17
Nicht domain-clients zugriff auf fileserver in domain
Hallo
ich habe ein problem, wie planen die umstellung auf einen neuen Fileserver (Win2008R2). Freigaben und daten habe ich schon alle übernommen und bin nun in der Testfase. Dabei ist mir aufgefallen das einige Clients ohne Probleme auf die Freigaben zugreifen können, andere jedoch nicht, da erscheint ein Anmeldebildschirm für die authentifizierung.
Zuerst ist mir das nicht aufgefallen, nachdem ich aber genauer überlegt habe fiel auf das es nur bei den Clients die nicht in der Domain sind nicht funktioniert.
meine vermutung ist, dass die ihren vollständigen Namen (also Rechnername\benutzername mit PW) zur authentifierung nehmen möchten und das geht nunmal nicht, is mir klar.
ich habe auch schon ehwig im netz gesucht, und auch vielversprechende dinge gefunden, leider haben die nicht zum erfolg geführt. daher ist jetzt meine letzte möglichkeit euch hier zu fragen, ich hoffe ihr könnt mir helfen!!!
Infos:
DC: win2k3
Fileserver: w2k8 r2
Domainfunktionsebene: 2003
Domainstruckturebene: 2003
clients: winXP SP3 / Win2000 (sowohl in als auch außerhalb der Domain.
ich bedank mich schonmal im voraus.
ich habe ein problem, wie planen die umstellung auf einen neuen Fileserver (Win2008R2). Freigaben und daten habe ich schon alle übernommen und bin nun in der Testfase. Dabei ist mir aufgefallen das einige Clients ohne Probleme auf die Freigaben zugreifen können, andere jedoch nicht, da erscheint ein Anmeldebildschirm für die authentifizierung.
Zuerst ist mir das nicht aufgefallen, nachdem ich aber genauer überlegt habe fiel auf das es nur bei den Clients die nicht in der Domain sind nicht funktioniert.
meine vermutung ist, dass die ihren vollständigen Namen (also Rechnername\benutzername mit PW) zur authentifierung nehmen möchten und das geht nunmal nicht, is mir klar.
ich habe auch schon ehwig im netz gesucht, und auch vielversprechende dinge gefunden, leider haben die nicht zum erfolg geführt. daher ist jetzt meine letzte möglichkeit euch hier zu fragen, ich hoffe ihr könnt mir helfen!!!
Infos:
DC: win2k3
Fileserver: w2k8 r2
Domainfunktionsebene: 2003
Domainstruckturebene: 2003
clients: winXP SP3 / Win2000 (sowohl in als auch außerhalb der Domain.
ich bedank mich schonmal im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182017
Url: https://administrator.de/contentid/182017
Printed on: April 20, 2024 at 02:04 o'clock
17 Comments
Latest comment
moin,
wie kann man(n) dir jetzt helfen?
Wir wissen es nicht, aber den Rat, von jetzt auf jeder lesen&ausführen umzustellen, den wisst du hier nicht bekommen, denn das machen "wir" Admins nicht.
So einen Serverumstieg macht man nicht on the fly, nimm ne Kiste teste das - und dann machste das am Wochenende richtig incl. uebernahme der live daten.
PS:
sp passt das dann besser
Gruß
wie kann man(n) dir jetzt helfen?
- Den Rat geben, die Anmeldedaten in das Fenster reinzumalen und den Haken mit dem speichern bloss nicht anzuklicken?
- Die Kiste in die Domain hängen?
Wir wissen es nicht, aber den Rat, von jetzt auf jeder lesen&ausführen umzustellen, den wisst du hier nicht bekommen, denn das machen "wir" Admins nicht.
So einen Serverumstieg macht man nicht on the fly, nimm ne Kiste teste das - und dann machste das am Wochenende richtig incl. uebernahme der live daten.
PS:
meine vermutung ist, dass die
versuchen, mit den Anmeldedaten, mit denen der User angemeldet ist, der das machen will - auf den Share zuzugreifen.sp passt das dann besser
Gruß
danke erstmal für die antwort,
ja sry hab vergessen etwas zu erwähnen.
der benutzer sol lsich am client anmelden (benutzername und PW sind auf client und in domain identisch) und er soll sofort auf die freigaben des fileservers zugreifen können. kann er aber nicht weil dieses sch* anmeldefenster kommt.
gebe ich da den domainuser (als domain\user und das pw) ein gehts natürlich auch. es besteht aber nicht die möglichkeit einen haken zu setzten zum speichern für die verbindung, also bei meinem win2k testclient.
mfg
ja sry hab vergessen etwas zu erwähnen.
der benutzer sol lsich am client anmelden (benutzername und PW sind auf client und in domain identisch) und er soll sofort auf die freigaben des fileservers zugreifen können. kann er aber nicht weil dieses sch* anmeldefenster kommt.
gebe ich da den domainuser (als domain\user und das pw) ein gehts natürlich auch. es besteht aber nicht die möglichkeit einen haken zu setzten zum speichern für die verbindung, also bei meinem win2k testclient.
mfg
salue,
dieses "s" anmeldefenster ist ein Sicherheitsfeature! und keinesfalls "Sch"
fangen wir gaaaanz von vorne an...
Was hast du vor?
Und das du bei w2k Client diesen Haken nicht gefunden hast - ist dein Glueck
PS: Ich bin ein ganz pingeliger...
Was testet du denn?
Der server ist in und Clients sind nicht in der Domain?
Ich dachte, du tauscht einen Server, der in der Domain ist gegen einen neuen aus und der ist zum Test noch nicht drin...
Bitte schreib das genauer, was du da vorhast und wenns moeglich ist auch warum.
Denn das macht auf den ersten & zweiten Blick keinen sinn.....
dieses "s" anmeldefenster ist ein Sicherheitsfeature! und keinesfalls "Sch"
fangen wir gaaaanz von vorne an...
Was hast du vor?
Und das du bei w2k Client diesen Haken nicht gefunden hast - ist dein Glueck
PS: Ich bin ein ganz pingeliger...
Was testet du denn?
Der server ist in und Clients sind nicht in der Domain?
Ich dachte, du tauscht einen Server, der in der Domain ist gegen einen neuen aus und der ist zum Test noch nicht drin...
Bitte schreib das genauer, was du da vorhast und wenns moeglich ist auch warum.
Denn das macht auf den ersten & zweiten Blick keinen sinn.....
also:
momentaner stand ist:
es gab mal eine domain vor meiner zeit namens domain1, da ist der DC abgestürzt und er konnte nicht "wiederbelebt" werden -> domain fürn A*
daraufhin wurde eine neue domain mit einem neuen dc erstellt namens domain2.
in domain1:
fileserver1 (alle Benutzerdaten und pw per hand eingetragen)
biztalkserver (alle Benutzerdaten und pw per hand eingetragen)
sqlserver (alle Benutzerdaten und pw per hand eingetragen)
in domain2:
exchange-server
DC
fileserver2
diverse Clients
aus finanzellen gründen die nicht in meiner hand liegen, sind nicht alle clients in domain2
der fileserver an sich mit ordnergrundgerüst steht. Ich versuche jetzt von den einzellnen clients mich draufzuwählen, also statt fileserer1 einfach fileserver2 eingeben bei den namender freigaben.
Da kommt dieses "sicherheitsfeature" wie du es schön nennst. obwohl benutzername und pw auf client und dc identisch sind.
hab ich jetzt alles?
momentaner stand ist:
es gab mal eine domain vor meiner zeit namens domain1, da ist der DC abgestürzt und er konnte nicht "wiederbelebt" werden -> domain fürn A*
daraufhin wurde eine neue domain mit einem neuen dc erstellt namens domain2.
in domain1:
fileserver1 (alle Benutzerdaten und pw per hand eingetragen)
biztalkserver (alle Benutzerdaten und pw per hand eingetragen)
sqlserver (alle Benutzerdaten und pw per hand eingetragen)
in domain2:
exchange-server
DC
fileserver2
diverse Clients
aus finanzellen gründen die nicht in meiner hand liegen, sind nicht alle clients in domain2
der fileserver an sich mit ordnergrundgerüst steht. Ich versuche jetzt von den einzellnen clients mich draufzuwählen, also statt fileserer1 einfach fileserver2 eingeben bei den namender freigaben.
Da kommt dieses "sicherheitsfeature" wie du es schön nennst. obwohl benutzername und pw auf client und dc identisch sind.
hab ich jetzt alles?
Hallo.
Wenn sich ein Nicht-Domänenpc mit Domänenressourcen verbinden will, kommt diese Kennwortabfrage.
Domänenname\Nutzername (durch Backslah trennen) bei Benutzername eingeben und das dazugehörige Kennwort - läuft, sofern sich der eingegebene Benutzer an ALLEN PCs authentifizieren darf ODER der Name des Nicht-DomänenPCs in der Liste der Workstations steht, an der sich der Nutzer, der eingegeben wurde, anmelden darf.
Hast Du das so gemacht und berücksichtigt?
Wenn sich ein Nicht-Domänenpc mit Domänenressourcen verbinden will, kommt diese Kennwortabfrage.
Domänenname\Nutzername (durch Backslah trennen) bei Benutzername eingeben und das dazugehörige Kennwort - läuft, sofern sich der eingegebene Benutzer an ALLEN PCs authentifizieren darf ODER der Name des Nicht-DomänenPCs in der Liste der Workstations steht, an der sich der Nutzer, der eingegeben wurde, anmelden darf.
Hast Du das so gemacht und berücksichtigt?
hallo derwowusste,
korekt. läuft!
ich kann dir nicht ganz folgen
Domänenname\Nutzername (durch Backslah trennen) bei Benutzername eingeben und das dazugehörige Kennwort - läuft,
korekt. läuft!
sofern sich der eingegebene Benutzer an ALLEN PCs authentifizieren darf ODER der Name des Nicht-DomänenPCs in der Liste der
Workstations steht, an der sich der Nutzer, der eingegeben wurde, anmelden darf.
Workstations steht, an der sich der Nutzer, der eingegeben wurde, anmelden darf.
ich kann dir nicht ganz folgen
Warte mal. Es läuft nach der Eingabe? Worin besteht dann Dein Problem?
ich habs zwar schon versucht zu erklären aber gern nochmal:
der benutzer sol lsich am client anmelden (benutzername und PW sind auf client und in domain identisch) und er soll sofort auf die freigaben des fileservers zugreifen können. kann er aber nicht weil dieses tolle anmeldefenster kommt und da soll er seine win-anmeldung zur authentifizierung nehmen. und das klappt nicht weil er meiner meinung nach "clientpcname\username" nimmt und nicht nur "username"
der benutzer sol lsich am client anmelden (benutzername und PW sind auf client und in domain identisch) und er soll sofort auf die freigaben des fileservers zugreifen können. kann er aber nicht weil dieses tolle anmeldefenster kommt und da soll er seine win-anmeldung zur authentifizierung nehmen. und das klappt nicht weil er meiner meinung nach "clientpcname\username" nimmt und nicht nur "username"
Ok, nun verstanden. Der Server setzt den Nutzernamen nicht in Zieldomain\angemeldeterNutzername um, das ist der Grund und das Problem. Ich sehe nur den Workaround, ein Netzlaufwerk zu verbinden - das kannst Du per Batch im Autostart samt Kennwort automatisieren.
du meinst also netzlaufwerk verbinden mit net use mit angabe von benutzernamen aus domain und passwort???
hatte ich schon versucht klappt aber nicht bei jedem benutzer. manche haben auch ein "leeres" PW da geht das nicht, oder? gibts da noch ne einstellung die ich achen kann?
aber bitte sag jetzte nicht pw vergeben, das ist nicht möglich!
hatte ich schon versucht klappt aber nicht bei jedem benutzer. manche haben auch ein "leeres" PW da geht das nicht, oder? gibts da noch ne einstellung die ich achen kann?
aber bitte sag jetzte nicht pw vergeben, das ist nicht möglich!
Natürlich sag ich jetzt genau das: "pw vergeben". Du kannst zwar einstellen, das leere Kennwörter für Netzwerkzugang genutzt werden dürfen, aber dann muss das auch am Server gelten... ein Sicherheitsmangel erster Güte.
Warum ist das Setzen nicht denkbar?
Warum ist das Setzen nicht denkbar?
wo kann man das einstelln?? must das per gruppenrichtline oder am fileserver direkt gemacht werden?
undenkbar weil zu großer administrativer aufwand für die umstellung aller benutzernamen ohne pw
undenkbar weil zu großer administrativer aufwand für die umstellung aller benutzernamen ohne pw
Nochmal deutlich: sowas stellt man nur ein, wenn man wirklich nicht anders kann. Dass dazu mein Tipp genutzt wird, kann ich nicht befürworten. Was für ein Aufwand entsteht dabei? Wieso gibt es Konten ohne pw? Das macht man unter keinen Umständen und es gibt keinen guten Grund für kein pw.
Salve,
einen letztenhab ich noch ..(und fragt mich bloss nicht, aus welcher guttenbergvorlage ich mir das ^geliehen hab...)
DC abgeraucht - gutti passiert
neuen dc aufgebaut - auch gut
aber, den in einer neuen domain platziert, statt ein Backup herzunehmen?
Wenn du es dir nicht verscherzen magst und damit meine ich mich und deinen Chef....
Dann machst du jetzt mal alles so, wie man es macht..
Wie du ohnen nen dc an die alte rechtestruktur drankommst, das wird was lustiges werden...
Aber wenn die tombstonezeit auf dem filer abgelaufen ist, und du jetzt irgendwelche tricks ohne doppelten boden und ohne Seil zimmerst...
dann solltest du zu dem zeitpunkt ohne handy mit ner millionen in der einen und nem cuba libre in der anderen hand auf ner kleinen insel sein....
Ernster Rat zu der nummer.
Wirklich, das geht ganz schnell in die Hose
einen letztenhab ich noch ..(und fragt mich bloss nicht, aus welcher guttenbergvorlage ich mir das ^geliehen hab...)
DC abgeraucht - gutti passiert
neuen dc aufgebaut - auch gut
aber, den in einer neuen domain platziert, statt ein Backup herzunehmen?
Wenn du es dir nicht verscherzen magst und damit meine ich mich und deinen Chef....
Dann machst du jetzt mal alles so, wie man es macht..
Wie du ohnen nen dc an die alte rechtestruktur drankommst, das wird was lustiges werden...
Aber wenn die tombstonezeit auf dem filer abgelaufen ist, und du jetzt irgendwelche tricks ohne doppelten boden und ohne Seil zimmerst...
dann solltest du zu dem zeitpunkt ohne handy mit ner millionen in der einen und nem cuba libre in der anderen hand auf ner kleinen insel sein....
Ernster Rat zu der nummer.
Wirklich, das geht ganz schnell in die Hose
@ DerWoWusste
das geht nicht, wenn ich das sage mein ich das auch so, danke trotzdem
@timobeil
das war leider weit vor meiner zeit im unternehmen. und die rechte sind schon alle neuvergeben. mir geht es einzig und allein um den zugriff von nicht domainclients auf den fileserver in der domaine, ohne dieses anmeldefenster.
solange ich da schon dabei bin hab ich viel erlebr und auch schon einiges umgestellt so wie es sein soll!
kannst du mir da helfen mit dem anmeldefenster???
das geht nicht, wenn ich das sage mein ich das auch so, danke trotzdem
@timobeil
das war leider weit vor meiner zeit im unternehmen. und die rechte sind schon alle neuvergeben. mir geht es einzig und allein um den zugriff von nicht domainclients auf den fileserver in der domaine, ohne dieses anmeldefenster.
solange ich da schon dabei bin hab ich viel erlebr und auch schon einiges umgestellt so wie es sein soll!
kannst du mir da helfen mit dem anmeldefenster???
Ok,
Aber nur unter meinen bedingungen....
Wieviele clients sind denn nicht in der domain?
Du ahnst es, das ist der einzige saubere weg, der weder in die hose geht, noch unsupportet ist.
Dass du das mit dem leeren passwort nur dann machen kannst, wenn kein vpn, kein owa/oma von aussen zugaenglich ist, dass muss dir und deinem chef klar sein.
Und w2k kisten, wuerde ich heute wirklich nicht mehr einsetzen, mein virenscanner laeuft darauf garnicht mehr....
Gruss
Aber nur unter meinen bedingungen....
Wieviele clients sind denn nicht in der domain?
Du ahnst es, das ist der einzige saubere weg, der weder in die hose geht, noch unsupportet ist.
Dass du das mit dem leeren passwort nur dann machen kannst, wenn kein vpn, kein owa/oma von aussen zugaenglich ist, dass muss dir und deinem chef klar sein.
Und w2k kisten, wuerde ich heute wirklich nicht mehr einsetzen, mein virenscanner laeuft darauf garnicht mehr....
Gruss
sind ca 50%clients in der domain sind 50stück davon ca 20 ohne pw. mehrer pcs nutzen die gleich anmeldung. das sind sozugagen nur 4 accounts ohne pw aber die werden auf mehreren pcs genutzt
win 2k kisten hoffe ich auch das die putt gehen, damit ich neue bekomm, anders wirds net
kein vpn
kein owa/oma
danke
win 2k kisten hoffe ich auch das die putt gehen, damit ich neue bekomm, anders wirds net
kein vpn
kein owa/oma
danke
