Authentifizierungsfirewall?

[Andi S. 10]

Hiho :)

 

Ausgangslage:

 

W2k8_Standard. 2 Gesamtstrukturen mit jeweils einer Dom. Vertrauensstellung unidirektional eingerichtet und zwar explizit und nicht domänenweit. User aus der einen Dom können Ressourcen/Freigaben der anderen Dom per ACL zugeordnet werden (somit ist mit DNS, IP, Vertrauensstellung alles ok).

 

Problem:

 

Beim zugreifen auf die Freigabe der vertrauenden Dom (bei der in Freigabe-ACL und die NTFS-ACL die User der vertrauten Dom eingetragen sind) von der vertrauten aus kommt die Fehlermeldung: Durch Authentifizierungsfirewall ist zugriff auf Ressource nicht möglich.

 

 

Die Suche hier ergab zwei Threads die unvollständig sind und meine Frage nicht beantworten.

 

Meine Frage:

 

Wo genau muss ich die User der vertrauten Dom auf dem Freigabeserver der vertrauenden Dom eintragen damit die durch die Auth-firewall durchgelassen werden? Ich habe unter "Benutzer-Computer" bei eigenschaften von DC keine ACL-Auswahl und unter "Standorte-Dienste" habe ich diese, habe dort auch die user eingetragen aber immer noch kommt die gleiche Fehlermeldung. Wo muss ich die User eintragen?

[NilsK 2.781]

Moin,

 

dieser Thread sollte helfen.

http://www.mcseboard.de/windows-forum-ms-backoffice-31/win2k3-trusts-selective-authentication-95667.html

 

Gruß, Nils

[Andi S. 10]

Nein, tut er nicht. Habe hier natürlich vor dem Posten erst die Suche gequält und auch diesen Thread gelesen. Leider gibt Grizzly999 nicht an WO er die ACL ändert. Im AD suchen ergibt bei mir einen Eintrag mit dem Server (soweit, so gut), allerdings kann ich dort bei Eigenschaften keine ACLs ändern. Es liegt vielleicht daran dass es W2K8 ist.

[NilsK 2.781]

Moin,

 

Nein, tut er nicht.

 

doch, wahrscheinlich schon. :cool:

 

Leider gibt Grizzly999 nicht an WO er die ACL ändert.

 

Äh - doch ...

 

Im AD suchen ergibt bei mir einen Eintrag mit dem Server (soweit, so gut), allerdings kann ich dort bei Eigenschaften keine ACLs ändern. Es liegt vielleicht daran dass es W2K8 ist.

 

Nein, vermutlich liegt es an unpassenden Anzeigeeinstellungen. Schalte im Server-Manager bzw. im ADBuC unter Ansicht die Erweiterten Features an. Dann erhält das Eigenschaftenfenster die Registerkarte Sicherheit, und dort kannst du das gefragte Recht (Authentifizierung zulassen) setzen.

 

Gruß, Nils

[Andi S. 10]

Ah, sehr schön :)

 

Hmm, brauch das dann eine Weile? Ich hab die Domadmins der zugreifenden Dom dort eingetragen. In der Freigabe stehen die auch drin und bei ntfs stehen die auch drin. Funktioniert aber immer noch nicht bzw. es kommt immer noch die selbe Fehlermeldung. Aber schon mal danke für die "erweiterten Features" :)

–

Ha! Gelöst :) Man muss als explizites Recht noch "Authentifizierung zulassen" geben. Jetzt gehts. Ist das bei W2K3 auch so?

 

Ah ja, is bei W2K3 auch so. Hab mir gerade nochmal Grizzly999s Antwort durchgelesen. Man muss nicht nur lesen können um klar im Vorteil zu sein. Man muss es auch aufnehmen und verstehen :(

[NilsK 2.781]

Moin,

 

schön, dass du es jetzt gelöst hast.

 

Gruß, Nils

[Nemcron 0]

Auch wenn der Beitrag schon etwas älter ist hab ich aktuell das Problem, dass wir eine Vertrauensstellung zum DC unsere Tochterfirma aufgebaut haben.

Ich habe die Gruppe "Domänen-Admins" auf deren DC mit einer Leseberechtigung angelegt und stehe nun ebenfalls vor dem Problem, dass ich die Meldung

"Der Computer, an dem Sie sich anmelden, ist durch eine Authentifizierungsfirewall geschützt" bekomme.

 

Ich habe nun versucht unsere Gruppe explizit die Berechtigung "Authentifizierung zulassen" zu setzten. Allerdins habe ich den Eintrag dazu nicht.

Wäre nett wenn mir jemand auf die Sprünge helfen könnte. Bin im Moment etwas ratlos :confused:

 

Gruß Mike

bearbeitet 16. Juli 2013 von Nemcron