none
Probleme mit Vertrauensstellung zwischen 2 Domänen RRS feed

  • Frage

  • Hi,
    das Problem ist folgendes:

    AD Vertrauenstellung extern, nicht transitiv, bidirektional eingerichtet und überprüft.

    Wenn ein User aus Domäne A auf eine Freigabe auf Domäne B zugreifen möchte kommt eine Fehlermeldung. (Es ist zurzeit kein Anmelde Server verfügbar)
    DNS funktioniert in beide Richtungen. Ich kann auch auf der Ressource Gruppen von Domäne A für den Zugriff berechtigen. Ldap Abfrage funzt auch.

    Von B nach A (also umgekehrt) funktioniert es jedoch ohne Probleme.

    Domänefunktionslevel bei Domäne A ist 2k8 und B ist 2k3 .
    Die Firewalls blockieren nichts.

    Danke für eure Hilfe!

    Neue Entwicklung:

    Es funktioniert mit Freigaben zwischen Domain-Controllern. Nur nicht wenn ich von Freigaben auf nicht DCs zugreifen will.

    • Bearbeitet MPSSW Mittwoch, 31. Oktober 2012 12:11
    Mittwoch, 31. Oktober 2012 11:10

Antworten

  • 141	13:27:23 31.10.2012	4.4758840	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Negotiate, Dialect = PC NETWORK PROGRAM 1.0, LANMAN1.0, Windows for Workgroups 3.1a, LM1.2X002, LANMAN2.1, NT LM 0.12, SMB 2.002, SMB 2.???	{SMBOverTCP:24, TCP:23, IPv4:22}
    144	13:27:23 31.10.2012	4.5000890	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Negotiate, Dialect is NT LM 0.12 (#5), SpnegoToken (1.3.6.1.5.5.2)	{SMBOverTCP:24, TCP:23, IPv4:22}
    149	13:27:24 31.10.2012	4.5401006	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Session Setup Andx, NTLM NEGOTIATE MESSAGE	{SMBOverTCP:24, TCP:23, IPv4:22}
    150	13:27:24 31.10.2012	4.5652082	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Session Setup Andx, NTLM CHALLENGE MESSAGE - NT Status: System - Error, Code = (22) STATUS_MORE_PROCESSING_REQUIRED	{SMBOverTCP:24, TCP:23, IPv4:22}
    151	13:27:24 31.10.2012	4.5967832	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Session Setup Andx, NTLM AUTHENTICATE MESSAGEVersion:v2, Domain: DOMAIN_A, User: Administrator, Workstation: DC	{SMBOverTCP:24, TCP:23, IPv4:22}
    153	13:27:24 31.10.2012	4.6256173	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Session Setup Andx - NT Status: System - Error, Code = (94) STATUS_NO_LOGON_SERVERS	{SMBOverTCP:24, TCP:23, IPv4:22}
    162	13:27:24 31.10.2012	4.8665099	System	10.51.112.2	10.51.0.80	TCP	TCP:Flags=...A...., SrcPort=56733, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3631076511, Ack=4242380462, Win=256 (scale factor 0x8) = 65536	{TCP:23, IPv4:22}

    Erstell bitte auch einmal einen Network-Trace während dem obig beobachten Fehlverhalten auf dem Server mit der IP "10.51.0.80", da dieser das Problem zu scheinen hat, die übergebene NTLMv2-Anmeldung (s.u.) weiter aufzulösen.

    Auch ist auf dem betroffenen Client (hier: "10.51.112.2") als auch auf dem Server (hier: "10.51.0.80") folgender Wert zu überprüfen:

    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    LmCompatibilityLevel

    S.a: http://technet.microsoft.com/en-us/library/cc960646.aspx

    Hintergrundinformationen hierzu:

    How Access Tokens Work
    http://technet.microsoft.com/en-us/library/cc783557.aspx
    -> Creating a Primary Token

    How Domain and Forest Trusts Work
    http://technet.microsoft.com/fr-fr/library/cc773178.aspx
    -> NTLM Referral Processing
    [..]
    If the client uses NTLM for authentication, the initial request for authentication goes directly from the client to the resource server in the target domain. This server creates a challenge to which the client responds. The server then sends the user’s response to a domain controller in its computer account domain. This domain controller checks the user account against its security accounts database.
    [..]

    NTLM Over Server Message Block (SMB)
    http://msdn.microsoft.com/en-us/library/cc669093(v=prot.20).aspx

    Purging Old NT Security Protocols
    http://blogs.technet.com/b/askds/archive/2012/02/02/purging-old-nt-security-protocols.aspx

    NTLM vs. LMCompatibilityLevel - The Most Misunderstood Windows Security Setting of All Time
    http://technet.microsoft.com/de-de/magazine/2006.08.securitywatch(en-us).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 31. Oktober 2012 16:16
  • Vielen Dank für deine Antworten.

    Fehler gefunden - ein DNS Server hat die bedingte Weiterleitung für die externe Domain nicht übernommen.
    Dadurch konnte es nicht funktionieren.

    Mittwoch, 31. Oktober 2012 16:23

Alle Antworten

  • Erstelle auf dem betroffenen Client/Server während Du das Problem nachstellst ein Network-Trace und analysiere welche Zugriffe wieso ggf. fehlschlagen (Mögliche Ursachen: Kerberos, DNS, Firewall, Encryption, Selective Authentication, MaxConcurrentAPI usw.)

    Weitere Informationen bzgl. der Analyse:

    Information about Network Monitor 3
    http://support.microsoft.com/kb/933741

    Vergleichbare Troubleshotting Steps:

    Troubleshooting “RPC server is unavailable” error
    http://blogs.technet.com/b/abizerh/archive/2009/06/11/troubleshooting-rpc-server-is-unavailable-error-reported-in-failing-ad-replication-scenario.aspx

    Troubleshooting "The RPC server is unavailable"
    http://social.technet.microsoft.com/wiki/contents/articles/4494.troubleshooting-the-rpc-server-is-unavailable.aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 31. Oktober 2012 12:17
  • 138	13:27:23 31.10.2012	4.4499553	System	10.51.112.2	10.51.0.80	TCP	TCP:Flags=......S., SrcPort=56733, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3631075631, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192	{TCP:23, IPv4:22}
    139	13:27:23 31.10.2012	4.4757360	System	10.51.0.80	10.51.112.2	TCP	TCP:Flags=...A..S., SrcPort=Microsoft-DS(445), DstPort=56733, PayloadLen=0, Seq=4242379836, Ack=3631075632, Win=16384 ( Negotiated scale factor 0x0 ) = 16384	{TCP:23, IPv4:22}
    140	13:27:23 31.10.2012	4.4757960	System	10.51.112.2	10.51.0.80	TCP	TCP:Flags=...A...., SrcPort=56733, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3631075632, Ack=4242379837, Win=258 (scale factor 0x8) = 66048	{TCP:23, IPv4:22}
    141	13:27:23 31.10.2012	4.4758840	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Negotiate, Dialect = PC NETWORK PROGRAM 1.0, LANMAN1.0, Windows for Workgroups 3.1a, LM1.2X002, LANMAN2.1, NT LM 0.12, SMB 2.002, SMB 2.???	{SMBOverTCP:24, TCP:23, IPv4:22}
    144	13:27:23 31.10.2012	4.5000890	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Negotiate, Dialect is NT LM 0.12 (#5), SpnegoToken (1.3.6.1.5.5.2)	{SMBOverTCP:24, TCP:23, IPv4:22}
    149	13:27:24 31.10.2012	4.5401006	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Session Setup Andx, NTLM NEGOTIATE MESSAGE	{SMBOverTCP:24, TCP:23, IPv4:22}
    150	13:27:24 31.10.2012	4.5652082	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Session Setup Andx, NTLM CHALLENGE MESSAGE - NT Status: System - Error, Code = (22) STATUS_MORE_PROCESSING_REQUIRED	{SMBOverTCP:24, TCP:23, IPv4:22}
    151	13:27:24 31.10.2012	4.5967832	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Session Setup Andx, NTLM AUTHENTICATE MESSAGEVersion:v2, Domain: DOMAIN_A, User: Administrator, Workstation: DC	{SMBOverTCP:24, TCP:23, IPv4:22}
    153	13:27:24 31.10.2012	4.6256173	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Session Setup Andx - NT Status: System - Error, Code = (94) STATUS_NO_LOGON_SERVERS	{SMBOverTCP:24, TCP:23, IPv4:22}
    162	13:27:24 31.10.2012	4.8665099	System	10.51.112.2	10.51.0.80	TCP	TCP:Flags=...A...., SrcPort=56733, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3631076511, Ack=4242380462, Win=256 (scale factor 0x8) = 65536	{TCP:23, IPv4:22}

    Das bekomme ich bei allen nicht DC's als Fehlermeldung:

    Es sind momentan keine Anmeldserver zum Verarbeiten der Anmeldeanforderung verfügbar.

    NEUE ERKENNTNIS:
    Es geht von überall, nur nicht von einem Computer, der in der Domäne A ist, auf einen nicht Domänen-Controller, in Domäne B.

    • Bearbeitet MPSSW Mittwoch, 31. Oktober 2012 14:41
    Mittwoch, 31. Oktober 2012 12:31
  • 141	13:27:23 31.10.2012	4.4758840	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Negotiate, Dialect = PC NETWORK PROGRAM 1.0, LANMAN1.0, Windows for Workgroups 3.1a, LM1.2X002, LANMAN2.1, NT LM 0.12, SMB 2.002, SMB 2.???	{SMBOverTCP:24, TCP:23, IPv4:22}
    144	13:27:23 31.10.2012	4.5000890	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Negotiate, Dialect is NT LM 0.12 (#5), SpnegoToken (1.3.6.1.5.5.2)	{SMBOverTCP:24, TCP:23, IPv4:22}
    149	13:27:24 31.10.2012	4.5401006	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Session Setup Andx, NTLM NEGOTIATE MESSAGE	{SMBOverTCP:24, TCP:23, IPv4:22}
    150	13:27:24 31.10.2012	4.5652082	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Session Setup Andx, NTLM CHALLENGE MESSAGE - NT Status: System - Error, Code = (22) STATUS_MORE_PROCESSING_REQUIRED	{SMBOverTCP:24, TCP:23, IPv4:22}
    151	13:27:24 31.10.2012	4.5967832	System	10.51.112.2	10.51.0.80	SMB	SMB:C; Session Setup Andx, NTLM AUTHENTICATE MESSAGEVersion:v2, Domain: DOMAIN_A, User: Administrator, Workstation: DC	{SMBOverTCP:24, TCP:23, IPv4:22}
    153	13:27:24 31.10.2012	4.6256173	System	10.51.0.80	10.51.112.2	SMB	SMB:R; Session Setup Andx - NT Status: System - Error, Code = (94) STATUS_NO_LOGON_SERVERS	{SMBOverTCP:24, TCP:23, IPv4:22}
    162	13:27:24 31.10.2012	4.8665099	System	10.51.112.2	10.51.0.80	TCP	TCP:Flags=...A...., SrcPort=56733, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=3631076511, Ack=4242380462, Win=256 (scale factor 0x8) = 65536	{TCP:23, IPv4:22}

    Erstell bitte auch einmal einen Network-Trace während dem obig beobachten Fehlverhalten auf dem Server mit der IP "10.51.0.80", da dieser das Problem zu scheinen hat, die übergebene NTLMv2-Anmeldung (s.u.) weiter aufzulösen.

    Auch ist auf dem betroffenen Client (hier: "10.51.112.2") als auch auf dem Server (hier: "10.51.0.80") folgender Wert zu überprüfen:

    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    LmCompatibilityLevel

    S.a: http://technet.microsoft.com/en-us/library/cc960646.aspx

    Hintergrundinformationen hierzu:

    How Access Tokens Work
    http://technet.microsoft.com/en-us/library/cc783557.aspx
    -> Creating a Primary Token

    How Domain and Forest Trusts Work
    http://technet.microsoft.com/fr-fr/library/cc773178.aspx
    -> NTLM Referral Processing
    [..]
    If the client uses NTLM for authentication, the initial request for authentication goes directly from the client to the resource server in the target domain. This server creates a challenge to which the client responds. The server then sends the user’s response to a domain controller in its computer account domain. This domain controller checks the user account against its security accounts database.
    [..]

    NTLM Over Server Message Block (SMB)
    http://msdn.microsoft.com/en-us/library/cc669093(v=prot.20).aspx

    Purging Old NT Security Protocols
    http://blogs.technet.com/b/askds/archive/2012/02/02/purging-old-nt-security-protocols.aspx

    NTLM vs. LMCompatibilityLevel - The Most Misunderstood Windows Security Setting of All Time
    http://technet.microsoft.com/de-de/magazine/2006.08.securitywatch(en-us).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 31. Oktober 2012 16:16
  • Vielen Dank für deine Antworten.

    Fehler gefunden - ein DNS Server hat die bedingte Weiterleitung für die externe Domain nicht übernommen.
    Dadurch konnte es nicht funktionieren.

    Mittwoch, 31. Oktober 2012 16:23
  • Danke fürs Feedback.

    Freud mich, dass wir helfen konnte, das Problem einzugrenzen und schlussendlich zu lösen :)

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 31. Oktober 2012 17:04