9
Windows Server SMB Zugriff verweigert
Hallo,
bei einem Server, welcher gerade in eine neue Domäne migriert wurde haben wir ein unerwartetes Verhalten.
Zugriff auf den SMB-Share per:
Woran könnte das liegen?
Ich habe das hier gefunden und die 1. Methode probiert.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...
In der Registry wurde eine Zeile mit "servername.altedomain" eingetragen, für den Fall, dass es falsch ist gerne informieren.
Danke
bei einem Server, welcher gerade in eine neue Domäne migriert wurde haben wir ein unerwartetes Verhalten.
Zugriff auf den SMB-Share per:
\\servername\Share -funktioniert
**\\servername.altedomain\Share -Passwortabfrage aber nichts funktioniert**
\\servername.neuedomain\Share -funktioniert
\\neuersservername\Share -funktioniert
\\neuersservername.neuedomain\Share -funktioniertWoran könnte das liegen?
Ich habe das hier gefunden und die 1. Methode probiert.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...
In der Registry wurde eine Zeile mit "servername.altedomain" eingetragen, für den Fall, dass es falsch ist gerne informieren.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4600158817
Url: https://administrator.de/contentid/4600158817
Printed on: April 28, 2024 at 08:04 o'clock
9 Comments
Latest comment
Tach @Marabunta (
soweit ich Active Directory richtig verstanden habe sind alte Rechte aller Domains nicht mehr gültig, wenn der Rechnern einer neuen Domain beigetreten wurde. Somit ist das Verhalten wie oben beschrieben eigentlich korrekt.
Kreuzberger
soweit ich Active Directory richtig verstanden habe sind alte Rechte aller Domains nicht mehr gültig, wenn der Rechnern einer neuen Domain beigetreten wurde. Somit ist das Verhalten wie oben beschrieben eigentlich korrekt.
Kreuzberger
Hallo
Was macht denn ein ping oder nslookup auf die domains?
Was macht denn ein ping oder nslookup auf die domains?
Es besteht ein Trust. Ping und nslookup funktionieren. CNAME Eintrag mit Alias ist vorhanden.
Moin,
Es könnte durch aus am fehlende Service Principal Name (SPN) für den alten Namen auf dem neuen Computerobjekt im AD liegen.
Gruß,
Dani
Es besteht ein Trust. Ping und nslookup funktionieren. CNAME Eintrag mit Alias ist vorhanden.
der Hinweis ist mit dem Trust ist dahingehend interessant, falls der Client welcher auf das SMB Share auf dem migrierten Server zugreift, nicht in der selben Domäne wie der Server ist. Ist dem so?Es könnte durch aus am fehlende Service Principal Name (SPN) für den alten Namen auf dem neuen Computerobjekt im AD liegen.
Gruß,
Dani
Moin
Ich verstehe Dein praktisches Problem noch nicht so ganz. Du packst den Server in eine andere Domäne und hast ein Problem, dass der Server nicht über den alten FQDN zugreifbar ist?
Ohne es jetzt näher untersucht zu haben, finde ich das Verhalten ganz normal.
Gruß
Zitat von @Marabunta:
\\servername.altedomain\Share -Passwortabfrage aber nichts funktioniertIch verstehe Dein praktisches Problem noch nicht so ganz. Du packst den Server in eine andere Domäne und hast ein Problem, dass der Server nicht über den alten FQDN zugreifbar ist?
Ohne es jetzt näher untersucht zu haben, finde ich das Verhalten ganz normal.
Gruß
Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.
Zitat von @Marabunta:
Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.
Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.
Warum nimmt man dann dieser Software "ihren Server"weg?
Nimm einen kleinen Raspi oder eine Linuxkiste (geht auch als VM) als SMB-Proxy. Der mountet den "neuen" Server und gibt den unter altem Namen frei.
Mache ich des öfteren bei angeraten, die nur smb v1 oder V2 können und ich den Server nicht dafür aufmachen will.
lks
PS: Ich würde mal schauen, welche Authentifizierungsversuche über die Leitung gehen (wireshark und "geschwätzigere" Windows-protokolle sollten helfen.). Testweise vielleicht auch mal andere credentials ausprobieren und gezielt Domain\Username bzw. user@domain mit alter und neuer Domain versuchen.
Ich werfe einmal meine 5 Pfennige in den Ring:
1. Prüfen, ob tatsächlich alle DNS-Anfragen ordnungsgemäß mit der IP-Adresse des neuen Servers aufgelöst werden. Denn Deine Problembeschreibung spricht dafür, dass Deine DNS-Einträge nicht richtig (auflösbar) sind. Auf den DNS-Servern der neuen Domäne muss entweder eine bedingte Weiterleitung für die alte Domäne auf deren DNS-Server und umgekehrt vorhanden sein - dann klappt auch ein verweisender Alias in der neuen/alten Domäne - ODER auf den DNS-Servern der jeweiligen Domäne muss eine Forward-Lookup-Zone für die andere Domäne eingerichtet werden, worüber die entsprechende Auflösungen konfiguriert werden können.
2. Prüfen, ob für den Trust in der neuen Domäne eine entsprechende Gruppe für User / Clients eingerichtet ist, die auf die Ressourcen in der neuen Domäne zugreifen wollen. Das ist meiner Erinnerung nach seitens Microsoft empfohlen. Hierfür am besten bei Microsoft die Hinweise / Anleitungen für eine Migration von einer (alten) Domäne zu einer (neuen) Domäne zu Gemüte führen.
Viele Grüße
HansDampf06
1. Prüfen, ob tatsächlich alle DNS-Anfragen ordnungsgemäß mit der IP-Adresse des neuen Servers aufgelöst werden. Denn Deine Problembeschreibung spricht dafür, dass Deine DNS-Einträge nicht richtig (auflösbar) sind. Auf den DNS-Servern der neuen Domäne muss entweder eine bedingte Weiterleitung für die alte Domäne auf deren DNS-Server und umgekehrt vorhanden sein - dann klappt auch ein verweisender Alias in der neuen/alten Domäne - ODER auf den DNS-Servern der jeweiligen Domäne muss eine Forward-Lookup-Zone für die andere Domäne eingerichtet werden, worüber die entsprechende Auflösungen konfiguriert werden können.
2. Prüfen, ob für den Trust in der neuen Domäne eine entsprechende Gruppe für User / Clients eingerichtet ist, die auf die Ressourcen in der neuen Domäne zugreifen wollen. Das ist meiner Erinnerung nach seitens Microsoft empfohlen. Hierfür am besten bei Microsoft die Hinweise / Anleitungen für eine Migration von einer (alten) Domäne zu einer (neuen) Domäne zu Gemüte führen.
Viele Grüße
HansDampf06
Falls es nicht viele PCs sind, die auf den alten Namen zugreifen müssen, könnte man auch die Hostdatei anpassen. Nicht die schönste Art, sollte aber funktionieren.
VG
VG
