Re: OT: W10 22H2 kommt nicht mehr an Domäne heran
Hallo Jens und danke für die Idee, Am 30.12.2022 um 19:28 schrieb Jens Keizer:
häufigstes Problem in Windows Domänen ist der DNS-Dienst.
Hat der neue Client den richtigen DNS-Server eingetragen/per DHCP erhalten?
Das sieht alles *identisch* zu dem aus, was auf den alten Rechnern so angezeigt wird. Es hängen alle (Server und Clients) am selben DNS-Server: einer FritzBox. Im Fehler-Logbuch von Windows wird noch so etwas wie die fehlende Verbindung zu einem RPC-Server bemängelt. Das hatte ich zuerst im Verdacht. Bei den anderen Rechner ist das aber ebenfalls so. Abgesehen davon, dass ich nicht wieß, wie man das behebt, schließe ich es deshalb als Fehlerquelle vorerst aus.
Am Freitag, dem 30.12.2022 um 18:30 +0100 schrieb Alex Winzer:
Hallo,
ich habe ein Problem mit Samba 4.4.4 und Windows 10 v22H2. Samba ist als Domänen Controller eingerichtet und stellt Roaming Profiles zur Verfügung.
[...]
Wenn ich dann aber versuche mich anzumelden, erhalte ich an den neuen Maschinen die merkwürdige Meldung: _"Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist, und versuchen Sie es erneut."_
[...] auf den anderen Rechnern klappt die Anmeldung wie gewohnt.
Gruß, Alex
[1] in etwa so - https://wiki.fkn-systems.de/wiki/samba/win10_domain_enter#benoetigte_dateien... - seit Streichung von SMB1 its aber z.B. in der smb.conf das "server max protocol = NT1" raus.
Folgende Merkwürdigkeit möchte ich noch ergänzen: Am 31.12.2022 um 13:30 schrieb Alex Winzer:
Hallo Jens und danke für die Idee,
Am 30.12.2022 um 19:28 schrieb Jens Keizer:
häufigstes Problem in Windows Domänen ist der DNS-Dienst.
Hat der neue Client den richtigen DNS-Server eingetragen/per DHCP erhalten?
Das sieht alles *identisch* zu dem aus, was auf den alten Rechnern so angezeigt wird. Es hängen alle (Server und Clients) am selben DNS-Server: einer FritzBox.
[...]
Am Freitag, dem 30.12.2022 um 18:30 +0100 schrieb Alex Winzer:
Hallo,
ich habe ein Problem mit Samba 4.4.4 und Windows 10 v22H2. Samba ist als Domänen Controller eingerichtet und stellt Roaming Profiles zur Verfügung.
[...]
Wenn ich dann aber versuche mich anzumelden, erhalte ich an den neuen Maschinen die merkwürdige Meldung: _"Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist, und versuchen Sie es erneut."_
[...] auf den anderen Rechnern klappt die Anmeldung wie gewohnt.
Wenn ich in der smb.conf tatsächlich unter "[global]" den Eintrag "server max protocol = NT1" benutze, dann kann ich mich mit beiden neuen Rechnern mit dem Server verbinden. Dafür klappt es dann aber mit den "alten" nicht mehr. Denn die nutzen laut "smbstatus" nicht nur SMB "3_11", sondern auch eine zusätzliche Verschlüsselung. Mir fällt auf, dass offenbar jeder Rechner separate Ports für die Kommunikation zum SMB-Server benutzt (50054, 50269 vs. 49779, 56960). Das deaktivieren der Firewall brachte aber auch keine Änderung mit sich. <OOT> Da diese alten Rechner aber nach der kostenlosen Upgrade-Option alle mit einem frischen W10 versorgt wurden, muss das durch irgend eines der vielen Updates verändert worden sein. Das Dumme ist nur, dass selbst ein frisches W10 1704 sofort auf ein 22H2 geupgraded wird, die Zwischenschritte - und damit die Updates - entfallen und diese Funktion nicht integriert wird. Es mutet komisch an, dass ich nun das ganze Netz wieder auf SMB1 downgraden müssen soll. </OOT>
Hallo, Am Samstag, 31. Dezember 2022, 14:40:34 CET schrieb Alex Winzer: Snip
Wenn ich in der smb.conf tatsächlich unter "[global]" den Eintrag "server max protocol = NT1" benutze, dann kann ich mich mit beiden neuen Rechnern mit dem Server verbinden. SMB1 ist unsicher und wird von Win nicht mehr (offiziell) unterstützt.
Dafür klappt es dann aber mit den "alten" nicht mehr. Denn die nutzen laut "smbstatus" nicht nur SMB "3_11", sondern auch eine zusätzliche Verschlüsselung. Das deutet auf was anderes hin. Ich betreue einige ältere (25 Jahre alt) Werkzeugmaschinen, bei denen Win NT ud XP als Betriebssystem verwendet wird. Da ist SMB1 notwendig, weil die sonst keine Verbindung ins Firmennetz erhalten. Unsere Win-Server-Admins bekamen die Krise, als sie SMB1 freischalten mussten.
Snip
Es mutet komisch an, dass ich nun das ganze Netz wieder auf SMB1 downgraden müssen soll. Prüfe mal, ob diese "neuen" Rechner nicht vielleicht auf SMB1-only eingestellt sind. Wenn ja, stelle das mal um. Allerdings habe ich keine Ahnung, wie das im Detail gemacht werden muss, ich weiß nur was von einem Registryeintrag.
-- Mit freundlichen Grüßen Matthias Müller Diese Mail ist mit OpenPGP signiert! Zum überprüfen der Signatur, der Integrität und Authentizität meiner Mails kann man OpenPGP (https://www.openpgp.org/) installieren. Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Gesundes neues Jahr an alle!!! Das ist Rätsel ist nicht gelöst. Aber ich habe einen für mich funktionierenden Workaround gefunden, den ich (unten) mit der Nachwelt teilen möchte: Am 31.12.2022 um 15:00 schrieb Matthias Müller Posteo.de:
Hallo,
Am Samstag, 31. Dezember 2022, 14:40:34 CET schrieb Alex Winzer: Snip
Wenn ich in der smb.conf tatsächlich unter "[global]" den Eintrag "server max protocol = NT1" benutze, dann kann ich mich mit beiden neuen Rechnern mit dem Server verbinden. SMB1 ist unsicher und wird von Win nicht mehr (offiziell) unterstützt.
War/ist bekannt.
Dafür klappt es dann aber mit den "alten" nicht mehr. Denn die nutzen laut "smbstatus" nicht nur SMB "3_11", sondern auch eine zusätzliche Verschlüsselung. Das deutet auf was anderes hin. Ich betreue einige ältere (25 Jahre alt) Werkzeugmaschinen, bei denen Win NT ud XP als Betriebssystem verwendet wird. Da ist SMB1 notwendig, weil die sonst keine Verbindung ins Firmennetz erhalten. Unsere Win-Server-Admins bekamen die Krise, als sie SMB1 freischalten mussten.
Ja. Siehe unten.
Snip
Es mutet komisch an, dass ich nun das ganze Netz wieder auf SMB1 downgraden müssen soll. Prüfe mal, ob diese "neuen" Rechner nicht vielleicht auf SMB1-only eingestellt sind. Wenn ja, stelle das mal um. Allerdings habe ich keine Ahnung, wie das im Detail gemacht werden muss, ich weiß nur was von einem Registryeintrag.
Dieser Eintrag würde mich interessieren. Wenn er Dir mal über den Weg läuft, dann denke bitte an mich. Danke! "Lösung:" Ich hatte bereist festgestellt, dass die Anmeldung eines Benutzers immer dann funktioniert, wenn in der smb.conf unter "[global]" der Eintrag "server max protocol = NT1" gesetzt ist. Zu SMB1-only habe ich leider nichts verwertbares gefunden. Das wäre auch aus 2 Gründen paradox: die Anmeldung der Rechner am DC funktioniert auch mit Protokoll 3_11 und das reine Mapping von Laufwerken klappt ebenfalls. Interesse besteht totzdem. Beim Experimentieren fiel inzwischen auf, dass (auch) auf den älteren Installationen eine fehlerfreie Anmeldung nur mit den Benutzern möglich war, die dort regelmäßig arbeiten bzw. sich angemeldet hatten. Wenn ich mich an solchem Rechner anmelden wollte, an dem ich sonst nie arbeitete, klappte das nicht. Die fiel vermutlich deshalb bisher nicht auf, weil wir bis letztes Jahr wegen fehlender Gerätetreiber einen Win-XP Rechner und damit NT1 hatten - also dito hier :-) . Nach der Ausmusterung wurde sofort auf das sicherere Protokoll umgestellt. Aber es fiel kein anderer Rechner aus, der ersetzt werden musste. Niemand merkte etwas. Ich habe schlussendlich auf dem neuen Rechner nacheinander alles Benutzer einmal bei NT1 angemeldet. Anschließend habe ich den Eintrag mit dem veralteten und unsicheren Protokoll wieder entfernt. Und wer hätte das gedacht: die Anmeldung funktioniert wie gewohnt/gewollt mit 3_11. Auffällig ist, dass es in der Windows-10-Registry viele Spuren gibt. Die werte ich vielleicht mal bei Gelegenheit aus. Vielleicht aber auch nicht. In unserem Büro gibt es eine überschaubare Anzahl von Mitarbeitern. Da ist mein Leidensdruck gering, jetzt wo ich weiß, wie ich das Problem derzeit umschiffe.
participants (2)
-
Alex Winzer -
Matthias Müller Posteo.de