Seite 1 von 1

AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 09:14
von Albzundy
Momentan gibt es nur lokale Benutzer auf unserer UTM (RC300 / 11.7.14)
Das wird langsam lästig, weil die Benutzer dort ein extra Passwort haben welches sie gerne mal vergessen für den OpenVPN Zugang.

Ich möchte daher die UTM an unser Active Directory anbinden.
Leider funktioniert der AD Beitritt nicht, ich erhalte die Fehlermeldung:

Code: Alles auswählen

Failed to join domain: failed to lookup DC info for domain 'xyz.LOCAL' over rpc: NT_STATUS_CONNECTION_RESET
In der Anleitung wird der Schritt an dem ich scheitere nicht weiter erläutert ( https://wiki.securepoint.de/UTM/AUTH/AD ... _einbinden)

Der AD Server ist gleichzeitig DNS Server. Nameserver Forward Zone ist korrekt eingerichtet.

Hat jemand eine Idee?
Ich finde bei Google diverse Probleme mit Samba unter Linux, aber keine wirkliche Lösung.

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 09:38
von kennethj
Hallo,

ist SMBv1 am AD deaktiviert?
Wenn Ja - bitte einmal test weise aktivieren und noch einmal den Beitritt versuchen.

Gruß

Kenneth

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 10:38
von Albzundy
Ich habe SMBv1 aktiviert aber der Fehler bleibt gleich. :-(

Ich kann es nicht anders testen ob SMBv1 "wirklich" aktiv ist. SMBv1 haben wir mal radikal überall deaktiviert als es die bekannte Sicherheitslücke damit gab... aber das sollte doch wohl passen:

Screenshot: https://i.ibb.co/VL5QCQV/2019-01-08-09-26-34-Window.png

OS ist Windows Server 2016 Datacenter

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 11:15
von kennethj
Hallo,

anbei einmal der Befehl um zu checken ob SMB1 aktiviert ist:

Code: Alles auswählen

Get-SmbServerConfiguration | select "EnableSMB1Protocol"
Die Ausgabe sollte True zurückgeben.
Wenn diese False zurückgibt, können Sie es so aktivieren:

Code: Alles auswählen

Set-SmbServerConfiguration -EnableSMB1Protocol $true
Die Anschließende Abfrage müssen Sie bestätigen

Gruß

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 11:27
von Albzundy
Besten Dank!!!

Damit hat es funktioniert und ich konnte mit der UTM dem AD beitreten.
Allerdings soll SMBv1 nicht aktiv bleiben, temporär zum testen ist das okay aber kann ich es jetzt ohne Probleme wieder deaktivieren?

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 11:39
von kennethj
Hallo,

dann wird die UTM wieder den connect verlieren.
Aktuell benötigt diese noch SMBv1 (Das ist aber auch schon länger bekannt)

Daher: Auf Firmware Update warten bis das behoben/geändert ist.

Gruß 

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 11:51
von Albzundy
Danke für die Info! Diese Info wäre so auch im WIKI Artikel hilfreich gewesen. :D
Es wundert mich stark, dass SMBv1 (noch) benötigt wird. Insbesondere durch die Sicherheitslücke in SMBv1 welche von WannaCry genutzt wird ist SMBv1 seit Frühjahr 2017 ja ein "alter Hut".

Kann man entgegen der Empfehlung in der Anleitung mit LDAP als workaround arbeiten?

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 13:05
von kennethj
Hallo,

ich hätte da evtl. eine Idee wie man Problem beheben könnte (allerdings aktuell ungetestet)
Wenn Sie am DC das SMBv1 deaktivieren, können Sie einmal probieren das Template der UTM anzupassen: (Vorher die Domäne wieder verlassen)
Im Webinterface:
Strg + Alt +A -> Extras -> Erweiterte Einstellungen -> Templates -> /etc/samba/smn.conf -> Laden

Zwischen "netbios name = {{ print @GLOB_LDAP_USER }}" und "{{if @GLOB_LDAP_USE_SSL == 0 then}}" eine neue Zeile hinfügen und dort folgendes mal eintragen:

Code: Alles auswählen

min protocol = SMB2
Anschließend oben und unten auf Speichern klicken - Anschließend die Dienste neustarten und nochmal versuchen Beizutreten.

Wie gesagt: Ungetestet

Gruß

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 14:40
von Albzundy
Danke für den Tipp!
Welche Dienste soll ich neu starten?

Wenn ich nicht mehr der Domäne angehöre, ist der Active Directory Dienst (winbindd) nicht mehr gestartet und lässt sich auch nicht mehr starten.

Wenn ich es direkt probiere erhalte ich mit dem geänderten Template die gleiche Fehlermeldung wie vorher, selbst wenn SMBv1 am DC aktiv ist.

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 14:45
von kennethj
Dann einmal alles Rückgängig machen - Ein Versuch war es Wert (Ich teste es aber trotzdem einmal gegen)

Evtl. ist im nächsten Release ja behoben.

Re: AD Beitritt nicht möglich

Verfasst: Di 08.01.2019, 15:23
von Albzundy
Okay, Danke für die Hilfe!

Re: AD Beitritt nicht möglich

Verfasst: Sa 09.02.2019, 12:11
von Reppien
Wie sicher ist das, dass SMBv1 nicht mehr auf einem Windows Server 2016/2019 reaktiviert werden muss, damit eine externe Authentifizierung über das Windows AD möglich ist. Ich finde es leicht ironisch, dass ich für den Betrieb einer UTM die Windows Sicherheit herabstufen muss. Ist irgendwie schwer einem Kunden zu erklären...

Gruß.

Re: AD Beitritt nicht möglich

Verfasst: Fr 29.03.2019, 17:14
von MopedHans
Gibts hierzu was neues? In den Changelogs zu 11.8.x habe ich hier nichts explizites zu AD gefunden.

Re: AD Beitritt nicht möglich

Verfasst: Fr 29.03.2019, 17:19
von kennethj
Hallo,

bei uns funktioniert das seit der 11.8.0. mit deaktivierten SMBv1.

Bezüglich Changelog:
Unterstützung für SMB2/SMB3 und Kerberos.

Re: AD Beitritt nicht möglich

Verfasst: Mo 01.04.2019, 08:36
von MopedHans
Das steht beim Webproxy, daher meine Aussage zum expliziten Bezug zu AD.

Re: AD Beitritt nicht möglich

Verfasst: Do 23.05.2019, 22:45
von HaPe
Ein kurzer Erfahrungsbericht nach dem ersten Update bei einem Kunden:
  • Gestern Abend Update auf 11.8.3 auf der UTM installiert, ergo SMB1 am DC (2012 R2) deinstalliert, zumal der Kunde durchwegs mit Win10 arbeitet.
Ohne aktiviertem DNSSEC auf der UTM hat die Authentifizierung für SSL-VPN übers AD wunderbar funktioniert.
  • Danach zum Schluß noch DNSSEC aktiviert
Sollte man momentan nicht machen, sofern man intern eine .local o.Ä. Domäne verwendet, da die AD-Anbindung den Nameserver der UTM verwendet, auch wenn man meinen könnte, sie fragt den angegebenen DNS-Server direkt ab
  • Weiterleitungszone für die interne Domäne vom Nameserver der UTM gelöscht
Kann die UTM mit DNSSEC eh nicht mehr auflösen, somit raus damit... - auch das ist schlecht, denn somit löscht man in meinem Fall unbeabsichtigt den DNS-Server aus den Einstellungen der AD-Anbindung raus und die UTM fliegt unweigerlich aus der Domäne

Natürlich VPN nicht nochmal getestet...

Heute Morgen hat der Kunde dann angerufen und gemeint: VPN geht nicht mehr... - schnell gelöst, DNSSEC wieder aus, UTM neu in Domäne eingebunden... Läuft wieder.
2 Stunden später ruft er wieder an: Scanner vom Multifunktionsgerät will auch nicht mehr - also SMB1 am DC, der auch gleichzeitig Fileserver ist wieder installiert... Läuft auch wieder.

Somit kurz und bündig:
2 interessante neue Features, leider hält sich der Gewinn bei Kunden mit teilweise "alten" Geräten erstmal in Grenzen...
Sinn machen würde imho die Umstellung des DNS-Servers beim AD-Dienst auf direkte Anfrage des eingestellten DNS-Servers, da dann DNSSEC für den Nameserver der UTM auch bei einer internen .local-Domäne aktiviert werden kann.

Das neue Fail2Ban-Modul funktioniert zumindest beim Userinterface erstklassig.

Re: AD Beitritt nicht möglich

Verfasst: Fr 26.07.2019, 10:49
von Albzundy
HaPe hat geschrieben:Ein kurzer Erfahrungsbericht nach dem ersten Update bei einem Kunden:

...
Vielen Dank für die Rückmeldung!
Ich wollte mich gerade erkundigen ob es etwas neues gibt aber hätte nicht damit gerechnet dass die AD Anbindung jetzt ohne SMBv1 klappt :-)
Das Problem mit den MFGs hatten wir auch, wir haben dann alle MFGs auf FTP umgestellt.
Mit DNSSEC arbeiten wir nicht, ich habe letztens aber einen Artikel gelesen dass wohl DNSoverHTTPS (DoH) sich mehr durchsetzt (?) ist aber jetzt nicht mein Thema...
Ich werde die AD Anbindung demnächst mal ausprobieren :-)