Server domain-Wechsel kein Zugriff

[fmsmuc 2]

Hallo,

habe einen Server (2008 R2) aus einer bestehenden domain abgemeldet und in eine andere domain hinzugefügt. DNS ist richtig, im active directory der neuen domain wird dieser server auch richtig angezeigt und als Administrator habe ich auch den vollen Zugriff.

 

Problem ist, das ich als "domain user" keinen Zugriff auf den Server habe. (Natürlich sind die Berechtigungen eingestellt) Wenn ich einen Link zu einer Freigabe klicke, kommt ein Windows Anmelde Dialog statt ein automatischer Zugriff auf das Active directory. Wenn ich im Anmeldedialog den domain user/domain password eingebe, dann ist der Zugriff auch erlaubt.

 

Wieso wird nicht auf das active directory zurückgegriffen?

 

Danke für euere Hilfe

[Sanches 22]

Hallo,

 

ist eine Vertrauensstellung zwischen den beiden Domains vorhanden?

Sind die Domänenuser bereits in der neuen Domäne und auch dort am Client angemeldet?

[Sunny61 806]

Welche Berechtigungen sind denn auf der Freigabe eingerichtet? Welche Benutzergruppen sind auf den NTFS-Berechtigungen (Reiter sicherheit) eingetragen? Hast Du dort die neue Domain eingetragen?

[fmsmuc 2]

Nein, es ist keine Vertrauensstellung vorhanden. Die Domänenuser sind natürlich in der neuen Domäne und auch die Clients sind dort angemeldet. Die User können auf alle anderen Server in der Domäne zugreifen nur nicht auf den einen Server der umgezogen wurde (zumindest nicht automatisch sondern nur bei Eingabe von domain/user und Passwort in dem Anmeldedialog)

 

Der server wurde aus der alten Domäne abgemeldet und konnte auch problemlos zur neuen Domäne hinzugefügt werden.

Ein "net view  \\servername" bringt von einem domain\useraccount auch error 5 - Zugriff verweigert.

"net view" von domain\administrator zeigt die Freigaben. Natürlich sind die Freigaben auch für domainusers freigegeben.

[Sunny61 806]

Der server wurde aus der alten Domäne abgemeldet und konnte auch problemlos zur neuen Domäne hinzugefügt werden.

Ein "net view  \\servername" bringt von einem domain\useraccount auch error 5 - Zugriff verweigert.

"net view" von domain\administrator zeigt die Freigaben. Natürlich sind die Freigaben auch für domainusers freigegeben.

OK, Freigabe =! NTFS-Berechtigungen. Wer ist dort eingetragen? Domänen-Benutzer? Wenn ja, dort raus löschen, den Dienst 'LanmanServer' neu starten und jetzt wieder die Domänen Benutzer hinzufügen.

[fmsmuc 2]

Welche Berechtigungen ..

 

Freigaben: Administrator und Domänenbenutzer

NFTS: natürlich auch die entsprechenden Rechte.

OK, Freigabe =! NTFS-Berechtigungen. 

Schon klar dass Freigabe ungleich NTFS Berechtigung ist

 

ich werde mal versuchen bei den Freigaben die User zu entfernen und den LanmanServer service neu starten - melde mich dann

ähm - LanmanServer ..finde ich nicht in den Diensten ...bei 2008 R2 heisst das nur server oder?

bearbeitet 21. Oktober 2014 von fmsmuc

[Sunny61 806]

ich werde mal versuchen bei den Freigaben die User zu entfernen und den LanmanServer service neu starten - melde mich dann

 

ähm - LanmanServer ..finde ich nicht in den Diensten ...bei 2008 R2 heisst das nur server oder?

Grmpf, immer diese Mausschubser! :)

 

Administrative Commandline öffnen:

 

net stop lanmanserver && net start lanmanserver [ENTER]

[fmsmuc 2]

lach - stimmt 

net stop/start .. man wird faul mit der Maus

 

trotzdem hat es nichts gebracht

[Sunny61 806]

OK, und jetzt?

Wer oder was steht in der Freigabe? Wer oder was steht in den NTFS-Berechtigungen? Am Client wird auch ganz sicher mit einem Domänen-Benutzer angemeldet? Der Client ist auch ganz sicher in der *richtigen* Domain? In der neuen? Alternativ den Server einfach nochmal rausnehmen und wieder aufnehmen. Funktioniert es mit *keinem* Domänen Benutzer oder nur mit ausgesuchten nicht?

[fmsmuc 2]

Der Client ist ein Terminalserver 2012 und natürlich in der domain "contoso.com" (also sicher in der domain)

andere server die ebenfalls in der domain sind können problemlos angesprochen werden.

 

In der Freigabe steht jetzt sogar "jeder" mit vollen Rechten

die NTFS Berechtigung ist ebenfalls "jeder" bei dem freigegeben Verzeichnis mit vollen Rechten

 

Ich denke dass man gar nicht bis zu NTFS Ebene kommt weil  selbst das browsing von Freigaben nicht funktioniert.

Als Domänen Administrator  also Administrator@contoso.com funktioniert das browsing und man sieht die Freigaben - als user@contoso.com poppt ein Anmelden-Dialog auf, wenn man versucht über den Filemanager die Freigaben zu sehen.

 

Nochmal aus der domain raus und wieder rein ist sicher einen Versuch wert - im AD sieht man aber keine ungewöhnlichen Sachen. Der Server ist eingebunden wie die anderen Server (die neu angelegt wurden) auch.

[daabm 1.348]

Wie wär's mal mit dem Security-Eventlog dieses "umgezogenen" Servers???

[Sunny61 806]

In der Freigabe steht jetzt sogar "jeder" mit vollen Rechten

die NTFS Berechtigung ist ebenfalls "jeder" bei dem freigegeben Verzeichnis mit vollen Rechten

Dann probier es doch bitte mal vernünftig aus. Wähle über den Assistenten die Domain und die Domain Benutzer explizit aus, auch für die NTFS-Berechtigungen. Anschließend den Server neu starten. Betrifft das nur einen Benutzer oder alle Domain-User?

 

Verschieb den Server auch mal in eine OU auf der keine GPOs verlinkt sind, gpupdate /force ausführen und neu starten. Mit GPRESULT /H >gpresult.html [ENTER] einen Bericht erzeugen. Kommt noch irgendein GPO an? Wenn nein, dann wieder in die Ursprungs-OU, gpupdate /force und zweimal neu starten. Funktioniert jetzt der Zugriff auf die Freigabe?

[fmsmuc 2]

 

Wähle über den Assistenten die Domain und die Domain Benutzer explizit aus, auch für die NTFS-Berechtigungen. Anschließend den Server neu starten. Betrifft das nur einen Benutzer oder alle Domain-User?

Natürlich habe ich auch schon einzelne User versucht (sowohl bei Freigabe als bei NTFS) und auch kein anderes Ergebnis. Es betrifft alle User ausser Administratoren. GPOs sind im Moment noch keine speziellen aktiv - also Grundeinstellung von Server 2012 bzw. 2008R2.

 

Da der Server produktiv im Einsatz ist kann ich nicht pausenlos neu starten. Mit Einschränkungen (also manuelle Passworteingabe bzw. Anmeldung) läuft der server ja. Ich muss da einige Versuche auf das WE verschieben.

[Sunny61 806]

Natürlich habe ich auch schon einzelne User versucht (sowohl bei Freigabe als bei NTFS) und auch kein anderes Ergebnis. Es betrifft alle User ausser Administratoren. GPOs sind im Moment noch keine speziellen aktiv - also Grundeinstellung von Server 2012 bzw. 2008R2.

 

Es gibt doch sicherlich eine Default Domain Policy und auch sicherlich andere Policys. Wenn Du etwas finden willst, geh so vor wie ich geschrieben hatte. Ansonsten viel Erfolg weiterhin, ich bin raus.

 

 

 

Da der Server produktiv im Einsatz ist kann ich nicht pausenlos neu starten. Mit Einschränkungen (also manuelle Passworteingabe bzw. Anmeldung) läuft der server ja. Ich muss da einige Versuche auf das WE verschieben.

Wieso nimmt man einen Server produktiv bei dem noch nicht alles zu 100% funktioniert?

[fmsmuc 2]

Natürlich gibt es die defaut policy (die windows server 2012 automatisch hat)

 

Wieso man einen server produktiv nimmt der nicht 100% funktioniert? Ganz einfach, wenn man ein System migriert und trotzdem weiter gearbeitet werden muss. Da kann man nicht einfach sagen "so jetzt steht der Betrieb bis alles 100% läuft"

 

Ich werde am WE nochmals schauen