[teilweise gelöst] Samba DC Forest Trust zu Windows AD - falscher function level

[joe2017]

Schönen guten Morgen zusammen,

ich versuche gerade einen Forest Trust zwischen meinem Debian Samba DC und Windows DC herzustellen. Von Windows aus, wird der Trust bestätigt. Von meinem Debian Samba Server nicht. Das Problem wird der Funktion Level sein.

Windows AD
Forest Funktional Level: Windows Server 2012 R2

Debian Samba AD
Forest Funktional Level: Windows Server 2008 R2

Jetzt habe ich versucht mein Domain und Funktional Level an meinem Samba zu erhöhen.

Code: Alles auswählen

samba-tool domain level raise --domain-level=2012_R2
ERROR: Domain funktion level can´t be higher than the lowest funktion level of a DC!

Meinen Windows Server möchte ich nun ungerne herabstufen. Wie bekomme ich den Samba Server auf 2012_R2?

Ich habe gelesen, dass ab der Version 4.11 der Function Level standardmäßig auf 2012_R2 eingestellt ist. Eine Installation von Samba 4.11.7 schlägt leider fehl:

Code: Alles auswählen

sudo wget https://download.samba.org/pub/samba/samba-samba-4.11.7.tar.gz
sudo tar -zxvf samba-samba-4.11.7.tar.gz
cd samba-4.11.7
sudo ./configure

[joe2017]

Ich habe jetzt die beiden Samba Versionen 4.11.7 und 4.12 getestet. Leider ist auch bei diesen Versionen der functional level nur auf 2008 R2.

Code: Alles auswählen

sudo apt update 
sudo apt install -y gnupg2

wget -qO - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | sudo apt-key add -

sudo echo "# AptVanBelle repo for samba." | sudo tee /etc/apt/sources.list.d/van-belle.list
sudo echo "deb http://apt.van-belle.nl/debian buster-samba411 main contrib non-free" | sudo tee -a /etc/apt/sources.list.d/van-belle.list
ODER
sudo echo "deb http://apt.van-belle.nl/debian buster-samba412 main contrib non-free" | sudo tee -a /etc/apt/sources.list.d/van-belle.list

sudo apt install samba krb5-config winbind smbclient

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.1st
sudo samba-tool domain provision
sudo samba-tool domain level show

Hat jemand eine Idee wie ich das anpassen könnte.

[habakug]

Hallo,

Ich habe gelesen, dass ab der Version 4.11 der Function Level standardmäßig auf 2012_R2 eingestellt ist.

Wo hast du das gelesen?
Ich lese hier [1]:

* Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.

Gruss, habakug

[1] https://wiki.samba.org/index.php/Raisin ... nal_Levels

[joe2017]

Das habe ich auf einer Samba Website gelesen. Leider finde ich den Link nicht mehr.

Ich habe es jetzt aufgegeben. Ich habe mein Windows DC auf 2008R2 Domain/Forest Functional Level eingestellt.
Wenn ich den Trust aufbaue, erhalte ich auf meiner Debian Seite eine Fehlermeldung.
Mein Windows AD hat den Trust Validate erfolgreich durchgeführt.
Wenn ich die Validierung auf dem Debian Samba starte erhalte ich die folgende Meldung:

Code: Alles auswählen

Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisastion verbunden ist...

Oder auch so:
sudo samba-tool domain trust validate domain.net

Code: Alles auswählen

ERROR: LocalValidation: DC[\\DCServerName.domain.net] CONNECTION[WERR_NO_LOGON_SERVERS] TRUST[WERR_NO_LOGON_SERVERS] VERIFY_STATUS_RETURNED

Meine DNS Auflösung funktioniert von beiden Seiten.
Ich kann jeweils die IPs, die Domains, und die DC-Namen anpingen.

Hat von euch mal jemand ein Forest Trust zwischen Windows AD-DC und Debian Samba DC aufgebaut?
Gibt es hierbei noch etwas zu beachten was ich vielleicht vergessen habe?

[joe2017]

Ich habe jetzt noch mal einen cleanen Windows Server 2016 (DC mit functional level 2008 R2) und einen Debian Samba DC installiert.
Ich habe auf beiden seiten ein DNS Forwarding eingerichtet und das funktioniert auch alles. Jedoch wird mein Forest Trust nicht validiert.

Hat von euch schon jemand einen Forest Trust zwischen Windows DC und Debian Samba DC hergestellt. Muss man hier noch etwas zusätzlich beachten?

[joe2017]

Hallo zusammen,

nach einer Woche Recherche und prüfen der Microsoft GPO´s habe ich herausgefunden weshalb mein Trust nicht eigerichtet wurde.
Folgende GPO´s wurden in der Windows Domain gesetzt:

Network security: Minimum session security for NTLM SSP based server

Code: Alles auswählen

Require NTLMv2 session security

Jetzt stellt sich mir die Frage weshalb sich der Samba (Version 4.9.5-Debian) DC nicht mit NTLMv2 meldet.
Muss dies separat konfiguriert werden?

Das interessante dabei ist, dass die Microsoft GPO Network security: LAN Manager authentication level auf folgendem Wert konfiguriert ist:

Code: Alles auswählen

Send NTLMv2 response only. Refuse LM & NTLM

Somit kann der Samba DC wohl mit der NTLMv2 Antwort umgehen, sendet aber anscheinend nur NTLM nicht NTLMv2. Kann ich dies irgendwie prüfen?

Folgende Einstellungen habe ich bereits in der smb.conf getestet:

Code: Alles auswählen

lm announce = no
lanman auth = no
ntlm auth = yes
ntlm auth = ntlmv2-only
client lanman auth = no
client plaintext auth = no
client ntlmv2 auth = yes