marabunta
Goto Top

Windows Server SMB Zugriff verweigert

Hallo,

bei einem Server, welcher gerade in eine neue Domäne migriert wurde haben wir ein unerwartetes Verhalten.
Zugriff auf den SMB-Share per:
\\servername\Share -funktioniert
**\\servername.altedomain\Share -Passwortabfrage aber nichts funktioniert**
\\servername.neuedomain\Share -funktioniert
\\neuersservername\Share -funktioniert
\\neuersservername.neuedomain\Share -funktioniert

Woran könnte das liegen?
Ich habe das hier gefunden und die 1. Methode probiert.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...
In der Registry wurde eine Zeile mit "servername.altedomain" eingetragen, für den Fall, dass es falsch ist gerne informieren.

Danke

Content-Key: 4600158817

Url: https://administrator.de/contentid/4600158817

Printed on: February 29, 2024 at 20:02 o'clock

Member: kreuzberger
kreuzberger Dec 03, 2023 at 14:41:10 (UTC)
Goto Top
Tach @Marabunta (

soweit ich Active Directory richtig verstanden habe sind alte Rechte aller Domains nicht mehr gültig, wenn der Rechnern einer neuen Domain beigetreten wurde. Somit ist das Verhalten wie oben beschrieben eigentlich korrekt.

Kreuzberger
Member: Xerebus
Xerebus Dec 03, 2023 at 14:52:01 (UTC)
Goto Top
Hallo
Was macht denn ein ping oder nslookup auf die domains?
Member: Marabunta
Marabunta Dec 03, 2023 at 14:58:27 (UTC)
Goto Top
Es besteht ein Trust. Ping und nslookup funktionieren. CNAME Eintrag mit Alias ist vorhanden.
Member: Dani
Dani Dec 03, 2023 at 19:40:53 (UTC)
Goto Top
Moin,
Es besteht ein Trust. Ping und nslookup funktionieren. CNAME Eintrag mit Alias ist vorhanden.
der Hinweis ist mit dem Trust ist dahingehend interessant, falls der Client welcher auf das SMB Share auf dem migrierten Server zugreift, nicht in der selben Domäne wie der Server ist. Ist dem so?

Es könnte durch aus am fehlende Service Principal Name (SPN) für den alten Namen auf dem neuen Computerobjekt im AD liegen.


Gruß,
Dani
Member: Hubert.N
Hubert.N Dec 04, 2023 at 08:20:20 (UTC)
Goto Top
Moin

Zitat von @Marabunta:
\\servername.altedomain\Share -Passwortabfrage aber nichts funktioniert

Ich verstehe Dein praktisches Problem noch nicht so ganz. Du packst den Server in eine andere Domäne und hast ein Problem, dass der Server nicht über den alten FQDN zugreifbar ist?

Ohne es jetzt näher untersucht zu haben, finde ich das Verhalten ganz normal.

Gruß
Member: Marabunta
Marabunta Dec 04, 2023 at 08:28:18 (UTC)
Goto Top
Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.
Member: Lochkartenstanzer
Lochkartenstanzer Dec 04, 2023 updated at 10:49:09 (UTC)
Goto Top
Zitat von @Marabunta:

Alte Software greift mit dem alten Namen zu und ist nicht anpassbar. Alias ist gesetzt, trotzdem gehts nicht.

Warum nimmt man dann dieser Software "ihren Server"weg?

Nimm einen kleinen Raspi oder eine Linuxkiste (geht auch als VM) als SMB-Proxy. Der mountet den "neuen" Server und gibt den unter altem Namen frei.

Mache ich des öfteren bei angeraten, die nur smb v1 oder V2 können und ich den Server nicht dafür aufmachen will.

lks

PS: Ich würde mal schauen, welche Authentifizierungsversuche über die Leitung gehen (wireshark und "geschwätzigere" Windows-protokolle sollten helfen.). Testweise vielleicht auch mal andere credentials ausprobieren und gezielt Domain\Username bzw. user@domain mit alter und neuer Domain versuchen.
Member: HansDampf06
HansDampf06 Dec 04, 2023 at 18:12:31 (UTC)
Goto Top
Ich werfe einmal meine 5 Pfennige in den Ring:

1. Prüfen, ob tatsächlich alle DNS-Anfragen ordnungsgemäß mit der IP-Adresse des neuen Servers aufgelöst werden. Denn Deine Problembeschreibung spricht dafür, dass Deine DNS-Einträge nicht richtig (auflösbar) sind. Auf den DNS-Servern der neuen Domäne muss entweder eine bedingte Weiterleitung für die alte Domäne auf deren DNS-Server und umgekehrt vorhanden sein - dann klappt auch ein verweisender Alias in der neuen/alten Domäne - ODER auf den DNS-Servern der jeweiligen Domäne muss eine Forward-Lookup-Zone für die andere Domäne eingerichtet werden, worüber die entsprechende Auflösungen konfiguriert werden können.

2. Prüfen, ob für den Trust in der neuen Domäne eine entsprechende Gruppe für User / Clients eingerichtet ist, die auf die Ressourcen in der neuen Domäne zugreifen wollen. Das ist meiner Erinnerung nach seitens Microsoft empfohlen. Hierfür am besten bei Microsoft die Hinweise / Anleitungen für eine Migration von einer (alten) Domäne zu einer (neuen) Domäne zu Gemüte führen.

Viele Grüße
HansDampf06
Member: b-nice
b-nice Dec 05, 2023 at 07:57:38 (UTC)
Goto Top
Falls es nicht viele PCs sind, die auf den alten Namen zugreifen müssen, könnte man auch die Hostdatei anpassen. Nicht die schönste Art, sollte aber funktionieren.
VG