ich habe Samba aus den Backports installiert. Der Grund ergab sich aus diesem Thread.
Nun habe ich einen Client(Firewall Zyxel) der seit dem Update nicht mehr der Domain beitreten kann.
Der Sambalog spuckt folgendes aus:
Code: Alles auswählen
CVE-2022-38023: client_account[GATEWAY$] computer_name[GATEWAY] schannel_type[2] client_negotiate_flags[0x600fffff] real_account[gateway$] NT_STATUS_DOWNGRADE_DETECTED reject_des[0] reject_md5[1]
[2023/01/06 07:11:11.185426, 0] ../../source4/rpc_server/netlogon/dcerpc_netlogon.c:286(dcesrv_netr_ServerAuthenticate3_check_downgrade)
CVE-2022-38023: Check if option 'server reject md5 schannel:gateway$ = no' might be needed for a legacy client.
[2023/01/06 07:11:11.185529, 2] ../../auth/auth_log.c:647(log_authentication_event_human_readable)
Auth: [NETLOGON,ServerAuthenticate] user [DEVSRV]\[GATEWAY$] at [Fri, 06 Jan 2023 07:11:11.185502 CET] with [HMAC-MD5] status [NT_STATUS_DOWNGRADE_DETECTED] workstation [(null)] remote host [ipv4:192.168.1.1:59135] mapped to [(null)]\[GATEWAY$]. local host [ipv4:192.168.1.225:445] NETLOGON computer [GATEWAY] trust account [gateway$]
In den Changelogs habe ich einen Hinweis zu diesem Workaround gefunden.
Leider verstehe ich den überhaupt nicht. Was soll man da tun?
Kann mir einer sagen, wie ich das zusammen bringe?
An den Hersteller bin ich auch schon heran getreten. So schnell gibt es dort keine neue Firmware. Aufgenommen habe Sie diesen Fall erst einmal.
Nur leider benötigt die Firewall die Domain um die Authentifizierung für das VPN bereit zu stellen. Deshalb würde ich den Würgaround erst einmal anwenden wollen.