Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Albzundy
Themen-Autor
Beiträge: 22
Registriert: Mo 26.02.2018, 15:40

AD Beitritt nicht möglich

Di 08.01.2019, 09:14

Momentan gibt es nur lokale Benutzer auf unserer UTM (RC300 / 11.7.14)
Das wird langsam lästig, weil die Benutzer dort ein extra Passwort haben welches sie gerne mal vergessen für den OpenVPN Zugang.

Ich möchte daher die UTM an unser Active Directory anbinden.
Leider funktioniert der AD Beitritt nicht, ich erhalte die Fehlermeldung:

Failed to join domain: failed to lookup DC info for domain 'xyz.LOCAL' over rpc: NT_STATUS_CONNECTION_RESET


In der Anleitung wird der Schritt an dem ich scheitere nicht weiter erläutert ( https://wiki.securepoint.de/UTM/AUTH/AD ... _einbinden)

Der AD Server ist gleichzeitig DNS Server. Nameserver Forward Zone ist korrekt eingerichtet.

Hat jemand eine Idee?
Ich finde bei Google diverse Probleme mit Samba unter Linux, aber keine wirkliche Lösung.
 
kennethj
Beiträge: 207
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 09:38

Hallo,

ist SMBv1 am AD deaktiviert?
Wenn Ja - bitte einmal test weise aktivieren und noch einmal den Beitritt versuchen.

Gruß

Kenneth
 
Albzundy
Themen-Autor
Beiträge: 22
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 10:38

Ich habe SMBv1 aktiviert aber der Fehler bleibt gleich. :-(

Ich kann es nicht anders testen ob SMBv1 "wirklich" aktiv ist. SMBv1 haben wir mal radikal überall deaktiviert als es die bekannte Sicherheitslücke damit gab... aber das sollte doch wohl passen:

Screenshot: https://i.ibb.co/VL5QCQV/2019-01-08-09-26-34-Window.png

OS ist Windows Server 2016 Datacenter
 
kennethj
Beiträge: 207
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:15

Hallo,

anbei einmal der Befehl um zu checken ob SMB1 aktiviert ist:
Get-SmbServerConfiguration | select "EnableSMB1Protocol"


Die Ausgabe sollte True zurückgeben.
Wenn diese False zurückgibt, können Sie es so aktivieren:
Set-SmbServerConfiguration -EnableSMB1Protocol $true


Die Anschließende Abfrage müssen Sie bestätigen

Gruß
 
Albzundy
Themen-Autor
Beiträge: 22
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:27

Besten Dank!!!

Damit hat es funktioniert und ich konnte mit der UTM dem AD beitreten.
Allerdings soll SMBv1 nicht aktiv bleiben, temporär zum testen ist das okay aber kann ich es jetzt ohne Probleme wieder deaktivieren?
 
kennethj
Beiträge: 207
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:39

Hallo,

dann wird die UTM wieder den connect verlieren.
Aktuell benötigt diese noch SMBv1 (Das ist aber auch schon länger bekannt)

Daher: Auf Firmware Update warten bis das behoben/geändert ist.

Gruß 
Zuletzt geändert von kennethj am Di 08.01.2019, 11:58, insgesamt 1-mal geändert.
 
Albzundy
Themen-Autor
Beiträge: 22
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:51

Danke für die Info! Diese Info wäre so auch im WIKI Artikel hilfreich gewesen. :D
Es wundert mich stark, dass SMBv1 (noch) benötigt wird. Insbesondere durch die Sicherheitslücke in SMBv1 welche von WannaCry genutzt wird ist SMBv1 seit Frühjahr 2017 ja ein "alter Hut".

Kann man entgegen der Empfehlung in der Anleitung mit LDAP als workaround arbeiten?
 
kennethj
Beiträge: 207
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 13:05

Hallo,

ich hätte da evtl. eine Idee wie man Problem beheben könnte (allerdings aktuell ungetestet)
Wenn Sie am DC das SMBv1 deaktivieren, können Sie einmal probieren das Template der UTM anzupassen: (Vorher die Domäne wieder verlassen)
Im Webinterface:
Strg + Alt +A -> Extras -> Erweiterte Einstellungen -> Templates -> /etc/samba/smn.conf -> Laden

Zwischen "netbios name = {{ print @GLOB_LDAP_USER }}" und "{{if @GLOB_LDAP_USE_SSL == 0 then}}" eine neue Zeile hinfügen und dort folgendes mal eintragen:
min protocol = SMB2


Anschließend oben und unten auf Speichern klicken - Anschließend die Dienste neustarten und nochmal versuchen Beizutreten.

Wie gesagt: Ungetestet

Gruß
 
Albzundy
Themen-Autor
Beiträge: 22
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 14:40

Danke für den Tipp!
Welche Dienste soll ich neu starten?

Wenn ich nicht mehr der Domäne angehöre, ist der Active Directory Dienst (winbindd) nicht mehr gestartet und lässt sich auch nicht mehr starten.

Wenn ich es direkt probiere erhalte ich mit dem geänderten Template die gleiche Fehlermeldung wie vorher, selbst wenn SMBv1 am DC aktiv ist.
 
kennethj
Beiträge: 207
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 14:45

Dann einmal alles Rückgängig machen - Ein Versuch war es Wert (Ich teste es aber trotzdem einmal gegen)

Evtl. ist im nächsten Release ja behoben.
 
Albzundy
Themen-Autor
Beiträge: 22
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 15:23

Okay, Danke für die Hilfe!
 
Reppien
Beiträge: 3
Registriert: Sa 09.02.2019, 12:04

Re: AD Beitritt nicht möglich

Sa 09.02.2019, 12:11

Wie sicher ist das, dass SMBv1 nicht mehr auf einem Windows Server 2016/2019 reaktiviert werden muss, damit eine externe Authentifizierung über das Windows AD möglich ist. Ich finde es leicht ironisch, dass ich für den Betrieb einer UTM die Windows Sicherheit herabstufen muss. Ist irgendwie schwer einem Kunden zu erklären...

Gruß.
 
MopedHans
Beiträge: 47
Registriert: Mo 17.02.2014, 07:37

Re: AD Beitritt nicht möglich

Fr 29.03.2019, 17:14

Gibts hierzu was neues? In den Changelogs zu 11.8.x habe ich hier nichts explizites zu AD gefunden.
 
kennethj
Beiträge: 207
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Fr 29.03.2019, 17:19

Hallo,

bei uns funktioniert das seit der 11.8.0. mit deaktivierten SMBv1.

Bezüglich Changelog:

Unterstützung für SMB2/SMB3 und Kerberos.
 
MopedHans
Beiträge: 47
Registriert: Mo 17.02.2014, 07:37

Re: AD Beitritt nicht möglich

Mo 01.04.2019, 08:36

Das steht beim Webproxy, daher meine Aussage zum expliziten Bezug zu AD.
 
HaPe
Beiträge: 24
Registriert: Di 09.05.2017, 22:40

Re: AD Beitritt nicht möglich

Do 23.05.2019, 22:45

Ein kurzer Erfahrungsbericht nach dem ersten Update bei einem Kunden:

  • Gestern Abend Update auf 11.8.3 auf der UTM installiert, ergo SMB1 am DC (2012 R2) deinstalliert, zumal der Kunde durchwegs mit Win10 arbeitet.
Ohne aktiviertem DNSSEC auf der UTM hat die Authentifizierung für SSL-VPN übers AD wunderbar funktioniert.

  • Danach zum Schluß noch DNSSEC aktiviert
Sollte man momentan nicht machen, sofern man intern eine .local o.Ä. Domäne verwendet, da die AD-Anbindung den Nameserver der UTM verwendet, auch wenn man meinen könnte, sie fragt den angegebenen DNS-Server direkt ab
  • Weiterleitungszone für die interne Domäne vom Nameserver der UTM gelöscht
Kann die UTM mit DNSSEC eh nicht mehr auflösen, somit raus damit... - auch das ist schlecht, denn somit löscht man in meinem Fall unbeabsichtigt den DNS-Server aus den Einstellungen der AD-Anbindung raus und die UTM fliegt unweigerlich aus der Domäne

Natürlich VPN nicht nochmal getestet...

Heute Morgen hat der Kunde dann angerufen und gemeint: VPN geht nicht mehr... - schnell gelöst, DNSSEC wieder aus, UTM neu in Domäne eingebunden... Läuft wieder.
2 Stunden später ruft er wieder an: Scanner vom Multifunktionsgerät will auch nicht mehr - also SMB1 am DC, der auch gleichzeitig Fileserver ist wieder installiert... Läuft auch wieder.

Somit kurz und bündig:
2 interessante neue Features, leider hält sich der Gewinn bei Kunden mit teilweise "alten" Geräten erstmal in Grenzen...
Sinn machen würde imho die Umstellung des DNS-Servers beim AD-Dienst auf direkte Anfrage des eingestellten DNS-Servers, da dann DNSSEC für den Nameserver der UTM auch bei einer internen .local-Domäne aktiviert werden kann.

Das neue Fail2Ban-Modul funktioniert zumindest beim Userinterface erstklassig.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste