opsec2022
Goto Top

Samba Freigaben auf Windows nicht erreichbar

Hallo,

ich betreibe einen Ubuntu Server 21.10 mit Samba als DC mit einigen Clients.
Wenn ich mich an einem Windows Client mit dem Domain Admin anmelde und den DC über die Computerverwaltung remote verwalten will, erhalte ich die Meldung "Die Prozeduranzahl liegt außerhalb des erlaubten Bereichs(1745)". Trotzdem kann ich ihn im Anschluss bis auf die Sicherheitseinstellungen der Freigaben verwalten. Über den Explorer erreiche ich diese.
Außerdem können Windows Clients keine SMB Verbindungen herstellen.
rwxrwxrwx root:"Domain Users"
[data]
path = /path/to/data
read only = no
browsable = yes
Freigaben sind nur für den Administrator ohne Einschränkungen einsehbar obwohl jeder Vollzugriff hat.
Hat jemand schonmal Erfahrungen damit gesammelt oder eine Idee wo es noch klemmen könnte?
Unabhängig davon:
Hier werden einige Workarounds genannt.
Inwiefern birgt die GPO ein Risiko im Bezug auf Angriffe?

Gruß

OpSec

Content-Key: 2203546120

Url: https://administrator.de/contentid/2203546120

Printed on: March 1, 2024 at 18:03 o'clock

Member: aqui
aqui Mar 18, 2022 updated at 08:24:59 (UTC)
Goto Top
An die SMB Version hast du gedacht ? Windows und MacOS supporten in den aktuellen OS Versionen nur noch SMB Ver. 2 und höher !
Das solltest du in deiner /etc/samba/smb.conf Datei entsprechend mit
server min protocol = SMB2
server max protocol = SMB3

einstellen um das zu erzwingen.
https://www.cyberciti.biz/faq/how-to-configure-samba-to-use-smbv2-and-di ...
Member: opsec2022
opsec2022 Mar 18, 2022 updated at 08:33:01 (UTC)
Goto Top
Hallo,
Zitat von @aqui:
An die SMB Version hast du gedacht ?
und Danke.
Gedacht ja, wurde ja auch in dem stackoverflow thread genannt. Erschließt sich mir allerdings nicht, da der Admin Vollzugriff hat und es daher ein Berechtigungsproblem zu sein scheint. Die Freigabe erlaubt Vollzugriff für jeden.

Gruß
OpSec
Mitglied: 1915348599
1915348599 Mar 18, 2022 updated at 09:03:38 (UTC)
Goto Top
  • Ist die Domäne neu eingerichtet und es wurde noch keine große Erfahrung damit gesammelt? Oder ist das Problem erst mit der Zeit aufgetreten und funktionierte erst nach einer Zeit nicht mehr?
  • Was sagen die Samba-Logs auf DC Seite, und auf Filer-Seite?
  • Mal mit Wireshark mit gesniffert?
  • Welche genaue Fehlermeldung bekommt der User?
  • ...
Fragen über Fragen bei der dürftigen Ausgangslage an Logs und Konfigurations-Postings ...
Member: aqui
aqui Mar 18, 2022 at 09:31:19 (UTC)
Goto Top
Zugriffsrechte haben doch nun rein gar nichts mit der SMB Protokollversion zu tun. Wenn dein SMB nur SMBv1 kann wird Winblows mit dem gar nicht erst kommunizieren. Zugriffsrechte hin oder her.
Member: bitnarrator
bitnarrator Mar 18, 2022 updated at 11:08:56 (UTC)
Goto Top
Hallo,

Also,

Freigaben auf einem Samba-DC ist schonmal nicht so schön aber machbar. Denke dran, das das Filesystem auch ACLs unterstützt. Wenn ich sowas umsetze, nehme ich immer eine NTFS-formatierte Partition, damit hatte ich bis jetzt keine Probleme. Und alles weitere natürlich im Wiki:

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory ...
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory ...
https://wiki.samba.org/index.php/Setting_up_a_Share_Using_Windows_ACLs
https://wiki.samba.org/index.php/Configuring_Winbindd_on_a_Samba_AD_DC

Vorallem solltest du keine weiteren Optionen ala "browseable" oder "read only"

Auch arbeitet ein Samba DC anders als normales Samba. Samba selber empfiehlt ja sogar, lieber eine VM mit nem Fileserver auf dem DC laufen zu lassen als direkt auf dem DC.

Bitte wirklich nach dem Wiki arbeiten. Hat mir sehr geholfen face-smile

VG
bitnarrator
Member: Pjordorf
Pjordorf Mar 18, 2022 at 15:23:59 (UTC)
Goto Top
Hallo,

Zitat von @opsec2022:
erhalte ich die Meldung "Die Prozeduranzahl liegt außerhalb des erlaubten Bereichs(1745)".
Vielleicht hilft es ja? https://de.comp.os.unix.networking.samba.narkive.com/ur6tUjFP/alter-fehl ...
https://www.swapspace.de/2017/10/umlaute-verhindern-windows-login-via-sa ...
https://debianforum.de/forum/viewtopic.php?t=13675

Guß,
Peter