Jump to content

Samba Appliance an 2k3 Domäne - Zugriffsproblem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Leute,

 

hab hier ein Problem bei dem ich seit ein paar stunden nicht weiter komme.

 

Wir haben hier einen HP PrintServer Appliance 4250 welcher einfach nicht so will wie ich.

 

Info zu unserer Umgebung:

 

2k3 Domäne (Funktionsebene Windows 2000)

2 WINS Server

2 DNS Server

WINS Server + DNS Server beim Printserver eingetragen

 

Diese Appliance bietet die Funktion "Printer Shares" Berechtigungen zu Vergeben. Dazu gibt es eine Funktion, alle Benutzer und Gruppen der Domäne aufzulisten - funktioniert aber leider nicht. Folgende Fehlermeldung erscheint:

"The PSA encoutered an error while retrieving the browse list from domain ... No group or user list returned. Try again or type in the name(s)."

 

Da die Appliance auf Samba bassiert, habe ich schon mal das SMB-Signing laut folgendem Artikel angepasst:

 

http://www.gruppenrichtlinien.de/index.html?/HowTo/DOS_Clients_an_Windows_2003_Server.htm

 

Hat mich bis jetzt aber noch nicht weitergebracht. Jetzt habe ich die Gruppe Jeder der Gruppe "Prä-Windows 2000 kompatibler Zugriff" hinzugefügt, (wie hier beschrieben: http://support.microsoft.com/kb/q289655/ + http://support.microsoft.com/default.aspx?scid=kb;en-us;325363&Product=winsvr2003) was aber auch nicht zum gewünschten erfolg geführt hat.

 

Kann mir vielleicht jemand helfen - welche Sicherheitseinstellungen ich noch ändern muss, dass die Appliance die Benutzeraccounts unserer 2k3 Domäne auflisten kann?

 

Bin für jede Hilfe dankbar!

 

Gruß Kohn

Link zu diesem Kommentar

Hi Velius,

 

klar Whitepaper hab ich schon studiert.

 

Was hat es denn mit der NT LAN Manager Authentifizierungsebene auf sich welche lässt denn der 2k3 Server standardmäßig zu nur Kerberos?

 

Habe folgende Einstellungen an der "Default Domian Controllers Policy" geändert.

 

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer): Deaktiviert

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt): Aktiviert

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer): Deaktiviert

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt): Aktiviert

 

Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben: Deaktiviert

Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben: Deaktiviert

Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen: Aktiviert

 

Netzwerksicherheit: LAN Manager-Authentifizierungsebene ??? Muss ich den vielleicht noch konfigurieren (auf LM und NTLM)

 

Hab nach dem ganzen Prozedere noch keinen Neustart der DC´s durchgeführt vielleicht liegts daran? - mache ich mal später und geb dann Rückmeldung

 

Gruß Kohn

Link zu diesem Kommentar

Netzwerksicherheit: LAN Manager-Authentifizierungsebene ??? Muss ich den vielleicht noch konfigurieren (auf LM und NTLM)

 

Das hast du richtig gesehen:

 

Netzwerksicherheit: LAN Manager-AuthentifizierungsebeneComputerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

 

Beschreibung

Legt fest, welches Anfrage/Antwort-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Die Wahl des Protokolls hat auf die Ebene des von Clients verwendeten Authentifizierungsprotokolls, auf die Ebene der ausgehandelten Sitzungssicherheit und auf die Ebene der vom Server akzeptierten Authentifizierung folgende Auswirkungen:

 

  • LM- und NTLM-Antworten senden: Clients verwenden die LM- und NTLM-Authentifizierung, niemals die NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
  • LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Clients verwenden die LM- und NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
  • Nur NTLM-Antworten senden: Clients verwenden nur die NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
  • Nur NTLMv2-Antworten senden: Clients verwenden nur die NTLMv2-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
  • Nur NTLMv2-Antworten senden\LM verweigern: Clients verwenden nur die NTLMv2-Authentifizierung und verwenden die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller verweigern die LM-Authentifizierung (nur die NTLM- und NTLMv2-Authentifizierung wird akzeptiert).
  • Nur NTLMv2-Antworten senden\LM & NTLM verweigern: Clients verwenden nur die NTLMv2-Authentifizierung und verwenden die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller verweigern die LM- und NTLM-Authentifizierung (nur die NTLMv2-Authentifizierung wird akzeptiert).

 

 

Voreinstellung:

  • LM- und NTLM-Antworten senden auf dem Server.
  • Nicht definiert auf Arbeitsstationen.

 

 

Wichtig

 

  • Diese Einstellung kann sich darauf auswirken, ob Computer unter Windows 2000 Server, Windows 2000 Professional und Windows XP Professional über das Netzwerk mit Clients unter Windows NT, Version 4.0 und früher, kommunizieren können. Zum Zeitpunkt der Erstellung dieses Dokuments bieten z. B. Computer unter Windows NT 4.0, auf denen das Service Pack 4 noch nicht installiert ist, keine Unterstützung für NTLMv2. Computer unter Windows 95 oder Windows 98 bieten keine Unterstützung für NTLM.
  • Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Weitere Kompatibilitätsinformationen zu dieser Einstellung finden Sie auf der Seite zu Netzwerksicherheit: LAN Manager-Authentifizierungsebene (http://go.microsoft.com/fwlink/?LinkId=24278) auf der Microsoft-Website.
    Weitere Informationen finden Sie unter den folgenden Punkten:
     
  • Verwaltungsprogramme für die Sicherheitskonfiguration

 

 

BTW: Neustart ist notwendig.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...