Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Voranmeldung Windows 7 an Windows Server 2003 DFS

Frage Microsoft Windows Server

Mitglied: Nailara

Nailara (Level 1) - Jetzt verbinden

20.08.2010 um 14:04 Uhr, 4293 Aufrufe, 5 Kommentare

Hallo zusammen,

es existiert eine Windows 2008-Domäne A mit einigen Windows XP-Clients. In einer weiteren Domäne B existiert ein DFS-Stamm, auf den User regelmäßig zugreifen sollen. Die User haben sowohl in Domäne A und in Domäne B je einen Account, der den gleichen Anmeldenamen und das gleiche Kennwort hat. Die Domänen haben eine NT4-kompatible Vertrauensstellung, wobei Domäne A der Domäne B vertraut. Die Vertrauensstellung ist (leider) einseitig.

Bei den Windows XP-Anmeldeskripten ist ein Batch hinterlegt, dass den Nutzer der Domäne A beim Arbeiten auf einem Computer der Domäne A mit seinem Anmeldenamen der Domäne B in der Domäne B am DFS-Stamm voranmeldet. Da die Kennworte in beiden Domänen identisch sind, braucht der Nutzer für den Zugriff in Domäne B kein Kennwort angeben.

Die Voranmeldung sieht so aus:

net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname

Nach dieser "Voranmeldung" ist es mit dem Explorer möglich, einfach das Share \\domainB.de\dfsbasis\dfsshare oder Unterverzeichnisse aufzurufen und zuzugreifen.


Jetzt steht eine Migration nach Windows 7 an und dieser hier beschriebene Mechanismus funktioniert mit Windows 7 nicht. Nach dem Versuch des Öffnens des Shares dauert es einen kurzen Moment bis ein Fenster angezeigt wird, das mitteilt, dass der Benutzername oder das Kennwort falsch sind.

Durch Hinweise im Internet habe ich bereits mit secpol.msc die Anmeldetypen so umgestellt, dass NTLM und LM wieder möglich sind - trotzdem funktioniert es nicht. Ein Sniff mit Whireshark zeigt, dass sich Windows 7 versucht an dem DFS anzumelden und dabei quasi den falschen Domänennamen mitgibt. Statt DomainB\Logonname wird DomainA\Logonname an den Server übertragen, was dann natürlich schief geht, da ja die Vertrauensstellung in die falsche Richtung zeigt.

Hülfe zusammen, das Problem ist wirklich vertrakt und alle Hinweise sind willkommen. Nicht nur Hinweise, wie das Problem zu lösen ist, auch Workarounds, die dem Nutzer das manuelle Anmelden an den DFS-Laufwerken ermöglichen, sind gern willkommen. Ausgeschlossen ist, dass die Vertrauensstellung beidseitig wird oder eine Datenmigration stattfindet - aber sonst sind viele Wege offen.

Danke schön.
Mitglied: 2hard4you
20.08.2010 um 21:47 Uhr
Moin,

die Lösung schließt Du im Post aus - also gibt es keine Lösung.

Punkt.

Gruß

24

/edit: Mit Win7 / W2k8 hat M$ endlich das Securitykonzept näher an die Realität gebracht - und das ist gut so...
Bitte warten ..
Mitglied: DerWoWusste
22.08.2010 um 21:57 Uhr
Moin.
Erklären kann ich es mir nicht, nachstellen leieder erstmal auch nicht.
Was passiert denn auf der Kommandozeile, wenn Du
net use \\domainB.de\dfsbasis\dfsshare /user:domainB\Logonname
abfeuerst bzw. das selbe unter Angabe eines Laufwerksbuchstabens?
Bitte warten ..
Mitglied: Nailara
22.08.2010 um 23:19 Uhr
'n Abend ,

bei XP wie gesagt ist alles ok, starte ich anschließend den Explorer, kann ich das Verzeichnis erreichen und öffnen.

Unter Windows 7 meldet net use zurück, dass der Befehl erfolgreich ausgeführt werden konnte und bei der Anzeige von net use sieht auch erst einmal alles so aus als wäre es ok.

Starte ich dann den Explorer und versuche dann einen Ordner zu erreichen, geht das schief, egal ob mit oder ohne Laufwerksbuchstaben.

Inzwischen habe ich mal das UAC abgeschaltet und in der Registrierdatenbank einen Eintrag gesetzt, dass administrativ verbundene Laufwerke an den User durchgereicht werden dürfen (sowas gibt es wirklich) und trotzdem haut das einfach nicht hin.

Beim Sniffen mit Whireshark wird der Anmeldename korrekt übermittelt, aber die Domäne ist DomainA und nicht DomainB.

Der Zielserver ist ein Windows Server 2003 mit SP2 und ich habe die gängigen Hinweise im Internet schon mal ausprobiert. Da gibt es bei der Registry noch den LSA-Schlüssel und dort sowas wie lmcomaptibilitymode - auch der steht schon auf 0. Die Kombination von abgeschalteter UAC und lmcompatibilitymode und administrative Netzverbindungen an User durchreichen zieht auch nicht.

Es hat den Anschein als wenn Windows die Voranmeldung zunächst einmal als "Fake" ansieht, die bestätigt und dann, wenn der Zugriff tatsächlich erfolgt, erst die Session aufmacht und das mit den Credentials, die dem User direkt zugeordnet sind und nicht mit den Credentials, die bei der Voranmeldung gelaufen sind....
Bitte warten ..
Mitglied: DerWoWusste
22.08.2010 um 23:29 Uhr
Fake? Das ist ein Bug und fertig. Bei Laufwerken innerhalb von Domäne A passiert das ja auch nicht. Melde es Microsoft.
Bitte warten ..
Mitglied: Nailara
08.08.2011 um 09:43 Uhr
Nein, kein Bug. Die Windows-API ist modifiziert worden und seit dem ist die Angabe eines Kennworts zwingend erforderlich. Das kann dann bei Vista und Win 7 über die Anmeldeinformationsverwaltung gesteuert werden.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server 2012 Cluster oder DFS? oder anderes?
gelöst Frage von UnbekannterNR1Windows Server2 Kommentare

Hallo zusammen ich bräuchte mal ein Paar Ideen von Euch. Es geht generell um eine Fileserver lösung aber Erstmal ...

Windows 7
Windows 7 und 2003 Server DNS-Problem
gelöst Frage von Laurin-443Windows 74 Kommentare

Hallo , Ausgangslage : Windows 2003 Server und 5 Winodws XP Pro Clients . Alles funktioniert einwandfrei . Vor ...

Windows Server
Windows Server 2003 DNS Server - Ping auf Subdomain nicht möglich in windows 7
gelöst Frage von aif-getWindows Server15 Kommentare

Hallo, ich besitze einen DNS Server der auf einem win 2003 server läuft. Ich habe nun eine subdomain anlegen ...

Windows Netzwerk
Windows RDP Server auslagern mit DFS-Replikation
Frage von FrotteeWindows Netzwerk4 Kommentare

Hallo, ich möchte unser kleines Firmennetzwerk etwas umstrukturieren (WinServer2008R2) um Außenstellen einen schnelleren Zugriff auf RDP zu ermöglichen. Dazu ...

Neue Wissensbeiträge
Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 2 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 3 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 7 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 12 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
Frage von Winfried-HHBatch & Shell15 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...