Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Albzundy
Themen-Autor
Beiträge: 20
Registriert: Mo 26.02.2018, 15:40

AD Beitritt nicht möglich

Di 08.01.2019, 09:14

Momentan gibt es nur lokale Benutzer auf unserer UTM (RC300 / 11.7.14)
Das wird langsam lästig, weil die Benutzer dort ein extra Passwort haben welches sie gerne mal vergessen für den OpenVPN Zugang.

Ich möchte daher die UTM an unser Active Directory anbinden.
Leider funktioniert der AD Beitritt nicht, ich erhalte die Fehlermeldung:

Failed to join domain: failed to lookup DC info for domain 'xyz.LOCAL' over rpc: NT_STATUS_CONNECTION_RESET


In der Anleitung wird der Schritt an dem ich scheitere nicht weiter erläutert ( https://wiki.securepoint.de/UTM/AUTH/AD ... _einbinden)

Der AD Server ist gleichzeitig DNS Server. Nameserver Forward Zone ist korrekt eingerichtet.

Hat jemand eine Idee?
Ich finde bei Google diverse Probleme mit Samba unter Linux, aber keine wirkliche Lösung.
 
kennethj
Beiträge: 164
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 09:38

Hallo,

ist SMBv1 am AD deaktiviert?
Wenn Ja - bitte einmal test weise aktivieren und noch einmal den Beitritt versuchen.

Gruß

Kenneth
 
Albzundy
Themen-Autor
Beiträge: 20
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 10:38

Ich habe SMBv1 aktiviert aber der Fehler bleibt gleich. :-(

Ich kann es nicht anders testen ob SMBv1 "wirklich" aktiv ist. SMBv1 haben wir mal radikal überall deaktiviert als es die bekannte Sicherheitslücke damit gab... aber das sollte doch wohl passen:

Screenshot: https://i.ibb.co/VL5QCQV/2019-01-08-09-26-34-Window.png

OS ist Windows Server 2016 Datacenter
 
kennethj
Beiträge: 164
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:15

Hallo,

anbei einmal der Befehl um zu checken ob SMB1 aktiviert ist:
Get-SmbServerConfiguration | select "EnableSMB1Protocol"


Die Ausgabe sollte True zurückgeben.
Wenn diese False zurückgibt, können Sie es so aktivieren:
Set-SmbServerConfiguration -EnableSMB1Protocol $true


Die Anschließende Abfrage müssen Sie bestätigen

Gruß
 
Albzundy
Themen-Autor
Beiträge: 20
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:27

Besten Dank!!!

Damit hat es funktioniert und ich konnte mit der UTM dem AD beitreten.
Allerdings soll SMBv1 nicht aktiv bleiben, temporär zum testen ist das okay aber kann ich es jetzt ohne Probleme wieder deaktivieren?
 
kennethj
Beiträge: 164
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:39

Hallo,

dann wird die UTM wieder den connect verlieren.
Aktuell benötigt diese noch SMBv1 (Das ist aber auch schon länger bekannt)

Daher: Auf Firmware Update warten bis das behoben/geändert ist.

Gruß 
Zuletzt geändert von kennethj am Di 08.01.2019, 11:58, insgesamt 1-mal geändert.
 
Albzundy
Themen-Autor
Beiträge: 20
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 11:51

Danke für die Info! Diese Info wäre so auch im WIKI Artikel hilfreich gewesen. :D
Es wundert mich stark, dass SMBv1 (noch) benötigt wird. Insbesondere durch die Sicherheitslücke in SMBv1 welche von WannaCry genutzt wird ist SMBv1 seit Frühjahr 2017 ja ein "alter Hut".

Kann man entgegen der Empfehlung in der Anleitung mit LDAP als workaround arbeiten?
 
kennethj
Beiträge: 164
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 13:05

Hallo,

ich hätte da evtl. eine Idee wie man Problem beheben könnte (allerdings aktuell ungetestet)
Wenn Sie am DC das SMBv1 deaktivieren, können Sie einmal probieren das Template der UTM anzupassen: (Vorher die Domäne wieder verlassen)
Im Webinterface:
Strg + Alt +A -> Extras -> Erweiterte Einstellungen -> Templates -> /etc/samba/smn.conf -> Laden

Zwischen "netbios name = {{ print @GLOB_LDAP_USER }}" und "{{if @GLOB_LDAP_USE_SSL == 0 then}}" eine neue Zeile hinfügen und dort folgendes mal eintragen:
min protocol = SMB2


Anschließend oben und unten auf Speichern klicken - Anschließend die Dienste neustarten und nochmal versuchen Beizutreten.

Wie gesagt: Ungetestet

Gruß
 
Albzundy
Themen-Autor
Beiträge: 20
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 14:40

Danke für den Tipp!
Welche Dienste soll ich neu starten?

Wenn ich nicht mehr der Domäne angehöre, ist der Active Directory Dienst (winbindd) nicht mehr gestartet und lässt sich auch nicht mehr starten.

Wenn ich es direkt probiere erhalte ich mit dem geänderten Template die gleiche Fehlermeldung wie vorher, selbst wenn SMBv1 am DC aktiv ist.
 
kennethj
Beiträge: 164
Registriert: Di 25.04.2017, 10:17

Re: AD Beitritt nicht möglich

Di 08.01.2019, 14:45

Dann einmal alles Rückgängig machen - Ein Versuch war es Wert (Ich teste es aber trotzdem einmal gegen)

Evtl. ist im nächsten Release ja behoben.
 
Albzundy
Themen-Autor
Beiträge: 20
Registriert: Mo 26.02.2018, 15:40

Re: AD Beitritt nicht möglich

Di 08.01.2019, 15:23

Okay, Danke für die Hilfe!

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste