13 Replies Latest reply on Aug 14, 2017 2:32 AM by _Mel_

    DSMC aus anderer Windows-Domäne starten

    derniwi Master

      Hallo zusammen,

       

      durch die Migration unserer IT in den Mutterkonzern habe ich jetzt einen anderen Rechner in einer anderer Windows-Domäne inkl. Benutzer. Auf diesem Rechner ist mein Standardbenutzer "Neu1" nur "Benutzer", ich habe aber auch noch einen weiteren Benutzer "Neu1Admin", der zum einen lokal Administrator ist, zum anderen in der anderen Domäne Berechtigungen im DSM hat. So weit, so gut.

       

      Jetzt möchte ich auf diesem Rechner aber die DSMC für meinen alten Benutzer "Alt1" in unserer alten Domäne starten.

      Hierzu habe ich folgendes Skript, welches ich als normalen Benutzer "Neu1" starte:

      %SystemRoot%\system32\net.exe use \\dsm.altedomain\dsm$ /DELETE 2>NUL

      %SystemRoot%\system32\net.exe use \\dsm.altedomain\dsm$ /USER:[email protected]

      %SystemRoot%\system32\runas.exe /profile /env /savecred /user:[email protected] \\dsm.altedomain\dsm$\dsmc.exe

       

      Das Skript starte tmir auch die DSMC. Was aber nicht geht, ich kann keine Paketverzeichnisse mehr öffnen. Die Berechtigungen auf den Server "dsm.altedomain" hat der Benutzer "Neu1" aber, wenn ich den Explorer normal starte und einen Pfad dorthin eingebe, komme ich auch in das Verzeichnis.

       

      Im TaskManager sehe ich auch, dass eine Explorer.exe gestartet wird, der Pfad wir auch übergeben, aber die Befehlszeile ändert sich sehr schnelll in so etwas:

      C:\Windows\explorer.exe /factory,{75dff2b7-.....24b} -Embedding

      Nach ein paar Sekunden wird der Prozess dann aber wieder beendet.

       

      Habt Ihr eine Idee, wie ich die DSMC öffnen und zugreifen kann? Ich weiß, dass das geht, gestern hat es irgendwie geklappt, heute leider nicht mehr...

       

      Gruß

      Nils

        • 1. Re: DSMC aus anderer Windows-Domäne starten
          _Mel_ Master

          der explorer startet ja nicht für jedes fenster einen eigenen prozess... eventuell auch dann nicht, wenn der neue explorer unter einem anderen user startet. vielleicht macht das probleme.

           

          aber warum gibst du deinem neu1 benutzer nicht einfach die nötigen rechte in deiner dsm umgebung und startest die dsmc dann unter dem ?

          • 2. Re: DSMC aus anderer Windows-Domäne starten
            derniwi Master

            Ja, das mit dem Prozess ist klar. Das Problem schient zu sein, dass der Explorer-Aufrauf aus der DSMC einen Prozess für den Benutzer "Alt1" starten würde - und das geht nicht.

             

            Ich habe es bisher noch nicht geschafft, einem Benutzer aus einer anderen Domäne Rechte einzurichten. Es gibt bei der Verwaltung zwar die Möglichkeit, Daten aus dem Active DFirectory zu importieren, aber eben nur aus dem lokalen. Ich komme da nicht an die neue Domäne, um den Benutzer "Neu1" zu finden und zu verwenden.

            • 3. Re: DSMC aus anderer Windows-Domäne starten
              _Mel_ Master

              wenn du die dsmc auf deinem neuen rechner startest (mit deinem alten account), dann ist das lokale ad doch das, in dem dein neuer benutzer ist.

              alternativ kommt der benutzer ja auch per autoimport rein, sobald der shop oder der autoinstaller unter ihm laufen

               

              wenn davon nichts geht, dann kannst du einen benutzer auch manuell anlegen (auf erster wizardseite wird nach der sid gefragt)

              und wenn du viele benutzer brauchst gibt's den csv import.

              • 4. Re: DSMC aus anderer Windows-Domäne starten
                Klaus Salger Expert

                Hallo Nils,

                 

                wenn du den lokal angemeldeten User in DSM incl. Depots berechtigst, dann wird's vermutlich problemlos gehen.

                Falls Du Benutzer und Admin trennen willst / musst, ist es vermutlich egal ob der Account aus der alten oder neuen Domain kommt (Trusts und Berechtigungen scheinen ja da zu sein). Das Problem ist, dass es nicht der lokal angemeldete ist, der standardmäßig für die Authentifizierung verwendet wird.

                 

                Bei dir funktioniert die Authentifizierung offenbar für den Depot-Zugriff für das Starten der DSMC, danach aber nicht mehr um aus der DSMC heraus auf das Depot zuzugreifen.

                 

                Mögliche Ursache: SMB Sessions über den Hostnamen und SMB Sessions über FQDN sind 2 verschiedene paar Stiefel. Für beide ist jeweils eine eigene Anmeldung erforderlich.

                Wenn Du im net use also den FQDN verwendest und die DSMC danach nur den Hostname, dann scheitert der Zugriff.

                 

                Test: ändere den net use mal von FQDN zu Hostname oder anders rum oder baue die Verbindung mit der anderen Variante zusätzlich auf.

                 

                Das Problem trifft dich nicht nur mit Alt1 sonder auch mit Neu1Admin und allen anderen Accounts soweit sie nicht lokal angemeldet sind.

                Alle Verbindungen, die nicht explizit mit dem passenden Account authentifiziert sind, scheitern.

                 

                Praktischer finde ich den Einsatz eines Admin-Remote Desktop-Servers, an dem man dann immer mit dem passenden Admin Account angemeldet ist.

                Das ist abgetrennt von der normalen User-Office-Umgebung und man hat automatisch alle nötigen Rechte.

                Und als Sahnehäubchen kann man im Idelafall von überall auf seinen Admin-Arbeitsplatz zugreifen.

                 

                Ciao

                  Klaus

                • 5. Re: DSMC aus anderer Windows-Domäne starten
                  Nico Schmidtbauer Apprentice

                  Hallo Nils,

                   

                  das Problem kenne ich schon seit längerem unter Windwows 7. Szenrio hier ist, dass ich auf meinem PC mit meinem Standard-User arbeite, für die DSMC aber meinen Admin Account benötigt. Startete man die DSMC via Runas mit dem Admin, ging "Paketverzeichnis öffnen" nicht. Beholfen haben wir uns dann einfach damit, die Netzwerkverbindung zum DSM Server nochmal unter anderem Namen und mit Admincredentials zu mappen (also anstatt FQDN per Shortname oder umgekehrt, so wie Klaus schon schreibt). Das brachte zwar Paketverzeichnis öffnen nicht zum Funktionieren, aber wir konnten manuell ins Share springen und Zeugs hochkopieren.

                   

                  Unter Windows 10 funktioniert es allesdings. Die beste Erklärung die ich dafür habe wären die unter Windows 10 aktiverten linked Network Connections, die wir unter Windows 7 noch nicht hatten. Siehe:
                  Some Programs Cannot Access Network Locations When UAC Is Enabled

                   

                  P.S.: Dein Script erinnert mich etwas an die andere Variante die ich noch hab. Start der DSMC in einer komplett fremden Domain (also kein Trust etc.). Dort mach ich aber nur den NET USE mit anderen Credentials, kein RunAs. Dafür kommt dann beim Starten der DSMC noch eine Webserverauthentifzierung, die ich dann mit den Credentials mach... das funktioniert einwandfrei. Vielleicht reichts bei dir ja noch den RunAs wegzulassen und die DSMC nach dem Net use direkt aufzurufen?

                  • 6. Re: DSMC aus anderer Windows-Domäne starten
                    derniwi Master

                    Hallo zusammen,

                     

                    einen Schritt bin ich jetzt weiter gekommen. Über den Import konnte ich mein neues Benutzerkonto nun doch einlesen, musste mich im Dialog auf der entsprechenden OU befinden.

                    Jetzt kann ich zwar die DSMC mit dem neuen Benutzer starten, kann auch (da ich Supervisor bin) in der Intrastruktur Anpassungen vornehmen, aber noch nicht auf die Organisationsstruktur wechseln. Das könnte aber auch daran liegen, dass der Internet Explorer als Standard-Browser eingetragen ist und das hinterlegte Proxy-Skript den Server nicht erkennt - somit wird eine Anfrage ins Internet umgeleitet, die dann natürlich scheitert. Ich lasse das gerade von den Kollegen korrigieren.

                     

                    Ich halte Euch mal auf dem Laufenden.

                     

                    Gruß

                    Nils

                    • 7. Re: DSMC aus anderer Windows-Domäne starten
                      SitzRieSe Expert

                      Wir betreiben hier ein ein Multi Domain Konstrukt mit mehreren Domänen. Alle Domains sind komplett getrennt voneinander. Folgendes kann ich deswegen dazu sagen...

                       

                      Unsere Admin Workstations arbeiten in Domain A. Die DSM Umgebung läuft in Domain B und es gibt dazu noch Management Points in Domains C D E usw...

                      Um Benutzer aus den Domänen C D oder E in der DSMC berechtigen zu wollen gibt es einen Trick. Dort kann man einfach an einem gemanagten System oder an dem Management Point den Software Shop öffnen. Ist der Shop geöffnet worden taucht der User in der DSMC auf und man kann ihm die Berechtigungen geben. Die DSMC lässt sich dann an den Domains C D oder E mit /localncp starten. Das reicht um Clients verwalten zu können... Für Paketierung bräuchte es noch ein Repo an dem MP.

                       

                      Wenn ich jetzt mit meiner Admin Workstation in der Domäne A auf die DSMC zugreifen will, tuh ich das an der Hauptumgebung in Domäne B. Ich habe hier verschiedene Lösungen durch (LW verbinden etc). Die aktuelle Lösung find ich die Beste da so auch nirgends ein PW als Klartext auftaucht...

                       

                      Ich habe bei mir die DSM$ Share an Laufwerk U verbunden und die Credentials aus der Domäne B hinterlegt. Die Share verbindet sich nach jeder Anmeldung neu... (Einfach über die GUI angelegt).

                       

                      Ich habe darüber hinaus eine Kopie des Depots (ohne work / install) auf mein lokalen PC erstellt und starte die Konsole über die c$ Freigabe. Beim Start der Konsole werde ich nach Anmeldedaten gefragt und ich kann mich an der Konsole mit Zugangsdaten aus der Domäne B anmelden. Paketverzeichnis öffnen etc, funktioniert so alles einwandfrei. Distributionsstatus einsehen klappt nur über den Tab (die Ansicht ist leider seit 2016.2 kaputt bei uns).

                       

                      Ansonsten kann man damit alles machen

                      • 8. Re: DSMC aus anderer Windows-Domäne starten
                        derniwi Master

                        Hallo,

                         

                        also, bei mir scheint es noch irgend ein Problem mit dem Proxy zu geben.

                        Ohne Proxy klappt alles, mit Proxy komme ich zwar per IE auf die Webseite des IIS und auch auf die Seite des Discovery-Dienstes. Aber die DSMC kann die Organisations-Seite nicht öffnen. Hier mal ein Auszug aus dem DSMC-Protokoll (ich habe die Protokolle mit und ohne Proxy verglichen, und ab hier gibt es einen Unterschied und auch den SOAP-Fehler):

                        --------------------------------------------------------

                        09:43:05.618 1  BlsAdminLib.dll: Using BLS URL: http://DSM.ourdomain:8080/blsAdministration/AdministrationService.asmx
                        09:43:05.625 0  BlsAdminLib.dll: Trying proxy auto configuration URL 'http://proxy.otherdomain/'.
                        09:43:05.716 0  BlsAdminLib.dll: Proxy configuration found: proxy.otherdomain:8080 (Bypass: (null))

                        09:43:05.716 1  BlsAdminLib: > Action 'GetIdentifiedUser( )' started
                        09:43:05.731 1   HttpConMgr.dll: Bypassing proxy for local addresses.
                        09:43:05.731 1   HttpConMgr.dll: The connection uses a proxy server at 'proxy.otherdomain:8080'.
                        09:43:05.864 0   BlsAdminLib.dll: Error #607: Unbekannter SOAP-Fehler
                        09:43:05.865 2   BlsAdminLib.dll: Request failed adding MP with ID [65965] to the list of failed servers
                        09:43:05.865 0   ICDB.dll: ----------------------------------------
                        09:43:05.865 0   ICDB.dll: Init ICDB
                        09:43:05.867 0   ICDB.dll: ----------------------------------------
                        09:43:05.867 0   ICDB.dll: Init ICDB
                        09:43:05.867 0   ICDBHlp.dll: Selecting random management point for container 0x03dc4c60
                        09:43:05.868 0   ICDBHlp.dll: ----------------------------------------
                        09:43:05.868 0   ICDBHlp.dll:  Start Gathering MgntPoints
                        09:43:05.868 0   ICDBHlp.dll: Starting at container [65535] to iterate
                        09:43:05.868 0   ICDBHlp.dll: Read container properties Type and ID
                        09:43:05.868 0   ICDBHlp.dll: Check if the type of the container [65964] is MgntPoint
                        09:43:05.868 0   ICDBHlp.dll: Container with ID:[65964] is ignored because of the wrong container type!
                        09:43:05.868 0   ICDBHlp.dll: Read container properties Type and ID
                        09:43:05.868 0   ICDBHlp.dll: Check if the type of the container [65960] is MgntPoint
                        09:43:05.868 0   ICDBHlp.dll: Container with ID:[65960] is ignored because of the wrong container type!
                        09:43:05.868 0   ICDBHlp.dll: Read container properties Type and ID
                        09:43:05.868 0   ICDBHlp.dll: Check if the type of the container [65965] is MgntPoint
                        09:43:05.868 0   ICDBHlp.dll: The type is MgntPoint, Check if this MgntPoint has the requested components installed
                        09:43:05.868 0   ICDBHlp.dll: Checking if Component [enteo Business Logic Server HA Node] is registerd on MgntPoint
                        09:43:05.868 0   ICDBHlp.dll: Component is registerd
                        09:43:05.868 0   ICDBHlp.dll: Add Container with ID [65965] from ICDB to the all MP list
                        09:43:05.868 0   ICDBHlp.dll: Read container properties Type and ID
                        09:43:05.868 0   ICDBHlp.dll: Check if the type of the container [65963] is MgntPoint
                        09:43:05.868 0   ICDBHlp.dll: Container with ID:[65963] is ignored because of the wrong container type!
                        09:43:05.869 2   ICDBHlp.dll: The initialization of the selected list from the icdb failed, do fallback and gathering all BLS
                        09:43:05.869 0   ICDBHlp.dll: Container with ID [65965] is not added to the list of select MPs, because he is explicit ignored
                        09:43:05.869 0   ICDBHlp.dll: ----------------------------------------
                        09:43:05.869 0   ICDB.dll: RefCounter befor closing: 1
                        09:43:05.869 0   ICDB.dll: RefCounter befor closing: 0
                        09:43:05.869 0   ICDB.dll: ----------------------------------------
                        09:43:05.869 0   ICDB.dll: UnInit ICDB
                        09:43:05.869 0   BlsAdminLib.dll: Last request failed, new url couldn't be calculated
                        09:43:05.870 2   BlsAdminLib.dll: SoapError from Server: Error #607: Unbekannter SOAP-Fehler
                        09:43:05.873 1   BlsAdminLib: > Action 'GetIdentifiedUser( )' failed (Action took 156 ms.)

                        --------------------------------------------------------

                         

                        In zu vielen Gruppen ist mein Benutzer nicht eingetragen... außer, acht Gruppen wäre zu viele...

                         

                        Gruß

                        Nils

                        • 9. Re: DSMC aus anderer Windows-Domäne starten
                          SitzRieSe Expert

                          Hi Nils,

                           

                          findest du vielleicht etwas im bls_AdministrationWebService.log? Dort müssten eigtl. Aufrufversuche zu sehen sein, ansonsten kommt der Request nicht am BLS an. Andere Idee wäre im Proxy Log zu schauen ob du etwas siehst mit welchen Benutzer er ankommt, kann ja auch sein das der Proxy die Verbindung verweigert.

                           

                          Startest du mit /localncp?

                           

                          Gruß


                          Alex

                          • 10. Re: DSMC aus anderer Windows-Domäne starten
                            derniwi Master

                            Hi Alex,

                             

                            im bls_AdministrationWebService.log taucht nichts auf, wenn ich den Proxy aktiv habe.

                            In das Proxy-Log kann ich mangels Rechte leider nicht schauen, da muss ich mal nachfragen.

                             

                            Wenn der Proxy aus ist, kommt der richtige Benutzer durch.

                             

                            Ob /localncp oder nicht, ist egal.

                             

                            Ich glaube, ich werde dann einfach direkt auf dem DSM-Server arbeiten, scheint der einfachste Weg zu sein.

                             

                            Danke und Gruß

                            Nils

                            • 11. Re: DSMC aus anderer Windows-Domäne starten
                              swabedoo Apprentice

                              Hallo Nils,

                              verwende doch den RelayProxy von DSM, um aus der anderen Domäne den BLS zu erreichen. Das tut schon recht lange auch für die Calls aus der DSMC (also so wie für den Client auch).

                              Die Credentials aus deiner Domäne werden mitgegeben und zur Authorisierung verwendet, d.h. wenn dein User die entsprechenden Rechte hat, kannst du wie gewohnt arbeiten. Den Zugriff aufs Repository musst du selbst konfigurieren.

                              Viele Grüße,
                              swabedoo

                              • 12. Re: DSMC aus anderer Windows-Domäne starten
                                derniwi Master

                                Hallo Swabeedoo,

                                 

                                da muss ich mal schauen, wie ich an den RelayProxy komme bzw. was es damit auf sich hat. Habe den bisher nie gebraucht. Wird der lokal installiert? Oder muss der auf dem BLS installiert werden?

                                 

                                Gruß

                                Nils

                                • 13. Re: DSMC aus anderer Windows-Domäne starten
                                  _Mel_ Master

                                  das ist einfach ein management point, der sich nach außen wie ein BLS verhält, aber intern die Anfragen nur an den richtigen BLS weiterleitet.

                                  Eigentlich damit man durch Firewalls durchkommt, aber in so einem Fall dient er auch dazu Benutzern aus anderen Domänen die BLS Nutzung zu ermöglichen.