Zugriff auf Domäne mit Vertrauensstellung nur über Servernamen möglich

stefankittel
Goto Top
Hallo,

ich habe hier etwas so ich nicht genau weiß wo ich suchen soll.

Ein Kunde hat 2 Domänen zwischen denen eine Vertrauensstellung gilt.
ad.firma1.de (2016Std) und firma2.local (2012R2)
(Nein, ich habe das nicht so installiert)

In der 2. Domäne gibt es eine Freigabe auf welche die PCs in dieser Domäne mit \\firma2.local\Freigabe zugreifen können.

Nun ist ein PC in ad.firma1.de.
Er kann auf \\file.firma2.local\Freigabe zugreifen, aber nicht mit \\firma2.local\freigabe.
Dies ist kein DNS-Problem.
NSlookup und ping auf file.firma2.local und firma2.local sind ok und identisch.
Auch kann man \\firma2.local aufrufen und bekommt die Liste der Freigaben.
Aber beim verbinden erscheint "Systemfehler 53 ist aufgetreten. Der Netzwerkpfad wurde nicht gefunden.".

Hat da Jemand einen Vorschlag für mich?

Danke

Stefan

Content-Key: 3190985134

Url: https://administrator.de/contentid/3190985134

Ausgedruckt am: 19.08.2022 um 12:08 Uhr

Mitglied: Franz-Josef-II
Lösung Franz-Josef-II 27.06.2022 aktualisiert um 14:57:37 Uhr
Goto Top
Servas

NTFS-Berechtigungen bzw Netzwerkfreigabeberechtigungen wäre mein erster Gedanke
Mitglied: unbelanglos
Lösung unbelanglos 27.06.2022 um 14:55:47 Uhr
Goto Top
Benutzer wird korrekt übergeben?
Mitglied: emeriks
Lösung emeriks 27.06.2022 um 15:24:22 Uhr
Goto Top
Hi,
ist das eine Freigabe auf dem (einzigen) DC dieser Domäne oder ist das ein Domänen-DFS-Stamm?`

E.
Mitglied: beidermachtvongreyscull
Lösung beidermachtvongreyscull 27.06.2022 aktualisiert um 15:33:55 Uhr
Goto Top
Ich nehme einen Fehler im DFS der Domäne an oder die Windowsfirewall des/der DCs läuft und ist falsch konfiguriert. face-smile
Mitglied: StefanKittel
StefanKittel 27.06.2022 um 15:36:16 Uhr
Goto Top
Zitat von @Franz-Josef-II:
Servas
NTFS-Berechtigungen bzw Netzwerkfreigabeberechtigungen wäre mein erster Gedanke
Sind identisch zu einem Benutzer von Firma2.


Zitat von @unbelanglos:
Benutzer wird korrekt übergeben?
Soweit ich das sehen kann, Ja.
Ich kann den Benutzer in den Gruppen von Firma2 hinzufügen.


Zitat von @emeriks:
Hi,
ist das eine Freigabe auf dem (einzigen) DC dieser Domäne oder ist das ein Domänen-DFS-Stamm?`
Beides face-smile


Zitat von @beidermachtvongreyscull:
Ich nehme einen Fehler im DFS der Domäne an oder die Windowsfirewall des/der DCs läuft und ist falsch konfiguriert. face-smile


Ich vermute mal, dass über irgendwelche GPOs von Firma2 irgendwelche Berechtigungen gesetzt werden.
Mal suchen... Lustig lustig tralalala...
Mitglied: unbelanglos
Lösung unbelanglos 27.06.2022 um 15:44:28 Uhr
Goto Top
Heißt, der Benutzer ist in jeder Domaine vorhanden und die Freigabe hat jeweils beide Benutzer über Kreuz berechtigt?

RPC geht sauber durch?
Mitglied: emeriks
Lösung emeriks 27.06.2022 um 16:04:57 Uhr
Goto Top
Zitat von @StefanKittel:
ist das eine Freigabe auf dem (einzigen) DC dieser Domäne oder ist das ein Domänen-DFS-Stamm?`
Beides face-smile
Geht es bitte genauer? Sonst kann man nicht helfen.

\\file.firma2.local\Freigabe
suggeriert mir, dass es ein Fileserver ist. Also nicht der DC.

\\firma2.local\freigabe
suggeriert mir, dass es entweder
  • nur diesen einen DC gibt, welcher diese Freigabe bereitstellt. Dann kann man auch über den FQDN der Domäne darauf zugreifen.
  • Oder einen Domänen-DFS-Stamm mit dem Namen "Freigabe" gibt. Dann wäre aber nach Deiner Aussage zu vermuten, dass die Stamm-Freigabe dann nicht auf dem DC liegt sondern auf dem Fileserver.

Also was nun?
Mitglied: StefanKittel
StefanKittel 27.06.2022 aktualisiert um 16:19:59 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @StefanKittel:
ist das eine Freigabe auf dem (einzigen) DC dieser Domäne oder ist das ein Domänen-DFS-Stamm?`
Beides face-smile
Geht es bitte genauer? Sonst kann man nicht helfen.

\\file.firma2.local\Freigabe
suggeriert mir, dass es ein Fileserver ist. Also nicht der DC.

\\firma2.local\freigabe
suggeriert mir, dass es entweder
  • nur diesen einen DC gibt, welcher diese Freigabe bereitstellt. Dann kann man auch über den FQDN der Domäne darauf zugreifen.
  • Oder einen Domänen-DFS-Stamm mit dem Namen "Freigabe" gibt. Dann wäre aber nach Deiner Aussage zu vermuten, dass die Stamm-Freigabe dann nicht auf dem DC liegt sondern auf dem Fileserver.

Also was nun?
Es gibt nur einen Server.
Der ist DC, DNS-, DHCP-, File- und PrintServer. Auch das DFS läuft hier.
(Wie gesagt, ich habe es nicht installiert)

File ist ein Alias.
Das Ding heist ungefähr so "XYZ-2012r2srv0".
Mitglied: StefanKittel
StefanKittel 27.06.2022 um 16:21:44 Uhr
Goto Top
Ich habe im DFS schon Berechtigungen gefunden die von denen der Benuzter für Firma2 abweichen.
Ich vermute der Rest kommt mittels GPO wo ich noch am Entknoten bin.
Ich habe diese nun händisch eingetragen, teste das nachher mal und berichte.
Mitglied: emeriks
Lösung emeriks 27.06.2022 aktualisiert um 17:09:29 Uhr
Goto Top
Wenn Deine Angaben so stimmen, dann kannst Du die NTFS-Berechtigungen gleich ausschließen.
Wenn man über den Servernamen-Pfad auf die Freigabe kommt, aber über den DFS-Pfad nicht, und es ist tatsächlich die selbe Freigabe, dann hat das nichts mit NTFS zu tun.

Ich tippe auf:
Im DNS-Stamm ist der Server bei der Stamm-Freigabe nur mit dem kurzen Namen eingetragen. Wenn der Client jetzt den DFS-Pfad aufruft, wird er vom DFS an \\server\freigabe weitergeleitet. ("server" ohne Domäne dran)
Und ein PC aus ad.firma1.de kann dann wohl keine kurzen Namen aus firma2.local auflösen.

Falls das zutrifft:
Lösungsansatz 1:
DFS-Stamm neu aufbauen, sodass er den FQDN beim Servernamen verwendet.

Lösungsansatz 2:
In der DNS-Zone ad.firma1.de einen Alias für "server" erstellen mit Ziel "server.firma2.local"

Lösungsansatz 3:
An den Clients von ad.firma1.de die DNS-Suffixliste um "firma2.local" erweitern. Entweder manuell an jedem PC oder per GPO.

Ansätze 1 oder 3 wären die richtigen.
Mitglied: StefanKittel
StefanKittel 27.06.2022 um 22:45:30 Uhr
Goto Top
Hallo emeriks,

ich nehme einmal Tür2.
ich habe file in ad.firma1.de eingetragen und alles funktioniert wie gewünscht.

Es ist ein 2012R2 den ich nicht installiert habe und der demnächst endlich wegoptimiert werden soll.
Da ändere ich jetzt so wenig wie möglich. Wer weiß welche Überraschungen da noch verborgen sind.

Danke an Alle

Stefan