5
Voranmeldung Windows 7 an Windows Server 2003 DFS
Hallo zusammen,
es existiert eine Windows 2008-Domäne A mit einigen Windows XP-Clients. In einer weiteren Domäne B existiert ein DFS-Stamm, auf den User regelmäßig zugreifen sollen. Die User haben sowohl in Domäne A und in Domäne B je einen Account, der den gleichen Anmeldenamen und das gleiche Kennwort hat. Die Domänen haben eine NT4-kompatible Vertrauensstellung, wobei Domäne A der Domäne B vertraut. Die Vertrauensstellung ist (leider) einseitig.
Bei den Windows XP-Anmeldeskripten ist ein Batch hinterlegt, dass den Nutzer der Domäne A beim Arbeiten auf einem Computer der Domäne A mit seinem Anmeldenamen der Domäne B in der Domäne B am DFS-Stamm voranmeldet. Da die Kennworte in beiden Domänen identisch sind, braucht der Nutzer für den Zugriff in Domäne B kein Kennwort angeben.
Die Voranmeldung sieht so aus:
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
Nach dieser "Voranmeldung" ist es mit dem Explorer möglich, einfach das Share \\domainB.de\dfsbasis\dfsshare oder Unterverzeichnisse aufzurufen und zuzugreifen.
Jetzt steht eine Migration nach Windows 7 an und dieser hier beschriebene Mechanismus funktioniert mit Windows 7 nicht. Nach dem Versuch des Öffnens des Shares dauert es einen kurzen Moment bis ein Fenster angezeigt wird, das mitteilt, dass der Benutzername oder das Kennwort falsch sind.
Durch Hinweise im Internet habe ich bereits mit secpol.msc die Anmeldetypen so umgestellt, dass NTLM und LM wieder möglich sind - trotzdem funktioniert es nicht. Ein Sniff mit Whireshark zeigt, dass sich Windows 7 versucht an dem DFS anzumelden und dabei quasi den falschen Domänennamen mitgibt. Statt DomainB\Logonname wird DomainA\Logonname an den Server übertragen, was dann natürlich schief geht, da ja die Vertrauensstellung in die falsche Richtung zeigt.
Hülfe zusammen, das Problem ist wirklich vertrakt und alle Hinweise sind willkommen. Nicht nur Hinweise, wie das Problem zu lösen ist, auch Workarounds, die dem Nutzer das manuelle Anmelden an den DFS-Laufwerken ermöglichen, sind gern willkommen. Ausgeschlossen ist, dass die Vertrauensstellung beidseitig wird oder eine Datenmigration stattfindet - aber sonst sind viele Wege offen.
Danke schön.
es existiert eine Windows 2008-Domäne A mit einigen Windows XP-Clients. In einer weiteren Domäne B existiert ein DFS-Stamm, auf den User regelmäßig zugreifen sollen. Die User haben sowohl in Domäne A und in Domäne B je einen Account, der den gleichen Anmeldenamen und das gleiche Kennwort hat. Die Domänen haben eine NT4-kompatible Vertrauensstellung, wobei Domäne A der Domäne B vertraut. Die Vertrauensstellung ist (leider) einseitig.
Bei den Windows XP-Anmeldeskripten ist ein Batch hinterlegt, dass den Nutzer der Domäne A beim Arbeiten auf einem Computer der Domäne A mit seinem Anmeldenamen der Domäne B in der Domäne B am DFS-Stamm voranmeldet. Da die Kennworte in beiden Domänen identisch sind, braucht der Nutzer für den Zugriff in Domäne B kein Kennwort angeben.
Die Voranmeldung sieht so aus:
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
Nach dieser "Voranmeldung" ist es mit dem Explorer möglich, einfach das Share \\domainB.de\dfsbasis\dfsshare oder Unterverzeichnisse aufzurufen und zuzugreifen.
Jetzt steht eine Migration nach Windows 7 an und dieser hier beschriebene Mechanismus funktioniert mit Windows 7 nicht. Nach dem Versuch des Öffnens des Shares dauert es einen kurzen Moment bis ein Fenster angezeigt wird, das mitteilt, dass der Benutzername oder das Kennwort falsch sind.
Durch Hinweise im Internet habe ich bereits mit secpol.msc die Anmeldetypen so umgestellt, dass NTLM und LM wieder möglich sind - trotzdem funktioniert es nicht. Ein Sniff mit Whireshark zeigt, dass sich Windows 7 versucht an dem DFS anzumelden und dabei quasi den falschen Domänennamen mitgibt. Statt DomainB\Logonname wird DomainA\Logonname an den Server übertragen, was dann natürlich schief geht, da ja die Vertrauensstellung in die falsche Richtung zeigt.
Hülfe zusammen, das Problem ist wirklich vertrakt und alle Hinweise sind willkommen. Nicht nur Hinweise, wie das Problem zu lösen ist, auch Workarounds, die dem Nutzer das manuelle Anmelden an den DFS-Laufwerken ermöglichen, sind gern willkommen. Ausgeschlossen ist, dass die Vertrauensstellung beidseitig wird oder eine Datenmigration stattfindet - aber sonst sind viele Wege offen.
Danke schön.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149420
Url: https://administrator.de/contentid/149420
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
die Lösung schließt Du im Post aus - also gibt es keine Lösung.
Punkt.
Gruß
24
/edit: Mit Win7 / W2k8 hat M$ endlich das Securitykonzept näher an die Realität gebracht - und das ist gut so...
die Lösung schließt Du im Post aus - also gibt es keine Lösung.
Punkt.
Gruß
24
/edit: Mit Win7 / W2k8 hat M$ endlich das Securitykonzept näher an die Realität gebracht - und das ist gut so...
Moin.
Erklären kann ich es mir nicht, nachstellen leieder erstmal auch nicht.
Was passiert denn auf der Kommandozeile, wenn Du
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
abfeuerst bzw. das selbe unter Angabe eines Laufwerksbuchstabens?
Erklären kann ich es mir nicht, nachstellen leieder erstmal auch nicht.
Was passiert denn auf der Kommandozeile, wenn Du
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
abfeuerst bzw. das selbe unter Angabe eines Laufwerksbuchstabens?
'n Abend 
,
bei XP wie gesagt ist alles ok, starte ich anschließend den Explorer, kann ich das Verzeichnis erreichen und öffnen.
Unter Windows 7 meldet net use zurück, dass der Befehl erfolgreich ausgeführt werden konnte und bei der Anzeige von net use sieht auch erst einmal alles so aus als wäre es ok.
Starte ich dann den Explorer und versuche dann einen Ordner zu erreichen, geht das schief, egal ob mit oder ohne Laufwerksbuchstaben.
Inzwischen habe ich mal das UAC abgeschaltet und in der Registrierdatenbank einen Eintrag gesetzt, dass administrativ verbundene Laufwerke an den User durchgereicht werden dürfen (sowas gibt es wirklich) und trotzdem haut das einfach nicht hin.
Beim Sniffen mit Whireshark wird der Anmeldename korrekt übermittelt, aber die Domäne ist DomainA und nicht DomainB.
Der Zielserver ist ein Windows Server 2003 mit SP2 und ich habe die gängigen Hinweise im Internet schon mal ausprobiert. Da gibt es bei der Registry noch den LSA-Schlüssel und dort sowas wie lmcomaptibilitymode - auch der steht schon auf 0. Die Kombination von abgeschalteter UAC und lmcompatibilitymode und administrative Netzverbindungen an User durchreichen zieht auch nicht.
Es hat den Anschein als wenn Windows die Voranmeldung zunächst einmal als "Fake" ansieht, die bestätigt und dann, wenn der Zugriff tatsächlich erfolgt, erst die Session aufmacht und das mit den Credentials, die dem User direkt zugeordnet sind und nicht mit den Credentials, die bei der Voranmeldung gelaufen sind....
,bei XP wie gesagt ist alles ok, starte ich anschließend den Explorer, kann ich das Verzeichnis erreichen und öffnen.
Unter Windows 7 meldet net use zurück, dass der Befehl erfolgreich ausgeführt werden konnte und bei der Anzeige von net use sieht auch erst einmal alles so aus als wäre es ok.
Starte ich dann den Explorer und versuche dann einen Ordner zu erreichen, geht das schief, egal ob mit oder ohne Laufwerksbuchstaben.
Inzwischen habe ich mal das UAC abgeschaltet und in der Registrierdatenbank einen Eintrag gesetzt, dass administrativ verbundene Laufwerke an den User durchgereicht werden dürfen (sowas gibt es wirklich) und trotzdem haut das einfach nicht hin.
Beim Sniffen mit Whireshark wird der Anmeldename korrekt übermittelt, aber die Domäne ist DomainA und nicht DomainB.
Der Zielserver ist ein Windows Server 2003 mit SP2 und ich habe die gängigen Hinweise im Internet schon mal ausprobiert. Da gibt es bei der Registry noch den LSA-Schlüssel und dort sowas wie lmcomaptibilitymode - auch der steht schon auf 0. Die Kombination von abgeschalteter UAC und lmcompatibilitymode und administrative Netzverbindungen an User durchreichen zieht auch nicht.
Es hat den Anschein als wenn Windows die Voranmeldung zunächst einmal als "Fake" ansieht, die bestätigt und dann, wenn der Zugriff tatsächlich erfolgt, erst die Session aufmacht und das mit den Credentials, die dem User direkt zugeordnet sind und nicht mit den Credentials, die bei der Voranmeldung gelaufen sind....
Fake? Das ist ein Bug und fertig. Bei Laufwerken innerhalb von Domäne A passiert das ja auch nicht. Melde es Microsoft.
Nein, kein Bug. Die Windows-API ist modifiziert worden und seit dem ist die Angabe eines Kennworts zwingend erforderlich. Das kann dann bei Vista und Win 7 über die Anmeldeinformationsverwaltung gesteuert werden.
