SMB Signierung aktivieren - Folgen?

[NorbertFe 2.034]

korrekt. Das Deaktivieren hatte man zu 2003 Zeiten empfohlen, weil es da wohl Performanceprobleme gab (merkbar wegen der damaligen Hardware) und weil zu dieser Zeit natürlich noch jede Menge alte Systeme unterwegs waren, die damit nicht klarkamen. Beides sollte heutzutage der Vergangenheit angehören. :)

[roccomarcy 20]

Guten Morgen,

 

ich habe die Richtlinie nun aktiviert (gehabt) und musste Sie leider zurücksetzen, da reihenweise Zugänge im AD (aufgrund zu vieler Fehlanmeldungen) gesperrt wurden. Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe.

 

Liegt es ggf. daran, dass die GPO noch nicht von allen Systemen übernommen wurden? Auf dem DC wurden Fehler wie  12294 verzeichnet.

 

Das Konto von XXX in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück.

[NorbertFe 2.034]

vor 9 Minuten schrieb roccomarcy:

Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe.

Wäre vielleicht sinnvoller, sowas eben nicht zum Tagesstart zu setzen, sondern eher zum Feierabend. ;)

[roccomarcy 20]

Gibt es denn eine Reihenfolge, die man einhalten sollte? Das Problem könnte mir ja abends wieder ereilen, wenn ich die Settings aktiviere aber umliegende Systeme evtl. gar nicht mehr die GPO abrufen können. Oder ist die Vermutung quatsch?

[NorbertFe 2.034]

Ich würde sagen auf den DCs anschalten und die auch ggf. mal Rebooten. Danach dann für alle Clients. Denn die Clients sprechen ja signiert, wenn der Server zustimmt. Und der bietet ja jetzt nur noch mandatory SMB Signing an.

[daabm 1.354]

Ich würde es andersherum machen - GPO auf eine Gruppe von Testclients einschränken und SMB dort dann erzwingen. Auf den DCs kann man da nix selektiv machen, entweder man erzwingt es oder halt nicht.

 

vor 9 Stunden schrieb roccomarcy:

Fehler wie  12294

 

SMB Signing hat "eigentlich" nichts mit Account-Sperrungen zu tun. Vielleicht hast Du mehr als nur eine Herausforderung...

[NorbertFe 2.034]

vor 39 Minuten schrieb daabm:

GPO auf eine Gruppe von Testclients einschränken und SMB dort dann erzwingen.

Hmm, am Ende doch aber Wurst. Auf den dcs ist es deaktiviert. Also sollten sich diese testclients dann nicht mehr sinnvoll anmelden können, oder? 

[MurdocX 949]

Es genau anderst herum  

 

Signing erfordert nur der DC in der Standardeinstellung.

 

Microsoft network server Digitally sign communications (always) - Windows 10 | Microsoft Learn

 

[NorbertFe 2.034]

Nur dass der to nicht den Standard hat, wenn ich mir sein erstes posting anschaue.

[MurdocX 949]

So verstehe ich das auch. Laut Dokumentation (ich kanns gerade nicht validieren) wurden die Standard-Einstellungen der DDCP verändert. Hier muss jetzt alles kontrolliert werden.

 

So würde ich es jetzt machen:

1. Signing auf den DCs wieder aktivieren
2. Signing auf den Servern forcen
3. Signing auf den Clients forcen

[NorbertFe 2.034]

Aussperren geht ja afair nicht mehr seit irgendeinem Update. ;) insofern also quasi gefahrlos.