Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Voranmeldung Windows 7 an Windows Server 2003 DFS

Frage Microsoft Windows Server

Mitglied: Nailara

Nailara (Level 1) - Jetzt verbinden

20.08.2010 um 14:04 Uhr, 4261 Aufrufe, 5 Kommentare

Hallo zusammen,

es existiert eine Windows 2008-Domäne A mit einigen Windows XP-Clients. In einer weiteren Domäne B existiert ein DFS-Stamm, auf den User regelmäßig zugreifen sollen. Die User haben sowohl in Domäne A und in Domäne B je einen Account, der den gleichen Anmeldenamen und das gleiche Kennwort hat. Die Domänen haben eine NT4-kompatible Vertrauensstellung, wobei Domäne A der Domäne B vertraut. Die Vertrauensstellung ist (leider) einseitig.

Bei den Windows XP-Anmeldeskripten ist ein Batch hinterlegt, dass den Nutzer der Domäne A beim Arbeiten auf einem Computer der Domäne A mit seinem Anmeldenamen der Domäne B in der Domäne B am DFS-Stamm voranmeldet. Da die Kennworte in beiden Domänen identisch sind, braucht der Nutzer für den Zugriff in Domäne B kein Kennwort angeben.

Die Voranmeldung sieht so aus:

net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname

Nach dieser "Voranmeldung" ist es mit dem Explorer möglich, einfach das Share \\domainB.de\dfsbasis\dfsshare oder Unterverzeichnisse aufzurufen und zuzugreifen.


Jetzt steht eine Migration nach Windows 7 an und dieser hier beschriebene Mechanismus funktioniert mit Windows 7 nicht. Nach dem Versuch des Öffnens des Shares dauert es einen kurzen Moment bis ein Fenster angezeigt wird, das mitteilt, dass der Benutzername oder das Kennwort falsch sind.

Durch Hinweise im Internet habe ich bereits mit secpol.msc die Anmeldetypen so umgestellt, dass NTLM und LM wieder möglich sind - trotzdem funktioniert es nicht. Ein Sniff mit Whireshark zeigt, dass sich Windows 7 versucht an dem DFS anzumelden und dabei quasi den falschen Domänennamen mitgibt. Statt DomainB\Logonname wird DomainA\Logonname an den Server übertragen, was dann natürlich schief geht, da ja die Vertrauensstellung in die falsche Richtung zeigt.

Hülfe zusammen, das Problem ist wirklich vertrakt und alle Hinweise sind willkommen. Nicht nur Hinweise, wie das Problem zu lösen ist, auch Workarounds, die dem Nutzer das manuelle Anmelden an den DFS-Laufwerken ermöglichen, sind gern willkommen. Ausgeschlossen ist, dass die Vertrauensstellung beidseitig wird oder eine Datenmigration stattfindet - aber sonst sind viele Wege offen.

Danke schön.
Mitglied: 2hard4you
20.08.2010 um 21:47 Uhr
Moin,

die Lösung schließt Du im Post aus - also gibt es keine Lösung.

Punkt.

Gruß

24

/edit: Mit Win7 / W2k8 hat M$ endlich das Securitykonzept näher an die Realität gebracht - und das ist gut so...
Bitte warten ..
Mitglied: DerWoWusste
22.08.2010 um 21:57 Uhr
Moin.
Erklären kann ich es mir nicht, nachstellen leieder erstmal auch nicht.
Was passiert denn auf der Kommandozeile, wenn Du
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
abfeuerst bzw. das selbe unter Angabe eines Laufwerksbuchstabens?
Bitte warten ..
Mitglied: Nailara
22.08.2010 um 23:19 Uhr
'n Abend ,

bei XP wie gesagt ist alles ok, starte ich anschließend den Explorer, kann ich das Verzeichnis erreichen und öffnen.

Unter Windows 7 meldet net use zurück, dass der Befehl erfolgreich ausgeführt werden konnte und bei der Anzeige von net use sieht auch erst einmal alles so aus als wäre es ok.

Starte ich dann den Explorer und versuche dann einen Ordner zu erreichen, geht das schief, egal ob mit oder ohne Laufwerksbuchstaben.

Inzwischen habe ich mal das UAC abgeschaltet und in der Registrierdatenbank einen Eintrag gesetzt, dass administrativ verbundene Laufwerke an den User durchgereicht werden dürfen (sowas gibt es wirklich) und trotzdem haut das einfach nicht hin.

Beim Sniffen mit Whireshark wird der Anmeldename korrekt übermittelt, aber die Domäne ist DomainA und nicht DomainB.

Der Zielserver ist ein Windows Server 2003 mit SP2 und ich habe die gängigen Hinweise im Internet schon mal ausprobiert. Da gibt es bei der Registry noch den LSA-Schlüssel und dort sowas wie lmcomaptibilitymode - auch der steht schon auf 0. Die Kombination von abgeschalteter UAC und lmcompatibilitymode und administrative Netzverbindungen an User durchreichen zieht auch nicht.

Es hat den Anschein als wenn Windows die Voranmeldung zunächst einmal als "Fake" ansieht, die bestätigt und dann, wenn der Zugriff tatsächlich erfolgt, erst die Session aufmacht und das mit den Credentials, die dem User direkt zugeordnet sind und nicht mit den Credentials, die bei der Voranmeldung gelaufen sind....
Bitte warten ..
Mitglied: DerWoWusste
22.08.2010 um 23:29 Uhr
Fake? Das ist ein Bug und fertig. Bei Laufwerken innerhalb von Domäne A passiert das ja auch nicht. Melde es Microsoft.
Bitte warten ..
Mitglied: Nailara
08.08.2011 um 09:43 Uhr
Nein, kein Bug. Die Windows-API ist modifiziert worden und seit dem ist die Angabe eines Kennworts zwingend erforderlich. Das kann dann bei Vista und Win 7 über die Anmeldeinformationsverwaltung gesteuert werden.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Windows Server 2003 DNS Server - Ping auf Subdomain nicht möglich in windows 7 (15)

Frage von aif-get zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 Cluster oder DFS? oder anderes? (2)

Frage von UnbekannterNR1 zum Thema Windows Server ...

Windows Tools
gelöst Offlinesync von DFS Laufwerk unter Windows 10 (1)

Frage von Korpi-89 zum Thema Windows Tools ...

Windows Netzwerk
gelöst Zugriff auf DFS Freigabe (19)

Frage von sardldb zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte
Netzwerke
DynDNS Dienst mit Mikrotik Router OS 6.4 (12)

Frage von Mopskiller zum Thema Netzwerke ...

Switche und Hubs
gelöst Cisco 2960x Stacking über mehrere Etagen (12)

Frage von b3scher zum Thema Switche und Hubs ...