Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

benutzerkennung wird nicht übergeben - kerberos oder ldap?

Frage Microsoft Windows Server

Mitglied: bbecker

bbecker (Level 1) - Jetzt verbinden

13.04.2007, aktualisiert 16.04.2007, 5632 Aufrufe, 6 Kommentare

kann nichts vom laufwerk öffnen

Hallo zusammen,

hab ein riesenproblem - im netzwerk werden die nutzerberechtigungen nicht übermittelt.

Woran kann es liegen? Meine Vermutung ist, dass Berechtigungen über kerberos oder ldap nicht übergeben werden. Aber wie kann ich kontrollieren, ob die Protokolle richtig funktionieren?

Im DNS verweisen die Einträge auf jeden Fall auf unseren DC.
Mitglied: LarsJakubowski
13.04.2007 um 14:21 Uhr
Hi,

hast Du mal auf einer Maschine in der cmd gpupdate gemacht?
Dann sollte die Richtlinie vom DC gezogen werden.
Kontrolliere dann das Event Log nach Fehlern oder einem positiven eintrag.
Bitte warten ..
Mitglied: Rafiki
13.04.2007 um 20:12 Uhr
Hallo,

ich kann deine Frage leider nicht so richtig nachvollziehen. Hat deine heutige Frage etwas mit der Frage von vor 2 Tagen gemeinsam? ("zugriff auf netzlaufwerk authentifizierung - kerberos?")

Von wo nach wo versuchst du welche "Nutzerberechtigungen" zu übermitteln?
Vor zwei Tagen sagtest du
der fileserver ist auch neu installiert. Lediglich die festplatte, mit den dateien ist geblieben. rechte sind aber korrigiert

Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen.
Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?
www.eventid.net ist dann meine bevorzugte Quelle.

Gruß Rafiki
Bitte warten ..
Mitglied: bbecker
14.04.2007 um 08:44 Uhr
Hallo Rafiki,

danke für Deine Antwort. Die Berechtigungen werden über die Group Policy des DC verwaltet.

Wenn ich mich an einem Client anmelde, müsste mir die GP bspw volle Schreibrechte auf dem Fileserver geben.

Dies funktioniert aber nicht.

Der Filesever (und der DC) kann keinen Nutzer identifizieren. Lokal kann ich mit meinem Benutzernamen alles durchführen (bspw. Programme über auführen als).

Daher meine Vermutung, die Anmeldung wird nicht übergeben. Wie kann ich das kontrollieren, ob das so ist?

Vielen Dank
Bitte warten ..
Mitglied: Rafiki
14.04.2007 um 11:42 Uhr
Hallo bbecker, ich habe den Eindruck, dass du wenig über das von Dir administrierte Netzwerk weißt. Das ist an sich kein Problem, wir helfen gerne. Aber wenn ich die eine Frage stelle, z.B. nach den Berechtigungen, wäre es höflich diese auch zu beantworten. Sonst kommen wir nicht weiter und es macht mir dann auch keinen Spaß hier noch weitere Kommentare zu schreiben.

Nun versuchen wir mal etwas Struktur in deine Fehlersuche zu bringen. Aus diesem Posting und den beiden vorhergehenden habe ich entnommen, dass es sich um einen Windows 2003 Server handelt der Domain Controller ist. Dann einen File Server der Domain Member ist und ca. 15 Clients PC’s und Benutzer in der Domain.

Zu erst muss der Domain Controller fehlerfrei laufen, dann der FileServer. Erst danach interessieren und Benutzerkonten, Client PCs und wenn das alles funktioniert können GPO’s aktiviert werden.

Da die GPO’s das letzte in der Kette sind würde ich an deiner Stelle alle selbst gebauten GPO’s deaktivieren, bzw. die default domain policy und die default domain controller policy auf Standardwerte zurücksetzen.

Auf dem DC bitte das adminpak installieren und die Befehle dcdiag und netdiag ausführen. Beide Befehle prüfen diverse Einstellungen und Funktionen. Wenn dir dabei Fehler angezeigt werden, und davon gehe ich jetzt erst einmal aus, dann musst du dich um diese Probleme zuerst kümmern bzw. die Ursache dafür finden und verstehen.
Es kann beispielsweise sein das netdiag das fehlen von WINS bemängelt. Wenn das bei euch so gewollt ist dann darfst du diese Warnung ignorieren. Eine Warnung im Zusammenhang mit DNS muss sehr ernst genommen werden.

Notire dir die Uhrzeit wann du dcdiag startest. Anschließend im Eventlog nachsehen welche Fehler und Warnungen zu dieser Zeit erzeugt wurden.

Die Fehlermeldungen bei google eingeben bzw. die Eventlogs bei www.eventid.net nachsehen. Wenn du mit einem Fehler nicht weiterkommst dann poste gerne hier im Forum.

Wenn der DC dann fehlerfrei läuft, bitte wie in meinem Kommentar von gestern Abend, den Fileserver prüfen:
Wie und wo hast du die Rechte vergeben? Für die Netzwerkfreigabe oder für die Datei?
Verwende auf dem Dateiserver das Tool cacls um dir die Berechtigungen anzeigen zu lassen. Dort müssen die Domainbenutzer die entsprechenden Berechtigungen haben. Wenn das nicht funktioniert prüfe das Eventlog auf dem Dateiserver im Abschnitt System und Anwendung. Gibt es dort Eventlogeinträge die auf Probleme zwischen dem Dateiserver und dem Domaincontroller schließen lassen?

Gruß Rafiki
Bitte warten ..
Mitglied: LarsJakubowski
15.04.2007 um 12:00 Uhr
Guten Morgen,

da kann ich mich Rafki nur anschließen.
Immer zu erst sehen, dass alles Systeme fehlerfrei laufen (Schön der Reihe nach) und immer testen!

Die Schreib/Leserechte werden aber nicht über die Policy vom DC sondern über die Eigenschaften der Objekte auf der Festplatte (Sorry, steh auf dem Schlauch wie ich das Beschreiben soll )

In den Policys vom DC regelst Du ja das Verhalten von Windows, Sicherheitseinstellungen (Nicht die des Filessystems!), ect.

Erst wenn alles Fehlerfrei läuft, auch die Zugriffe auf den Filesserver, dann anfangen die Gruppenrichtlinien zu implementieren.


Grüße
Lars
Bitte warten ..
Mitglied: bbecker
16.04.2007 um 08:59 Uhr
danke für den suppoort hier im forum. ist klar, dass die berechtigungen über eigenschaften - sicherheit vergeben werden.

so habe ich das auch auf dem fileserver getan. es gibt mehrere sicherheitsgruppen, denen für verschiedene ordner vollzugriff gewährt wurde. der domänenadmin hat vollzugriff auf alle verzeichnisse.

im eventlog des fileservers stehen keine besonders bedeutenden einträge. Was mich allerdings wundert, unter sicherheit finde ich die an bzw abmeldung aller benutzer. Somit erkennt der Fileserver die Benutzer doch.

aber nun zum DC:

habe dcdiag ausgeführt. alle tests waren erfolgreich, bis auf as problem hier:

Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:19
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:20
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:21
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:22
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 04/16/2007 08:20:24
(Event String could not be retrieved)
An Error Event occured. EventID: 0x825A0011
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC25A001D
Time Generated: 04/16/2007 08:50:25
(Event String could not be retrieved)
......................... -DE-SBS failed test systemlog

bei netdiag haben auch alle test funktioniert, ausser:


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.16.2'.
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '217.237.151.205'. Please wait for 30 minutes for DNS server replication.


192.168.16.2 -> IP eigener DC
217.237.151.205 -> IP externer DNS SERVER

im systemlog (verzechnisdienst) werden sekändlich folgende Meldungen produziert:

Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1139
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer:
-DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search nach 0 ms abgeschlossen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ereignistyp: Informationen
Ereignisquelle: NTDS LDAP
Ereigniskategorie: LDAP-Schnittstelle
Ereigniskennung: 1138
Datum: 16.04.2007
Zeit: 08:36:20
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: **-DE-SBS
Beschreibung:
Internes Ereignis: Funktion ldap_search eingegeben.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Bitte warten ..
Ähnliche Inhalte
Java
Kerberos SSO in Java simulieren.
Frage von RobertVox1977Java1 Kommentar

Hallo, Ich möchte Kerberso - SSO in Java lernen. Mein Frage ist ob ich nicht yu schwachen Laptop habe. ...

Apache Server
Kerberos über Apache Reverse Proxy
Frage von spcvltApache Server

Hallo, gibt es eine Möglichkeit über einen Apache Reverse Proxy eine Seite von extern nach intern zuleiten, die gleichzeitig ...

Windows Server
Exchange Kerberos-Auth
Frage von Philipp711Windows Server

Hallo Leute, wir haben unseren Exchange nach dieser Anleitung auf die Kerberos-Authentifizierung vorbereitet: Soweit sollte alles funktioniert haben - ...

Linux Netzwerk
Nutzt hier jemand den SQUID mit Kerberos-Authentifizierung?
Frage von DerWoWussteLinux Netzwerk4 Kommentare

Hallo Kollegen! dann bitte melden, ich hätte da eine recht komplizierte Frage (die ich jetzt nicht abtippe, wenn es ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing7 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...