Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Server 2008 R2 DC antwortet nur innerhalb der Domäne auf DNS-Anfragen

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

15.09.2011, aktualisiert 19.09.2011, 6890 Aufrufe, 11 Kommentare

Hallo,
Habe hier ein Problem mit Server 2008 R2 und nicht-Domänenmitgliedern.
Das betrifft im speziellen den DNS-Server aber auch File-Shares.

Also wir migrieren hier gerade von einer 2003-Domäne auf 2008R2.
Dazu wurde ein zusätzlicher virtueller Domaincontroller geschaffen auf dem Server 2008 R2 läuft, natürlich mit DNS.
Die Domäne wurde mit adprep fehlerfrei erweitert und der 2008er DC läuft an sich auch problemlos.
Alle Master-Rollen sind auf den 2008er umgezogen aber die alten 2003er DC's laufen noch weiter.

Folgendes Problem tritt nun auf:
Wenn ich bei einem nicht-Domänencomputer den 2003er DC als DNS-Server angebe klappt ein nslookup problemlos. Gebe ich den 2008er an, kommt ein Time-Out.
Hebe ich den PC mit einem 2003er als DNS eingestellt in die Domäne und stelle dann um auf den 2008er DNS um, klappt ein nslookup wunderbar.
Generell läuft das DNS domänenintern fehlerfrei.

Irgenwie scheint der 2008 R2er also den Zugriff von "außen" zu blocken. Allerdings nutzt er dieselbe Policy wie die 2003er DC's für die lokalen Sicherheitseinstellungen und die Windows-Firewall ist für alle Netze deaktiviert.
Im selben Netz ist er mit den nicht-Domänenclients auch.
Ping geht, Zugriff auf z.B. netlogon-share nach manueller Authentifizierung mit einem Domänen-User auch.

Diese manuelle Authentifizierung ist auch das zweite Problem. Bei den 2003ern kann man mit einem PC, der nicht Domänenmitglied ist und auf dem man lokal mit Benutzername und Passwort eines Domänenbenutzers (also beides gleich wie bei einem Dom-User) angemeldet ist, sofort auf Freigaben zugreifen. Beim 2008er muss man sich nun erst erneut authentifizieren.

Hat jemand eine Idee, woran das liegen kann? Wurde da irgendwo eine neue Sicherheitseinstellung eingeführt?
Vorrang hat da die DNS-Sache, weil die 2003er eigentlich bald verschwinden sollen.
Mitglied: 60730
15.09.2011 um 16:56 Uhr
moin,

lass mich raten...

Gebe ich den 2008er an, kommt ein Time-Out.
  • und im Eventlog des Servers taucht ein Fehler 5774 auf?
Bitte warten ..
Mitglied: DerWoWusste
15.09.2011 um 20:41 Uhr
Tag.
Ich fürchte, das ist kein normales Verhalten.
Hier (non-domain-Client: Win7 x64 SP1, Admin hat das selbe Kennwort wie ein gleichnamiges Domänenkonto auf 2008 R2 SP1) geht sowohl nslookup als auch der Freigabezugriff ohne Weiteres. Einstellungen sind bei beiden definitiv default.
Bitte warten ..
Mitglied: 83466
15.09.2011 um 23:14 Uhr
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit: Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" -> "Sicherheitsoptionen".

Mfg

Phyrexian
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:01 Uhr
Zitat von 60730:

* und im Eventlog des Servers taucht ein Fehler 5774 auf?

Nein kein Fehler 5774.
Die einzigen Fehler im Eventlog betreffen nicht vorhandene Druckertreiber für Terminalservices was normal ist.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:05 Uhr
Zitat von 83466:
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip
gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit:
Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" ->
"Sicherheitsoptionen".


Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Das mit den Shares betrifft leider auch XP und 2k aber werde das mal untersuchen. Möglich, dass der Server 2008 die Authentifizierung aber auch ablehnt oder so. Werde mir besagtew Richtlinien mal Client- und Serverseitig ansehen.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:29 Uhr
Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als
Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Suffix hat nichts geändert. Ich bin mir auch ziemlich sichher, dass es ein Problem des Servers ist und nicht des Clients. Wie gesagt bei der 2003ern gehts ja.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:31 Uhr
Habe jetzt ergänzend mal einen zweiten Server 2008 R2 Sp1 aufgesetzt und der zeigt die gleichen Symptome wenn ich versuche mit dem 2008er AD-Controller zu verbinden. Also Authentifizierung bei Shares trotz gleicher Userdaten und kein DNS vom 2008er sondern nur vom 2003er solange er nicht in der Domäne ist.
Bitte warten ..
Mitglied: 83466
19.09.2011 um 08:53 Uhr
Ich werde das später wenn ich etwas Zeit finde, mir nocheinmal genauer ansehen. Ich muss mir allerdings erstmal wieder einen Win 2003 als DC aufsetzen, das kann noch etwas dauern
bis ich die CDs wieder gefunden hab.

Solltest du in der Zwischenzeit etwas herausfinden, poste bitte kurz deine Lösung.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 09:49 Uhr
Also die Sache mit den Freigaben kann man anders regeln, was aber nicht wirklich toll ist.
Zum einen kann man das Gast-Konto aktivieren, dann gehts. Oder man reduziert diese neue Sicherheitsstufe mit der anonymen Authentifizierung, dass diese nicht in der Gruppe "jeder" mit inbegriffen ist.
Leider aktiviert man damit letztlich einen anonymen Zugriff auf den Server oder nur auf gewisse Shares wenn man den anonymen Zugriff nur auf Share-Ebene aktiviert.
Das ist letztlich keine Lösung.
Wir haben uns allerdings ein Workaround überlegt indem wir bei den betroffenen Shares einen eigenen User im AD definieren und diesen dann beim mappen des Shares übers Logon-Script mitgeben.

Bezüglich des DNS-Servers hilft das jedoch alles nichts.
Ich habe mal noch versucht in den Eigenschaften des DNS-Servers bei der Sicherheit den anonymen, Gast- und jeder-Zugriff zu aktivieren aber auch das brachte nichts. Ich würde ja sagen, dass der DNS nen Schlag weg hat aber dann verstehe ich nicht warum er innerhalb der Domäne einwandfrei funktioniert.
Wenn ich es nicht besser wüsste, bin ich fast geneigt zu glauben, dass die Windows-Firewall im Hintergrund immer noch läuft obwohl deaktiviert. Werde deshalb als nächstes Mal versuchen was passiert, wenn ich die wieder aktiviere aber DNS freigebe.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 10:10 Uhr
Moin,

Danke an alle für die Hilfestellungen. Problem mit dem DNS ist gelöst.
Hatte bei der IP in der DNS-Config auf der abhört einen Zahlendreher drin. Server hat nämlich mehrere Netzwerke und soll nur auf bestimmten als DNS dienen.
Domänenmitglieder bekommen nach dem Beitritt automatisch eine andere IP und fallen dann ins das Netzwerk was ich richtig angegeben hatte.
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Da das mit den Shares über Umwege auch zu lösen ist, habe ich den Beitrag als gelöst markiert.
Bitte warten ..
Mitglied: 99045
19.09.2011 um 10:18 Uhr
Zitat von dduchardt:
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Moin,

das braucht dir nicht peinlich zu sein, sowas kommst eben schon mal vor. Schön, dass du uns vom Ergebnis informiert hast.

Erfahrung ist eine nützliche Sache. Leider macht man sie immer erst kurz nachdem man sie brauchte...

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows Server

2012 R2 Server in bestehende 2008 R2 Domäne als DC hinzufügen

gelöst Frage von anak1mWindows Server12 Kommentare

Hallo zusammen, ich habe zwar schon im Internet geschaut aber nicht wirklich einen aussagekräftigen Artikel gefunden wie man ohne ...

Exchange Server

DNS Anfragen an anderen Server weiterleiten

Frage von fabio84Exchange Server9 Kommentare

Hallo Admins, kurze Frage: Aufgrund der Zertifikatsumstellung (Exchange) von local auf .de habe ich eine neue Forward DNS Zone ...

Windows Server

2012R2 DNS antwortet zu langsam

gelöst Frage von TeWutzWindows Server4 Kommentare

Moin, moin. Vor Kurzem wurde bei uns der DC von 2003 auf 2012R2 angehoben. Es gibt nur diesen einen ...

Windows Server

Übertragen DHCP Konfiguration von 2008 R2 DC auf anderen 2008 R2 DC

Frage von CornitusWindows Server8 Kommentare

Hallo, wir haben einen zentralen Standort und zwei Filialen. In der Zentrale sind zwei DCs mit Server 2008 R2 ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 5 StundenWindows Server2 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 8 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 16 StundenWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1028 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...

Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell15 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...