marabunta
Goto Top

Windows Server SMB Zugriff verweigert

Hallo,

bei einem Server, welcher gerade in eine neue Domäne migriert wurde haben wir ein unerwartetes Verhalten.
Zugriff auf den SMB-Share per:
\\servername\Share -funktioniert
**\\servername.altedomain\Share -Passwortabfrage aber nichts funktioniert**
\\servername.neuedomain\Share -funktioniert
\\neuersservername\Share -funktioniert
\\neuersservername.neuedomain\Share -funktioniert

Woran könnte das liegen?
Ich habe das hier gefunden und die 1. Methode probiert.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...
In der Registry wurde eine Zeile mit "servername.altedomain" eingetragen, für den Fall, dass es falsch ist gerne informieren.

Danke

Content-ID: 4600158817

Url: https://administrator.de/contentid/4600158817

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

kreuzberger
kreuzberger 03.12.2023 um 15:41:10 Uhr
Goto Top
Tach @Marabunta (

soweit ich Active Directory richtig verstanden habe sind alte Rechte aller Domains nicht mehr gültig, wenn der Rechnern einer neuen Domain beigetreten wurde. Somit ist das Verhalten wie oben beschrieben eigentlich korrekt.

Kreuzberger
Xerebus
Xerebus 03.12.2023 um 15:52:01 Uhr
Goto Top
Hallo
Was macht denn ein ping oder nslookup auf die domains?
Marabunta
Marabunta 03.12.2023 um 15:58:27 Uhr
Goto Top
Es besteht ein Trust. Ping und nslookup funktionieren. CNAME Eintrag mit Alias ist vorhanden.
Dani
Dani 03.12.2023 um 20:40:53 Uhr
Goto Top
Moin,
Es besteht ein Trust. Ping und nslookup funktionieren. CNAME Eintrag mit Alias ist vorhanden.
der Hinweis ist mit dem Trust ist dahingehend interessant, falls der Client welcher auf das SMB Share auf dem migrierten Server zugreift, nicht in der selben Domäne wie der Server ist. Ist dem so?

Es könnte durch aus am fehlende Service Principal Name (SPN) für den alten Namen auf dem neuen Computerobjekt im AD liegen.


Gruß,
Dani
Hubert.N
Hubert.N 04.12.2023 um 09:20:20 Uhr
Goto Top
Moin

Zitat von @Marabunta:
\\servername.altedomain\Share -Passwortabfrage aber nichts funktioniert

Ich verstehe Dein praktisches Problem noch nicht so ganz. Du packst den Server in eine andere Domäne und hast ein Problem, dass der Server nicht über den alten FQDN zugreifbar ist?

Ohne es jetzt näher untersucht zu haben, finde ich das Verhalten ganz normal.

Gruß
Marabunta
Marabunta 04.12.2023 um 09:28:18 Uhr
Goto Top
Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.
Lochkartenstanzer
Lochkartenstanzer 04.12.2023 aktualisiert um 11:49:09 Uhr
Goto Top
Zitat von @Marabunta:

Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.

Warum nimmt man dann dieser Software "ihren Server"weg?

Nimm einen kleinen Raspi oder eine Linuxkiste (geht auch als VM) als SMB-Proxy. Der mountet den "neuen" Server und gibt den unter altem Namen frei.

Mache ich des öfteren bei angeraten, die nur smb v1 oder V2 können und ich den Server nicht dafür aufmachen will.

lks

PS: Ich würde mal schauen, welche Authentifizierungsversuche über die Leitung gehen (wireshark und "geschwätzigere" Windows-protokolle sollten helfen.). Testweise vielleicht auch mal andere credentials ausprobieren und gezielt Domain\Username bzw. user@domain mit alter und neuer Domain versuchen.
HansDampf06
HansDampf06 04.12.2023 um 19:12:31 Uhr
Goto Top
Ich werfe einmal meine 5 Pfennige in den Ring:

1. Prüfen, ob tatsächlich alle DNS-Anfragen ordnungsgemäß mit der IP-Adresse des neuen Servers aufgelöst werden. Denn Deine Problembeschreibung spricht dafür, dass Deine DNS-Einträge nicht richtig (auflösbar) sind. Auf den DNS-Servern der neuen Domäne muss entweder eine bedingte Weiterleitung für die alte Domäne auf deren DNS-Server und umgekehrt vorhanden sein - dann klappt auch ein verweisender Alias in der neuen/alten Domäne - ODER auf den DNS-Servern der jeweiligen Domäne muss eine Forward-Lookup-Zone für die andere Domäne eingerichtet werden, worüber die entsprechende Auflösungen konfiguriert werden können.

2. Prüfen, ob für den Trust in der neuen Domäne eine entsprechende Gruppe für User / Clients eingerichtet ist, die auf die Ressourcen in der neuen Domäne zugreifen wollen. Das ist meiner Erinnerung nach seitens Microsoft empfohlen. Hierfür am besten bei Microsoft die Hinweise / Anleitungen für eine Migration von einer (alten) Domäne zu einer (neuen) Domäne zu Gemüte führen.

Viele Grüße
HansDampf06
b-nice
b-nice 05.12.2023 um 08:57:38 Uhr
Goto Top
Falls es nicht viele PCs sind, die auf den alten Namen zugreifen müssen, könnte man auch die Hostdatei anpassen. Nicht die schönste Art, sollte aber funktionieren.
VG