11
Server 2012 SMB Subnetzübergreifend
Hallo,
ich suche den Grund dafür, warum ein Server 2012 oder Win8 nicht auf admin$ o.ä. zugreifen kann, WENN das System auf das zugegriffen wird auch ein Server 2012 oder Win8 ist UND in einem anderen Subnetz ist. Alle beteiligten Systeme sind Mitglied einer Domäne (Funktionsebene 2003) und die Firewall per Domänenrichtlinie deaktiviert.
Wo muss ich suchen, GPO? SMB3.0? Vielen Dank für Hilfe.
ich suche den Grund dafür, warum ein Server 2012 oder Win8 nicht auf admin$ o.ä. zugreifen kann, WENN das System auf das zugegriffen wird auch ein Server 2012 oder Win8 ist UND in einem anderen Subnetz ist. Alle beteiligten Systeme sind Mitglied einer Domäne (Funktionsebene 2003) und die Firewall per Domänenrichtlinie deaktiviert.
Wo muss ich suchen, GPO? SMB3.0? Vielen Dank für Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207049
Url: https://administrator.de/contentid/207049
Printed on: April 18, 2024 at 13:04 o'clock
11 Comments
Latest comment
Hi,
Firewall ist ein guter Ansatz.
Die Berechtigung muss auch gegeben sein (lokale Adminrechte auf dem PC)
Der RPC-Dienst muss gestartet sein.
Kannst Du auf andere Freigaben (also nicht die ADMIN-Freigaben) zugreifen? Dann wäre es kein Problem bzgl. SMB.
Grüße
Firewall ist ein guter Ansatz.
Die Berechtigung muss auch gegeben sein (lokale Adminrechte auf dem PC)
Der RPC-Dienst muss gestartet sein.
Kannst Du auf andere Freigaben (also nicht die ADMIN-Freigaben) zugreifen? Dann wäre es kein Problem bzgl. SMB.
Grüße
Hallo hullax
Die administrativen Freigaben sind von Haus aus mit einer Beschränkung versehen wenn UAC auf dem Zielsystem aktiviert ist. Siehe dazu folgende Seite mit einer Lösung dafür.
Grüße Uwe
Die administrativen Freigaben sind von Haus aus mit einer Beschränkung versehen wenn UAC auf dem Zielsystem aktiviert ist. Siehe dazu folgende Seite mit einer Lösung dafür.
Grüße Uwe
Hallo,
Triit es nur dann auf wenn dein Ziel in einem anderen Sunbetz ist oder sonst auch? Wie eird geroutet? Welche Protokolle werden evtl. nicht geroutet? Was sagt ein Netzwerkmonitor (MS) oder Wireshark?
Gruß,
Peter
Triit es nur dann auf wenn dein Ziel in einem anderen Sunbetz ist oder sonst auch? Wie eird geroutet? Welche Protokolle werden evtl. nicht geroutet? Was sagt ein Netzwerkmonitor (MS) oder Wireshark?
und die Firewall per Domänenrichtlinie deaktiviert.
Zielsystem? Quellsystem? Beide Systeme?Wo muss ich suchen, GPO? SMB3.0?
Router?Gruß,
Peter
Zunächst mal Danke für die Ansätze.
Ich erwähnte admin$ o.ä , gemeint waren alle Freigabearten. Sorry für die Un-präzision.
Wenn eine Domänenrichtlinie die FW deaktiviert, dann wohl Ziel- und Quellsystem.
Das Problem tritt nicht auf bei:
OS<2012 zu OS=2012
OS=2012 zu OS>2012
OS=2012 zu OS2012 im selben Subnetz.
also auch nicht
2008 zu 2008 egal in welchen Netz (das zum Thema Router)
Das Problem tritt nur auf:
OS2012 zu OS2012 in anderem Subnetz
Gruß
Ich erwähnte admin$ o.ä , gemeint waren alle Freigabearten. Sorry für die Un-präzision.
Wenn eine Domänenrichtlinie die FW deaktiviert, dann wohl Ziel- und Quellsystem.
Das Problem tritt nicht auf bei:
OS<2012 zu OS=2012
OS=2012 zu OS>2012
OS=2012 zu OS2012 im selben Subnetz.
also auch nicht
2008 zu 2008 egal in welchen Netz (das zum Thema Router)
Das Problem tritt nur auf:
OS2012 zu OS2012 in anderem Subnetz
Gruß
Hallo,
Was ist denn ein OS > 2012?
Gruß,
Peter
Was ist denn ein OS > 2012?
OS2012 zu OS2012 in anderem Subnetz
Du hast die vorraussetzungen für die Nutzung und Verwendung Administartiver Freigaben erfüllt?Gruß,
Peter
Lieber Peter,
eigentlich hast Du diesen Fall mit Deinen Fragen lösungsfrei beendet, ich versuche trotzdem das Trollfrei hier fort wieder aufzugreifen:
Ich schrieb:
Alle beteiligten Systeme sind Mitglied einer Domäne (Funktionsebene 2003) und die Firewall per Domänenrichtlinie deaktiviert.
Du fragst:
Zielsystem? Quellsystem? Beide Systeme?
Also ich weiß jetzt nicht wie das Wetter bei der Erstellung der DOMÄNENrichtlinie war, aber die Antwort darauf ist ähnlich Problembezogen.
Ich schrieb:
Ich erwähnte admin$ o.ä , gemeint waren alle Freigabearten. Sorry für die Un-präzision.
Du fragst:
Du hast die vorraussetzungen für die Nutzung und Verwendung Administartiver Freigaben erfüllt?
Ich könnte jetzt über das Wetter bei der Erstellung von NICHTadministrativen Freigaben schreiben, aber möchte lieber sachlich und weiterhin um Hilfe bemüht bleiben und Nachfragen: Sind den die Vorraussetzungen für administrativen Freigaben bei Server 2012 anders als bei 2008? Dann hätte dein Einwand und der Threat insgesamt tatsächlich einen Sinn.
eigentlich hast Du diesen Fall mit Deinen Fragen lösungsfrei beendet, ich versuche trotzdem das Trollfrei hier fort wieder aufzugreifen:
Ich schrieb:
Alle beteiligten Systeme sind Mitglied einer Domäne (Funktionsebene 2003) und die Firewall per Domänenrichtlinie deaktiviert.
Du fragst:
Zielsystem? Quellsystem? Beide Systeme?
Also ich weiß jetzt nicht wie das Wetter bei der Erstellung der DOMÄNENrichtlinie war, aber die Antwort darauf ist ähnlich Problembezogen.
Ich schrieb:
Ich erwähnte admin$ o.ä , gemeint waren alle Freigabearten. Sorry für die Un-präzision.
Du fragst:
Du hast die vorraussetzungen für die Nutzung und Verwendung Administartiver Freigaben erfüllt?
Ich könnte jetzt über das Wetter bei der Erstellung von NICHTadministrativen Freigaben schreiben, aber möchte lieber sachlich und weiterhin um Hilfe bemüht bleiben und Nachfragen: Sind den die Vorraussetzungen für administrativen Freigaben bei Server 2012 anders als bei 2008? Dann hätte dein Einwand und der Threat insgesamt tatsächlich einen Sinn.
Ich habe zwar keine Lösung am Start, aber wenn Du generell ein Problem mit Freigaben hast (also nicht nur mit den Administrativen), dann würde mal alle Basis-Einstellungen prüfen:
Datei- und Druckerfreigabe in Microsoft Netzwerken
Client für Microsoft Netzwerke
Firewall (hast Du ja)
Firewall dazwischen (oder ACLs im Router)
Domänenmitgliedschaft
Und wahrscheinlich hast Du da alles richtig...
Kannst Du den UNC Pfad direkt aufrufen? Also nicht durch Durchsuchen des Netzwerkes mittels Browser/Explorer?
\\SERVER\FREIGABE oder gar \\IP-ADRESSE\FREIGABE
Datei- und Druckerfreigabe in Microsoft Netzwerken
Client für Microsoft Netzwerke
Firewall (hast Du ja)
Firewall dazwischen (oder ACLs im Router)
Domänenmitgliedschaft
Und wahrscheinlich hast Du da alles richtig...
Kannst Du den UNC Pfad direkt aufrufen? Also nicht durch Durchsuchen des Netzwerkes mittels Browser/Explorer?
\\SERVER\FREIGABE oder gar \\IP-ADRESSE\FREIGABE
Ich habe jetzt ehrlich gesagt noch nicht per Durchsuchen auf eine Freigabe zugegriffen, sondern nur direkt.
Über IP habe ich natürlich auch probiert. Danke für die Anregungen.
Also ich möchte den Kern des Problems nochmals hervorheben. Die genannten Systeme sind Fileserver unter Server 2012.
Alles, was man von einem solchen System innerhalb einer Domäne erwarten kann, funktioniert. Jeder und alles kann auf die Freigaben wie erwartet zugreifen.
Nur der direkte Zugriff auf (admin oder nicht-admin)Freigaben von einem anderen 2012 System aus einen anderen Subnetz, das geht nicht.
Über IP habe ich natürlich auch probiert. Danke für die Anregungen.
Also ich möchte den Kern des Problems nochmals hervorheben. Die genannten Systeme sind Fileserver unter Server 2012.
Alles, was man von einem solchen System innerhalb einer Domäne erwarten kann, funktioniert. Jeder und alles kann auf die Freigaben wie erwartet zugreifen.
Nur der direkte Zugriff auf (admin oder nicht-admin)Freigaben von einem anderen 2012 System aus einen anderen Subnetz, das geht nicht.
Gibt es Systeme aus dem Subnetz, aus dem es nicht geht mit 2012, welche, mit denen es geht?
Hast du mal versucht in den Firewall-Einstellungen der SMB-Inbound-Regeln folgende Einstellung zu setzen ?
Was sagen die Ereignislogs der Systeme ?
Was sagen die Ereignislogs der Systeme ?
1
Habe ich probiert:
Edgeausnahme zulassen beseitigt nicht den Fehler, Subnetze sind auch nicht über NAT verbunden.
Keinerlei EreignissLogeinträge die man der Sache zuordnen kann.
Auf beiden Systemen ist derselbe Domänenadmin angemeldet; Beim Zugriff auf die Freigabe wird eine Anmeldemaske gezeigt und die Anmeldung verweigert.
Edgeausnahme zulassen beseitigt nicht den Fehler, Subnetze sind auch nicht über NAT verbunden.
Keinerlei EreignissLogeinträge die man der Sache zuordnen kann.
Auf beiden Systemen ist derselbe Domänenadmin angemeldet; Beim Zugriff auf die Freigabe wird eine Anmeldemaske gezeigt und die Anmeldung verweigert.
