:strip_icc():strip_exif()/u/31/netapp.jpg?f=community)
Na een heleboel afgezocht te hebben over het volgende probleem, vind ik het tijd om het hier aan te kaarten. Het lijkt erop dat het een bijverschijnsel is van SP3, waarschijnlijk om de security wat aan te scherpen. Het gaat om het volgende:
Mijn (bedrijfs-)laptop is lid van een domein. Als ik op kantoor ben, wordt ik geauthenticeerd door een domein controller, allemaal goed. Als ik thuis zit heb ik geen toegang tot dit domein, dus ook niet tot de DC's. Het probleem is nu het volgende: Ik heb een aantal shares gemaakt op die laptop. Deze shares hebben als permissies alleen lokale gebruikers van de laptop. Als ik die thuis wil benaderen vanaf een andere pc (via start - run - \\laptop\share), dan ging dat vroeger (= voor SP3) altijd goed: dan kreeg ik een login-schermpje, en als ik dan een lokale (!!) gebruiker van mijn laptop op gaf met bijbehorend wachtwoord, dan had ik gewoon toegang tot die share.
Vanaf SP3 werkt dit niet meer: het enige wat je krijgt, is de melding: "There are no logon servers available to service the logon request". Volgens alle events lijkt het erop dat er wordt gezocht naar een DC, maar die wordt niet gevonden (logisch). Maar daarna wordt er niet meer geprobeerd om lokale authenticatie te krijgen!
De events die gelogd worden op de laptop zijn:
40960:
The Security System detected an attempted downgrade attack for server cifs/<thuispc>. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".
40961:
The Security System could not establish a secured connection with the server cifs/<thuispc>. No authentication protocol was available.
Als ik probeer om op kantoor een share te benaderen vanaf een pc die niet in het domein hangt, dan werkt het wel! Dan krijg je weer het login scherm, en een lokale gebruiker van m'n laptop wordt dan geaccepteerd. Kennelijk omdat er dan (ook) contact is met een DC, gaat het goed.
Tot nu toe heb ik nog maar 1 manier gevonden om hier omheen te werken: via Explorer een netwerk-mapping maken, en dan bij "Connect using a different username" de gebruiker opgeven in de vorm "<laptopnaam>\<lokale user>" en het wachtwoord. Vanaf de commandline met net use werkt dit ook.
De vraag is dus waarom het niet werkt als ik gewoon bij start - run een UNC path opgeef... Iemand een idee?
Let wel: dit is alleen zo voor een XP SP3 computer die lid is van een domein. Met computers die alleen in een workgroup hangen werkt het zoals altijd.
Mijn (bedrijfs-)laptop is lid van een domein. Als ik op kantoor ben, wordt ik geauthenticeerd door een domein controller, allemaal goed. Als ik thuis zit heb ik geen toegang tot dit domein, dus ook niet tot de DC's. Het probleem is nu het volgende: Ik heb een aantal shares gemaakt op die laptop. Deze shares hebben als permissies alleen lokale gebruikers van de laptop. Als ik die thuis wil benaderen vanaf een andere pc (via start - run - \\laptop\share), dan ging dat vroeger (= voor SP3) altijd goed: dan kreeg ik een login-schermpje, en als ik dan een lokale (!!) gebruiker van mijn laptop op gaf met bijbehorend wachtwoord, dan had ik gewoon toegang tot die share.
Vanaf SP3 werkt dit niet meer: het enige wat je krijgt, is de melding: "There are no logon servers available to service the logon request". Volgens alle events lijkt het erop dat er wordt gezocht naar een DC, maar die wordt niet gevonden (logisch). Maar daarna wordt er niet meer geprobeerd om lokale authenticatie te krijgen!
De events die gelogd worden op de laptop zijn:
40960:
The Security System detected an attempted downgrade attack for server cifs/<thuispc>. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".
40961:
The Security System could not establish a secured connection with the server cifs/<thuispc>. No authentication protocol was available.
Als ik probeer om op kantoor een share te benaderen vanaf een pc die niet in het domein hangt, dan werkt het wel! Dan krijg je weer het login scherm, en een lokale gebruiker van m'n laptop wordt dan geaccepteerd. Kennelijk omdat er dan (ook) contact is met een DC, gaat het goed.
Tot nu toe heb ik nog maar 1 manier gevonden om hier omheen te werken: via Explorer een netwerk-mapping maken, en dan bij "Connect using a different username" de gebruiker opgeven in de vorm "<laptopnaam>\<lokale user>" en het wachtwoord. Vanaf de commandline met net use werkt dit ook.
De vraag is dus waarom het niet werkt als ik gewoon bij start - run een UNC path opgeef... Iemand een idee?
Let wel: dit is alleen zo voor een XP SP3 computer die lid is van een domein. Met computers die alleen in een workgroup hangen werkt het zoals altijd.
[ Voor 3% gewijzigd door Anton op 23-05-2008 12:44 ]