Gadget 37 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hi Leute, hab hier ein Problem bei dem ich seit ein paar stunden nicht weiter komme. Wir haben hier einen HP PrintServer Appliance 4250 welcher einfach nicht so will wie ich. Info zu unserer Umgebung: 2k3 Domäne (Funktionsebene Windows 2000) 2 WINS Server 2 DNS Server WINS Server + DNS Server beim Printserver eingetragen Diese Appliance bietet die Funktion "Printer Shares" Berechtigungen zu Vergeben. Dazu gibt es eine Funktion, alle Benutzer und Gruppen der Domäne aufzulisten - funktioniert aber leider nicht. Folgende Fehlermeldung erscheint: "The PSA encoutered an error while retrieving the browse list from domain ... No group or user list returned. Try again or type in the name(s)." Da die Appliance auf Samba bassiert, habe ich schon mal das SMB-Signing laut folgendem Artikel angepasst: http://www.gruppenrichtlinien.de/index.html?/HowTo/DOS_Clients_an_Windows_2003_Server.htm Hat mich bis jetzt aber noch nicht weitergebracht. Jetzt habe ich die Gruppe Jeder der Gruppe "Prä-Windows 2000 kompatibler Zugriff" hinzugefügt, (wie hier beschrieben: http://support.microsoft.com/kb/q289655/ + http://support.microsoft.com/default.aspx?scid=kb;en-us;325363&Product=winsvr2003) was aber auch nicht zum gewünschten erfolg geführt hat. Kann mir vielleicht jemand helfen - welche Sicherheitseinstellungen ich noch ändern muss, dass die Appliance die Benutzeraccounts unserer 2k3 Domäne auflisten kann? Bin für jede Hilfe dankbar! Gruß Kohn Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Hi Kohn Hast du da schon gekuckt? http://h10010.www1.hp.com/wwpc/pscmisc/vac/us/en/sm/network_software/psa4250_whitepapers.html http://h10010.www1.hp.com/wwpc/pscmisc/vac/us/product_pdfs/ads_security_24.pdf Gruss Velius Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 Hi Velius, klar Whitepaper hab ich schon studiert. Was hat es denn mit der NT LAN Manager Authentifizierungsebene auf sich welche lässt denn der 2k3 Server standardmäßig zu nur Kerberos? Habe folgende Einstellungen an der "Default Domian Controllers Policy" geändert. Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer): Deaktiviert Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt): Aktiviert Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer): Deaktiviert Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt): Aktiviert Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben: Deaktiviert Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben: Deaktiviert Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen: Aktiviert Netzwerksicherheit: LAN Manager-Authentifizierungsebene ??? Muss ich den vielleicht noch konfigurieren (auf LM und NTLM) Hab nach dem ganzen Prozedere noch keinen Neustart der DC´s durchgeführt vielleicht liegts daran? - mache ich mal später und geb dann Rückmeldung Gruß Kohn Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. Februar 2005 Melden Teilen Geschrieben 22. Februar 2005 Netzwerksicherheit: LAN Manager-Authentifizierungsebene ??? Muss ich den vielleicht noch konfigurieren (auf LM und NTLM) Das hast du richtig gesehen: Netzwerksicherheit: LAN Manager-AuthentifizierungsebeneComputerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen Beschreibung Legt fest, welches Anfrage/Antwort-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Die Wahl des Protokolls hat auf die Ebene des von Clients verwendeten Authentifizierungsprotokolls, auf die Ebene der ausgehandelten Sitzungssicherheit und auf die Ebene der vom Server akzeptierten Authentifizierung folgende Auswirkungen: LM- und NTLM-Antworten senden: Clients verwenden die LM- und NTLM-Authentifizierung, niemals die NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Clients verwenden die LM- und NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLM-Antworten senden: Clients verwenden nur die NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLMv2-Antworten senden: Clients verwenden nur die NTLMv2-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLMv2-Antworten senden\LM verweigern: Clients verwenden nur die NTLMv2-Authentifizierung und verwenden die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller verweigern die LM-Authentifizierung (nur die NTLM- und NTLMv2-Authentifizierung wird akzeptiert). Nur NTLMv2-Antworten senden\LM & NTLM verweigern: Clients verwenden nur die NTLMv2-Authentifizierung und verwenden die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller verweigern die LM- und NTLM-Authentifizierung (nur die NTLMv2-Authentifizierung wird akzeptiert). Voreinstellung: LM- und NTLM-Antworten senden auf dem Server. Nicht definiert auf Arbeitsstationen. Wichtig Diese Einstellung kann sich darauf auswirken, ob Computer unter Windows 2000 Server, Windows 2000 Professional und Windows XP Professional über das Netzwerk mit Clients unter Windows NT, Version 4.0 und früher, kommunizieren können. Zum Zeitpunkt der Erstellung dieses Dokuments bieten z. B. Computer unter Windows NT 4.0, auf denen das Service Pack 4 noch nicht installiert ist, keine Unterstützung für NTLMv2. Computer unter Windows 95 oder Windows 98 bieten keine Unterstützung für NTLM. Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Weitere Kompatibilitätsinformationen zu dieser Einstellung finden Sie auf der Seite zu Netzwerksicherheit: LAN Manager-Authentifizierungsebene (http://go.microsoft.com/fwlink/?LinkId=24278) auf der Microsoft-Website. Weitere Informationen finden Sie unter den folgenden Punkten: Verwaltungsprogramme für die Sicherheitskonfiguration BTW: Neustart ist notwendig. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Februar 2005 Autor Melden Teilen Geschrieben 22. Februar 2005 STRIKE :D Es funktioniert - Yippeee !! Nach dem Neustart der DC´s und dem Appliance funktioniert es. Danke Velius Gruß Kohn Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.