W2012R2 Server: Merkwürdiges Problem mit Netzwerkfreigabe
Frage
-
Hallo zusammen,
ich habe seit Kurzem einen Win 2012 Server laufen. Ohne DC, ohne AD.
Stattdessen ist ein Ordner auf einem Laufwerk freigegeben ("JEDER" darf "Ändern"), und die Rechte auf die darunter liegende Ordnerstruktur wird per NTFS Freigaben geregelt. Die clients sind fast noch alle XP.
"zugriffsbasierte Aufzählung" ist aktiviert.
Auf dem freigegebenen Root-Ordner haben alle Benutzer das Recht " Ordner auflisten/ Dateien lesen", " nur dieser Ordner", damit die Benutzer die darunter liegenden Ordner sehen können.
Die Benutzer sind in Gruppen zusammengefasst, die dann wiederum Rechte "ändern" auf diesen unter dem root liegenden Ordnern bekommen. Das funktioniert auf den XP-clients auch alles einwandfrei.
Im Netz sind aber auch ein paar W7 und W10-clients, und da gibt es ein Problem, da komme ich nicht weiter.
So ein W7-client, der das Recht "ändern" in einem der Ordner auf dem Server hat, sieht das gemappte laufwerk I: und die Ordnerstruktur:
und er darf auch Dateien lesen und ändern. Wenn er aber versucht eine lokale Datei in das Verzeichnis auf dem Server zu kopieren, gibt es eine Fehlermeldung: " der Pfad ist nicht verfügbar".
und da hört es bei mir auf, denn offensichtlich ist der Pfad ja verfügbar: im Explorer ist der Ordner sichtbar, und wie oben beschrieben haben wir ja offensichtlich auch Schreibrechte, denn sonst könnten wir ja keine Dateien ändern.
ein weiterer Effekt: wenn man auf einem Windows 7 Rechner in einer DOSbox "I:" ein gibt, gibt es auch eine Fehlermeldung. Bei einem Windows 10 Rechner allerdings nicht.
noch einmal, auf XP Clients funktioniert alles wie gewünscht.
Zu sagen ist noch, dass in der Netzwerkumgebung der W7 und w10 clients die anderen XP-clients nicht sichtbar sind, obwohl alle in derselben Arbeitsgruppe sind. Aber das liegt ja vermutlich an den unterschiedlichen SMB- Versionen, stört eigentlich nicht weiter und hat mit dem aktuellen Problem wohl gar nichts zu tun. Sagen wollte ich es trotzdem.
Und jetzt hoffe ich auf einen guten Tipp. Danke!
(ich hoffe daß ich im richtigen Forum bin, sonst bitte verschieben)
Alle Antworten
-
Nix! Du hattest mich nach den erweiterten Berechtigungen gefragt, und ich hatte die gepostet, und auf Hilfe gewartet!
Oder sollte DEIN Screenshot nicht 'eben nur ein Beispiel sein wo die erweiterten Berechtigungen zu finden sind', sondern bereits der Hinweis wie die einzustellen sind? Sorry, Mißverständnis.
Die erweiterten sind so:
also genau wie bei Dir. Wobei diese ja vom System so gesetzt werden, wenn 'Ändern' bei den normalen Berechtigungen gewählt wird.
Ich habe aber versuchsweise dem Benutzer auch schon 'Vollzugriff' auf den Ordner eingeräumt, und das Problem ist immer noch da.
Danke, Lecaro
-
Nix! Du hattest mich nach den erweiterten Berechtigungen gefragt, und ich hatte die gepostet, und auf Hilfe gewartet!
Schlechte Idee. Der Großteil der Beantworter kommentieren hier nebenbei und versuchen zu helfen - also nicht der Hauptjob hier Beiträge zu lesen und zu lösen ;)
Du musst Dich auch alleine in die Spur machen - offiziellen Support wirst Du hier nicht bekommen.
Wie bildest Du denn ohne AD die Gruppen und deren Mitgliedschaften ab?
Tritt das Problem auch auf wenn Du mit UNC-Pfaden arbeitest und dann mal eine Datei kopierst?
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
-
unten alles in einem screenshot.
rechts rot (bitte nach rechts scrollen) der Benutzer mit seiner Gruppenzugehörigkeit.
Links grün der root-Ordner des Fileservers, der mit 'Netzwerklaufwerk verbinden' verbunden wurde.
NET USE zeigt die Verbindung korrekt an, mit dem vergebenen Laufwerkbuchstaben.
OK, jetzt im DOS-Fenster:
c:\> I: gibt ne Fehlermeldung aber
c:\> copy testfile.txt \\fileserver\work\gna
geht!
-
unten alles in einem screenshot.
rechts rot (bitte nach rechts scrollen) der Benutzer mit seiner Gruppenzugehörigkeit.Also werden die Benutzer und Gruppen lokal auf dem Fileserver angelegt und Du verbindest Dich vom Client mittels FILESERVER\Username auf die Freigaben?
Links grün der root-Ordner des Fileservers, der mit 'Netzwerklaufwerk verbinden' verbunden wurde.
NET USE zeigt die Verbindung korrekt an, mit dem vergebenen Laufwerkbuchstaben.
OK, jetzt im DOS-Fenster:
c:\> I: gibt ne Fehlermeldung aber
c:\> copy testfile.txt \\fileserver\work\gna
geht!Greifst Du mit dem gleichen Benutzer auf das gemountete Verzeichnis wie auch den UNC-Pfad zu?
Mit welchen Credentials wird net use ausgeführt und unter welchem Benutzer läuft die CMD wo Du den copy-Befehl abgesetzt hast?
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
-
net use * /delete
Zum Entfernen aller aktiven Verbindungen.
Und wenn Du per Windows-Explorer auf den UNC Pfad zugreifst kannst Du dann Kopieren/Drag'Drop?
Hast Du die Ansätze an beiden Systemen Win7 & 10 geprüft?
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
-
1. der fehler bei net use... war ein Fehler bei der Eingabe des Befehls. Wies aussieht sind unter XP die Parameter anders als unter W7.
2. Erstaunlich.
SO (Titelzeile beachten):
läßt sich nicht kopieren.
SO:
schon!!
Noch eine Idee eben probiert: den Pfad so gemappt: \\192.168.1.10\ordernname
Dann ist kopieren NICHT möglich.So, jetzt der Win10-PC.
Der hat lokal noch keinen auf dem server existierenden Benutzer. Also per Explorer 'Netzwerklaufwerk verbinden.. mit anderem Benutzer' gemacht. Verhält sich genau wie oben: auf dem UNC-Pfad ist kopieren möglich, sonst nicht.
-
So langsam wird es mit der Ferndiagnose schwieriger, noch ein paar weitere Ideen:
- Welche Dienste führt der Server sonst noch aus?
- Hast Du eine AV-Software auf den Clients oder/und dem Server?
- Das ist eine "normale" Fileserverfreigabe ohne DFS davor?
- Alle Clients (außer XP vermutlich ...) und der Server sind bzgl der Windows Updates auf dem aktuellen Stand?
- Die Workgroup ist bei allen identisch eingestellt?
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
-
Dienste, Du meinst vielleicht 'Rollen', oder willst Du eine Liste der laufenden Dienste?
Eigentlich nix sonst laufen. Bin mir aber nicht ganz sicher ob ich die Frage richtig verstanden habe.
Nenn es wie Du willst ;) AD DS installierst Du als "Rolle", die Rolle läuft aber als Dienst/Service.
Was bedeutet eigentlich? Du weißt es, Du weißt es vielleicht, Du kannst es nachprüfen?
AV: Kaspersky auf den clients, auf dem Server noch nix, da soll auch Kasp. drauf.
Hast Du diese Testweise mal komplett deaktiviert? Vorallem die Firewall der (vermutlich) KES - die ist sehr restriktiv?
Kein DFS
Updates/workgroup: ja.
Ok.
Heute haben wir noch in ganz anderem Zusammenhang festgestellt: wenn wir einen im Netz befindlichen Sambaserver (Linuxkiste), der der Master Browser ist, ausschalten, dann wird niemand mehr Masterbrowser, auch der W2012 server nicht. Hab dann festgestellt, daß auf dem W2012Server der Computerbrowserdienst aus war und das feature WINS-Server nicht installiert war. Hab beides nachgeholt, trotzdem wird niemand Master browser (sieht man mit MS-tool 'browstat.exe' auf den clients).
Ob das mit dem ursprünglichen Problem was zu tun hat weiß ich nicht, wollte es aber erwähnen.Ich denke das hat mit dem Problem nichts zu tun, lass mich aber gern eines Besseren belehren.
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
-
Wie im 1. Post: kein active directory, kein domain controller installiert. OK, 'eigentlich': NIX läuft sonst. Nicht mal der Drucker ist freigegeben.
Das mit dem AD war ja auch nur ein Beispiel, ich hätte auch DNS, WINS oder sonst was aufzählen können :P
Ich hätte wohl auch ein NAS kaufen können, mit komfortabler Rechteverwaltung.
Hätte hätte ... noch ist nichts zu spät ;)
Kannst Du ja immernoch kaufen
KES: ich war da nicht exakt. Auf den W7/W10 clients ist KEIN Kasp. installiert. Nur auf den XP-clients, aber das ist ja nicht das Problem. Also daran liegts nicht.
Hast Du die Windows-Firewall auf beiden Seiten mal testweise deaktiviert (Client & Server)?
'Eines Besseren' kann ich Dich leider absolut nicht belehren, ich bin ja viel dööfer (kann man 'doof' steigern? 'Tot' kann man auch nicht steigern. OK, vielleicht 'mausetot'? <OT off>).
Bei manchen Menschen wünschte man sich eine Steigerung von doof - nicht auf Dich bezogen ;)
Sollte Dir wirklich nix mehr einfallen (danke für die Hilfe!!), wie komme ich weiter? Das prob muß gelöst werden, guter Rat darf ja auch was kosten. Aber ich staune daß außer mir sonst weltweit wohl keiner diesen Zirkus hat, will meinen, daß das Problem schon mal einer hatte.
Windows 7 und Server 2012 R2 sind ja nun keine Produkte die erst gestern auf den Markt gekommen sind und unausgereift wären. Also die Konstellation wird 100%ig funktionieren. Ich vermute hier irgendeine - nennen wir es - Fehlkonfiguration bei der Einrichtung oder irgendwas anderes was noch klemmt. Die Diagnose per Ferne ist da ohne das System vor sich zu haben, etwas schwieriger. Also Nadel im Heuhaufen suchen per Remote ;)
Da die anderen IT-Experten bis jetzt Ihren Senf noch nicht dazu gegeben haben, denke ich kommt hier auch nix mehr :/
Eventuell schauen Martin, Mark, Winfried, Evgenij & Co. nochmal im Thread vorbei und haben eine erleuchtende Erkenntnis. Ich denke auch weiter drüber nach, wenn ich Zeit dafür finde - Ad-Hoc fällt mir jetzt nichts mehr ein.
Ergänzung: Irgendjemand könnte auch schon mal das Problem gehabt haben - bitte lade Dir aber keine obskuren "Reparatur"-Tools runter die da angeboten werden. ;)
https://community.spiceworks.com/topic/599180-access-denied-as-administrator-cannot-create-folders-files-2k8-r2-server
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
- Bearbeitet SandroReiter Donnerstag, 2. März 2017 07:17
-
DNS, WINS: alles nicht drauf, und auch sonst nix.
Firewall deakt: hab ich probiert, kein Effekt.
Grad fällt mir noch was Verrücktes auf.
Ich kopiere im Verzeichnis auf dem Server eine Datei: rechts draufklicken, 3cm weiterziehen, Maustaste loslassen und 'kopieren' auswählen.
Die Datei wird kopiert, aber links im Explorer ist der gemappte Server weg!Vorher:
nachher, die Kopie ist rechts da, aber links grün weg! :
F5 im Explorer nützt nix, das Serverlaufwerk bleibt weg.
Explorer schließen und wieder öffnen, das LW wird wieder angezeigt.
???!!!??Ich hatte auch schon testhalber in der FREIGABE allen BENUTZERN 'Vollzugriff' eingeräumt, sowie den Benutzern auf dem Ordner mit dem ich dauernd probiere Vollzugriff.
Hat nix gebracht.
Nochmal zur Sicherheit erwähnt, unter XP geht alles wie es sein soll.
Bei Deinem Link (danke fürs rausfischen, der schildert ja tatsächlich genau dasselbe Symptom!) gehts ja in den Antworten meist um 'falsche' Berechtigungen und versteckte Verbote.
1. geerbte Verbote hab ich aber nicht und
2. dann würde es auch unter XP nicht funktionieren.
Zuletzt hab ich noch was anderes probiert: auf XP und auf W7 jeweils im DOS-Fenster I: getippt, und den Netzwerkverkehr mitgeschnitten. Ob das hilfreich ist?XP:
Win7:
Ich sag mal wieder 'danke' ... !!
- Bearbeitet Lecaro Donnerstag, 2. März 2017 20:39
-
Hallo,
Was logischerweise auffällt ist die verwendete SMB Version. Aber SMB2 und 3 werden von Server 2012 auch unterstützt. Du kannst natürlich mal nachsehen ob du das irgendwas deaktiviert hast.
Ansonsten muss weiter nach dem Ausschlußverfahren vorgegangen werden, welche Gemeinsamkeit haben deine Windows 7 und 10 Clients gegenüber den XP Clients. Irgendwelche lokalen GPOs bzw veränderte Registrywerte?
Ist das Problem schon seit Tag 1 wo du den Server eingerichtet hast vorhanden oder kam das erst?
Wie sieht es aus wenn du einen komplett neuen Windows 10 Rechner installierst, nichts konfigurierst und dann auf die Freigabe zugreifst?
Freundliche Grüße
Sandro
MCSA: Windows Server 2012
Fachinformatiker Fachrichtung Systemintegration (IHK, 07/2013)
-
erst ganz unten lesen
Der Server wurde vom PC-Händler aufgesetzt, Grundinstallation. Der hat bestimmt nix abgeschaltet. Aber ich hab geguckt, SMB1 und SMB2 sind beide enabelt.
Unterschiede? Die W7 und W10 clients haben beide Virtualbox installiert. Keine GPOs. Sind aber ansonsten fast 'neu', werden ja noch nicht live verwendet. Seit wann genau das Problem aufgetren ist kann ich nicht sagen, diese clients werden ja noch nicht produktiv genutzt. Irgendwann ists halt aufgefallen.
Es ist ja auch so daß der Zugriff ja nicht GARNICHT geht, sondern eben nur neue Files auf der Freigabe ablegen geht nicht.
Einen nagelneuen W10-Rechner hab ich (der war W7, NEU von der recovery DVD installiert, dann per inplace update auf W10 hochgerüstet, dann wieder in die Ecke gestellt). Habe damit probiert. Genau derselbe Effekt. Files in der Freigabe lassen sich bearbeiten und speichern. Neue Files von der C:-Platte aber nicht hinkopieren: "I:\ist nicht verfügbar....". Und das wenn man die Serverfreigabe mit UNC-Pfad oder mit der IP verbunden hat.
Ich hab noch so einen Server für Bastelzwecke, fast jungfräulich. Hab jetzt mit einem neuen W10-PC ein separates Netz gebaut. GEHT! Dann hab ich das Firmennetz mit dem produktiven Server drangehängt. Geht immer noch auf dem reserveserver, nicht auf dem Server.
Und dann hab ichs gefunden. Nicht kapiert aber gefunden. 2 Sceeenshots vom Server, WORK ist das freigegebene root-Verzeichnis, GNA ist das Unterverzeichnis in das ich reinkopieren will:
Bitte erst den 1. Screenshot angucken. In GNA darf BENUTZER ändern, den Ordner selbst aber nicht löschen (kleine Sicherheitsmaßnahme gegen irrtümliche drag/drop Aktionen der User. KEINE Vererbung!
Jetzt der 2. Screenshot. Im Root darf BENUTZER nix außer 'Ordner auflisten'. Das muß so sein, denn sonst würde er die Ordnerstruktur drunter garnicht sehen (zugriffsbasierte Aufzählung ist EIN).
So und jetzt kommts endlich. Wenn ich in WORK die Berechtigung von 'Ordner auflisten' auf 'Lesen - nur dieser Ordner' ändere, dann geht alles wie gewünscht.
'Ordner auflisten' beim root-Ordner zu verwenden war nicht meine Idee. War irgendwo im Web als 'best practice' beschrieben.
1. WARUM, die Vererbung ist doch AUS. Da dürfen Änderungen an WORK nicht auf GNA durchschlagen.
2. WARUM tritt das Prob nur beim Ablegen neuer Daten auf und nicht beim Schreiben vorhandener Daten.
3. WARUM tritt das Problem bei XP/SMB1 nicht auf (ok, das ist eher akademisch).
- Bearbeitet Lecaro Montag, 6. März 2017 12:46
