Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Server 2008 R2 DC antwortet nur innerhalb der Domäne auf DNS-Anfragen

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

15.09.2011, aktualisiert 19.09.2011, 6576 Aufrufe, 11 Kommentare

Hallo,
Habe hier ein Problem mit Server 2008 R2 und nicht-Domänenmitgliedern.
Das betrifft im speziellen den DNS-Server aber auch File-Shares.

Also wir migrieren hier gerade von einer 2003-Domäne auf 2008R2.
Dazu wurde ein zusätzlicher virtueller Domaincontroller geschaffen auf dem Server 2008 R2 läuft, natürlich mit DNS.
Die Domäne wurde mit adprep fehlerfrei erweitert und der 2008er DC läuft an sich auch problemlos.
Alle Master-Rollen sind auf den 2008er umgezogen aber die alten 2003er DC's laufen noch weiter.

Folgendes Problem tritt nun auf:
Wenn ich bei einem nicht-Domänencomputer den 2003er DC als DNS-Server angebe klappt ein nslookup problemlos. Gebe ich den 2008er an, kommt ein Time-Out.
Hebe ich den PC mit einem 2003er als DNS eingestellt in die Domäne und stelle dann um auf den 2008er DNS um, klappt ein nslookup wunderbar.
Generell läuft das DNS domänenintern fehlerfrei.

Irgenwie scheint der 2008 R2er also den Zugriff von "außen" zu blocken. Allerdings nutzt er dieselbe Policy wie die 2003er DC's für die lokalen Sicherheitseinstellungen und die Windows-Firewall ist für alle Netze deaktiviert.
Im selben Netz ist er mit den nicht-Domänenclients auch.
Ping geht, Zugriff auf z.B. netlogon-share nach manueller Authentifizierung mit einem Domänen-User auch.

Diese manuelle Authentifizierung ist auch das zweite Problem. Bei den 2003ern kann man mit einem PC, der nicht Domänenmitglied ist und auf dem man lokal mit Benutzername und Passwort eines Domänenbenutzers (also beides gleich wie bei einem Dom-User) angemeldet ist, sofort auf Freigaben zugreifen. Beim 2008er muss man sich nun erst erneut authentifizieren.

Hat jemand eine Idee, woran das liegen kann? Wurde da irgendwo eine neue Sicherheitseinstellung eingeführt?
Vorrang hat da die DNS-Sache, weil die 2003er eigentlich bald verschwinden sollen.
Mitglied: 60730
15.09.2011 um 16:56 Uhr
moin,

lass mich raten...

Gebe ich den 2008er an, kommt ein Time-Out.
  • und im Eventlog des Servers taucht ein Fehler 5774 auf?
Bitte warten ..
Mitglied: DerWoWusste
15.09.2011 um 20:41 Uhr
Tag.
Ich fürchte, das ist kein normales Verhalten.
Hier (non-domain-Client: Win7 x64 SP1, Admin hat das selbe Kennwort wie ein gleichnamiges Domänenkonto auf 2008 R2 SP1) geht sowohl nslookup als auch der Freigabezugriff ohne Weiteres. Einstellungen sind bei beiden definitiv default.
Bitte warten ..
Mitglied: 83466
15.09.2011 um 23:14 Uhr
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit: Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" -> "Sicherheitsoptionen".

Mit freundlichen Grüßen

Phyrexian
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:01 Uhr
Zitat von 60730:

* und im Eventlog des Servers taucht ein Fehler 5774 auf?

Nein kein Fehler 5774.
Die einzigen Fehler im Eventlog betreffen nicht vorhandene Druckertreiber für Terminalservices was normal ist.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:05 Uhr
Zitat von 83466:
Guten Abend,
probiere bitte einmal, bei der Lanverbindung als DNS-Suffix den Namen deiner AD-Domäne einzutragen.
Wir haben auch häufiger das Problem mit dem DNS und ich behelfe mir so. Zu dem Problem mit den Freigaben,
ich habe selbiges Problem, wenn die lokalen Anmeldedaten mit denen des AD-Kontos übereinstimmen kommt dennoch die
Benutzerdatenabfrage. Ich dachte, dass wäre normal. Ich habe mal etwas mit einem Samba-Share rumgespielt und bin auf den Tip
gestoßen,
etwas in den lokalen Richtlinien unter WIndows 7 zu ändern, vielleicht hilft es dir weiter.

Öffne den Editor für die lokalen Sicherheitsrichtlinien und änder die Einstellungen von "Netzwerksicherheit:
Lan Manager-Authentifizierungsebene"
auf "LM- und NTLM-Antworten senden". Der Eintrag ist zu finden unter "Lokale Richtlinien" ->
"Sicherheitsoptionen".


Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Das mit den Shares betrifft leider auch XP und 2k aber werde das mal untersuchen. Möglich, dass der Server 2008 die Authentifizierung aber auch ablehnt oder so. Werde mir besagtew Richtlinien mal Client- und Serverseitig ansehen.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:29 Uhr
Das mit den DNS-Suffix werde ich mal testen. Bislang haben wir das so gehandhabt, dass wir den NB-Namen der Domäne als
Workgroup eingetragen haben. Also anstatt xy.abc.global dann xyabc als Workgroup.

Suffix hat nichts geändert. Ich bin mir auch ziemlich sichher, dass es ein Problem des Servers ist und nicht des Clients. Wie gesagt bei der 2003ern gehts ja.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 08:31 Uhr
Habe jetzt ergänzend mal einen zweiten Server 2008 R2 Sp1 aufgesetzt und der zeigt die gleichen Symptome wenn ich versuche mit dem 2008er AD-Controller zu verbinden. Also Authentifizierung bei Shares trotz gleicher Userdaten und kein DNS vom 2008er sondern nur vom 2003er solange er nicht in der Domäne ist.
Bitte warten ..
Mitglied: 83466
19.09.2011 um 08:53 Uhr
Ich werde das später wenn ich etwas Zeit finde, mir nocheinmal genauer ansehen. Ich muss mir allerdings erstmal wieder einen Win 2003 als DC aufsetzen, das kann noch etwas dauern
bis ich die CDs wieder gefunden hab.

Solltest du in der Zwischenzeit etwas herausfinden, poste bitte kurz deine Lösung.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 09:49 Uhr
Also die Sache mit den Freigaben kann man anders regeln, was aber nicht wirklich toll ist.
Zum einen kann man das Gast-Konto aktivieren, dann gehts. Oder man reduziert diese neue Sicherheitsstufe mit der anonymen Authentifizierung, dass diese nicht in der Gruppe "jeder" mit inbegriffen ist.
Leider aktiviert man damit letztlich einen anonymen Zugriff auf den Server oder nur auf gewisse Shares wenn man den anonymen Zugriff nur auf Share-Ebene aktiviert.
Das ist letztlich keine Lösung.
Wir haben uns allerdings ein Workaround überlegt indem wir bei den betroffenen Shares einen eigenen User im AD definieren und diesen dann beim mappen des Shares übers Logon-Script mitgeben.

Bezüglich des DNS-Servers hilft das jedoch alles nichts.
Ich habe mal noch versucht in den Eigenschaften des DNS-Servers bei der Sicherheit den anonymen, Gast- und jeder-Zugriff zu aktivieren aber auch das brachte nichts. Ich würde ja sagen, dass der DNS nen Schlag weg hat aber dann verstehe ich nicht warum er innerhalb der Domäne einwandfrei funktioniert.
Wenn ich es nicht besser wüsste, bin ich fast geneigt zu glauben, dass die Windows-Firewall im Hintergrund immer noch läuft obwohl deaktiviert. Werde deshalb als nächstes Mal versuchen was passiert, wenn ich die wieder aktiviere aber DNS freigebe.
Bitte warten ..
Mitglied: dduchardt
19.09.2011 um 10:10 Uhr
Moin,

Danke an alle für die Hilfestellungen. Problem mit dem DNS ist gelöst.
Hatte bei der IP in der DNS-Config auf der abhört einen Zahlendreher drin. Server hat nämlich mehrere Netzwerke und soll nur auf bestimmten als DNS dienen.
Domänenmitglieder bekommen nach dem Beitritt automatisch eine andere IP und fallen dann ins das Netzwerk was ich richtig angegeben hatte.
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Da das mit den Shares über Umwege auch zu lösen ist, habe ich den Beitrag als gelöst markiert.
Bitte warten ..
Mitglied: 99045
19.09.2011 um 10:18 Uhr
Zitat von dduchardt:
Ich hab das bestimmt 100x überprüft und es ist mir nicht aufgefallen.
Sorry. Das ist mir jetzt echt peinlich.

Moin,

das braucht dir nicht peinlich zu sein, sowas kommst eben schon mal vor. Schön, dass du uns vom Ergebnis informiert hast.

Erfahrung ist eine nützliche Sache. Leider macht man sie immer erst kurz nachdem man sie brauchte...

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst NTP Server auf einem Windows Server 2008 R2 DC standardmäßig schon drauf? (11)

Frage von M.Marz zum Thema Windows Server ...

Windows Installation
gelöst Vmware 5.1 + Server 2008 R2 DC C: Partition vergrößern (6)

Frage von Tranministrator zum Thema Windows Installation ...

Windows Server
Server 2008 R2 DC zu Server 2012 R2 upgraden (11)

Frage von M.Marz zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...