PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Windows Server 2008 R2 64bit an Samba 3.0 AD anmelden



Micodat
22.06.10, 11:41
Hi,

ich habe meine Domäne unter Samba 3.0 (Suse 10) laufen. PC's (XP, Win7) und 'echte' Windows-Server (2003, und 2008 32bit (ohne R2!)) können sich ohne Probleme daran anmelden.

Jetzt habe ich den ersten Windows Server 2008 R2 64bit laufen. Unter Explorer -> Netwerk wird das Directory und die PC's/Server angezeigt und ich kann auf die Freigaben zugreifen.

Wenn ich aber versuche, den Server in die Domäne aufzunehmen, kommt das Domänen-Login-Fenster und nach Eingabe die Fehlermeldung, dass die Anmeldung an der Domäne fehlgeschlagen ist.

Nachdem ich jetzt gefühlte 2000 Artikel bei Google gelesen habe aber nichts gepasst hat: Hat jemand so ein System am laufen und kann mir sagen, welche Einstellung ich beim Windows-Server anpassen muss, damit er sich an der Domäne anmelden kann?

Ciao
Frank

Jigsore
22.06.10, 21:40
Wird Dir nicht sonderlich helfen, aber nach etlichem gefummel hats ein Update auf eine höhere Version von Samba getan. Läuft seit dem Einrichten vor ein paar Monaten wunderbar stabil (3.4 und 3.5).

cane
22.06.10, 23:39
ACK - Mit Samba 3.0 wird das nicht klappen, AFAIR muss es mindestens Samba 3.2 sein.

mfg
cane

Micodat
23.06.10, 08:23
@Jigsore, @cane,

danke für die Antworten.
Werde nächstes Wochenende versuchen, auf 3.5 zu kommen und es dann nochmal testen.

Ciao
Frank

Micodat
28.06.10, 16:44
Wird Dir nicht sonderlich helfen, aber nach etlichem gefummel hats ein Update auf eine höhere Version von Samba getan. Läuft seit dem Einrichten vor ein paar Monaten wunderbar stabil (3.4 und 3.5).

Ich bin jetzt auch auf Samba 3.5.4 hoch, habe aber immer noch Probleme, den Windows 2008 64bit R2 in die Domäne aufzunehmen.
(wie gesagt: mit Windows 2008 32 bit (ohne R2) keine Probleme)

Hier ein Auszug aus dem Samba Protokoll, während ich versuche, den R2 in die Domäne aufzunehmen:


[2010/06/28 16:10:17.981824, 3] auth/auth.c:216(check_ntlm_password) check_ntlm_password: Checking password for unmapped user [hq.micodat.com]\[root]@[MICWIN] with the new password interface
[2010/06/28 16:10:17.981938, 3] auth/auth.c:219(check_ntlm_password)
check_ntlm_password: mapped user is: [hq.micodat.com]\[root]@[MICWIN]
...
[2010/06/28 16:10:17.988023, 3] ../libcli/auth/ntlm_check.c:392(ntlm_password_check)
ntlm_password_check: NTLMv2 password check failed
[2010/06/28 16:10:17.988175, 3] ../libcli/auth/ntlm_check.c:437(ntlm_password_check)
ntlm_password_check: Lanman passwords NOT PERMITTED for user root
[2010/06/28 16:10:17.988452, 3] ../libcli/auth/ntlm_check.c:585(ntlm_password_check)
ntlm_password_check: LM password, NT MD4 password in LM field and LMv2 failed for user root
...
[2010/06/28 16:10:17.991285, 3] auth/auth_winbind.c:54(check_winbind_security)
check_winbind_security: Not using winbind, requested domain [hq.micodat.com] was for this SAM.
[2010/06/28 16:10:17.991373, 2] auth/auth.c:314(check_ntlm_password)
check_ntlm_password: Authentication for user [root] -> [root] FAILED with error NT_STATUS_WRONG_PASSWORD
[2010/06/28 16:10:17.991552, 3] smbd/error.c:80(error_packet_set)
error packet at smbd/sesssetup.c(111) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE


Ich tippe mal darauf, dass ich auf der Windows Maschine bei den lokalen Sicherheitsrichtlinien noch was runtersetzen muss, habe aber bisher nicht den richtigen Ansetzpunkt gefunden.

Hat noch jemand eine Idee?

Ciao
Frank

Micodat
29.06.10, 15:44
noch ein paar Tests zu diesem Problem:

Einen Windows 7 prof. PC kann ich in die Domäne aufnehmen.

Dann habe ich einen Windows Server 2008 64bit (ohne R2) frisch aufgesetzt: den konnte ich in die Domäne aufnehmen.
Diesen habe ich dann geupdated auf 2008 R2, danach war die Vertrauensstellung zwischen dem Server und der Domäne weg.

Micodat
02.07.10, 11:00
give up :(

Ich baue jetzt auf dem R2 eine eigene Domäne auf, Verbindung zur Samba-Domäne muss dann halt über 'normale' Freigaben erfolgen

basti1985
25.11.10, 15:24
Geht doch .. in etwa so:
(lt http://wiki.samba.org/index.php/Windows7 schon seit 3.3)

Wie man den entsprechenden samba installiert lass ich hier mal außen vor

smbpasswd -W "passwd" (LDAP passwd in samba.tdb, falls keine LDAP verbindung möglich)

Bei domain join ->


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\LanManWorkstation\Parameters]
"DNSNameResolutionRequired"=dword:00000000
"DomainCompatibilityMode"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Netlogon\Parameters]
"RequireSignOrSeal"=dword:00000001
"RequireStrongKey"=dword:00000001


-> secpol.msc -> Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\
-> Netzwerksicherheit: LAN Manager-Authentifizierungsebene -> LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt) oder LM- und NTLM-Antworten senden

-> Computername -> Weitere -> "Primäres DNS-Suffix bei Domänenmitgliedschaftsänderung ändern" deaktivieren

-> Fertig?!

EDIT:
Ich geh hier davon aus, dass samba + ldap als NT4-domain laufen