10
Terminal Server 2016 erkennt Berechtigungen nicht
Hallo Administratoren,
folgendes Problem stellt sich dar:
Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt kommt es vor, dass Benutzer Mustermann keinen Zugriff mehr auf eine Ordnerfreigabe hat, die über eine GPO zugewiesen wird. gpresult /z zeigt auch an, dass er noch in der richtigen Gruppe ist und den Zugriff hat. Meldet sich der Benutzer an dem anderen TS an, funktioniert die Freigabe einwandfrei. Es scheint also ein lokales Problem bei diesem einen Server zu sein. Ich weiß nun leider nicht, wo ich genau nach dem Fehler weiter suchen soll. Im Event Log steht in den üblichen Einträge unter Anwendung/System und Sicherheit nichts drin. Zugriff wird über die Freigabe und über NTFS Berechtigungen geregelt. Die Freigabe selbst liegt wiederum auf einen dritten Windows Server (2008).
TL/DR: Berechtigungen passen, Zugriff auf Freigabe trotzdem auf einem der beiden Server verweigert.
Wo kann ich weiter suchen, um den Fehler zu finden? Werden Fehlzugriffe über NTFS irgendwo protokolliert?
Gruß,
Thomas
folgendes Problem stellt sich dar:
Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt kommt es vor, dass Benutzer Mustermann keinen Zugriff mehr auf eine Ordnerfreigabe hat, die über eine GPO zugewiesen wird. gpresult /z zeigt auch an, dass er noch in der richtigen Gruppe ist und den Zugriff hat. Meldet sich der Benutzer an dem anderen TS an, funktioniert die Freigabe einwandfrei. Es scheint also ein lokales Problem bei diesem einen Server zu sein. Ich weiß nun leider nicht, wo ich genau nach dem Fehler weiter suchen soll. Im Event Log steht in den üblichen Einträge unter Anwendung/System und Sicherheit nichts drin. Zugriff wird über die Freigabe und über NTFS Berechtigungen geregelt. Die Freigabe selbst liegt wiederum auf einen dritten Windows Server (2008).
TL/DR: Berechtigungen passen, Zugriff auf Freigabe trotzdem auf einem der beiden Server verweigert.
Wo kann ich weiter suchen, um den Fehler zu finden? Werden Fehlzugriffe über NTFS irgendwo protokolliert?
Gruß,
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 361941
Url: https://administrator.de/contentid/361941
Printed on: April 27, 2024 at 02:04 o'clock
10 Comments
Latest comment
Hi,
nur um das klar zu trennen:
Ist das Problem, dass beim Zugriff auf die Freigabe (UNC-Pfad) ein "Zugriff verweigert" kommt oder nur, dass beim Logon kein Netzlaufwerk verbunden wird?
Der TS selbst entscheidet das überehaupt nicht, sondern der Server, auf welchem die Freigabe bereitgetsellt ist.
Kann der Benutzer den Pfad der GPO im SYSVOL lesen? Auf allen DC der betreffenden Domäne?
E.
nur um das klar zu trennen:
Ist das Problem, dass beim Zugriff auf die Freigabe (UNC-Pfad) ein "Zugriff verweigert" kommt oder nur, dass beim Logon kein Netzlaufwerk verbunden wird?
Der TS selbst entscheidet das überehaupt nicht, sondern der Server, auf welchem die Freigabe bereitgetsellt ist.
gpresult /z zeigt auch an, dass er noch in der richtigen Gruppe ist
Egal. Hast Du den Benutzer nach Änderung der Gruppenmitgliedschaft neu angemeldet?und den Zugriff hat
das zeigt GPRESULT garantiert nicht an. Das interpretierst Du da nur hinein.Kann der Benutzer den Pfad der GPO im SYSVOL lesen? Auf allen DC der betreffenden Domäne?
E.
Hi E.,
es kommt die Meldung, dass der Zugriff verweigert wird. Das Laufwerk wird verbunden, dies habe ich eben mit einem Testuser überprüft (auch hier, Zugriff verweigert).
An den Gruppen wurde nichts verändert, der User hatte vor dem Problem bereits Zugriff gehabt.
Der Zugriff auf einen der DC klappt nicht, aber auch nicht von dem Terminal Server aus, wo der Zugriff auf die Freigabe funktioniert.
Gruß,
Thomas
€:
Der Logonserver ist bei dem problematischen Server der DC, wo der Zugriff auf Sysvol nicht geht. Sysvol erlaubt den lesenden Zugriff für authentifizierte User. Dieser eine DC wird dann die Problemquelle sein.
es kommt die Meldung, dass der Zugriff verweigert wird. Das Laufwerk wird verbunden, dies habe ich eben mit einem Testuser überprüft (auch hier, Zugriff verweigert).
An den Gruppen wurde nichts verändert, der User hatte vor dem Problem bereits Zugriff gehabt.
Der Zugriff auf einen der DC klappt nicht, aber auch nicht von dem Terminal Server aus, wo der Zugriff auf die Freigabe funktioniert.
Gruß,
Thomas
€:
Der Logonserver ist bei dem problematischen Server der DC, wo der Zugriff auf Sysvol nicht geht. Sysvol erlaubt den lesenden Zugriff für authentifizierte User. Dieser eine DC wird dann die Problemquelle sein.
Der Zugriff auf einen der DC klappt nicht
Diese Frage hatte ich zwar im Voraus für den Fall gestellt, dass es nur um ein nicht verbundenes Netzlaufwerk ginge, aber es ist auch ein Hinweis für den anderen Fall.Was heißt "der Zugriff .... klappt nicht"? Kommst Du gar nicht auf die SYSVOL-Freigabe dieses DC oder ist "nur" nicht der Ordner für diese GPO nicht vorhanden? (Am Rande: Die GPO ans sich hat jetzt nichts mehr mit dem geschilderten Problem zu tun.)
Auch nicht als Domänen-Admin?
Wenn einer der DC Probleme mit seinen Daten hat, der Replikatuion, dann ist das natürlich eine potentielle Fehlerquelle. Auch wenn ich jetzt davon ausgehen würde, dass der Fileserver solange mit einem DC "spricht", bis dieser mal nicht mehr reagiert. Wenn also bei Zugriff vom TS1 mit User1 auf Fileserver1 eine neue Sitzung erstellt wird, dann fragt Fileserver1 einen DC ab und fordert ein Ticket für den User1 an. Wenn unmittelbar anschießend bei Zugriff vom TS2 mit User1 auf Fileserver1 eine weitere Sitzung erstellt wird, dann würde ich davon ausgehen, dass der Fileserver1 den selben DC fragt wie beim ersten Zugriff von TS1. Das Ergebnis wäre dann das gleiche. (geht oder geht nicht)
Es wäre aber auch denkbar, dass im "Round Robin" o.ä. die DC abwechselnd abgefragt werden, auch wenn ich für unwahrscheinlich halte.
Ich würde testen, indem ich diesen einen DC kurz vom Netz nehme und auf dem Fileserver die Sitzungen trenne. Dann neu zugreifen über UNC. Von beiden TS.
Ich muss mich korrigieren. Der Zugriff direkt auf das Sysvol Verzeichnis funktioniert. Auch kann ich auf einige, weniger restriktive Verzeichnisse zugreifen. Der Zugriff nur über den Servernamen (\\DC01) geht nicht. Dort würde er ja dann auch das Sysvol Verzeichnis aufführen. Ich kann auch auf eine andere Freigabe des Servers zugreifen.
Beispiel:
\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
Freigabe1 ist in diesem Fall die problematische Freigabe aus meinem Eingangsposting.
Vom Verhalten stellt es sich so dar, als wäre der User nicht in der richtigen Gruppe. Irgendwo macht der DC01 einen Fehler bei der Anmeldung des Benutzers.
Beispiel:
\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
Freigabe1 ist in diesem Fall die problematische Freigabe aus meinem Eingangsposting.
Vom Verhalten stellt es sich so dar, als wäre der User nicht in der richtigen Gruppe. Irgendwo macht der DC01 einen Fehler bei der Anmeldung des Benutzers.
Oh, prima. Noch andere Überraschungen?
Noch irgendwelche Informationen? Schneit es gerade in Bayern? Hat der Papst Blähungen?
Einer der DC ist also auch der Fileserver? Hast Du überhaupt mehrere DC?
Aber wenn das tatsächlich so ist, wie Du hier schreibst ...
Und ...
Noch irgendwelche Informationen? Schneit es gerade in Bayern? Hat der Papst Blähungen?
Einer der DC ist also auch der Fileserver? Hast Du überhaupt mehrere DC?
Aber wenn das tatsächlich so ist, wie Du hier schreibst ...
Beispiel:
\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
Dann liegt der Fehler mit höchster Sicherheit bei Dir (handwerklicher Fehler).\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
Und ...
\\DC01\Daten\Freigabe1
Das sieht nach einem DFS-Stamm aus. Ist dem so?
Ja, der Kunde hat 4 DCs. Die Konfiguration der Systeme habe ich nicht gemacht, ich darf sie nur reparieren.
User x an TS01 angemeldet darf auf Freigabe y auf DC01 zugreifen. TS01 hat als Logonserver den DC02 stehen
User x an TS02 angemeldet darf auf Freigabe y auf DC01 nicht zugreifen. TS02 hat als Logonserver den DC01 stehen
Ich werde schauen, dass ich den Logonserver auf dem TS02 geändert bekomme und die Kiste heute nachmittag neustarten. Was genau mit DFS gemeint ist, weiß ich nicht. Die Daten liegen einfach in Ordnern auf dem Windows Server und sind dort als Freigabe verfügbar gemacht. Die Freigabe wird dann per Richtlinie als Netzlaufwerk verbunden.
User x an TS01 angemeldet darf auf Freigabe y auf DC01 zugreifen. TS01 hat als Logonserver den DC02 stehen
User x an TS02 angemeldet darf auf Freigabe y auf DC01 nicht zugreifen. TS02 hat als Logonserver den DC01 stehen
Ich werde schauen, dass ich den Logonserver auf dem TS02 geändert bekomme und die Kiste heute nachmittag neustarten. Was genau mit DFS gemeint ist, weiß ich nicht. Die Daten liegen einfach in Ordnern auf dem Windows Server und sind dort als Freigabe verfügbar gemacht. Die Freigabe wird dann per Richtlinie als Netzlaufwerk verbunden.
Wenn kein DFS, dann wäre doch diese Angabe falsch oder irreführend
Oder?
\\DC01\Daten\Freigabe1
Wenn kein DFS, dann doch eher\\DC01\Freigabe1
oder\\DC01\Freigabe1\Daten
Oder?
Ich habe jetzt unter der Freigabeverwaltung nachgesehen. Der Ordner Daten ist dort als DFS_Namespace gekennzeichnet und der lokale Pfad zeigt auf c:\DFSRoots\Daten.
Schaue ich in dieses Verzeichnis, befinden sich dort Verknüpfungen zu einigen Ordnern, aber nicht allen
Die eigentlich Freigaben liegen aber unter e:\daten\
Die GPO habe ich mir nun auch noch angesehen und dort steht \\domänenname.de\Daten\Freigabe1 bzw. Freigabe2
Laufen diese Freigaben dann auch über DFS? Bleibt zwar immer noch das Problem, dass die eine Freigabe geht und die andere nicht, aber dann könnte ich die GPO auch umändern und direkt die Freigabe eintragen.
Schaue ich in dieses Verzeichnis, befinden sich dort Verknüpfungen zu einigen Ordnern, aber nicht allen
Die eigentlich Freigaben liegen aber unter e:\daten\
Die GPO habe ich mir nun auch noch angesehen und dort steht \\domänenname.de\Daten\Freigabe1 bzw. Freigabe2
Laufen diese Freigaben dann auch über DFS? Bleibt zwar immer noch das Problem, dass die eine Freigabe geht und die andere nicht, aber dann könnte ich die GPO auch umändern und direkt die Freigabe eintragen.
Zuerst: Belese Dich bzgl. DFS, bevor Du da etwas änderst!
Wenn Du Dich belesen hast, dann verstehst Du folgende Fragen:
Sind da mehr als ein Ziel für den DFS-Ordner "Freigabe1" eingetragen?
Nur falls ja:
Sind diese alle erreichbar? Sind diese untereinander replitziert? Stimmen auf allen die Freigabe- und NTFS-Berechtigungen überein?
\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
"Geht nicht" nur vo einem der beiden TS?\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
"geht" von beiden TS?Wenn Du Dich belesen hast, dann verstehst Du folgende Fragen:
Sind da mehr als ein Ziel für den DFS-Ordner "Freigabe1" eingetragen?
Nur falls ja:
Sind diese alle erreichbar? Sind diese untereinander replitziert? Stimmen auf allen die Freigabe- und NTFS-Berechtigungen überein?
Ich habe soeben die DFS Verwaltung auf dem DC01 geöffnet. Das Sysvol wird dort zwischen den 4 DCs repliziert, die Daten nur zwischen zweien Servern. Die Freigabe habe ich dort als erstes geprüft und für den DC01 stimmen diese, für den DC02 nicht. Nun habe ich diese dort angepasst, und der Zugriff funktioniert... Eine Replikation für die Freigabe ist dort nicht eingetragen, dafür aber unter Replikation und dann direkt für "Daten". Er wird also auf dem einen TS den Zugriff auf den DFS von DC2 gemacht haben.
Ich werde die DFS Pfade aus den GPOs entfernen und durch die Freigaben ersetzen.
Bei den geht/geht nicht Fragen ist es so, wie du geschrieben hast.
€: Ich habe das Thema als gelöst gekennzeichnet. Wenn du noch eine Idee hast, wieso der DC02 anstelle des DC01 genommen wird, schaue ich da gerne nach. Vielen Dank für deine Unterstützung.
Ich werde die DFS Pfade aus den GPOs entfernen und durch die Freigaben ersetzen.
Bei den geht/geht nicht Fragen ist es so, wie du geschrieben hast.
€: Ich habe das Thema als gelöst gekennzeichnet. Wenn du noch eine Idee hast, wieso der DC02 anstelle des DC01 genommen wird, schaue ich da gerne nach. Vielen Dank für deine Unterstützung.