gruppenrichtlinien.de/index.ht…n_Windows_2003_Server.htm
Wer mit einem nicht 2000/XP/2003 Client auf einen Windows 2003 Domänen Controller zugreifen will, wird auf folgenden Fehler laufen:
Zugriffsfehler 5: Zugriff verweigert (bei MS Systemen), bzw. „Access Denied“ bei *nix.
Grundsätzlich werden sich jetzt einige wundern, den die Konfiguration des Clients hat sich nicht geändert und bisher waren die Einstellungen auch immer richtig und haben bei jedem NT4 oder Windows 2000 Server wunderbar funktioniert. Der „Fehler“ liegt nicht am Client, sondern am Server ... manch einer wird mitbekommen haben, dass sich mit der Einführung des 2003 Servers, wie schon bei Windows XP, Microsoft verstärkt darum bemüht die Systeme in der Default Konfiguration (Einstellungen nach Setup) sicherer zu gestalten.
Microsoft geht mit dem Windows 2003 Server davon aus, das auch endlich die vorhandenen Clients aktualisiert wurden und die DOS/9x Systeme zur Vergangenheit gehören. Aus dieser Sichtweise heraus sind die bei einem 2003 DC getroffenen Einstellungen nur noch Windows 2000/XP/2003 konform. Mit dieser Grundeinstellungen hat es jetzt die alten System und auch leider die Linux Systeme aus dem Netzwerk „gekickt“.
Natürlich ist diese Default Konfiguration zu ändern und man kann das System wieder auf einen Stand bringen, der es erlaubt, dass die oben genannten Systeme auch weiterhin mit einem 2003 Server kommunizieren können.
Die Änderung erfolgt direkt in der Default Domain Controllers Policy: (Einige der Einstellungen sollten bisher noch auf "Nicht konfiguriert" stehen.)
Default Domain Controllers Policy\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Microsoft-Netzwerk (Client):
Kommunikation digital signieren (immer) Aktiviert
Microsoft-Netzwerk (Client):
Kommunikation digital signieren (wenn Server zustimmt) Aktiviert
Microsoft-Netzwerk (Client):
Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden Deaktiviert
Microsoft-Netzwerk (Server):
Kommunikation digital signieren (immer) Deaktiviert
Microsoft-Netzwerk (Server):
Kommunikation digital signieren (wenn Client zustimmt) Aktiviert
Netzwerksicherheit:
Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Deaktiviert
Netzwerksicherheit:
LAN Manager-Authentifizierungsebene Nur NTLM Antworten senden
Microsoft-Netzwerk (Server):
Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Aktiviert
Letztlich scheitert die Anmeldung, bzw. der Zugriff auf den 2003 Server an der rot markierten Richtlinie. Der Server versucht grundsätzlich seine Kommunikation mit jedem Endgerät digital zu signieren, ihm also auch einen Zeitstempel etc. mitzugeben, die seine Pakete verifizieren und für „Echtheit“ garantieren. DOS/9x/Linux können damit nichts anfangen. Jedenfalls nicht, wenn man diese Systeme nicht weiter konfiguriert. NT4 kann ab dem Service Pack 4 mit digital signierten Paketen umgehen.
Wer seinen Server lieber unangetastet lassen möchte und den Aspekt der Sicheren Kommunikation in den Vordergrund stellt. Der sollte seine Clients auf einen entsprechenden Stand bringen, bzw. deren Konfiguration anpassen und ändern. Wobei hier gesagt werden muss, dass man einem DOS Rechner niemals dazu bringen wird mit SMB Signing umzugehen. Windows 98 stellt hier die minimalste Anforderung dar.
„How to Enable SMB Signing in Windows 98“
support.microsoft.com/default.aspx?scid=230545
Für die Linux Gemeinde:
us1.samba.org/samba/Linux_CIFS_client.html
(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright
"It is possible to commit no mistakes and still lose. That is not a weakness. That is life." - Captain Jean-Luc Picard