10
Server2003 - VPN - kein Zugriff auf Netzwerkressourcen
Hallo, ich hoffe ich finde hier Hilfe nachdem googeln nicht weitergeholfen hat.
Wir haben in unserem kleinen Büro Windows SBS 2003 als Server mit 4 XP Pro Clients (SP2) laufen. SBS läuft als AD, DHCP und DNS-Server. Eigentlich eine normale Standard-Umgebung und wir haben auch intern keine Probleme.
Seltsam wird es nur, wenn ein XP-Client eine VPN-Verbindung in ein entferntes, ebenfalls von Small Business Server 2003 mit einer eigenen (anderen) Domäne verwaltetes Netz aufbaut. Die Verbindung steht, man kann auch jeden Rechner im entfernten Netzwerk anpingen oder eine Remote Desktop Verbindung aufbauen. Jedoch kann man weder ein Netzlaufwerk mappen, noch direkt mittels net use z: \\name oder net use z: \\192.168.x.x verbinden. Er erscheint das Passwort-Popup und egal was man eingibt, kommt keine Verbindung zustande. Auch wenn man das Intranet aufruft wird man nach Username/Passwort gefragt.
Besonders verwirrend ist, dass das Ganze bis vor 2 Wochen noch problemlos funktioniert hat. Dann wurde in unser Büro eingebrochen und wir waren gezwungen, alles neu aufzusetzen. Und mit der neuen Installation funktioniert es nicht mehr.
Für den Zugang in das entfernte Netz haben wir in der Domain einen User mit Administratoren-Rechten. Dieser User darf sich mittels VPN einloggen. Beim Verbinden durch den XP VPN-Client benutzen wir den Usernamen und das entsprechende Passwort und haben "Windows-Anmeldedomäne einbeziehen" aktiviert.
Wenn ich in der Dos-Box "net use" versuche, bekomme ich folgenden Fehler:
Geben Sie den Benutzernamen für "192.168.xx.xx" ein: DOMAIN\USERNAME
Geben Sie das Kennwort für "192.168.xx.xx" ein:
Systemfehler 5 aufgetreten.
Zugriff verweigert
Auf den XP Clients läuft, SP2 sei Dank, die eingebaute Firewall, die durch die Standard-Gruppenrichtlinien vom Server gesteuert wird. Sprich: Sie lässt sich auf dem Client nicht ausschalten. Ich habe also die Policy geändert und die Firewall deaktiviert: Keine Veränderung.
In unserer alten Konfiguration lief das so, dass man die VPN-Verbindung aufgebaut hatte und sofort quasi vollständige Mitglied der entfernten Domäne war. Man konnte Netzlaufwerke verbinden oder die Intranet-Seite aufrufen ohne auch nur ein mal nach einem Usernamen gefragt zu werden.
Es scheint, als wenn man beim Aufbau der VPN-Verbindung kein Mitglied der entfernten Domäne mehr wird bzw. nicht als solches erkannt wird. Benutzt man z.B. SQL Enterprise Manager um den SQL-Server in der VPN-Domäne zu administrieren, wird man ebenfalls nach User/Passwort gefragt. Vorher hatten die Userdaten, die in der VPN-Verbindung angegeben waren gereicht.
Kann mir jemand weiterhelfen ?
Gruss,
Dirk
Wir haben in unserem kleinen Büro Windows SBS 2003 als Server mit 4 XP Pro Clients (SP2) laufen. SBS läuft als AD, DHCP und DNS-Server. Eigentlich eine normale Standard-Umgebung und wir haben auch intern keine Probleme.
Seltsam wird es nur, wenn ein XP-Client eine VPN-Verbindung in ein entferntes, ebenfalls von Small Business Server 2003 mit einer eigenen (anderen) Domäne verwaltetes Netz aufbaut. Die Verbindung steht, man kann auch jeden Rechner im entfernten Netzwerk anpingen oder eine Remote Desktop Verbindung aufbauen. Jedoch kann man weder ein Netzlaufwerk mappen, noch direkt mittels net use z: \\name oder net use z: \\192.168.x.x verbinden. Er erscheint das Passwort-Popup und egal was man eingibt, kommt keine Verbindung zustande. Auch wenn man das Intranet aufruft wird man nach Username/Passwort gefragt.
Besonders verwirrend ist, dass das Ganze bis vor 2 Wochen noch problemlos funktioniert hat. Dann wurde in unser Büro eingebrochen und wir waren gezwungen, alles neu aufzusetzen. Und mit der neuen Installation funktioniert es nicht mehr.
Für den Zugang in das entfernte Netz haben wir in der Domain einen User mit Administratoren-Rechten. Dieser User darf sich mittels VPN einloggen. Beim Verbinden durch den XP VPN-Client benutzen wir den Usernamen und das entsprechende Passwort und haben "Windows-Anmeldedomäne einbeziehen" aktiviert.
Wenn ich in der Dos-Box "net use" versuche, bekomme ich folgenden Fehler:
net use z: \\192.168.xx.xx\f$
Das Kennwort für \\192.168.xx.xx\f$ ist ungültig.Geben Sie den Benutzernamen für "192.168.xx.xx" ein: DOMAIN\USERNAME
Geben Sie das Kennwort für "192.168.xx.xx" ein:
Systemfehler 5 aufgetreten.
Zugriff verweigert
Auf den XP Clients läuft, SP2 sei Dank, die eingebaute Firewall, die durch die Standard-Gruppenrichtlinien vom Server gesteuert wird. Sprich: Sie lässt sich auf dem Client nicht ausschalten. Ich habe also die Policy geändert und die Firewall deaktiviert: Keine Veränderung.
In unserer alten Konfiguration lief das so, dass man die VPN-Verbindung aufgebaut hatte und sofort quasi vollständige Mitglied der entfernten Domäne war. Man konnte Netzlaufwerke verbinden oder die Intranet-Seite aufrufen ohne auch nur ein mal nach einem Usernamen gefragt zu werden.
Es scheint, als wenn man beim Aufbau der VPN-Verbindung kein Mitglied der entfernten Domäne mehr wird bzw. nicht als solches erkannt wird. Benutzt man z.B. SQL Enterprise Manager um den SQL-Server in der VPN-Domäne zu administrieren, wird man ebenfalls nach User/Passwort gefragt. Vorher hatten die Userdaten, die in der VPN-Verbindung angegeben waren gereicht.
Kann mir jemand weiterhelfen ?
Gruss,
Dirk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6127
Url: https://administrator.de/contentid/6127
Printed on: April 16, 2024 at 18:04 o'clock
10 Comments
Latest comment
hi, das problem liegt darin, das du dich dann in zwei verschiedenen domains befindest, müsstest dich also mit der korrekten domain und einem in der domain authorisierten user einlogen (also in der zieldomain) da die domaincontroller das net auseinanderhalten können, wenn du aus einem fremden netz kommst. wie das genau funktioniert, das man aber aus einer fremden domain oft net auf die freigabe in anderen domains zugreifen kann ist mir unter den neuen betriebssystemen xp/2003 immer noch schleierhaft, da es da immer wieder probleme gibt, wo man sehr im detail suchen muss wo nun der schuh drückt
Aber genau das tun wir ja: Ich melde mich an der Zieldomain mit Domainname, Username und Passwort an, und zwar mit einem User, der in der Zieldomain Administrator ist.
In der lokalen Domäne existiert dieser User gar nicht.
Und wie gesagt: Es hatte vorher ja auch jahrelang wunderbar funktioniert.
Dirk
In der lokalen Domäne existiert dieser User gar nicht.
Und wie gesagt: Es hatte vorher ja auch jahrelang wunderbar funktioniert.
Dirk
wie jahrelang funktioniert? *nochmal nachles* entweder binsch blind *gg* oder du hast die ausgangssituation wo es mal ging net mit beschrieben (betriebssysteme, hardwarekomponenten,....)... was hast denn gemacht, nachdem es nicht mehr ging? irgendwas ersetzt, neuer server, neue clients,......
greetz
greetz
Ups, das habe ich vielleicht unterschlagen. Naja, eine im Grunde hat das seit über 8 Monaten hier funktioniert und davor lief ein ähnliches Setup bei meinem alten Arbeitgeber ebenfalls ohne Probleme.
Und geändert haben wir ja eben augenscheinlich nichts, das ist es ja. Clientseitig hat sich auf keinen Fall etwas verändert, wenn überhaupt dann Serverseitig, auf unserem lokalen SBS 2003. Wir mussten vor einiger Zeit eine Gruppenrichtlinie ändern (digitale signierte Kommunikation deaktiviert da auch Mac-Clients im Netzwerk), von daher habe ich mittlerweile die Policies in Verdacht.
Dirk
Und geändert haben wir ja eben augenscheinlich nichts, das ist es ja. Clientseitig hat sich auf keinen Fall etwas verändert, wenn überhaupt dann Serverseitig, auf unserem lokalen SBS 2003. Wir mussten vor einiger Zeit eine Gruppenrichtlinie ändern (digitale signierte Kommunikation deaktiviert da auch Mac-Clients im Netzwerk), von daher habe ich mittlerweile die Policies in Verdacht.
Dirk
Hallo Dirk,
ich habe bei einem Kunden aktuell genau das gleiche Problem, dort it es sogar so,
dass 2 getrennte Netzwerke, jeweils mit einem Windows 2003-Server ausgestattet, durch einen VPN-Tunnel miteinander verbunden sind.
Genaus wie du beschrieben hast funktioniert der Tunnel einwandfrei, ich kann auch alles anpingen und hab sogar eine Vertrauensstellung eingerichtet.
Von Netzwerk1 auf Netzwerk2 kann ich auch die Laufwerke problemlos verbinden, alles funktioniert wunderbar. Nur umgekehrt ist es nicht möglich, egal was mache, ich bekomme immer den Systemfehler 5 / Zugriff verweigert, obwohl ich den net use-Befehl mit Administratorrechten auf der 2. Domäne ausführe.
Was aber für mich noch seltsamer ist, vom Server direkt kann ich die Laufwerke der anderen Domäne verbinden !!!, nur von den Arbeitsstationen aus nicht,
auch wenn ich wie gesagt mit Administratorrechten angemeldet bin.
Vielleicht hast du mittlerweile die Lösung des Problems gefunden und könntest mir weiterhelfen, ich bin momentan etwas ratlos. Wär spitze, wenn du dich mal melden könntest.
Gruß Mel
ich habe bei einem Kunden aktuell genau das gleiche Problem, dort it es sogar so,
dass 2 getrennte Netzwerke, jeweils mit einem Windows 2003-Server ausgestattet, durch einen VPN-Tunnel miteinander verbunden sind.
Genaus wie du beschrieben hast funktioniert der Tunnel einwandfrei, ich kann auch alles anpingen und hab sogar eine Vertrauensstellung eingerichtet.
Von Netzwerk1 auf Netzwerk2 kann ich auch die Laufwerke problemlos verbinden, alles funktioniert wunderbar. Nur umgekehrt ist es nicht möglich, egal was mache, ich bekomme immer den Systemfehler 5 / Zugriff verweigert, obwohl ich den net use-Befehl mit Administratorrechten auf der 2. Domäne ausführe.
Was aber für mich noch seltsamer ist, vom Server direkt kann ich die Laufwerke der anderen Domäne verbinden !!!, nur von den Arbeitsstationen aus nicht,
auch wenn ich wie gesagt mit Administratorrechten angemeldet bin.
Vielleicht hast du mittlerweile die Lösung des Problems gefunden und könntest mir weiterhelfen, ich bin momentan etwas ratlos. Wär spitze, wenn du dich mal melden könntest.
Gruß Mel
Ich habe die Probleme tatsächlich in den Griff bekommen, aber du willst sicher nicht hören, wie: Ich habe unseren 2003er Server komplet neu aufgesetzt.
Da die Installation ja sowieso relativ frisch war, und ich ja definitiv wusste, dass es schon einmal funktioniert hatte, habe ich mich zu diesem Entschluss durchgerungen. Und siehe da: Mit der neuen Installation funktioniert es wieder einwandfrei.
Tut mir leid, dass ich dir keinen anderen Tipp geben kann.
Gruss
Dirk
Da die Installation ja sowieso relativ frisch war, und ich ja definitiv wusste, dass es schon einmal funktioniert hatte, habe ich mich zu diesem Entschluss durchgerungen. Und siehe da: Mit der neuen Installation funktioniert es wieder einwandfrei.
Tut mir leid, dass ich dir keinen anderen Tipp geben kann.
Gruss
Dirk
Hallo Dirk,
das wollte ich wirklich nicht hören......
aber danke für deine Mühe, vielleicht bekomme ich das Problem ja doch andres in den Griff...
Gruß Mel
das wollte ich wirklich nicht hören......
aber danke für deine Mühe, vielleicht bekomme ich das Problem ja doch andres in den Griff...
Gruß Mel
hi, falls du das problem anders in den griff bekommst poste es mal bitte... würde mich echt interessieren, da es so ein problem ja auch manchmal bei WinXP rechnern im selben netzwerk auftritt, der eine kann auf den anderen zugreifen, aber dieser kommt nicht mal auf den pc ansich (also wo dann drucker und evtl task-ordner angezeigt wird)
obwohl gast-konto aktiv und der benutzer mit selben passwort auf dem anderen eingerichtet ist, funktioniert es manchmal aus unerklärlichen gründen manchmal nicht
ich denke, das es fast das ähnliche problem ist
gruß ComFreakTom
obwohl gast-konto aktiv und der benutzer mit selben passwort auf dem anderen eingerichtet ist, funktioniert es manchmal aus unerklärlichen gründen manchmal nicht
ich denke, das es fast das ähnliche problem ist
gruß ComFreakTom
Hallo,
ich weiß zwar, dass du inzwischen das Problem gelöst hast, indem du den Server neu installiert hast, ich hatte ja genau das gleiche Problem, wollte aber keinesfalls den Server neu installieren und habe die Ursache gefunden.
Das Problem lag einfach in den "Gruppenrichtlinien" !
Hier muss sowohl in den "Sicherheitsrichtlinien für Domänen" als auch in den "Sicherheitsrichtlinien für Domänencontroller" die "Digitale Signatur" deaktiviert werden, damit ist das Problem gelöst.
Wenn du weitere Infos haben möchtest, kannst du dich ja melden.
MfG. Mel
ich weiß zwar, dass du inzwischen das Problem gelöst hast, indem du den Server neu installiert hast, ich hatte ja genau das gleiche Problem, wollte aber keinesfalls den Server neu installieren und habe die Ursache gefunden.
Das Problem lag einfach in den "Gruppenrichtlinien" !
Hier muss sowohl in den "Sicherheitsrichtlinien für Domänen" als auch in den "Sicherheitsrichtlinien für Domänencontroller" die "Digitale Signatur" deaktiviert werden, damit ist das Problem gelöst.
Wenn du weitere Infos haben möchtest, kannst du dich ja melden.
MfG. Mel
Hi Mel,
ich bin eigentlich der Meinung, dass ich die digitale Signatur ausgeschaltet hatte, da wir hier im LAN nämlich auch Apple OS X Rechner haben und damit die auf Netzwerkressourcen zugreifen können, muss man das ebenfalls ausschalten. Ganz sicher bin ich mir aber nicht.
Seit der Neuinstallation sind die Probleme bei uns auf jeden Fall nie wieder aufgetaucht, das ist schon seltsam...
Gruss
Dirk
ich bin eigentlich der Meinung, dass ich die digitale Signatur ausgeschaltet hatte, da wir hier im LAN nämlich auch Apple OS X Rechner haben und damit die auf Netzwerkressourcen zugreifen können, muss man das ebenfalls ausschalten. Ganz sicher bin ich mir aber nicht.
Seit der Neuinstallation sind die Probleme bei uns auf jeden Fall nie wieder aufgetaucht, das ist schon seltsam...
Gruss
Dirk
