none
Server 2008 R2 - Null Session Shares Probleme RRS feed

  • Allgemeine Diskussion

  • Hallo Zusammen,

    ich habe ein Problem bei der Erstellung Null Sessions auf einem Server 2008 R2 in folgender Konfiguration:
    Server 2008 R2 also Domainmember (mit installierten Dateidiensten, NFS und Indexdienst). Der Zugriff auf die normalen Freigaben von Domain-Clients ist natürlich kein Problem. Allerdings gibt es auf dem Server auch Freigaben (und Drucker) auf die Kunden von uns OHNE Eingabe von Credentials zugreifen können sollen.

    Was ich bereits versucht habe:
    1. Gast-Account aktiviert
    2. Bei den Freigabe und Sicherheitsberechtigungen der entsprechenden Shares den den Objekten Jeder, Gäste und ANONYMOUS-Anmeldung R/W Rechte gegeben.
    3. Unter Netzwerk- und Freigabecenter > Erweiterte Freigabeeinstellungen die Freigabe öffentlicher Ordner aktiviert. In einigen Foren bin ich auch darauf gestoßen die Option "password  protected share" zu deaktivieren. Allerdings taucht diese bei mir überhaupt nicht auf.
    4. Anpassung der GPO mit folgenden Einträgen:
    Computer Configuration -> Windows Settings -> Local Policies -> User Rights Assignment ->  Access this computer from the network: everyone, anonymous logon
    Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network Access: let everyone permissions apply to anonymous users: enabled
    Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network Access: restrict remote access to named pipes and shares: disabled
    Zusäzlich habe ich bei Network Access: Freigaben auf die anonym zugegriffen werden darf die entsprechenden Shares eingetragen.

    Folgende Probleme bestehen nun:
    A. Der Zugriff auf \\server funktioniert nicht (für Druckerfreigabe für Kunden)
    B. Der Zugriff auf \\server\share (für Kunden) funtkioniert von Windows 7 Systemen aus. Sobald ich auf der Share bin, kann ich auch zurück auf \\server gehen und sehe dort auch dann die Drucker, was ja aber nicht direkt klappte - siehe Punkt A)
    C. Von Windows XP Systemen ist auch der Zugriff auf \\server\share nicht möglich (Login-Prompt). Gebe ich dort Gast ohne PW ein, geht es aber. Das ist natürlich für Kunden nicht praktikabel

    Hat jemand einen Rat für mich?

    Danke & Gruß
    Andreas

    Donnerstag, 8. September 2011 07:59

Alle Antworten

  • Hallo,

    schau dir bitte einmal diese Policies an:

    1. Network access: Allow anonymous SID/Name translation

    2. Network access: Do not allow anonymous enumeration of SAM accounts

    3. Network access: Do not allow anonymous enumeration of SAM accounts and shares

    4. Network access: Let Everyone permissions apply to anonymous users

    5. Network access: Named Pipes that can be accessed anonymously

    6. Network access: Shares that can be accessed anonymously

    quelle:

    http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/841523db-8c4b-43a0-9f28-be7270f92e2b/

     

    Donnerstag, 8. September 2011 09:43
  • Hallo Matthias,

    danke für deinen Hinweis:

    1. aktiviert
    2. deaktiviert
    3. deaktiviert
    4. aktiviert
    5. aktiviert
    6. aktiviert

    Allerdings behebt das die Probleme nicht.

    Gruß
    Andreas

    Donnerstag, 8. September 2011 11:17
  • Hast du im Security-Eventlog des Servers Fehler bezüglich
    fehlgeschlagener Authentifizierung?

    Versuche bitte auch einmal einen Wireshark Mitschnitt laufen zu lassen.
    Dort sollten ebenfalls die Authentifizierungsanfragen sichtbar sein (am besten am Client, notfalls auch am Server).

    Ist am Server UAC aktiv?


    Schau bitte auch nochmal hier:
    http://serverfault.com/questions/88103/anonymous-file-sharing-without-login-window-from-windows-7-server-to-xp-clients
    Donnerstag, 8. September 2011 16:49
  • Hallo Matthias,

    UAC auf der niedrigsten Stufe hilft leider nicht. Im Security Log sind nur Erfolgsmeldungen, keine Fehler o.ä.

    Außerdem habe ich alle Punkte laut deinem Link bereits versucht gehabt. Das einzige was ich nicht machen konnte, ist: Deaktivieren der Option "Password protected Filesharing", da es diesen bei mir nicht gibt :-(

    Mittlerweile ist es auch so, dass ich den Zugriff auf die Freigabe von mehren XP-Systemen getestet habe. Von machen klappts, von manchen nicht. Eine Gemeinsamkeit konnte ich bisher noch nicht finden.

    Gruß
    Andreas

    Montag, 12. September 2011 08:01
  • Laut deiner Konfiguration sollte es funktionieren.
    Du greifst nicht über einen Alias zu sondern direkt über den FQDN des Servers?


    >Versuche bitte auch einmal einen Wireshark Mitschnitt laufen zu lassen.
    >Dort sollten ebenfalls die Authentifizierungsanfragen sichtbar sein (am besten am Client, notfalls auch am Server).

    Wie schaut es hiermit aus?

    >Deaktivieren der Option "Password protected Filesharing", da es diesen bei mir nicht gibt :-(

    Schau bitte mal hier:

    http://social.technet.microsoft.com/Forums/en-US/winserverfiles/thread/aae1684e-ac0a-491d-8180-a35d0f8cc65d/



    Montag, 12. September 2011 14:32
  • Hallo Andreas,

    hat der letzte Tipp von Matthias weitergeholfen?

    Gruss,
    Raul

    Dienstag, 13. September 2011 12:02
  • Hallo Raul,

    leider konnte ich auf Grund eines größeren Projektes mich nicht weiter mit dem Thema (WireSharkmitschnitt) beschäftigen. Allerdings ist es noch immer so, dass bei manchen XP Systemen ein Loginprompt kommt, und bei anderen wiederrum nicht. Vista und XP laufen problemlos.

    Gruß
    Andreas

    Freitag, 30. September 2011 10:04