habe einen Mitgliedsserver einer Domäne. Dieser Server hat zwei Netzwerkkarten. Eine Netzwerkkarte ist der Zugang zur Domäne und die andere zeigt in ein anderes Netzwerk. In dem zweiten Netzwerk gibt es nur Clients ohne Domänenzugehörigkeit, die auf diesen Mitgliedsserver zugreifen sollen um Dateien auszutauschen. Die Shares sollen durch Gruppenberechtigungen auf NTFS Ebene gesichert werden. Mein Problem besteht nun darin, dass Clients aus der Domäne, die sich im Domänennetzwerk befinden ohne Probleme zugreifen können. Sofern es Domänenmitglieder sind kommt nicht mal eine Anmeldemaske. Sind es keine Domänenrechner so erhalte ich eine Anmeldemaske und autorisiere mich mit meinen Domänenanmeldedaten. Dieses Verhalten ist so gewünscht. Komme ich nun aber mit einem Client aus dem zweiten Netzwerk und rufe den Share auf, so erhalte ich eine Anmeldemaske. Wenn diese ebenfalls mit einem zugriffsberechtigten Domänenbenutzer bestätigt wird passiert nichts. Daraufhin sieht man im Eventlog des Servers das es einen nicht authorisierten Zugriff gab, bei dem das Kennwort falsch ist. Ein falsches Kennwort kann ausgeschlossen werden.
Die Frage die ich nun habe ist folgende. Warum kann ich mich aus dem zweiten Netzwerk nicht authentifizieren? In diesem Netzwerk gibt es kein DNS und keinen DC. Für mein Verständnis nimmt doch der Mitgliedsserver die Authentifizierungsbestätigung durch. Da dieser in der Domäne hängt, verstehe ich das Problem nicht.
Gruß
derhoeppi
ich stehe vor einem Problem. Ich habe einen Mitgliedsserver einer Domäne. Dieser Server hat zwei Netzwerkkarten. Eine Netzwerkkarte ist der Zugang zur Domäne und die andere zeigt in ein anderes Netzwerk. In dem zweiten Netzwerk gibt es nur Clients ohne Domänenzugehörigkeit, die auf diesen Mitgliedsserver zugreifen sollen um Dateien auszutauschen. Die Shares sollen durch Gruppenberechtigungen auf NTFS Ebene gesichert werden. Mein Problem besteht nun darin, dass Clients aus der Domäne, die sich im Domänennetzwerk befinden ohne Probleme zugreifen können. Sofern es Domänenmitglieder sind kommt nicht mal eine Anmeldemaske. Sind es keine Domänenrechner so erhalte ich eine Anmeldemaske und autorisiere mich mit meinen Domänenanmeldedaten. Dieses Verhalten ist so gewünscht. Komme ich nun aber mit einem Client aus dem zweiten Netzwerk und rufe den Share auf, so erhalte ich eine Anmeldemaske. Wenn diese ebenfalls mit einem zugriffsberechtigten Domänenbenutzer bestätigt wird passiert nichts. Daraufhin sieht man im Eventlog des Servers das es einen nicht authorisierten Zugriff gab, bei dem das Kennwort falsch ist. Ein falsches Kennwort kann ausgeschlossen werden.
Die Frage die ich nun habe ist folgende. Warum kann ich mich aus dem zweiten Netzwerk nicht authentifizieren? In diesem Netzwerk gibt es kein DNS und keinen DC. Für mein Verständnis nimmt doch der Mitgliedsserver die Authentifizierungsbestätigung durch. Da dieser in der Domäne hängt, verstehe ich das Problem nicht.
Gruß
derhoeppi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191593
Url: https://administrator.de/contentid/191593
Printed on: April 28, 2024 at 15:04 o'clock
9 Comments
Latest comment
Hallo derhoeppi,
warum sagst du uns nicht, um welches BS es sich beim Server und beim Client handelt?
Meine Kristallkugel ist der Meinung, dass der Zugriff von einem W7 PC ohne Domainzugriff mit den falschen Zugangsdaten erfolgt.
Vielleicht mal Domäne\User + korrektes Passwort eingeben.
warum sagst du uns nicht, um welches BS es sich beim Server und beim Client handelt?
Meine Kristallkugel ist der Meinung, dass der Zugriff von einem W7 PC ohne Domainzugriff mit den falschen Zugangsdaten erfolgt.
Vielleicht mal Domäne\User + korrektes Passwort eingeben.
Hallo Goscho,
es geht um einen Windows 2008 R2 SP1 Std. Server und die Clients sind ausschließlich XP. Die Authentifizierung Domäne\Benutzername oder Benutzername@Domäne habe ich alles schon versucht.
Gruß
derhoeppi
es geht um einen Windows 2008 R2 SP1 Std. Server und die Clients sind ausschließlich XP. Die Authentifizierung Domäne\Benutzername oder Benutzername@Domäne habe ich alles schon versucht.
Gruß
derhoeppi
Dann solltest du mal den Passwortspeicher dieses PCs überprüfen.
Wahrscheinlich ist noch eine Anmeldung an dieses Netzlaufwerk gespeichert.
Start -> Ausführen 'control userpasswords2' -> erweitert -> Kennwörter verwalten
Wahrscheinlich ist noch eine Anmeldung an dieses Netzlaufwerk gespeichert.
Start -> Ausführen 'control userpasswords2' -> erweitert -> Kennwörter verwalten
Hallo Gonscho,
der Passwortspeicher ist leer. Hast du noch eine Idee?
Gruß
derhoeppi
der Passwortspeicher ist leer. Hast du noch eine Idee?
Gruß
derhoeppi
MOin.
Passiert das Selbe, wenn Du ein Netzlaufwerk verbindest?
Passiert das Selbe, wenn Du zu einer IP anstelle des Namens verbindest?
Passiert das Selbe, wenn Du ein Netzlaufwerk verbindest?
Passiert das Selbe, wenn Du zu einer IP anstelle des Namens verbindest?
Hallo,
ja es geschieht auch beim verbinden als Netzlaufwerk. Den Share kann ich nur via IP erreichen, weil DNS in diesem zweiten Netzwerk nicht verfügbar ist.
Gruß
derhoeppi
ja es geschieht auch beim verbinden als Netzlaufwerk. Den Share kann ich nur via IP erreichen, weil DNS in diesem zweiten Netzwerk nicht verfügbar ist.
Gruß
derhoeppi
Hallo,
ich bin leider noch keinen Schritt weiter. Ich habe mir in einer Testumgebung das Szenario noch einmal nachgestellt. In der Testumgebung gibt es keine Probleme, jedoch gibt es keine umfangreichen GPO's in der der Umgebung.
In meiner Produktivumgebung habe ich deshalb heute morgen mal die GPO für den Server geblockt. Das Ergebnis ist unverändert. Mit einem Domänenaccount kann ich mich nicht authentifizieren. Die Authentifizierungmaske verschwindet nicht. Erst wenn ich dem Server das Netzwerk zur Domäne entziehe, erhalte ich eine Meldung das kein Loginserver verfügbar ist. Wenn ich mich mit einem lokalen Account auf dem Server authentifiziere habe ich keine Probleme beim Zugriff auf meinen Share.
Den KB 281648 von MS habe ich bereits getestet. Der Erfolg ist leider ausgeblieben. Hat noch wer einen Tipp von euch?
Gruß
derhoeppi
ich bin leider noch keinen Schritt weiter. Ich habe mir in einer Testumgebung das Szenario noch einmal nachgestellt. In der Testumgebung gibt es keine Probleme, jedoch gibt es keine umfangreichen GPO's in der der Umgebung.
In meiner Produktivumgebung habe ich deshalb heute morgen mal die GPO für den Server geblockt. Das Ergebnis ist unverändert. Mit einem Domänenaccount kann ich mich nicht authentifizieren. Die Authentifizierungmaske verschwindet nicht. Erst wenn ich dem Server das Netzwerk zur Domäne entziehe, erhalte ich eine Meldung das kein Loginserver verfügbar ist. Wenn ich mich mit einem lokalen Account auf dem Server authentifiziere habe ich keine Probleme beim Zugriff auf meinen Share.
Den KB 281648 von MS habe ich bereits getestet. Der Erfolg ist leider ausgeblieben. Hat noch wer einen Tipp von euch?
Gruß
derhoeppi
Bist Du sicher, dass in der Testumgebung das Netzwerk vergleichbar ist? Funktioniert das Routing in der echten so wie in der Testumgebung? Gateways eingetragen usw.?
Hallo,
ja die Testumgebung war vom Netzwerk her identisch. Ich habe heute Nachmittag mein Problem gefunden. In der Produktivumgebung wurde NTLMv2 zur Authentifizierung ausgewählt. NTMLv1 und LM wurden durch eine GPO geblockt. In meiner Testumgebung habe ich darauf nicht geachtet, so dass die Default-Werte bestanden. Nach dem ich auch den Client ensprechend angepasst habe, funktioniert auch darüber der Zugriff.
Ich kennzeichne daher den Beitrag als gelöst.
Gruß
derhoeppi
ja die Testumgebung war vom Netzwerk her identisch. Ich habe heute Nachmittag mein Problem gefunden. In der Produktivumgebung wurde NTLMv2 zur Authentifizierung ausgewählt. NTMLv1 und LM wurden durch eine GPO geblockt. In meiner Testumgebung habe ich darauf nicht geachtet, so dass die Default-Werte bestanden. Nach dem ich auch den Client ensprechend angepasst habe, funktioniert auch darüber der Zugriff.
Ich kennzeichne daher den Beitrag als gelöst.
Gruß
derhoeppi
