Jump to content
Sign in to follow this  
rene-w

Windows 2000 Domain / DNS - Netbios --> Authentifzierungsproblem?

Recommended Posts

ch habe folgendes Problem:

Ein Server der (unter anderem) als Fileserver dient hat eine Netzwerkfreigabe.

Servername = server01.domain.local

 

Im DNS gibt es auch noch einen alias server der auf server01.domain.local zeigt.

 

Pingen etc. vom Client, zum testen der Namensauflösung funktioniert 1A, da wird ping server auf server01.domain.local geändert und auch erreicht.

 

Jedoch will man über \\server\share auf einen Netzwerkshare zugreifen kommt folgende Fehlermeldung:

"Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig"

 

Mit \\server01\share funktioniert alles 1A.

Es soll aber \\server funktionieren, damit man im Fall der Fälle nur den DNS Record umdrehen muss und ein anderer Server die Tasks übernehmen kann. (Wir wollen das über DNS spielen, da der server auch ein Webservice bereit hält, worauf Client Anwendungen zugreifen - und man für einen Ausfall nur den DNS Record umstellen muss)

 

Hat jemand evt. eine Idee, was die ursache sein könnte?

Share this post


Link to post

Hi!

 

Einmal herzlichen Dank für deine Antwort.

 

Wobei ich daraus noch nicht wirklich schlau geworden bin. Ich verstehe das so, dass wenn ich den Registry-Key für den 2. FQDN setze, sich dieser Member-Server beim DNS meldet und selbst den Namen registriert.

Nach einem restart hat er dies nämlich nicht gemacht! (habe vorher natürlich die bisherigen Einträge gelöscht)

 

Nachdem das automatische Eintragen nicht funktioniert hat, habe ich einmal wieder händisch einen Alias eingetragen.

 

Es tritt mittlerweile auch folgendes auf:

Kontaktiert ein Client mit einem normalen Domänenbenutzer den Memberserver per \\server.domain.local kommt das Fenster man soll Username/Passwort eingeben.

 

Kontaktiert ein Client mit angemeldeten Domänenadmin den Memberserver per \\server.domain.local kommt die Fehlermeldung "Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig"...

 

Vielleicht fällt noch jemandem etwas ein - denn ich habe mitlerweile schon recht viel herum probiert, bin aber leider noch nicht wirklich zum Ziel gekommen....

Share this post


Link to post

Hi,

 

für dein Beispiel sollte genügen, dass du auf dem Server den DWORD Eintrag setzt:

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

DisableStrictNameChecking=1

 

Damit sollte sich, nach einem Reboot, der Server über den DNS Alias ansprechen lassen.

 

Möchtest du, dass sich der Server selbst mit einem NetBIOS Alias im WINS registriert,

benötigst du noch den Eintrag "OptionalNames".

 

thorgood

Share this post


Link to post

Hmm, leider nicht... ;)

 

Hab jetzt am "Zielserver" das DWord DisableStrictNameChecking=1 eingetragen und neu gestartet. Und auch im DNS den Alias händisch eingefügt.

--> leider wie bisher

 

Und jetzt habe ich nochmal den Tipp mit "AlternateComputerNames", den du vorher verlinkt hast auch probiert (inkl. disableStrictNameCheking...), wieder Neustart - leider auch nicht.

Es wird über diese Methode doch ein korrekter Host Eintrag am DNS erstellt - hab mich beim 1. Versuch nur vertippt.

 

Und last but not least habe ich jetzt auch noch unter LanmanServer\Parameters den Key OptionalNames eingetragen. Hier wird dann auch ein korrekter WINS Eintrag erstellt (WINS "dümpelt" da noch im Hintergrund herum, weil dies vor langer Zeit einmal installiert wurde, aber AFAIK nicht mehr notwendig wäre)

 

Leider ändert sich an der ganzen Sache herzlich wenig. Denn das ganze hört sich sehr schüssig an, sodass ich mir denke das muss doch endlich funktionieren - was es aber leider nicht tut...

 

Irgendwie eine verzwickte Geschichte.

 

Trotzdem, herzlichen Dank... :)

Share this post


Link to post

Nochmal ein Update von mir - jetzt gehts doch... ?!

 

Ich habe bisher alles in einem (teilweise) virtualisierten Test-Netz ausprobiert, wo dies nicht funktioniert hat. Teilweise virtualisiert heißt, dass z.B. die Domain-Server auf vHosts unter VMWare laufen (einfach weil das nur zum Testen da ist)

 

Jetzt habe ich das ganze einmal im Live-System mit einem Testclient ausprobiert, einfach einen neuen Alias im DNS angelegt, dann kam die Fehlermeldung: You were not connected because a duplicate name exists on the network. Go to System in Control Panel to change the computer name and try again.

 

In der Registry unter HKLM\System\currentcontrolset\services\lanmanserver\parameters ein neues DWORD mit Namen DisableStrictNameCheking und Wert 1 angelegt und schwupp - alles funktioniert wunderbar.

 

Wirft natürlich die Frage auf, warum gehts im Testnetz nicht (was ein Klon des Originalnetzes ist).

 

Und noch interessanter ist: Ich habe noch ein anderes Netzwerk zur Verfügung (nämlich "mein Entwicklungsnetz") - dort verwenden wir dieses remapping per DNS mehrfach - und dort braucht keiner der Clients/Server die das betrifft den Registry-Eintrag....

 

Der einzige funktionelle Unterschied zwischen den 2 Netzen (also dem, wo man den Reg-Eintrag braucht und "meinem", wo man ihn nicht braucht) ist, dass die Gesamtstrukturfunktionalität der Domain bei ersterem 2000 ist, und bei dem wo es ohne Reg-Eintrag geht 2003. Domainfunktionsebene ist bei beiden 2003.

 

Naja, wie auch immer, trotzdem nochmals herzlichen Dank an thorgood. :thumb1:

Share this post


Link to post

Spät, aber doch gibts hierzu noch ein Update.

 

Es gab in allen betreuten Netzen wo ich es ausprobiert habe noch folgendes Problem: Man konnte direkt von dem Rechner, der den DNS Alias hat nicht mit diesem Alias auf den Rechner zugreifen - da öffnete sich das Anmeldefenster, jedoch egal was man eingab, der Share funktionierte nicht.

 

z.B. server01.domain.local hatte Alias server.domain.local

 

Von anderen Rechnern konnte man mit \\server.domain.local zugreifen, nur direkt vom Server nicht.

 

Die Lösung davon ist ein weiterer Registry-Key der ein "Sicherheitsfeature" von Microsoft ausschaltet:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Name: "DisableLoopbackCheck"

Typ: REG_DWORD

Wert: 1

 

So, damit sollte das Thema endgültig abgeschlossen sein!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...