alf500
Goto Top

Windows Server - Domänen user schreibt als Gast auf Freigabe

Hallo Zusammen,

ich bin jetzt schon seit einigen Tagen an dem Problem und komme einfach nicht weiter.

Ich habe einen Windows Server 2016 mit Active Directory und DNS Dienst installiert. Die Workstations - Windows 10 - habe ich in die Domäne geholt, im Active Directory Benutzer angelegt. DHCP Server ist die Fritzbox und trägt unter den IP-Einstellungen als DNS den Windows Server ein. Das klappt, Rechner lassen sich in die Domäne holen und kommen ins Internet und lassen sich auch anpingen

Wenn ich mich mit einem Domänenbenutzer anmelde und auf die Freigabe eines anderen Rechners der Domäne etwas schreibe, ist der Besitzer entweder die Benutzergruppe Gast oder Administratoren.
Auf einigen Rechnern immer Gast, auf anderen immer Administratoren. Die einzige Ausnahme, die es gibt, wo der Besitzer korrekt eingetragen wird auf einer Netzwerkfreigabe ist das QNAP Nas. Dieses habe ich auch erfolgreich an der Domäne angemeldet, Domänen Benutzer & Gruppen lassen sich anzeigen und die Rechte auf den Freigaben entsprechend verteilen.

Was auch funktioniert ist, bei Netzlaufwerk verbinden, mit einem anderen Benutzerkonto anmelden und einen lokalen user des Rechners anzugeben auf dem die Freigabe erstellt ist. Allerding nur mit einem lokalen user, die Angabe eines anderen Domänenbenutzers führt zum Ergebnis, dass Gast der eingetragene Besitzer ist.

Da ich das erste mal einen Server mit Active Directory in Betrieb genommen habe, kann es natürlich ein total blöder Anfängerfehler sein. Was ich schon ohne Erfolg ausprobiert habe.

Mit nslookup geprüft ob der DNS Dienst auf dem Server seinen Dienst tut. Ja, für Server und jeden Rechner der Domäne und zwar Forward (Angabe des Namens) und Reverse (Angabe der IP-Adresse.
So ganz freiwillig ging das nicht für die Reverse Lookupzone. Habe dort die Zeiger (PTR) manuell erstellt.

Habe vorübergehend den DHCP der Fritzbox deaktiviert und den DHCP auf dem Windows Server in Betrieb genommen. Der DHCP hat seinen Dienst getan und die Client Rechner mit IP-Adressen versorgt. Gleiches Problem Besitzer ist Gast. Das einzige was komisch war, der Laptop der sich über WLAN verbindet bekam seine IP Adresse immer noch von der Fritzbox (sieht man unter Details des Netzwerkadapters). Ich habe auf der Fritzbox aber nichts entdecken können wie man den DHCP für WLAN auch deaktivieren kann. Das hat mir nicht gefallen und ich habe die Fritzbox wieer zum DHCP gemacht und auf dem Windows Server wieder deinstalliert.

Habe mit dem Filemanager der QNAP NAS auf eine Freigabe eines Windows Rechners zugegriffen. Besitzer erstellter Dateien Gast. Alle Rechner / NAS in der Domäne.

Auch auf Freigaben des Windows Servers, das gleiche Problem.

Virenscanner & Firewall auf zugreifenden und freigebenden deaktiviert.
Mit der QNAP NAS auf den Windows Server zugriffen. Gleiches Problem. Auf dem Server und der QNAP ist kein Virenscanner installiert. Virenscanner müsste so ausgeschlossen sein.

Ich habe im Ereignis Protokoll des Rechners mit der Netzwerkfreigabe nachgeschaut und festgestellt, dass der anfordernde user der korrekte Domänenbenutzer ist. Dann kommt es allerdings zu einem "user mapping" an dessen Ende die Benutzergruppe Gast steht. Da steht etwas von "Anmeldesitzung zerstört". Entsprechendes Bild habe ich beigefügt.

Zu dem Begriff zerstörte Anmeldesitzung habe ich einiges gefunden, aber den Fehler nicht weiter einkreisen können.

Ich hoffe Ihr könnt mir einen Tipp geben

Alf500
windows_protokoll_sicherheit

Content-Key: 331432

Url: https://administrator.de/contentid/331432

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Vision2015
Lösung Vision2015 08.03.2017 um 05:49:01 Uhr
Goto Top
Zitat von @Alf500:

Hallo Zusammen,
Guten Morgen,

ich bin jetzt schon seit einigen Tagen an dem Problem und komme einfach nicht weiter.
oh..

Ich habe einen Windows Server 2016 mit Active Directory und DNS Dienst installiert. Die Workstations - Windows 10 - habe ich in die Domäne geholt, im Active Directory Benutzer angelegt. DHCP Server ist die Fritzbox und trägt unter den IP-Einstellungen als DNS den Windows Server ein. Das klappt, Rechner lassen sich in die Domäne holen und kommen ins Internet und lassen sich auch anpingen

Wenn ich mich mit einem Domänenbenutzer anmelde und auf die Freigabe eines anderen Rechners der Domäne etwas schreibe, ist der Besitzer entweder die Benutzergruppe Gast oder Administratoren.
Auf einigen Rechnern immer Gast, auf anderen immer Administratoren. Die einzige Ausnahme, die es gibt, wo der Besitzer korrekt eingetragen wird auf einer Netzwerkfreigabe ist das QNAP Nas. Dieses habe ich auch erfolgreich an der Domäne angemeldet, Domänen Benutzer & Gruppen lassen sich anzeigen und die Rechte auf den Freigaben entsprechend verteilen.

Was auch funktioniert ist, bei Netzlaufwerk verbinden, mit einem anderen Benutzerkonto anmelden und einen lokalen user des Rechners anzugeben auf dem die Freigabe erstellt ist. Allerding nur mit einem lokalen user, die Angabe eines anderen Domänenbenutzers führt zum Ergebnis, dass Gast der eingetragene Besitzer ist.

Da ich das erste mal einen Server mit Active Directory in Betrieb genommen habe, kann es natürlich ein total blöder Anfängerfehler sein. Was ich schon ohne Erfolg ausprobiert habe.

Mit nslookup geprüft ob der DNS Dienst auf dem Server seinen Dienst tut. Ja, für Server und jeden Rechner der Domäne und zwar Forward (Angabe des Namens) und Reverse (Angabe der IP-Adresse.
So ganz freiwillig ging das nicht für die Reverse Lookupzone. Habe dort die Zeiger (PTR) manuell erstellt.
aha..

Habe vorübergehend den DHCP der Fritzbox deaktiviert und den DHCP auf dem Windows Server in Betrieb genommen. Der DHCP hat seinen Dienst getan und die Client Rechner mit IP-Adressen versorgt. Gleiches Problem Besitzer ist Gast. Das einzige was komisch war, der Laptop der sich über WLAN verbindet bekam seine IP Adresse immer noch von der Fritzbox (sieht man unter Details des Netzwerkadapters). Ich habe auf der Fritzbox aber nichts entdecken können wie man den DHCP für WLAN auch deaktivieren kann. Das hat mir nicht gefallen und ich habe die Fritzbox wieer zum DHCP gemacht und auf dem Windows Server wieder deinstalliert.
du hast was ?
du hast einen Server2016, du hast ein AD, und dann solte der DHCP bitte auch auf dem Server laufen, und nicht auf der fritte...

Habe mit dem Filemanager der QNAP NAS auf eine Freigabe eines Windows Rechners zugegriffen. Besitzer erstellter Dateien Gast. Alle Rechner / NAS in der Domäne.

Auch auf Freigaben des Windows Servers, das gleiche Problem.


Virenscanner & Firewall auf zugreifenden und freigebenden deaktiviert.
Mit der QNAP NAS auf den Windows Server zugriffen. Gleiches Problem. Auf dem Server und der QNAP ist kein Virenscanner installiert. Virenscanner müsste so ausgeschlossen sein.

Ich habe im Ereignis Protokoll des Rechners mit der Netzwerkfreigabe nachgeschaut und festgestellt, dass der anfordernde user der korrekte Domänenbenutzer ist. Dann kommt es allerdings zu einem "user mapping" an dessen Ende die Benutzergruppe Gast steht. Da steht etwas von "Anmeldesitzung zerstört". Entsprechendes Bild habe ich beigefügt.

Zu dem Begriff zerstörte Anmeldesitzung habe ich einiges gefunden, aber den Fehler nicht weiter einkreisen können.

Ich hoffe Ihr könnt mir einen Tipp geben

in welcher gruppe sind deine User ?

Alf500

frank



Mitglied: Penny.Cilin
Penny.Cilin 08.03.2017 um 09:48:10 Uhr
Goto Top
Moin,

mal eine ganz (blöde) Frage:
Kann es sein, das die QNAP über die eigene Benutzerverwaltung gepflegt wird?
Ist das NAS nicht Mitglied in der Domäne?
Warum ist das NAS nicht Mitglied in der Domäne?


Gruss Penny
Mitglied: Alf500
Alf500 08.03.2017 um 22:58:55 Uhr
Goto Top
Vielen Dank für deine Antwort

Fritzbox als DHCP nun ja - da bin auch auch nicht glücklich, zumal ich im DNS Server von Hand Einträge anlegen musste. Für die per Wlan eingebundenen Rechner gibt es bis jetzt aber keine andere Lösung. Die Fritzbox verpasst den WLAN Clients die IP Adresse trotz deaktivierten DHCP.

Die User sind momentan in folgenden Gruppen, da ich dachte das Problem könnte mit Berechtigungen zu tun haben

Administratoren
Domänen-Admins
Domänen-Benutzer
Leistungsüberwachungsbenutzer
Richtlinien-Ersteller-Besitzer

Habe noch etwas ausprobiert, was mich etwas stutzig gemacht hat. Habe auf dem AD Server dcdiag ausgeführt als user.

Als user kommt es dabei u.a. zu einem Fehler bei netlogons

Die Anmeldeinformationen berechtigen nicht zum ausführen dieses Vorgangs. Das für diesen Test verwendete Konto muss für die Domäne dieses Computers über Netzwerkanmelderechte verfügen.

Wenn ich dcdiag als Administrator ausführe gibt es keine Fehlermeldungen. Was ich schon probiert habe, ist als Administrator eine Netzwerkverbindung herzustellen. Das klappt aber gar nicht, da lässt sich auf die Freigabe überhaupt nicht zugreifen.

Gruß

Alfred
Mitglied: Alf500
Alf500 08.03.2017 um 23:03:37 Uhr
Goto Top
Hallo Penny,

freue mich über Eure Hilfe. Die Qnap ist Mitglied der Domäne. Es gibt dort zwei lokale Accounts, aber ich pflege dort keine weiteren user ein. Auf dem Nas werden die Domänen User und Gruppen alle angezeigt und ich nutze diese auch für die Freigaben auf dem Nas.

Gruß

Alfred
Mitglied: Alf500
Alf500 08.03.2017 um 23:21:57 Uhr
Goto Top
Die Berechtigungen sind es wohl gewesen. Ich habe noch einen weiteren user angelegt und dort keine weiteren Gruppenmitgliedschaften eingetragen. Ist als also nur in der Gruppe Domänen-Benutzer. Jetzt wird der Besitzer korrekt eingetragen. Für mich reichlich unverständlich warum eine Mitgliedschaft schädlich ist. Ich weiß wenn man eine Gruppe auf Deny setzt, dann schon, aber das habe ich definitiv nicht gemacht.

Gruß

Alfred
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.03.2017 um 06:30:05 Uhr
Goto Top
Zitat von @Alf500:

Fritzbox als DHCP nun ja - da bin auch auch nicht glücklich, zumal ich im DNS Server von Hand Einträge anlegen musste. Für die per Wlan eingebundenen Rechner gibt es bis jetzt aber keine andere Lösung. Die Fritzbox verpasst den WLAN Clients die IP Adresse trotz deaktivierten DHCP.


Das ist ein Bug und kein feature. Normalerweise halten sich fritzboxen an die Anweisung, daß sie kein DHCP machen sollen.

Welche Fritzbox mit welcher Firmware ist es denn? Ggf die Fritzbox durch einen ordentlichen Router ersetzen oder die Firmware neu flashen.

lks
Mitglied: Alf500
Alf500 09.03.2017 um 20:03:15 Uhr
Goto Top
Ist eine Fritzbox 7390 mit der Firmware 6.8. Ja, ist eine Überlegung wert es mit Firmware flashen nochmal zu probieren.

Gruß

Alfred
Mitglied: Alf500
Alf500 09.03.2017 um 21:48:50 Uhr
Goto Top
Ich habe das Problem jetzt auf den Domänen-Admin reduziert. Ist der Benutzer in dieser Gruppe funktioniert die Netzwerkanmeldung nicht mehr mit dem korrekten account. Kann dieses Problem jemand nachvollziehen?

Beim der Administrator Gruppe klappt es mit dem Besitzer aber der Explorer stürzt beim erstellen neuer Ordner ab. Sie werden noch erstellt, dann kommt der Absturz.

Gruß

Alfred
Mitglied: Vision2015
Vision2015 10.03.2017 um 04:47:07 Uhr
Goto Top
Zitat von @Alf500:

Ich habe das Problem jetzt auf den Domänen-Admin reduziert. Ist der Benutzer in dieser Gruppe funktioniert die Netzwerkanmeldung nicht mehr mit dem korrekten account. Kann dieses Problem jemand nachvollziehen?
nein... das kann ich nicht nachvollziehen!
dir ist schon klar, das ein User in der Gruppe der Domänen-Admins eh alles darf, weil er admin ist!?!
was genau meinst du mit
funktioniert die Netzwerkanmeldung nicht mehr mit dem korrekten account.
sondern wie ?


Beim der Administrator Gruppe klappt es mit dem Besitzer aber der Explorer stürzt beim erstellen neuer Ordner ab. Sie werden noch erstellt, dann kommt der Absturz.
worauf ? auf den NAS ?

Gruß

Alfred
Frank
Mitglied: Alf500
Alf500 10.03.2017 um 11:08:11 Uhr
Goto Top
Ich weiss das der Domänen admin alles darf. Aber genau dann dunktioniert der zugriff auf ein netzlaufwerk mit user mapping. Dadurch wird als besitzer dann gast eingetragen.

Auf dem nas läuft alles super. Die probleme treten nur auf den freigaben des windiws servers oder der windows domänen rechner auf.

Gruss

Alfred
Mitglied: Alf500
Alf500 10.03.2017 um 22:52:32 Uhr
Goto Top
Ich habe es jetzt noch etwas weiter verfolgt. Wenn ein Domänen user auf ein netzlaufwerk eines Rechners zugreift, wo dieser user in der Gruppe der Administratoren ist, dann läuft die Authentifizierung schief. Auf dem Recher auf den zugegriffen wurde kommt dann im Ereignisprotokoll "Ein Konto wurde abgemeldet .... Anmeldesitzung zerstört". Ich habe mittlerweile schon Dutzende neue User angelegt. Immer das gleiche. Ist der zugreifende user auf dem bereitstellenden Rechner in der Gruppe der Administratoren, dann war es das. Die angelegten Dateien gehören dann Gast oder Administratoren.

Ich hoffe einer kann hier helfen. Würde mich sehr freuen. Ist langsam echt nervig...

Gruß

Alfred
Mitglied: Vision2015
Vision2015 11.03.2017 um 07:19:10 Uhr
Goto Top
moin,

was ist das eigentlich für ein server? (hardware)
welche Server 2016 version ist das ?
mach eine datensicherung, und installiere den server eben schnell neu..
dann teste noch einmal
und wenn ich fragen darf, warum müssen die user administratoren sein ?
ich weiß, hat nix mit dem fehler zu tun, aber ich sehe keinen grund, das user administratoren sind.

Frank
Mitglied: Alf500
Alf500 11.03.2017 um 09:31:05 Uhr
Goto Top
Hallo Frank,

Danke für das Engagement. Nicht alle User sollen Administrator werden. Ich bin der hauptuser und hätte gerne einen Account wo ich auf alle Maschinen zugreifen kann. Ich bin berechnungsingenieur und habe einen Pool an Rechnern wo ich Simulationen laufen lasse. Heute starte ich die Rechnungen häufig Lokal, da sie auf Netzlaufwerken länger brauchen. Dann müssen sie im Anschluss auf den Server kopiert werden.
Der win 2016 Server ist als virtuelle Maschine auf einer der beiden qnap Nas installiert.

Ja ich werde den win Server neu installieren. Ist die Standard Version.

Gruß

Alfred
Mitglied: Vision2015
Vision2015 11.03.2017 um 15:37:55 Uhr
Goto Top
Hallo Alfred,
ich weiß, für einen ingenieur ist nichts zu schwör...
aber einen Server 2016 auf einen QNap NAS zu bügeln, ist irgendwie... ich habe jetzt keinen vergleich..
was auch immer auf Netzlaufwerken länger braucht, mir jetzt klar warum... soviel power hat das qnap auch nicht.

wozu dann den server2016 ? du kannst doch alles mit dem qnap machen...

Frank
Mitglied: Alf500
Alf500 11.03.2017 um 22:00:00 Uhr
Goto Top
Hallo frank

Ich wollte mit dem windows Server eine zentrale Benutzerverwaltung. Ja ich kann verstehen, dass ein windows Server auf einer qnap nicht State of The Art ist. Allerdings sind virtuelle Server wiederum nichts ungewöhnliches.
Allerdings ist zu sagen, dass das Qnap Nas ordentlich power hat. Ist ein tvs 873, das ca. 700 MB/s bringt über ein 10gbe Netz.
Aber die Probleme sind bei der Freigabe der windows Workstations.

Den windows Server habe ich nochmal komplett neu installiert. Genau das gleiche Problem.

Gruß

Alfred
Mitglied: Vision2015
Vision2015 11.03.2017 um 22:09:27 Uhr
Goto Top
nabend..
hm.. entweder du kommst mit der benutzerverwaltung von 2016 nicht klar... oder das rennt nicht auf einem Qnap als vm...
teste mal mit 2008 oder server 2012... mehr fällt mir grade nicht ein

Frank
Mitglied: Alf500
Alf500 12.03.2017 um 23:44:35 Uhr
Goto Top
Hallo Frank,

habe noch etwas im Internet recherchiert, und einer schreibt, dass es Gruppen / Authentifizierungsrichtlinien gibt, mit denen geregelt werden kann wer mit welchem netlogon typ sich anmelden darf. Wäre es nicht vorstellbar das der Windows Server 2016 so vorkonfiguriert ist wie sich das ding jetzt verhält?

Wo könnte man diese vordefinierten Authentifizierungsrichtlinien finden?

Gruß

Alfred
Mitglied: Alf500
Alf500 13.03.2017 um 18:12:45 Uhr
Goto Top
Bei den usern ohne Admin Rechte sind nur in der Gruppe Domänen-Benutzer. Dort klappt ja alles. Mein user ist zusätzlich noch in der Gruppe domänen-admins.

Alfred