Lokaler Zugriff auf lokale Freigabe erfordert User/Pwd - wie kann man das umgehen?

[mmb 0]

Liebes MCSE Board,

 

ich benötige hier leider Hilfe. Ich bin mir nicht ganz Sicher, ob das Thema im Bereich Server oder AD besser aufgehoben ist.

Im angehängten Bild habe versucht das Scenario zu skizzieren.

 

Grob gesagt geht es um den Zugriff auf eine Freigabe "Freigabe1", die lokal auf dem Server "Server1" eingerichtet wurde.

Der Server "Server1" ist per DNS auch als "derServer" über DNS erreichbar. Ping auf diesen DNS Name funktioniert.

Freigabe + freigegebenes Verzeichnis haben testweise "Jeder Vollzugriff".

Der Server selbst ist in Domäne "Intern" angemeldet.

Der Benutzer, der an dem Server angemeldet ist, wird in Domäne "Welt" verwaltet.

Domäne "Intern" hat eine Vertrauensstellung zu Domäne "Welt".

Wenn ich von einem x-beliebigen PC, der in Domäne "Welt" steckt mit dem angemeldeten User "Welt\MyUser1"

auf die Freigabe "\\derServer\Freigabe1" zugreife z.B. im CMD-Kommandofenster "dir \derServer\Freigabe1", dann klappt das, ohne dass ich nach irgendwas gefragt werde und ich bekomme die Dateiliste angezeigt.

 

Soweit so gut.

 

Wenn ich mich nun aber mit dem selben User "Welt\MyUser1" direkt an dem "Server1" anmelde und das Kommando "dir \derServer\Freigabe1" eingebe, dann erhalte ich "Der Benutzername oder das Kennwort ist falsch."

Der Zugriff auf Dateiebene ... also "dir c:\verzeichnis1\Freigabe1" geht natürlich.

Auch die Verwendung des Servernamen  "dir \\Server1\Freigabe1" funktioniert. Lediglich die Verwendung des DNS Namen zum Ansprechen der Freigabe geht nicht.

 

Was muss ich einstellen, damit ich lokal die selben "Möglichkeiten" habe, wie übers Netzwerk?

UAC haben ich schon ganz runter gestellt, ohne Effekt.

 

OS von Server2 ist: Windows 2019 Server. Der Testclient ebenfalls.

 

Ich könnte versuchen den DNS in die lokale hosts Datei zu nehmen...aber dann weis ich noch nicht warum ;)

 

Vielen Dank für Eure Mühe schon mal und viele Grüße,

Michael

bearbeitet 28. August von mmb
Neue Erkenntnisse. Servername geht - DNS Alias-Name geht nicht

[daabm 1.303]

Kerberos oder NTLM? Und gibt es Firewalls, die Zugriffe zwischen Client, Server und allen beteiligten DCs blockieren könnten?

Du könntest übrigens auch mal auf dem Server ins Eventlog schauen (System/Security/NTLM/xyz). Da würde dann vermutlich mehr stehen. Und Du kannst natürlich auch noch einen NW-Trace machen - was lokal aber schwierig ist, weil das nicht über den NW-Stack läuft (wo der Trace abgefangen wird), sondern nur über den MUP.

Du siehst schon - per Forum eher schwer zu lösen, aber sicher was eher triviales

[mmb 0]

Vielen Dank fürs Antworten!

 

Ahhh...Das Ereignisprotokoll - vielen Dank, das war ein Hinweis...manchmal denkt man ans einfachste nicht.

Ich habe etwas in "Sicherheit" gefunden:

 

Fehler beim Anmelden eines Kontos.

 

Antragsteller:

Sicherheits-ID: NULL SID

Kontoname: -

Kontodomäne: -

Anmelde-ID: 0x0

 

Anmeldetyp: 3

 

Konto, für das die Anmeldung fehlgeschlagen ist:

Sicherheits-ID: NULL SID

Kontoname: MyUser1

Kontodomäne: Welt

 

Fehlerinformationen:

Fehlerursache: Bei der Anmeldung ist ein Fehler aufgetreten.

Status: 0xC000006D

Unterstatus:: 0x0

 

Prozessinformationen:

Aufrufprozess-ID: 0x0

Aufrufprozessname: -

 

Netzwerkinformationen:

Arbeitsstationsname: Server1

Quellnetzwerkadresse: 10.174.62.189

Quellport: 59511

 

Detaillierte Authentifizierungsinformationen:

Anmeldeprozess:

Authentifizierungspaket: NTLM

Übertragene Dienste: -

Paketname (nur NTLM): -

Schlüssellänge: 0

 

Ich vermute man kann evtl. in einer Richtlinie was konfigurieren...

 

*So ein Mist* --- ich habe Euch in die Irre geleitet

 

Wenn ich \\Server1\Freigabe1 oder \\IP-Adresse\Freigabe1 oder \\localhost\Freigabe1 benutze geht es auch.

Der Benutzer/Passwort - Hinweis kommt, wenn ich einen DNS-Name verwende.

 

Die Verwendung des DNS-Namens hat sich so eingebürgert, dass ich "Server1" gar nicht ausprobiert habe ... ich muss meinen Text und das Bildchen oben aktualisieren.

Großes Sorry!

 

 

Ich glaube ich habe die Lösung selbst gefunden...der DNS-Name "derServer" muss dem DC noch mit "netdom" als alias zum nativen Server-Namen bekannt gemacht werden.

bearbeitet 28. August von mmb

[daabm 1.303]

"StrictNameChecking" und "LoopbackCheck" als Stichworte - von DNS-Aliasen stand da nichts bisher...

[mmb 0]

1000 Dank! Das hat geklappt. Ich habe den LoopBackCheck nicht abgeschaltet sondern unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\BackConnectionHostNames eine Liste der alternativen DNS-Namen hinterlegt.

[daabm 1.303]

Gern geschehen Wenn man mal weiß, nach was man suchen muß, ist die Lösung oft ganz einfach 👍