sligger 10 Geschrieben 6. Dezember 2009 Melden Teilen Geschrieben 6. Dezember 2009 Hallo, wir haben einen W2k DC der mit SP3 läuft, jetzt sollen Win7 Clients in die Domain aufgenommen werden. Sp4 läst sich auf den Server nicht installieren, da es zu Problemen mit einer Anwendung auf den Server kommt. Bei der Aufnahme der Clients in die Domain kommt es zum Fehler "Der Mitgliedschaftsvorgang ist fehlgeschlagen ..." Auf dem Server im Eventlog erscheint das Event 677 und 675 Event 677 Ereignisquelle: Security Fehlgeschlagene Anfrage für Dienstticket: Benutzername: Administrator Benutzerdomäne: LOCAL.TLD Dienstname: cifs/server.local.TLD Ticketoptionen: 0x40810000 Fehlercode: 0x29 Clientadresse: 192.168.x.x hat was mit "0x29" "SMB_COM_COPY" zu tun. Event 675 Ereignisquelle: Security Fehlgeschlagene Vorbestätigung: Benutzername: Administrator Benutzerkennung:LOCAL\Administrator Dienstname: krbtgt/local Vorauthentifizierungstyp: 0x0 Fehlercode: 0x19 Clientadresse: 192.168.x.x Die Fehlermeldung 675 bekommt man mit einer Änderung in der Registry weg. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "DefaultEncryptionType"=dword:00000017 dabei wird die Kerberos Verschlüsselung geändert von AES in 3DES. Hab auch noch einige andere Änderungen gemacht. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "lmcompatibilitylevel"=dword:00000001 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters] DomainCompatibilityMode=dword:1 DNSNameResolutionRequired=dword:0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] RequireStrongKey=dword:0 RequireSignOrSeal=dword:0 hab auch versucht, die Sicherheitsrichtlinien so wie unter WinXP anzupassen, half aber auch nichts. Es liegt auch nicht am Server, hab es in einer VM mit der Konfiguration probiert und komme zum gleichen Ergebnis. Clients bis WinXP kann ich in die Domain ohne Probleme aufnehmen, mit Vista und Win7 geht es nicht. Hat einer vieleicht noch ein Tip, bin Dankbar. Gruß SliGGer[/ATTACH][/ATTACH] Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 6. Dezember 2009 Melden Teilen Geschrieben 6. Dezember 2009 Was steht denn in C:\windows\debug\netsetup.log? Zitieren Link zu diesem Kommentar
sligger 10 Geschrieben 7. Dezember 2009 Autor Melden Teilen Geschrieben 7. Dezember 2009 Hallo, was auch nicht zwischen W2k und Win7 funktioniert, ist der Zugriff auf normale Freigaben. hier die netsetup.log NetSetup.log.txt Zitieren Link zu diesem Kommentar
Klo-X-ter 10 Geschrieben 11. Dezember 2009 Melden Teilen Geschrieben 11. Dezember 2009 Hab die Konstellation zwar auch nicht, aber ich glaube ab W2K SP4 wurde irgendetwas im SMB-Signing verändert. Aber solange Du nicht auf die Freigaben zugreifen kannst, kannst Du meines Wissens nach nicht der Domäne beitreten. Dabei werden nämlich die Freigaben IPC$ und SYSVOL angesprochen. Das ist der Knackpunkt in deinem LOG: NetUseAdd to \\SERVER\IPC$ returned 1240 Such mal nach SMB Signing W2K - W2K3 ich weiß, dass es da anfangs viele Probleme gab. Zitieren Link zu diesem Kommentar
sligger 10 Geschrieben 13. Dezember 2009 Autor Melden Teilen Geschrieben 13. Dezember 2009 THX, das war der richtige Hinweis, der Eintrag hat noch gefehlt. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters] "EnableSecuritySignature"=dword:00000000 "RequireSecuritySignature"=dword:00000000 Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 13. Dezember 2009 Melden Teilen Geschrieben 13. Dezember 2009 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters] "EnableSecuritySignature"=dword:00000000 "RequireSecuritySignature"=dword:00000000 Diese Konfiguration ist aber auch keine wirklich gute Idee. Nicht erzwingen ist okay, aber komplett deaktivieren nicht. Konfiguriere mal nach Best Practice und per GPO. Gruppenrichtlinien - Übersicht, FAQ und Tutorials Zitieren Link zu diesem Kommentar
sligger 10 Geschrieben 16. Dezember 2009 Autor Melden Teilen Geschrieben 16. Dezember 2009 wie gesagt wenn [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters] "EnableSecuritySignature"=dword:00000001 gesetzt ist geht zwischen Win7 Client und W2kSP3 Server nichts, weder komme man auf Freigaben noch kann man einer Domain beitreten. Obwohl es in der Beschreibung eher "freiwillig" klingt, scheint es doch nicht so zu sein. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Obwohl es in der Beschreibung eher "freiwillig" klingt, scheint es doch nicht so zu sein. Ist es aber normalerweise schon. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Vor allem muss der Server (DC) und der Client "identisch" konfiguriert sein. Wobei MS bei XP eine unabsichtliche Fehlkonfiguration quasi unmöglich gemacht hat. Ich würde es trotzdem, wie Stephan sagte, nach Best Practise konfigurieren. Eventuell kannst du das auch per Registry erstmal setzen, da Richtlinien an dieser Stelle auch manchmal vorbeigehen können. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.