Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Voranmeldung Windows 7 an Windows Server 2003 DFS

Frage Microsoft Windows Server

Mitglied: Nailara

Nailara (Level 1) - Jetzt verbinden

20.08.2010 um 14:04 Uhr, 4222 Aufrufe, 5 Kommentare

Hallo zusammen,

es existiert eine Windows 2008-Domäne A mit einigen Windows XP-Clients. In einer weiteren Domäne B existiert ein DFS-Stamm, auf den User regelmäßig zugreifen sollen. Die User haben sowohl in Domäne A und in Domäne B je einen Account, der den gleichen Anmeldenamen und das gleiche Kennwort hat. Die Domänen haben eine NT4-kompatible Vertrauensstellung, wobei Domäne A der Domäne B vertraut. Die Vertrauensstellung ist (leider) einseitig.

Bei den Windows XP-Anmeldeskripten ist ein Batch hinterlegt, dass den Nutzer der Domäne A beim Arbeiten auf einem Computer der Domäne A mit seinem Anmeldenamen der Domäne B in der Domäne B am DFS-Stamm voranmeldet. Da die Kennworte in beiden Domänen identisch sind, braucht der Nutzer für den Zugriff in Domäne B kein Kennwort angeben.

Die Voranmeldung sieht so aus:

net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname

Nach dieser "Voranmeldung" ist es mit dem Explorer möglich, einfach das Share \\domainB.de\dfsbasis\dfsshare oder Unterverzeichnisse aufzurufen und zuzugreifen.


Jetzt steht eine Migration nach Windows 7 an und dieser hier beschriebene Mechanismus funktioniert mit Windows 7 nicht. Nach dem Versuch des Öffnens des Shares dauert es einen kurzen Moment bis ein Fenster angezeigt wird, das mitteilt, dass der Benutzername oder das Kennwort falsch sind.

Durch Hinweise im Internet habe ich bereits mit secpol.msc die Anmeldetypen so umgestellt, dass NTLM und LM wieder möglich sind - trotzdem funktioniert es nicht. Ein Sniff mit Whireshark zeigt, dass sich Windows 7 versucht an dem DFS anzumelden und dabei quasi den falschen Domänennamen mitgibt. Statt DomainB\Logonname wird DomainA\Logonname an den Server übertragen, was dann natürlich schief geht, da ja die Vertrauensstellung in die falsche Richtung zeigt.

Hülfe zusammen, das Problem ist wirklich vertrakt und alle Hinweise sind willkommen. Nicht nur Hinweise, wie das Problem zu lösen ist, auch Workarounds, die dem Nutzer das manuelle Anmelden an den DFS-Laufwerken ermöglichen, sind gern willkommen. Ausgeschlossen ist, dass die Vertrauensstellung beidseitig wird oder eine Datenmigration stattfindet - aber sonst sind viele Wege offen.

Danke schön.
Mitglied: 2hard4you
20.08.2010 um 21:47 Uhr
Moin,

die Lösung schließt Du im Post aus - also gibt es keine Lösung.

Punkt.

Gruß

24

/edit: Mit Win7 / W2k8 hat M$ endlich das Securitykonzept näher an die Realität gebracht - und das ist gut so...
Bitte warten ..
Mitglied: DerWoWusste
22.08.2010 um 21:57 Uhr
Moin.
Erklären kann ich es mir nicht, nachstellen leieder erstmal auch nicht.
Was passiert denn auf der Kommandozeile, wenn Du
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
abfeuerst bzw. das selbe unter Angabe eines Laufwerksbuchstabens?
Bitte warten ..
Mitglied: Nailara
22.08.2010 um 23:19 Uhr
'n Abend ,

bei XP wie gesagt ist alles ok, starte ich anschließend den Explorer, kann ich das Verzeichnis erreichen und öffnen.

Unter Windows 7 meldet net use zurück, dass der Befehl erfolgreich ausgeführt werden konnte und bei der Anzeige von net use sieht auch erst einmal alles so aus als wäre es ok.

Starte ich dann den Explorer und versuche dann einen Ordner zu erreichen, geht das schief, egal ob mit oder ohne Laufwerksbuchstaben.

Inzwischen habe ich mal das UAC abgeschaltet und in der Registrierdatenbank einen Eintrag gesetzt, dass administrativ verbundene Laufwerke an den User durchgereicht werden dürfen (sowas gibt es wirklich) und trotzdem haut das einfach nicht hin.

Beim Sniffen mit Whireshark wird der Anmeldename korrekt übermittelt, aber die Domäne ist DomainA und nicht DomainB.

Der Zielserver ist ein Windows Server 2003 mit SP2 und ich habe die gängigen Hinweise im Internet schon mal ausprobiert. Da gibt es bei der Registry noch den LSA-Schlüssel und dort sowas wie lmcomaptibilitymode - auch der steht schon auf 0. Die Kombination von abgeschalteter UAC und lmcompatibilitymode und administrative Netzverbindungen an User durchreichen zieht auch nicht.

Es hat den Anschein als wenn Windows die Voranmeldung zunächst einmal als "Fake" ansieht, die bestätigt und dann, wenn der Zugriff tatsächlich erfolgt, erst die Session aufmacht und das mit den Credentials, die dem User direkt zugeordnet sind und nicht mit den Credentials, die bei der Voranmeldung gelaufen sind....
Bitte warten ..
Mitglied: DerWoWusste
22.08.2010 um 23:29 Uhr
Fake? Das ist ein Bug und fertig. Bei Laufwerken innerhalb von Domäne A passiert das ja auch nicht. Melde es Microsoft.
Bitte warten ..
Mitglied: Nailara
08.08.2011 um 09:43 Uhr
Nein, kein Bug. Die Windows-API ist modifiziert worden und seit dem ist die Angabe eines Kennworts zwingend erforderlich. Das kann dann bei Vista und Win 7 über die Anmeldeinformationsverwaltung gesteuert werden.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (4)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...