none
Wird Namesuffixrouting in einer AD wirklich benötigt? RRS feed

  • Frage

  • Hallo zusammen,

    ich habe ein ähnliches Problem wie dieser Kollege hier: https://www.administrator.de/content/detail.php?id=169192&token=838#comment-1100265

    Nur haben wir nicht von einem Windows 2003 auf 2008 migriert, sondern von einer Linux Domäne auf eine Windows 2008 R2 Domäne und bei mir sind es nicht alle User, sondern nur vereinzelte User, die Probleme bei der Synchronisation ihrer Profile haben:

    "Userenf ID 1521

    Die Serverkopie des servergespeicherte Profils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte. Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht.

    Details - Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können. "

    Dazu kommt folgende Fehlermeldung bei manchen Benutzern, die sich per UMTS und OpenVPN zum Server verbinden:

    Auf V:\ kann nicht zugegriffen werden.

    Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

    Bzw. Wenn sie sich aus einem anderen lokalen Netz versuchen zum Server zu verbinden.

    Das Kuriose ist, dass das nur Auftritt, wenn die UMTS-Verbindung über Windows Board-Mittel (Netzwerkcenter) aufgebaut wird. Nimmt man z.B. das Tool von Fujitsu um sich mit dem UMTS-Netz zu verbinden, kommt die gezeigte Fehlermeldung nicht mehr und alles funktioniert.

    Jetzt habe ich den Beitrag von Lenny (s.o.) gefunden und seine Lösung war das Namesuffixrouting in den Vertrauenseinstellungen zu deaktivieren. Meine Frage dazu: was macht das Namesuffixrouting überhaubt und benötige ich das zwingend in einer AD? Ich habe mir die Beschreibung von MS angeguckt, aber schlauer bin ich daraus auch nicht geworden.

    Vielleicht kann mir jemand von euch helfen.

    Gruß
    D1Ck3n


    • Bearbeitet D1Ck3n Freitag, 3. Juni 2016 06:48
    Freitag, 3. Juni 2016 06:48

Antworten

Alle Antworten

  • Hi
     
    Am 03.06.2016 um 08:48 schrieb D1Ck3n:
    > [...] Das Kuriose ist, dass das nur Auftritt, wenn die UMTS-Verbindung über
    > Windows Board-Mittel (Netzwerkcenter) aufgebaut wird.
     
    Versuchen wir es noch mal mit einem Schuss ins Blaue, da es bei der
    letzten VPN Geschichte auch geholfen hat:
     
    Konfiguriere mal die MaxPacketSize:
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Freitag, 3. Juni 2016 07:16
  • Jetzt habe ich den Beitrag von Lenny (s.o.) gefunden und seine Lösung war das Namesuffixrouting in den Vertrauenseinstellungen zu deaktivieren. Meine Frage dazu: was macht das Namesuffixrouting überhaubt und benötige ich das zwingend in einer AD? Ich habe mir die Beschreibung von MS angeguckt, aber schlauer bin ich daraus auch nicht geworden.


    Nun, Name Suffix Routing gibt es erst, wenn mehrere Domains zueinander Vertrauensstellungen unterhalten. Normalerweise wird jeder Forest einen eigenen Satz von UPN Suffizes haben, die auch für diesen Forest eindeutig sind. Da ist natürlich das Routing gut, denn wenn ich mich am Computer aus Forest A mit User aus Forest B authentifiziere, muss der DC aus Forest A (der das ja verarbeiten) wissen, wer für die Bestätigung der Anmeldung zuständig ist.

    Spannender wird es, wenn ich im Forest A und im Forest B einen gleichen UPN-Suffix gibt. Dann muss man schauen, was man macht und wer das in welchem Szenario bestätigen muss. Am besten, man schafft die Situation so schnell wie möglich ab :-)

    Ist denn bei Dir diese Situation vorhanden?`Mehrere Domänen/Forests, mit Vertrauensstellungen dazwischen, und UPN-Suffizes, die sich ggfls. überschneiden?


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 3. Juni 2016 07:34
  • Hi Evgenij,

    erst mal danke für die Erklärung!

    nein, wir haben nur eine Domäne im Netz und das wird auch so bleiben^^

    Also kann ich das ruhig abschalten, ohne das es eine negative Auswirkung auf meine Authentifizierung innerhalb meiner Netze hat?

    Gruß

    D1Ck3n

    Freitag, 3. Juni 2016 14:00
  • Moin,

    da Du keine Trusts am Start hast, wüßte ich nicht, wo Du das ein- oder abschalten kannst, denn Name Suffix Routing ist ja eine Eigenschaft eines Trusts...

    https://technet.microsoft.com/en-us/library/cc758181%28v=ws.10%29.aspx


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 3. Juni 2016 14:19
  • Moin,

    schade, ich dachte, dass ich damit das Problem mit der Fehlermeldung bzw. der fehlschlagenden Synchronisation des Benutzerprofils hätte lösen können. Die AD macht in der Hinsicht bei mir nur ärger.

    Montag, 6. Juni 2016 07:13