Fehler beim Zugriff auf Fileshare mit alternativen DNS-Namen
- 20.01.2025 - 19:49
Link zu diesem Beitrag: | |||||
| alternativer DNS-Name NTLM SPN Beim Zugriff auf ein Fileshare welcher von dem Server mit einem alternativen Hostnamen im Netzwerk angebunden wird, wird ständig der Benutzername und das Passwort abgefragt. Auf dem Server wird ein erfolgreiches Anmeldeereignis protokolliert. Das Szenarion tritt auf, wenn der alternative DNS-Name des Hosts nicht für den Zielserver hinterlegt ist. In der Regel werden durch den Befehl "netdom computername SERVERNAME /add:altdns.your.fqdn" folgende Schritte vorgnommen:
Ist beim Zielserver die Richtlinie "Microsoft-Netzwerkserver: Prüfungsstufe des Server-SPN-Zielnamens" auf "Gefordert von Client" konfiguriert, wird der Server gezwungen der vom Client mitgesendete Hostname mit seiner zulässigen Liste abzugleichen. Ist der vom Client gelieferte Hostnamen nicht enthalten wird der Zugriff zurückgewiesen. Der erste Schritt ist zu prüfen, ob die o. a. Attribute sauber gesetzt wurden. Hierzu nutzt man die "Active Directory-Benutzer und -Computer"-Konsole und prüft die Attribute "servicePrincipalName", "msDS-AdditionalDnsHostName" und in der DNS-Konsole, ob der A-Record mit der entsprechenden IP-Adresse angelegt wurde. Fehlen einige Einträge ist es empfehlenswert von dem Fileserver aus via "netdom computername SERVERNAME /remove:altdns.your.fqdn" die Einträge zunächst zu bereinigen und dann mit dem Befehl "netdom computername SERVERNAME /add:altdns.your.fqdn" die Einträge sauber neu anlegen zu lassen. Anschließend empfiehlt sich eine Wartezeit (für ggf. notwendige Active Directory-Replikationen) und ein Reboot des Fileservers. Um den Fehler eindeutig einzugrenzen, hilft es, wenn man in den Überwachungsrichtlinien unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Objektzugriff die Richtlinie "Dateifreigabe überwachen" für "Erfolg" und "Fehler" aktiviert. Nach einem Neustart des Systems kann man so in der Ereignisanzeige im Sicherheits-Log das Event 5168 entdecken mit der Fehlermeldung "Fehler bei der SPN-Überprüfung für SMB/SMB2.". In manchen Fällen ließ sich alleine auf Basis der korrekten Anlage der alternativen Domain für den Host trotzdem keine Verbindung herstellen. In dem Fall wurde der folgende Registry-Eintrag auf dem Fileserver gesetzt HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Typ: REG_MULTI_SZ Name: SrvAllowedServerNames Inhalt: altdns.your.fqdn altdns (jeweils ein Eintrag pro Zeile) siehe https://serverfault.com/questions/1096156/why-does-a-ms-gpo-option-break-smb-shares-that-use-a-hosts-file-for-the-machine siehe auch https://notesfromchad.wordpress.com/tag/srvallowedservernames/ 
Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen, Cloud-Lösungen (Microsoft 365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Insbesondere im Umfeld hybrider Identitätsumgebungen mit Entra Connect und den Möglichkeiten zur Härtung der IT-Landschaft konnte er in vielen Projekten Erfahrungen sammeln. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann. Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.
|
 Sie haben ein ungelöstes Problem in Ihrer Exchange Server/Microsoft-Infrastruktur oder unter Microsoft 365?Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Umgebungen, als auch bei komplexen Multisite/Cloud-Topologien unterstütze ich Sie -auch kurzfristig- sehr gerne. Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt | ||
|
[
 News als RSS-Feed abonnieren]News vom 24.12.2024 - 12:49 - E-Rechnung Viewer via Gruppenrichtlinie installieren - Weitere News: Spontaner Administrationsverlust unter Exchange Online - Und wie man es behebt!
[alle News auflisten] |