Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Server 2008 R2 DC antwortet nur innerhalb der Domäne auf DNS-Anfragen

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

15.09.2011, aktualisiert 19.09.2011, 6754 Aufrufe, 11 Kommentare

Hallo,
Habe hier ein Problem mit Server 2008 R2 und nicht-Domänenmitgliedern.
Das betrifft im speziellen den DNS-Server aber auch File-Shares.

Also wir migrieren hier gerade von einer 2003-Domäne auf 2008R2.
Dazu wurde ein zusätzlicher virtueller Domaincontroller geschaffen auf dem Server 2008 R2 läuft, natürlich mit DNS.
Die Domäne wurde mit adprep fehlerfrei erweitert und der 2008er DC läuft an sich auch problemlos.
Alle Master-Rollen sind auf den 2008er umgezogen aber die alten 2003er DC's laufen noch weiter.

Folgendes Problem tritt nun auf:
Wenn ich bei einem nicht-Domänencomputer den 2003er DC als DNS-Server angebe klappt ein nslookup problemlos. Gebe ich den 2008er an, kommt ein Time-Out.
Hebe ich den PC mit einem 2003er als DNS eingestellt in die Domäne und stelle dann um auf den 2008er DNS um, klappt ein nslookup wunderbar.
Generell läuft das DNS domänenintern fehlerfrei.

Irgenwie scheint der 2008 R2er also den Zugriff von "außen" zu blocken. Allerdings nutzt er dieselbe Policy wie die 2003er DC's für die lokalen Sicherheitseinstellungen und die Windows-Firewall ist für alle Netze deaktiviert.
Im selben Netz ist er mit den nicht-Domänenclients auch.
Ping geht, Zugriff auf z.B. netlogon-share nach manueller Authentifizierung mit einem Domänen-User auch.

Diese manuelle Authentifizierung ist auch das zweite Problem. Bei den 2003ern kann man mit einem PC, der nicht Domänenmitglied ist und auf dem man lokal mit Benutzername und Passwort eines Domänenbenutzers (also beides gleich wie bei einem Dom-User) angemeldet ist, sofort auf Freigaben zugreifen. Beim 2008er muss man sich nun erst erneut authentifizieren.

Hat jemand eine Idee, woran das liegen kann? Wurde da irgendwo eine neue Sicherheitseinstellung eingeführt?
Vorrang hat da die DNS-Sache, weil die 2003er eigentlich bald verschwinden sollen.
Mitglied: 60730
15.09.2011 um 16:56 Uhr
moin,

lass mich raten...

Gebe ich den 2008er an, kommt ein Time-Out.
  • und im Eventlog des Servers taucht ein Fehler 5774 auf?
Bitte warten ..
Mitglied: DerWoWusste
15.09.2011 um 20:41 Uhr
Tag.
Ich fürchte, das ist kein normales Verhalten.
Hier (non-domain-Client: Win7 x64 SP1, Admin hat das selbe Kennwort wie ein gleichnamiges Domänenkonto auf 2008 R2 SP1) geht sowohl nslookup als auch der Freigabezugriff ohne Weiteres. Einstellungen sind bei beiden definitiv default.
Bitte warten ..
Mitglied: 83466
15.09.2011 um 23:14 Uhr
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit: Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" -> "Sicherheitsoptionen".

Mfg

Phyrexian
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:01 Uhr
Zitat von 60730:

* und im Eventlog des Servers taucht ein Fehler 5774 auf?

Nein kein Fehler 5774.
Die einzigen Fehler im Eventlog betreffen nicht vorhandene Druckertreiber für Terminalservices was normal ist.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:05 Uhr
Zitat von 83466:
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip
gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit:
Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" ->
"Sicherheitsoptionen".


Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Das mit den Shares betrifft leider auch XP und 2k aber werde das mal untersuchen. Möglich, dass der Server 2008 die Authentifizierung aber auch ablehnt oder so. Werde mir besagtew Richtlinien mal Client- und Serverseitig ansehen.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:29 Uhr
Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als
Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Suffix hat nichts geändert. Ich bin mir auch ziemlich sichher, dass es ein Problem des Servers ist und nicht des Clients. Wie gesagt bei der 2003ern gehts ja.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:31 Uhr
Habe jetzt ergänzend mal einen zweiten Server 2008 R2 Sp1 aufgesetzt und der zeigt die gleichen Symptome wenn ich versuche mit dem 2008er AD-Controller zu verbinden. Also Authentifizierung bei Shares trotz gleicher Userdaten und kein DNS vom 2008er sondern nur vom 2003er solange er nicht in der Domäne ist.
Bitte warten ..
Mitglied: 83466
19.09.2011 um 08:53 Uhr
Ich werde das später wenn ich etwas Zeit finde, mir nocheinmal genauer ansehen. Ich muss mir allerdings erstmal wieder einen Win 2003 als DC aufsetzen, das kann noch etwas dauern
bis ich die CDs wieder gefunden hab.

Solltest du in der Zwischenzeit etwas herausfinden, poste bitte kurz deine Lösung.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 09:49 Uhr
Also die Sache mit den Freigaben kann man anders regeln, was aber nicht wirklich toll ist.
Zum einen kann man das Gast-Konto aktivieren, dann gehts. Oder man reduziert diese neue Sicherheitsstufe mit der anonymen Authentifizierung, dass diese nicht in der Gruppe "jeder" mit inbegriffen ist.
Leider aktiviert man damit letztlich einen anonymen Zugriff auf den Server oder nur auf gewisse Shares wenn man den anonymen Zugriff nur auf Share-Ebene aktiviert.
Das ist letztlich keine Lösung.
Wir haben uns allerdings ein Workaround überlegt indem wir bei den betroffenen Shares einen eigenen User im AD definieren und diesen dann beim mappen des Shares übers Logon-Script mitgeben.

Bezüglich des DNS-Servers hilft das jedoch alles nichts.
Ich habe mal noch versucht in den Eigenschaften des DNS-Servers bei der Sicherheit den anonymen, Gast- und jeder-Zugriff zu aktivieren aber auch das brachte nichts. Ich würde ja sagen, dass der DNS nen Schlag weg hat aber dann verstehe ich nicht warum er innerhalb der Domäne einwandfrei funktioniert.
Wenn ich es nicht besser wüsste, bin ich fast geneigt zu glauben, dass die Windows-Firewall im Hintergrund immer noch läuft obwohl deaktiviert. Werde deshalb als nächstes Mal versuchen was passiert, wenn ich die wieder aktiviere aber DNS freigebe.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 10:10 Uhr
Moin,

Danke an alle für die Hilfestellungen. Problem mit dem DNS ist gelöst.
Hatte bei der IP in der DNS-Config auf der abhört einen Zahlendreher drin. Server hat nämlich mehrere Netzwerke und soll nur auf bestimmten als DNS dienen.
Domänenmitglieder bekommen nach dem Beitritt automatisch eine andere IP und fallen dann ins das Netzwerk was ich richtig angegeben hatte.
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Da das mit den Shares über Umwege auch zu lösen ist, habe ich den Beitrag als gelöst markiert.
Bitte warten ..
Mitglied: 99045
19.09.2011 um 10:18 Uhr
Zitat von dduchardt:
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Moin,

das braucht dir nicht peinlich zu sein, sowas kommst eben schon mal vor. Schön, dass du uns vom Ergebnis informiert hast.

Erfahrung ist eine nützliche Sache. Leider macht man sie immer erst kurz nachdem man sie brauchte...

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows Server
2012 R2 Server in bestehende 2008 R2 Domäne als DC hinzufügen
gelöst Frage von anak1mWindows Server12 Kommentare

Hallo zusammen, ich habe zwar schon im Internet geschaut aber nicht wirklich einen aussagekräftigen Artikel gefunden wie man ohne ...

Exchange Server
DNS Anfragen an anderen Server weiterleiten
Frage von fabio84Exchange Server9 Kommentare

Hallo Admins, kurze Frage: Aufgrund der Zertifikatsumstellung (Exchange) von local auf .de habe ich eine neue Forward DNS Zone ...

Windows Server
2012R2 DNS antwortet zu langsam
gelöst Frage von TeWutzWindows Server4 Kommentare

Moin, moin. Vor Kurzem wurde bei uns der DC von 2003 auf 2012R2 angehoben. Es gibt nur diesen einen ...

Windows Server
Übertragen DHCP Konfiguration von 2008 R2 DC auf anderen 2008 R2 DC
Frage von CornitusWindows Server8 Kommentare

Hallo, wir haben einen zentralen Standort und zwei Filialen. In der Zentrale sind zwei DCs mit Server 2008 R2 ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...