none
Zugriff verweigert trotz Vollzugriff für Administratoren RRS feed

  • Frage

  • Konfiguration 1:

    • Server 2012 auf realer Festplatte installiert
    • zweite Datenfestplatte, Zugriff wie gewohnt möglich
    • nun auf der Datenfestplatte eine Installation von Server 2012 R2 in VHD vorgenommen

    aus der R2-Installation heraus kein Zugriff auf Binärdateien aller Art möglich (ISO, VHD, EXE, PDF usw.), obwohl auf die Dateien Vollzugriff für Administratoren besteht und die Administratoren auch Besitzer sind. Die Dateien sind alle zu sehen, jedoch jeder Versuch des Öffnens endet in einer Fehlermeldung, die je nach Anwendung unterschiedlich ist. Auch Remotezugriff über SMB ist nicht möglich.

    OK, dachte ich, da es sich bei 2012 R2 noch um eine Vorabversion handelt, vielleicht ist das Problem in der RTM weg. Aber dann kam

    Konfiguration 2:

    • eine Festplatte, zwei Partitionen: Betriebssystem und Daten
    • Betriebssystem war Server 2012, Partition wurde gelöscht und 2012 neu installiert

    Danach kein Zugriff auf Binärdateien der Datenpartition mehr möglich, obwohl auch hier der Besitz mit takeown übernommen wurde und den Administratoren Vollzugriff erteilt wurde. Die ACL kann auch nur mit icacls verwaltet werden, im Explorer sind alle Einstellungen grau.

    Die Dateien haben keine ADS. Der Server ist in einer Arbeitsgruppe.

    Was ich versucht habe:

    • icacls /reset -> erfolgreich
    • icacls /setintegritylevel -> egal welcher Level, keine Wirkung
    • icacls /remove <SID der ehemaligen Installation> -> Fehler
    • icacls /grant -> erfolgreich, aber keine Wirkung

    Was ist die Ursache des beschriebenen Verhaltens?

    Wie kann man den Administratoren Zugriff auf die Dateien ermöglichen?

    Donnerstag, 25. Juli 2013 19:27

Antworten

  • Die beschriebenen Phänomene hatten ihre Ursache in der Datendeduplizierung, die ich in Windows Server 2012 testweise aktiviert hatte. Dummerweise hatte ich auf dem Laufwerk die Deduplizierung aktiviert, wo Windows Server 2008 R2 installiert war. Grund war, dass dort die meisten Daten lagerten, sowohl diverse ISO-Images als auch diverse VHDs von Hyper-V.

    Nachdem ich die Deduplizierung wieder rückgängig gemacht hatte, was etwa einen Tag gedauert hat (2 GB Festplatte), konnte wieder von alles Betriebssystemen auf die Daten zugegriffen werden.

    Ich dachte, dass Deduplizierung eine Eigenschaft des NTFS sei. Aber im TechNet wird darauf hingewiesen, dass ein Filtertreiber die Ein- und Ausgaben überwacht. Offenbar überwacht er nicht nur, sondern sorgt auch für die korrekte Zusammensetzung der Daten beim Lesen.

    Ich habe nicht mehr getestet, ob ich durch Aktivierung der Deduplizierung des gleichen Volumens in einem anderen Betriebssystem wieder Zugriff gehabt hätte. Nach der Beschreibung auf dieser Blog-Seite hätte es funktionieren müssen.


    • Als Antwort markiert mslux Donnerstag, 22. August 2013 17:48
    • Bearbeitet mslux Donnerstag, 22. August 2013 18:36 Beitrag ergänzt
    Donnerstag, 22. August 2013 17:48

Alle Antworten

  • Ein oder zwei Screenshots würden vmtl. helfen, Dein Problem verständlicher zu beschreiben. "Kein Zugriff" bzw. "Fehlermeldungen aller Art" ist keine valide Fehlerbeschreibung - was GENAU bekommst Du für Meldungen?

    Und da Du immer von Binärdateien redest - was ist mit Textdateien?


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Freitag, 26. Juli 2013 08:10
  • Ich komme zur Zeit nicht an die Server heran. Daher kann ich gegenwärtig keine Screenshots liefern. Sie würden aber auch nichts nützen. Mit "Fehlermeldungen aller Art" meinte ich, dass jede Anwendung eine andere Fehlermeldung liefert. Zum Beispiel liefert der Explorer beim Versuch eine ISO durch Doppelklick zu mounten: Problem beim Bereitstellen der Datei. Hyper-V meldet beim Versuch eine VHD einzubinden sinngemäß: Es ist ein unerwarteter Fehler aufgetreten. In den Details steht dann, dass auf die Datei nicht zugegriffen werden kann. Versucht man, die VHD mit dem Explorer zu mounten, kommt wieder: Problem beim Bereitstellen der Datei. more < 2012.iso meldet: Zugriff verweigert.

    Es kommt also immer auf die Anwendung an, welche Fehlermeldung angezeigt wird. Im Ereignisprotokoll steht wortwörtlich der gleiche Text, der auch von der Anwendung angezeigt wird (zum Beispiel bei Hyper-V).

    Auf Textdateien kann zugegriffen werden.

    Es können auch neue Dateien erzeugt werden, und auf die kann dann auch problemlos zugegriffen werden. Das gilt auch für Binärdateien.

    Freitag, 26. Juli 2013 10:58
  • Neue Erkenntnisse bezüglich des System mit Konfiguration 1:

    Die Installation von der VHD kann nicht mehr gestartet werden. Folgende Meldung erscheint:

    Fehler beim Start von Windows. Die Ursache dafür ist eventuell eine kürzlich durchgeführte Hard- oder Softwareänderung. So beheben Sie das Problem:

    1. Legen Sie die Windows-DC/DVD ein, und starten Sie den Computer neu.

    2. Wählen Sie die Spracheinstellungen aus, und klicken Sie dann auf "Weiter".

    3. Klicken Sie auf "Computer reparieren"

    Wenn Sie diesen Datenträger nicht besitzen, wenden Sie sich an den Systemadministrator oder den Computerhersteller.

    Status: 0xc03a0003

    Info: Ein erforderliches Gerät ist nicht verbunden, oder es kann nicht darauf zugegriffen werden.

    1. Start von Windows PE vom USB-Stick.

    DISKPART> select vdisk file=c:\2k12r2.vhd

    Fehler in DiskPart: Das System kann auf die Datei nicht zugreifen. Weitere Informationen finden Sie im Systemereignisprotokoll.

    Es ist kein virtueller Datenträger ausgewählt.

    2. dir c:\2k12r2.vhd

     Datenträger in Laufwerk C: ist Daten

     Volumenseriennummer: 0E29-7870

     Verzeichnis von c:\

    27.07.2013 09:15 8.203.538.432 2k12r2.vhd

           1 Datei(en),  8.203.538.432 Bytes

           0 Verzeichnis(se), 773.946.511.360 Byte frei

    3. attrib c:\2k12r2.vhd

    Das Ziel des symbolischen Links "C:\2k12r2.vhd" ist nicht vorhanden.

    4. fsutil reparsepoint query c:\2k12r2.vhd

    Analysekennwert: 0x8000013

    Kennungswert: Microsoft

    Datenlänge wird neu analysiert: 0x00003d9c

    Analysedaten:

    0000: 01 02 9c 3d 00 00 ...

    Es folgen über 1000 Zeilen mit Hexwerten, überwiegend Nullen. Die Ausgabe des Kommandos kann in dieser Datei nachgelesen werden.

    5. Start vom USB-Stick mit Linux

    Mounten der Datenpartition nach /mnt

    ls -l /mnt/2k12r2.vhd

    lrwxrwxrwx 1 root root 26 Jul 27 08:15 /mnt/2k12r2.vhd -> unsupported reparse point

    cat /mnt/2k12r2.vhd

    cat: /mnt/2k12r2.vhd: No such file or directory

    6. Start von Windows Server 2012 von Festplatte

    DISKPART> select vdisk file=d:\2k12r2.vhd

    Die Datei für virtuelle Datenträger wurde von DiskPart erfolgreich ausgewählt.

    7. fsutil reparsepoint query d:\2k12r2.vhd

    Gleiche Ausgabe wie bei 4. Offenbar kommt das Kommando nicht klar, denn es hält auch andere Dateien, aber nicht alle, für Analysepunkte, zum Beispiel alle .vhd, ein ZIP-Archiv und eine Textdatei, wogegen andere Textdateien, eine .cap und eine .cmd nicht als Analysepunkte betrachtet werden.

    Ich habe mal die Anzahl von Dateien gesucht (dir /al /s), von denen Windows meint, sie wären ein Analysepunkt. Es sind über 54.000 mit über 1,6 TB und 120 Verzeichnisse. Normalerweise gibt das dir-Kommando den Type des Analysepunktes (<JUNCTION>, <SYMLINK> usw.) an. Bei meiner Suche fehlt der Typ aber fast immer, er kann also von dir nicht erkannt werden. Die Suche nach keinen Analysepunkten (dir /a-l /s) ergibt über 136.000 Dateien, die nur 600 GB umfassen und über 97.000 Verzeichnisse. 


    Noch eine Information, die vielleicht wichtig ist: Der Rechner verfügt über drei Festplatten. Auf der ersten, der sogenannten Datenplatte, befindet sich eine Installation von 2008 R2, die sich seit der Installation von Windows Server 2012 nicht mehr starten lässt. Ursache ist wohl, dass dieses Betriebssystem im BIOS-Modus installiert wurde. Nach einem Mainboardwechsel gab es kein BIOS sondern nur noch UEFI. Nach mehreren Versuchen den Startvorgang zu reparieren wurde dann die 100 MB-Bootpartition in eine EFI-Partition und der MBR in eine GPT umgewandelt.

    Auf der zweiten Festplatte befindet sich die Windows Server 2012-Installation. Davor liegt eine 350 MB große Bootpartition. Diese Platte hat aber einen MBR. Ebenso die dritte Festplatte, die aber in diesem Szenario keine Rolle spielt.

    Konfiguration 1 ist meine Testumgebung. Konfiguration 2 dagegen der Rechner eines Kursteilnehmers, dessen Konfiguration inzwischen wegen Neuinstallation nicht mehr nachzuvollziehen ist. In diesem Thread sollten wir uns auf Konfiguration 1 beschränken. Konfiguration 2 diente am Anfang nur zum Vergleich, weil das Phänomen vergleichbar ist. 

    Das Zugriffsproblem tritt nur auf, wenn auf die Datenpartition, also die Festplatte mit der GPT von einem Betriebssystem aus, das aus einer VHD gestartet wurde, zugegriffen werden soll.

    • Bearbeitet mslux Samstag, 27. Juli 2013 17:08 Beitrag ergänzt
    Samstag, 27. Juli 2013 14:52
  • Die beschriebenen Phänomene hatten ihre Ursache in der Datendeduplizierung, die ich in Windows Server 2012 testweise aktiviert hatte. Dummerweise hatte ich auf dem Laufwerk die Deduplizierung aktiviert, wo Windows Server 2008 R2 installiert war. Grund war, dass dort die meisten Daten lagerten, sowohl diverse ISO-Images als auch diverse VHDs von Hyper-V.

    Nachdem ich die Deduplizierung wieder rückgängig gemacht hatte, was etwa einen Tag gedauert hat (2 GB Festplatte), konnte wieder von alles Betriebssystemen auf die Daten zugegriffen werden.

    Ich dachte, dass Deduplizierung eine Eigenschaft des NTFS sei. Aber im TechNet wird darauf hingewiesen, dass ein Filtertreiber die Ein- und Ausgaben überwacht. Offenbar überwacht er nicht nur, sondern sorgt auch für die korrekte Zusammensetzung der Daten beim Lesen.

    Ich habe nicht mehr getestet, ob ich durch Aktivierung der Deduplizierung des gleichen Volumens in einem anderen Betriebssystem wieder Zugriff gehabt hätte. Nach der Beschreibung auf dieser Blog-Seite hätte es funktionieren müssen.


    • Als Antwort markiert mslux Donnerstag, 22. August 2013 17:48
    • Bearbeitet mslux Donnerstag, 22. August 2013 18:36 Beitrag ergänzt
    Donnerstag, 22. August 2013 17:48