derhoeppi
Goto Top

SMB Share mit NTFS Berechtigungen zugänglich von nicht Domänen Clients

Hallo Leute,

ich stehe vor einem Problem. Ich habe einen Mitgliedsserver einer Domäne. Dieser Server hat zwei Netzwerkkarten. Eine Netzwerkkarte ist der Zugang zur Domäne und die andere zeigt in ein anderes Netzwerk. In dem zweiten Netzwerk gibt es nur Clients ohne Domänenzugehörigkeit, die auf diesen Mitgliedsserver zugreifen sollen um Dateien auszutauschen. Die Shares sollen durch Gruppenberechtigungen auf NTFS Ebene gesichert werden. Mein Problem besteht nun darin, dass Clients aus der Domäne, die sich im Domänennetzwerk befinden ohne Probleme zugreifen können. Sofern es Domänenmitglieder sind kommt nicht mal eine Anmeldemaske. Sind es keine Domänenrechner so erhalte ich eine Anmeldemaske und autorisiere mich mit meinen Domänenanmeldedaten. Dieses Verhalten ist so gewünscht. Komme ich nun aber mit einem Client aus dem zweiten Netzwerk und rufe den Share auf, so erhalte ich eine Anmeldemaske. Wenn diese ebenfalls mit einem zugriffsberechtigten Domänenbenutzer bestätigt wird passiert nichts. Daraufhin sieht man im Eventlog des Servers das es einen nicht authorisierten Zugriff gab, bei dem das Kennwort falsch ist. Ein falsches Kennwort kann ausgeschlossen werden.

Die Frage die ich nun habe ist folgende. Warum kann ich mich aus dem zweiten Netzwerk nicht authentifizieren? In diesem Netzwerk gibt es kein DNS und keinen DC. Für mein Verständnis nimmt doch der Mitgliedsserver die Authentifizierungsbestätigung durch. Da dieser in der Domäne hängt, verstehe ich das Problem nicht.

Gruß
derhoeppi

Content-Key: 191593

Url: https://administrator.de/contentid/191593

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: goscho
goscho 21.09.2012 um 12:31:10 Uhr
Goto Top
Hallo derhoeppi,

warum sagst du uns nicht, um welches BS es sich beim Server und beim Client handelt? face-sad

Meine Kristallkugel ist der Meinung, dass der Zugriff von einem W7 PC ohne Domainzugriff mit den falschen Zugangsdaten erfolgt.
Vielleicht mal Domäne\User + korrektes Passwort eingeben. face-wink
Mitglied: derhoeppi
derhoeppi 21.09.2012 um 13:08:16 Uhr
Goto Top
Hallo Goscho,

es geht um einen Windows 2008 R2 SP1 Std. Server und die Clients sind ausschließlich XP. Die Authentifizierung Domäne\Benutzername oder Benutzername@Domäne habe ich alles schon versucht.

Gruß
derhoeppi
Mitglied: goscho
goscho 21.09.2012 um 13:19:05 Uhr
Goto Top
Dann solltest du mal den Passwortspeicher dieses PCs überprüfen.
Wahrscheinlich ist noch eine Anmeldung an dieses Netzlaufwerk gespeichert.
Start -> Ausführen 'control userpasswords2' -> erweitert -> Kennwörter verwalten
Mitglied: derhoeppi
derhoeppi 21.09.2012 um 13:43:04 Uhr
Goto Top
Hallo Gonscho,

der Passwortspeicher ist leer. Hast du noch eine Idee?

Gruß
derhoeppi
Mitglied: DerWoWusste
DerWoWusste 21.09.2012 um 15:34:12 Uhr
Goto Top
MOin.
Passiert das Selbe, wenn Du ein Netzlaufwerk verbindest?
Passiert das Selbe, wenn Du zu einer IP anstelle des Namens verbindest?
Mitglied: derhoeppi
derhoeppi 21.09.2012 um 20:19:11 Uhr
Goto Top
Hallo,

ja es geschieht auch beim verbinden als Netzlaufwerk. Den Share kann ich nur via IP erreichen, weil DNS in diesem zweiten Netzwerk nicht verfügbar ist.

Gruß
derhoeppi
Mitglied: derhoeppi
derhoeppi 24.09.2012 um 09:40:43 Uhr
Goto Top
Hallo,

ich bin leider noch keinen Schritt weiter. Ich habe mir in einer Testumgebung das Szenario noch einmal nachgestellt. In der Testumgebung gibt es keine Probleme, jedoch gibt es keine umfangreichen GPO's in der der Umgebung.
In meiner Produktivumgebung habe ich deshalb heute morgen mal die GPO für den Server geblockt. Das Ergebnis ist unverändert. Mit einem Domänenaccount kann ich mich nicht authentifizieren. Die Authentifizierungmaske verschwindet nicht. Erst wenn ich dem Server das Netzwerk zur Domäne entziehe, erhalte ich eine Meldung das kein Loginserver verfügbar ist. Wenn ich mich mit einem lokalen Account auf dem Server authentifiziere habe ich keine Probleme beim Zugriff auf meinen Share.
Den KB 281648 von MS habe ich bereits getestet. Der Erfolg ist leider ausgeblieben. Hat noch wer einen Tipp von euch?

Gruß
derhoeppi
Mitglied: DerWoWusste
DerWoWusste 24.09.2012 um 19:51:38 Uhr
Goto Top
Bist Du sicher, dass in der Testumgebung das Netzwerk vergleichbar ist? Funktioniert das Routing in der echten so wie in der Testumgebung? Gateways eingetragen usw.?
Mitglied: derhoeppi
derhoeppi 24.09.2012 um 20:22:32 Uhr
Goto Top
Hallo,

ja die Testumgebung war vom Netzwerk her identisch. Ich habe heute Nachmittag mein Problem gefunden. In der Produktivumgebung wurde NTLMv2 zur Authentifizierung ausgewählt. NTMLv1 und LM wurden durch eine GPO geblockt. In meiner Testumgebung habe ich darauf nicht geachtet, so dass die Default-Werte bestanden. Nach dem ich auch den Client ensprechend angepasst habe, funktioniert auch darüber der Zugriff.

Ich kennzeichne daher den Beitrag als gelöst.

Gruß
derhoeppi