6
Samba Freigaben auf Windows nicht erreichbar
Hallo,
ich betreibe einen Ubuntu Server 21.10 mit Samba als DC mit einigen Clients.
Wenn ich mich an einem Windows Client mit dem Domain Admin anmelde und den DC über die Computerverwaltung remote verwalten will, erhalte ich die Meldung "Die Prozeduranzahl liegt außerhalb des erlaubten Bereichs(1745)". Trotzdem kann ich ihn im Anschluss bis auf die Sicherheitseinstellungen der Freigaben verwalten. Über den Explorer erreiche ich diese.
Außerdem können Windows Clients keine SMB Verbindungen herstellen.
rwxrwxrwx root:"Domain Users"
Freigaben sind nur für den Administrator ohne Einschränkungen einsehbar obwohl jeder Vollzugriff hat.
Hat jemand schonmal Erfahrungen damit gesammelt oder eine Idee wo es noch klemmen könnte?
Unabhängig davon:
Hier werden einige Workarounds genannt.
Inwiefern birgt die GPO ein Risiko im Bezug auf Angriffe?
Gruß
OpSec
ich betreibe einen Ubuntu Server 21.10 mit Samba als DC mit einigen Clients.
Wenn ich mich an einem Windows Client mit dem Domain Admin anmelde und den DC über die Computerverwaltung remote verwalten will, erhalte ich die Meldung "Die Prozeduranzahl liegt außerhalb des erlaubten Bereichs(1745)". Trotzdem kann ich ihn im Anschluss bis auf die Sicherheitseinstellungen der Freigaben verwalten. Über den Explorer erreiche ich diese.
Außerdem können Windows Clients keine SMB Verbindungen herstellen.
rwxrwxrwx root:"Domain Users"
[data]
path = /path/to/data
read only = no
browsable = yesHat jemand schonmal Erfahrungen damit gesammelt oder eine Idee wo es noch klemmen könnte?
Unabhängig davon:
Hier werden einige Workarounds genannt.
Inwiefern birgt die GPO ein Risiko im Bezug auf Angriffe?
Gruß
OpSec
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2203546120
Url: https://administrator.de/contentid/2203546120
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
An die SMB Version hast du gedacht ? Windows und MacOS supporten in den aktuellen OS Versionen nur noch SMB Ver. 2 und höher !
Das solltest du in deiner /etc/samba/smb.conf Datei entsprechend mit
server min protocol = SMB2
server max protocol = SMB3
einstellen um das zu erzwingen.
https://www.cyberciti.biz/faq/how-to-configure-samba-to-use-smbv2-and-di ...
Das solltest du in deiner /etc/samba/smb.conf Datei entsprechend mit
server min protocol = SMB2
server max protocol = SMB3
einstellen um das zu erzwingen.
https://www.cyberciti.biz/faq/how-to-configure-samba-to-use-smbv2-and-di ...
Hallo,
und Danke.
Gedacht ja, wurde ja auch in dem stackoverflow thread genannt. Erschließt sich mir allerdings nicht, da der Admin Vollzugriff hat und es daher ein Berechtigungsproblem zu sein scheint. Die Freigabe erlaubt Vollzugriff für jeden.
Gruß
OpSec
und Danke.
Gedacht ja, wurde ja auch in dem stackoverflow thread genannt. Erschließt sich mir allerdings nicht, da der Admin Vollzugriff hat und es daher ein Berechtigungsproblem zu sein scheint. Die Freigabe erlaubt Vollzugriff für jeden.
Gruß
OpSec
- Ist die Domäne neu eingerichtet und es wurde noch keine große Erfahrung damit gesammelt? Oder ist das Problem erst mit der Zeit aufgetreten und funktionierte erst nach einer Zeit nicht mehr?
- Was sagen die Samba-Logs auf DC Seite, und auf Filer-Seite?
- Mal mit Wireshark mit gesniffert?
- Welche genaue Fehlermeldung bekommt der User?
- ...
1
Zugriffsrechte haben doch nun rein gar nichts mit der SMB Protokollversion zu tun. Wenn dein SMB nur SMBv1 kann wird Winblows mit dem gar nicht erst kommunizieren. Zugriffsrechte hin oder her.
Hallo,
Also,
Freigaben auf einem Samba-DC ist schonmal nicht so schön aber machbar. Denke dran, das das Filesystem auch ACLs unterstützt. Wenn ich sowas umsetze, nehme ich immer eine NTFS-formatierte Partition, damit hatte ich bis jetzt keine Probleme. Und alles weitere natürlich im Wiki:
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory ...
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory ...
https://wiki.samba.org/index.php/Setting_up_a_Share_Using_Windows_ACLs
https://wiki.samba.org/index.php/Configuring_Winbindd_on_a_Samba_AD_DC
Vorallem solltest du keine weiteren Optionen ala "browseable" oder "read only"
Auch arbeitet ein Samba DC anders als normales Samba. Samba selber empfiehlt ja sogar, lieber eine VM mit nem Fileserver auf dem DC laufen zu lassen als direkt auf dem DC.
Bitte wirklich nach dem Wiki arbeiten. Hat mir sehr geholfen
VG
bitnarrator
Also,
Freigaben auf einem Samba-DC ist schonmal nicht so schön aber machbar. Denke dran, das das Filesystem auch ACLs unterstützt. Wenn ich sowas umsetze, nehme ich immer eine NTFS-formatierte Partition, damit hatte ich bis jetzt keine Probleme. Und alles weitere natürlich im Wiki:
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory ...
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory ...
https://wiki.samba.org/index.php/Setting_up_a_Share_Using_Windows_ACLs
https://wiki.samba.org/index.php/Configuring_Winbindd_on_a_Samba_AD_DC
Vorallem solltest du keine weiteren Optionen ala "browseable" oder "read only"
Auch arbeitet ein Samba DC anders als normales Samba. Samba selber empfiehlt ja sogar, lieber eine VM mit nem Fileserver auf dem DC laufen zu lassen als direkt auf dem DC.
Bitte wirklich nach dem Wiki arbeiten. Hat mir sehr geholfen
VG
bitnarrator
Hallo,
https://www.swapspace.de/2017/10/umlaute-verhindern-windows-login-via-sa ...
https://debianforum.de/forum/viewtopic.php?t=13675
Guß,
Peter
Zitat von @opsec2022:
erhalte ich die Meldung "Die Prozeduranzahl liegt außerhalb des erlaubten Bereichs(1745)".
Vielleicht hilft es ja? https://de.comp.os.unix.networking.samba.narkive.com/ur6tUjFP/alter-fehl ...erhalte ich die Meldung "Die Prozeduranzahl liegt außerhalb des erlaubten Bereichs(1745)".
https://www.swapspace.de/2017/10/umlaute-verhindern-windows-login-via-sa ...
https://debianforum.de/forum/viewtopic.php?t=13675
Guß,
Peter
