2K - Vista oder Win7 in W2kSP3 Domain

[sligger]

Hallo,

wir haben einen W2k DC der mit SP3 läuft, jetzt sollen Win7 Clients in die Domain aufgenommen werden. Sp4 läst sich auf den Server nicht installieren, da es zu Problemen mit einer Anwendung auf den Server kommt.

Bei der Aufnahme der Clients in die Domain kommt es zum Fehler "Der Mitgliedschaftsvorgang ist fehlgeschlagen ..."

Auf dem Server im Eventlog erscheint das Event 677 und 675

Code:

Event  677
Ereignisquelle:	Security
Fehlgeschlagene Anfrage für Dienstticket:
Benutzername:	Administrator
Benutzerdomäne:	LOCAL.TLD
Dienstname:	cifs/server.local.TLD
Ticketoptionen:	0x40810000
Fehlercode:	0x29
Clientadresse:	192.168.x.x

hat was mit "0x29" "SMB_COM_COPY" zu tun.

Code:

Event  675
Ereignisquelle:	Security
Fehlgeschlagene Vorbestätigung:
Benutzername:	Administrator
Benutzerkennung:LOCAL\Administrator
Dienstname:	krbtgt/local
Vorauthentifizierungstyp: 0x0
Fehlercode:	0x19
Clientadresse:	192.168.x.x

Die Fehlermeldung 675 bekommt man mit einer Änderung in der Registry weg.

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"DefaultEncryptionType"=dword:00000017

dabei wird die Kerberos Verschlüsselung geändert von AES in 3DES.

Hab auch noch einige andere Änderungen gemacht.

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"lmcompatibilitylevel"=dword:00000001

Code:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
DomainCompatibilityMode=dword:1
DNSNameResolutionRequired=dword:0

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
RequireStrongKey=dword:0
RequireSignOrSeal=dword:0

hab auch versucht, die Sicherheitsrichtlinien so wie unter WinXP anzupassen, half aber auch nichts.

Es liegt auch nicht am Server, hab es in einer VM mit der Konfiguration probiert und komme zum gleichen Ergebnis. Clients bis WinXP kann ich in die Domain ohne Probleme aufnehmen, mit Vista und Win7 geht es nicht.

Hat einer vieleicht noch ein Tip, bin Dankbar.

Gruß SliGGer[ATTACH][ATTACH]Win7_Domain_W2kSP3.jpg[/ATTACH][/ATTACH]

[LukasB]

Was steht denn in C:\windows\debug\netsetup.log?

[sligger]

Hallo,

was auch nicht zwischen W2k und Win7 funktioniert, ist der Zugriff auf normale Freigaben.

hier die netsetup.log

[Klo-X-ter]

Hab die Konstellation zwar auch nicht, aber ich glaube ab W2K SP4 wurde irgendetwas im SMB-Signing verändert.

Aber solange Du nicht auf die Freigaben zugreifen kannst, kannst Du meines Wissens nach nicht der Domäne beitreten. Dabei werden nämlich die Freigaben IPC$ und SYSVOL angesprochen.

Das ist der Knackpunkt in deinem LOG:

NetUseAdd to \\SERVER\IPC$ returned 1240

Such mal nach SMB Signing W2K - W2K3 ich weiß, dass es da anfangs viele Probleme gab.

[sligger]

THX, das war der richtige Hinweis, der Eintrag hat noch gefehlt.

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters]
"EnableSecuritySignature"=dword:00000000
"RequireSecuritySignature"=dword:00000000

[Stephan Betken]

Zitat von sligger Code: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters] "EnableSecuritySignature"=dword:00000000 "RequireSecuritySignature"=dword:00000000

Diese Konfiguration ist aber auch keine wirklich gute Idee. Nicht erzwingen ist okay, aber komplett deaktivieren nicht.
Konfiguriere mal nach Best Practice und per GPO.

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[sligger]

wie gesagt wenn

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters]
"EnableSecuritySignature"=dword:00000001

gesetzt ist geht zwischen Win7 Client und W2kSP3 Server nichts, weder komme man auf Freigaben noch kann man einer Domain beitreten.

Obwohl es in der Beschreibung eher "freiwillig" klingt, scheint es doch nicht so zu sein.

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

[Stephan Betken]

Zitat von sligger Obwohl es in der Beschreibung eher "freiwillig" klingt, scheint es doch nicht so zu sein.

Ist es aber normalerweise schon.

[NorbertFe]

Vor allem muss der Server (DC) und der Client "identisch" konfiguriert sein. Wobei MS bei XP eine unabsichtliche Fehlkonfiguration quasi unmöglich gemacht hat. Ich würde es trotzdem, wie Stephan sagte, nach Best Practise konfigurieren. Eventuell kannst du das auch per Registry erstmal setzen, da Richtlinien an dieser Stelle auch manchmal vorbeigehen können.

Bye
Norbert