marcocupra 0 Posted January 22, 2021 Report Posted January 22, 2021 Hallo Leute, ich habe heute ein etwas seltsames Phänomen festgestellt und kann mir keinen Reim darauf machen. Pandemiebedingt setzen wir -wie alle- die Möglichkeit von Heimarbeit um. Folgende Umgebung haben wir dafür: Win2K16 Domäne Win2K16 Fileserver Win10 Pro 64-Bit Domänen-Clients VPN vor Nutzeranmeldung (Offline Anmeldungen ohne Erreichbarkeit des DC sind verboten per GPO) RoamingProfiles und Ordnerumleitungen Wir haben nun folgendes Problem: Der Nutzer meldet sich über VPN am Win10 Pro an. Die Anmeldung gegen die Domäne funktioniert auch. Allerdings wird sein eigenes Laufwerk nicht verbunden. Das Mapping erfolgt eigentlich per GPO und auf den Hostname des Servers (bspw. \\hostname\users$\<<nutzername>> Der Versuch das Laufwerk manuell zu verbinden per net use \\hostname\users$\<<nutzername>> scheitert mit der Fehlermeldung 53. Ein Aufruf im Dateiexplorer zeigt einen leeren Ordner. Fast so als würde die Authentifizierung nicht funktionieren. Ein Aufruf über folgende Wege bringt jedoch die richtigen Inhalte: \\fqdn\users$\<<nutzername>> und \\ip\users$\<<nutzername>> Also habe ich nach diesem Fehlerbild gesucht und bin auf Kerberos bzw. NTLM gestoßen. Scheinbar funktioniert Kerberos nicht korrekt. Also habe ich mit klist purge alle Tickets gelöscht und eine erneute Verbindung versucht. Gleiches Fehlerbild. Jetzt kommt der spannende Teil. Wenn ich das lokale Profil lösche und den Nutzer wieder anmelde, geht alles wie gewollt. Der Fehler tritt sporadisch und nach keinem zu erkennenden Muster auf. Vllt. kann mir hierzu jmd. Tipps geben bzw. kennt jemand das Verhalten schon? VG und Danke Marco Quote
daabm 1,377 Posted January 22, 2021 Report Posted January 22, 2021 Wenn \\ip funktioniert, ist das normal - IP-Adressen sind immer NTLM. Wenn \\fqdn funktioniert, ist Kerberos (vermutlich) grundsätzlich in Ordnung. Klingt für mich nach einem Problem mit DNS-Suffixes. Ich bin mir auch nicht sicher, wie das bei VPN genau läuft - ich mach schon länger alle Zuordnungen immer mit dem FQDN und nicht mit dem Hostname. Das funktioniert recht zuverlässig. Ich bin aber kein VPN-Spezialist - vielleicht kann man da im rasphone.pbk noch was tweaken... Wenn Du das bei Dir nachstellen kannst, würde ich da mal einen Netzwerktrace anwerfen und schauen, was der "net use \\hostname" genau produziert. Quote
Nobbyaushb 1,498 Posted January 22, 2021 Report Posted January 22, 2021 Wir arbeiten nur mit Terminalservern, da es meiner Meinung nach schlecht ist, Shares via VPN am Client zu öffnen Quote
BOfH_666 579 Posted January 22, 2021 Report Posted January 22, 2021 vor einer Stunde schrieb Nobbyaushb: Wir arbeiten nur mit Terminalservern, da es meiner Meinung nach schlecht ist, Shares via VPN am Client zu öffnen Es gibt aber auch Firmen, die das anders machen. Wir arbeiten z.B. über VPN prinzipiell genauso wie direkt im internen Netz. ... 'will sagen, wir benutzen unsere Shares auch über VPN. Quote
daabm 1,377 Posted January 22, 2021 Report Posted January 22, 2021 So sieht's aus - jeder macht's anders. Wir machen alles - manche brauchen gar keine Laufwerke, weil sie kaum mit Dokumenten zu tun haben, für andere ist das Fehlen selbiger ein produktiver Totalausfall. 1 Quote
marcocupra 0 Posted January 25, 2021 Author Report Posted January 25, 2021 Am 22.1.2021 um 16:55 schrieb daabm: Wenn \\ip funktioniert, ist das normal - IP-Adressen sind immer NTLM. Wenn \\fqdn funktioniert, ist Kerberos (vermutlich) grundsätzlich in Ordnung. Klingt für mich nach einem Problem mit DNS-Suffixes. Ich bin mir auch nicht sicher, wie das bei VPN genau läuft - ich mach schon länger alle Zuordnungen immer mit dem FQDN und nicht mit dem Hostname. Das funktioniert recht zuverlässig. Ich bin aber kein VPN-Spezialist - vielleicht kann man da im rasphone.pbk noch was tweaken... Wenn Du das bei Dir nachstellen kannst, würde ich da mal einen Netzwerktrace anwerfen und schauen, was der "net use \\hostname" genau produziert. Wenn ich die Infos im Netz richtig verstanden habe, dann hat fqdn aber als Fallback NTLM und der hostname scheinbar nicht. Was mich halt nur so irritiert ist, dass es nach dem Löschen des lokalen Profils wieder funktioniert. Wobei ich keine Änderungen am DNS, Share, Permissions oder sonst gemacht habe. Quote
daabm 1,377 Posted January 25, 2021 Report Posted January 25, 2021 Am 22.1.2021 um 16:55 schrieb daabm: würde ich da mal einen Netzwerktrace anwerfen und schauen, was der "net use \\hostname" genau produziert. Dann hast Du Klarheit, was an Protokollen und Namen (DNS) und IP-Adressen verwendet wird. Alles andere ist Kaffeesatz. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.