marcocupra 0 Geschrieben 22. Januar 2021 Melden Teilen Geschrieben 22. Januar 2021 Hallo Leute, ich habe heute ein etwas seltsames Phänomen festgestellt und kann mir keinen Reim darauf machen. Pandemiebedingt setzen wir -wie alle- die Möglichkeit von Heimarbeit um. Folgende Umgebung haben wir dafür: Win2K16 Domäne Win2K16 Fileserver Win10 Pro 64-Bit Domänen-Clients VPN vor Nutzeranmeldung (Offline Anmeldungen ohne Erreichbarkeit des DC sind verboten per GPO) RoamingProfiles und Ordnerumleitungen Wir haben nun folgendes Problem: Der Nutzer meldet sich über VPN am Win10 Pro an. Die Anmeldung gegen die Domäne funktioniert auch. Allerdings wird sein eigenes Laufwerk nicht verbunden. Das Mapping erfolgt eigentlich per GPO und auf den Hostname des Servers (bspw. \\hostname\users$\<<nutzername>> Der Versuch das Laufwerk manuell zu verbinden per net use \\hostname\users$\<<nutzername>> scheitert mit der Fehlermeldung 53. Ein Aufruf im Dateiexplorer zeigt einen leeren Ordner. Fast so als würde die Authentifizierung nicht funktionieren. Ein Aufruf über folgende Wege bringt jedoch die richtigen Inhalte: \\fqdn\users$\<<nutzername>> und \\ip\users$\<<nutzername>> Also habe ich nach diesem Fehlerbild gesucht und bin auf Kerberos bzw. NTLM gestoßen. Scheinbar funktioniert Kerberos nicht korrekt. Also habe ich mit klist purge alle Tickets gelöscht und eine erneute Verbindung versucht. Gleiches Fehlerbild. Jetzt kommt der spannende Teil. Wenn ich das lokale Profil lösche und den Nutzer wieder anmelde, geht alles wie gewollt. Der Fehler tritt sporadisch und nach keinem zu erkennenden Muster auf. Vllt. kann mir hierzu jmd. Tipps geben bzw. kennt jemand das Verhalten schon? VG und Danke Marco Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 22. Januar 2021 Melden Teilen Geschrieben 22. Januar 2021 Wenn \\ip funktioniert, ist das normal - IP-Adressen sind immer NTLM. Wenn \\fqdn funktioniert, ist Kerberos (vermutlich) grundsätzlich in Ordnung. Klingt für mich nach einem Problem mit DNS-Suffixes. Ich bin mir auch nicht sicher, wie das bei VPN genau läuft - ich mach schon länger alle Zuordnungen immer mit dem FQDN und nicht mit dem Hostname. Das funktioniert recht zuverlässig. Ich bin aber kein VPN-Spezialist - vielleicht kann man da im rasphone.pbk noch was tweaken... Wenn Du das bei Dir nachstellen kannst, würde ich da mal einen Netzwerktrace anwerfen und schauen, was der "net use \\hostname" genau produziert. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 22. Januar 2021 Melden Teilen Geschrieben 22. Januar 2021 Wir arbeiten nur mit Terminalservern, da es meiner Meinung nach schlecht ist, Shares via VPN am Client zu öffnen Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 22. Januar 2021 Melden Teilen Geschrieben 22. Januar 2021 vor einer Stunde schrieb Nobbyaushb: Wir arbeiten nur mit Terminalservern, da es meiner Meinung nach schlecht ist, Shares via VPN am Client zu öffnen Es gibt aber auch Firmen, die das anders machen. Wir arbeiten z.B. über VPN prinzipiell genauso wie direkt im internen Netz. ... 'will sagen, wir benutzen unsere Shares auch über VPN. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 22. Januar 2021 Melden Teilen Geschrieben 22. Januar 2021 So sieht's aus - jeder macht's anders. Wir machen alles - manche brauchen gar keine Laufwerke, weil sie kaum mit Dokumenten zu tun haben, für andere ist das Fehlen selbiger ein produktiver Totalausfall. 1 Zitieren Link zu diesem Kommentar
marcocupra 0 Geschrieben 25. Januar 2021 Autor Melden Teilen Geschrieben 25. Januar 2021 Am 22.1.2021 um 16:55 schrieb daabm: Wenn \\ip funktioniert, ist das normal - IP-Adressen sind immer NTLM. Wenn \\fqdn funktioniert, ist Kerberos (vermutlich) grundsätzlich in Ordnung. Klingt für mich nach einem Problem mit DNS-Suffixes. Ich bin mir auch nicht sicher, wie das bei VPN genau läuft - ich mach schon länger alle Zuordnungen immer mit dem FQDN und nicht mit dem Hostname. Das funktioniert recht zuverlässig. Ich bin aber kein VPN-Spezialist - vielleicht kann man da im rasphone.pbk noch was tweaken... Wenn Du das bei Dir nachstellen kannst, würde ich da mal einen Netzwerktrace anwerfen und schauen, was der "net use \\hostname" genau produziert. Wenn ich die Infos im Netz richtig verstanden habe, dann hat fqdn aber als Fallback NTLM und der hostname scheinbar nicht. Was mich halt nur so irritiert ist, dass es nach dem Löschen des lokalen Profils wieder funktioniert. Wobei ich keine Änderungen am DNS, Share, Permissions oder sonst gemacht habe. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. Januar 2021 Melden Teilen Geschrieben 25. Januar 2021 Am 22.1.2021 um 16:55 schrieb daabm: würde ich da mal einen Netzwerktrace anwerfen und schauen, was der "net use \\hostname" genau produziert. Dann hast Du Klarheit, was an Protokollen und Namen (DNS) und IP-Adressen verwendet wird. Alles andere ist Kaffeesatz. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.