Vitandi 0 Geschrieben 23. November 2023 Melden Teilen Geschrieben 23. November 2023 Hallo Zusammen, seit einem Sicherheitsupdate des Synology NAS kann, hat meine VM (Domain Controller) keinen Zugriff mehr darauf. Ich habe schon einige Zeit in die Recherche gesteckt und folgendes heraus gefunden. Problem scheint mit folgender Einstellung zusammenzuhängen. In den Lokalen Sicherheitsrichtlinien unter Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerksicherheit: LAN Manager-Authentifizierungsebene sollte der Wert eigentlich "Nur NTLMv2-Antwort senden\ LM und NTLM verweigern" sein. Bei mir ist der Wert jedoch "Nur NTLM-Antworten senden". Jetzt habe ich folgendes Problem: 1) Ich weiß nicht warum diese Einstellung so ist. --> Möglicherweiße durch vorhergehenden Admin. Gibt es Mittel und Wege herauszufinden wieso diese Einstellung so ist? 2) Bei mir ist die Auswahl ausgegraut, so dass ich es nicht ändern kann Ich hatte die lokalen Sicherheitsrichtlinien als Admin geöffnet. Leider immer nur ausgegraut. Siehe Hilfe Seite von Synology: https://kb.synology.com/de-de/DSM/tutorial/I_cannot_access_shared_folders_from_WinXP_computer Folgendes Video zeigt ebenfalls den exakten Fehler der bei mir auch auftritt: (Die Qualität ist der Horror) Ansonsten ist noch zu sagen: Gruppenrichtlinien sind keine Option. Nur diese VM/Server ist davon betroffen Es ist Windows Server 2019 Standard installiert. Ich habe im Forum schon ähnliche Einträge gefunden, jedoch haben diese (bis auf die Lsg. via Gruppenrichtlinien was keine Option ist) keine Lösungen gegeben. Da das auch der Domain Controller ist, sollte eine Gruppenrichtlinie auch nicht nötig sein. Würde mich über alle Hilfe freuen. Danke und Gruß :) Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 23. November 2023 Melden Teilen Geschrieben 23. November 2023 Hi, warum ist die Lösung via Gruppenrichtlinien keine Option? Guck doch einfach mal am Domain Controller per "gpresult /f /h gpo.html & gpo.html", aus welcher Policie der Wert "Nur NTLM-Antworten senden" kommt und ändere ihn dort auf "Nur NTLMv2-Antwort senden\ LM und NTLM verweigern". Gruß Jan Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 23. November 2023 Melden Teilen Geschrieben 23. November 2023 (bearbeitet) Dein Stickwort ist vermutlich "Netlogon RPC sealing". Hat Synology das entsprechend implementiert? Hier mal der Link von Netapp (die mussten Ontap auch rechtzeitig anpassen): https://kb.netapp.com/Support_Bulletins/Customer_Bulletins/SU530 Beim Kerberos gab es auch Änderungen. Hier mal ingessamt: https://www.deskmodder.de/blog/2023/10/11/windows-stufenweise-aenderungen-am-netlogon-und-kerberos-protokoll/ Und generell liefert Synology gern mal Samba-Versionen mit irgendwelchen Bugs aus. Du kannst hier mal anfragen? https://www.synology-forum.de/ bearbeitet 23. November 2023 von zahni Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 23. November 2023 Melden Teilen Geschrieben 23. November 2023 Was sollte der NTLM-Response Dialekt des DC mit dem Zugriff auf ein anderes System zu tun haben - außer nichts natürlich Bin bei Zahni. Hatten die Netapp-Kollegen bei uns auch schwer damit zu tun. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.359 Geschrieben 23. November 2023 Melden Teilen Geschrieben 23. November 2023 Moin, willkommen an Board! Kann ja OT sein, aber was möchte ein DC auf einem NAS? Und - warum sind GPO keine Option? Der Server selber ist auf aktuellem Stand? Welche Synology mit welchem OS Stand ist im Einsatz? Und - auf einem DC gibt es keine lokalen Richtlinien, so meine Erinnerung… Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. November 2023 Melden Teilen Geschrieben 24. November 2023 @Nobbyaushb Der DC möchte da DC sein. Ist hier auch so... Hatte keine Lust, die Windows-Domäne in eine SAMBA-Domäne zu migrieren, und die Synos können in einer Windows-Domäne kein DC werden. Also laufen die Windows-DC jetzt als VM auf den Synos, die in diese Domäne gejoint sind Muß man ein wenig tricksen bei AD-integriertem DNS, wenn Synology Updates für QEmu ausliefert - da waren mal beide DC nicht erreichbar, und die Synos müssen deshalb auch noch secondary DNS sein und sich selbst als DNS verwenden. Geht aber problemlos. Und selbstverständlich gibt es auch auf einem DC lokale Richtlinien - siehe secpol.msc. (Fast) alles, was nicht aus einer GPO kommt, ist lokal. Ausnahme nur PW-Policies, die aus dem Domain Head in die DDP zurückwandern. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.359 Geschrieben 24. November 2023 Melden Teilen Geschrieben 24. November 2023 vor 20 Minuten schrieb daabm: Und selbstverständlich gibt es auch auf einem DC lokale Richtlinien - siehe secpol.msc. (Fast) alles, was nicht aus einer GPO kommt, ist lokal. Ausnahme nur PW-Policies, die aus dem Domain Head in die DDP zurückwandern. Danke, war mir (nicht) mehr ganz sicher Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.