Ich bin auf ein frustrierendes Problem gestoßen: Der Zugriff auf die Ordner SYSVOL und NETLOGON in einer Windows-Domäne funktioniert nicht reibungslos. Typisches Symptom: Die Verwendung \\<domain.com>\SYSVOLder IP-Adresse führt zu einer Fehlermeldung „\\192.168.100.10\Netlogon Zugriff verweigert“, selbst nach Eingabe gültiger Domänenanmeldeinformationen. Das ist alles andere als benutzerfreundlich, zumal der Zugriff über den FQDN (z. B.`/ \\be-dc1.domain.com\sysvolusr/local…\\be-dc1\sysvol
Wenn Sie Probleme mit Gruppenrichtlinien beheben und im Ereignisprotokoll Fehler mit der Ereignis-ID 1058 sehen, liegt das wahrscheinlich an diesen Sicherheitsproblemen. Der Fehler sieht üblicherweise wie folgt aus:
The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.
Dies hängt damit zusammen, wie Windows 10 und Windows Server 2016 sichere UNC-Pfade handhaben, insbesondere mit den neueren Sicherheitsstandards, die gegenseitige Authentifizierung (Kerberos), Integrität (SMB-Signierung) und optional Datenschutz (Verschlüsselung) verwenden. Das Problem ist, dass Windows standardmäßig Folgendes erzwingt:
- RequireMutualAuthentication=1 — kein Zugriff über die IP-Adresse, da Kerberos Domäneninformationen benötigt.
- RequireIntegrity=1 — Gewährleistet, dass SMB-Sitzungen nicht manipuliert werden.
- RequirePrivacy=0 — Datenverschlüsselung ist für SMB 3.0+ nicht zwingend erforderlich, kann aber konfiguriert werden.
In manchen Konfigurationen bedeutet dies, dass der Domänencontroller nicht einfach über seine IP-Adresse erreichbar ist, insbesondere wenn der Zugriff über die IP-Adresse Kerberos nicht unterstützt. Der Grund dafür ist, dass Windows aufgrund seiner Sicherheitsvorgaben Verbindungen zu als „weniger vertrauenswürdig“ eingestuften Quellen ohne entsprechende gegenseitige Authentifizierung verhindert.
Wie lässt sich das Problem umgehen? Man muss die Einschränkungen etwas lockern, aber – und hier liegt der Haken – man sollte das nicht unüberlegt tun, da es Sicherheitsrisiken bergen kann. Eine gängige Lösung besteht darin, Richtlinien oder Registrierungseinstellungen so anzupassen, dass die Verbindung zu diesen kritischen Freigaben ohne erzwungene Kerberos-Authentifizierung möglich ist, insbesondere bei älteren Clients oder Domänencontrollern mit älteren Windows-Versionen.
Um dies unter Windows 10 zu konfigurieren, können Sie zunächst die Sicherheitsrichtlinien für gehärtete UNC-Pfade anpassen:
Wie man die UNC-Härtung für den Zugriff auf SYSVOL / NETLOGON behebt
Aktivieren und Konfigurieren gehärteter UNC-Pfade in Gruppenrichtlinien
- Öffnen Sie den Editor für lokale Gruppenrichtlinien durch Eingabe von
gpedit.msc - Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > Netzwerkanbieter
- Suchen und aktivieren Sie die Richtlinie „Gehärtete UNC-Pfade“.
- Klicken Sie auf „Anzeigen“ und fügen Sie Einträge für die erforderlichen UNC-Pfade hinzu, zum Beispiel:
\\*\SYSVOL\\*\NETLOGON- Wenn Sie die Härtung vorübergehend zu Testzwecken deaktivieren möchten (nicht für den regulären Gebrauch empfohlen), können Sie eine Zeichenkette wie die folgende angeben:
RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0
Nach diesen Änderungen führen Sie gpupdate /forceeine Eingabeaufforderung mit Administratorrechten aus, um die Richtlinien zu aktualisieren. Manchmal werden die Änderungen nicht sofort wirksam, daher ist möglicherweise ein Neustart erforderlich. Passen Sie gegebenenfalls auch Ihre Registrierung an.
Registry-Anpassungen für UNC-Härtung
- Öffnen Sie PowerShell oder regedit (regedit ist hierfür geläufiger).
- Navigieren Sie zu
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths - Fügen Sie Einträge für Pfade wie diese hinzu oder bearbeiten Sie sie
"\\*\SYSVOL"und legen Sie die Wertdaten auf Folgendes fest:
RequireMutualAuthentication=0 RequireIntegrity=0 RequirePrivacy=0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0, RequireIntegrity=0" /t REG_SZ /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0, RequireIntegrity=0" /t REG_SZ /f
Dies weist Windows im Grunde an, die strenge gegenseitige Authentifizierung nur für die SYSVOL- und NETLOGON-Freigaben zu lockern, sodass diese über IP-Adressen oder weniger vertrauenswürdige Quellen zugänglich sind. Denn natürlich muss Windows es manchmal unnötig kompliziert machen.
Nach Anwendung dieser Änderungen und Aktualisierung der Richtlinien sollten Sie schließlich problemlos auf die Ordner SYSVOL und NETLOGON zugreifen können. Beachten Sie jedoch, dass die Anpassung dieser Sicherheitseinstellungen potenzielle Sicherheitslücken öffnet – gehen Sie daher in sensiblen Umgebungen mit Vorsicht vor.
Meiner Erfahrung nach behebt dies die Zugriffsprobleme auf den meisten Rechnern. Manchmal ist ein Neustart oder ein Ab- und Anmelden erforderlich, damit alle Änderungen wirksam werden. Seien Sie besonders vorsichtig, wenn Sie sehr alte Windows-Versionen auf einem Domänencontroller verwenden, da hier möglicherweise andere Regeln gelten.
Hoffentlich spart das jemandem, der dasselbe Problem hat, ein paar Stunden. Viel Glück!
Zusammenfassung
- Passen Sie die gehärteten UNC-Pfade über Gruppenrichtlinien oder die Registrierung an.
- Verwenden
gpupdate /forceund gegebenenfalls neu starten. - Seien Sie vorsichtig mit den Sicherheitseinstellungen – lockern Sie nur die unbedingt notwendigen Schutzmaßnahmen.
- Weitere Informationen zur Sicherheit von KMUs finden Sie in der offiziellen Dokumentation von Microsoft.
Zusammenfassung
Das Ganze ist ein Balanceakt zwischen Sicherheit und Zugänglichkeit. Bei älteren Clients oder Servern kann es helfen, die Einstellungen zu lockern. Windows ist zwar zum Schutz Ihrer Daten konzipiert, manchmal sind aber ein paar zusätzliche manuelle Anpassungen nötig. Wenn Sie durch Deaktivieren einiger Sicherheitsfunktionen Zugriff erhalten, sollten Sie sich der Auswirkungen im Hintergrund bewusst sein. Hoffentlich hilft das jemandem, endlich problemlos auf die Ordner zugreifen zu können.