Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SMBv1 deaktivieren führte zur Katastrophe, keine Domänenanmeldung mehr

Mitglied: Freak-On-Silicon

Freak-On-Silicon (Level 1) - Jetzt verbinden

12.12.2017, aktualisiert 11:20 Uhr, 1061 Aufrufe, 16 Kommentare, 4 Danke

Servus;

Habe Mist gebaut.

Umgebung:
Server 2012R2 Domäne
2x DC
~10 Memberserver (2012R2 und 2008R2)
~100 Windows 8 Clients
~10 Windows 7 Clients
~20 Windows 10 1703 Clients
Alle am aktuellsten November Patch Stand

Server alle virtuell auf 3x ESXi 6.0

Da derzeit alles so halbwegs lief, dachte ich mir ich sollte endlich mal mehr in die "Sicherheit" investieren.
Habe mehrmals gelesen man sollte SMBv1 deaktivieren.
Ist ja seit Vista bzw Server 2008 eigentlich nicht mehr in Benützung.
So alte Maschinen hab ich nicht mehr.

Hab dann nach dieser Anleitung https://www.gruppenrichtlinien.de/artikel/smbv1-netzwerkweit-deaktiviere ...
eine GPO gebaut, und natürlich vorher auf einem Server und Client getestet.
Es waren keine Probleme ersichtlich. Habe auch kontrolliert ob die GPO gegriffen bzw das SMBv1 deaktiviert ist.
Habs dann auf die komplette Domäne ausgerollt.

Tja, großer Fehler.
Nach und nach fingen die Maschinen beim Anmelden zu meckern dass der Netzwerkanmeldedienst nicht verfügbar sei.
Und die die sich anmelden konnten, konnten nicht auf den Fileserver zugreifen.

Nach ein paar Minuten bin ich dann auch draufgekommen... SMBv1 ist Schuld.

Die Clients konnten nicht mehr auf die Shares zugreifen, darunter auch die der DCs.
Egal ob Windows 8 oder 10. Lustigerweise funktionierts derzeit bei den Windows 7 NOCH.

Hab mir dann gach eine bat erstellt mit:
01.
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
02.
sc.exe config mrxsmb10 start= auto
Mit der geh ich von Client zu Client und führe sie als lokaler Admin aus.

Wie konnte das passieren, was hab ich übersehen?
Warum greifen die Clients nicht per SMBv2 oder 3 zu?
Hab nach etwas Google Recherche mehrere Leute gefunden mit dem gleichen Problem,
nur ist es bei denen schon beim Testen aufgefallen.

Bitte erspart euch jedwede Beleidigung, bin schon gestraft genug...

PS: Interessant ist vielleicht noch dass ab Windows 10 1709 SMBv1 nicht installiert ist.
Mitglied: chgorges
12.12.2017, aktualisiert um 11:52 Uhr
Zitat von Freak-On-Silicon:

Servus;
Hi,
Habe Mist gebaut.

Umgebung:
Server 2012R2 Domäne
2x DC
~10 Memberserver (2012R2 und 2008R2)
~100 Windows 8 Clients
~10 Windows 7 Clients
~20 Windows 10 1703 Clients
Alle am aktuellsten November Patch Stand
Soweit so gut
Server alle virtuell auf 3x ESXi 6.0
Ok
Da derzeit alles so halbwegs lief, dachte ich mir ich sollte endlich mal mehr in die "Sicherheit" investieren.
Halbwegs reicht nicht ;)
Habe mehrmals gelesen man sollte SMBv1 deaktivieren.
Sollte man, ja.
Ist ja seit Vista bzw Server 2008 eigentlich nicht mehr in Benützung.
Das ist falsch, wie du am eigenen Leib erfahren hast.
So alte Maschinen hab ich nicht mehr.
Irrelevant. Du hast mindestens ein paar Durcker oder Kopiergeräte, die ScanToSMB machen. Und rate mal welche SMB-Version die benutzen
Auf der Seite ist leider nichtmal zu 50% erklärt, was man alles beachten muss
eine GPO gebaut, und natürlich vorher auf einem Server und Client getestet.
Es waren keine Probleme ersichtlich. Habe auch kontrolliert ob die GPO gegriffen bzw das SMBv1 deaktiviert ist.
Inkl. Prüfung, ob SMBv2 und v3 korrekt funktionstüchtig sind, um SMBv1 auch ablösen zu können?
Habs dann auf die komplette Domäne ausgerollt.
Zwischenschritte wären gut gewesen :/

Tja, großer Fehler.
Nach und nach fingen die Maschinen beim Anmelden zu meckern dass der Netzwerkanmeldedienst nicht verfügbar sei.
Und die die sich anmelden konnten, konnten nicht auf den Fileserver zugreifen.

Nach ein paar Minuten bin ich dann auch draufgekommen... SMBv1 ist Schuld.

Die Clients konnten nicht mehr auf die Shares zugreifen, darunter auch die der DCs.
Egal ob Windows 8 oder 10. Lustigerweise funktionierts derzeit bei den Windows 7 NOCH.
Also scheint SMBv2 zu laufen, v3 aber nicht, worüber 8 und 10 kommunizieren wollen.
Hab mir dann gach eine bat erstellt mit:
01.
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
02.
> sc.exe config mrxsmb10 start= auto
Mit der geh ich von Client zu Client und führe sie als lokaler Admin aus.
Computerstartskript per GPO verteilen.
Wie konnte das passieren, was hab ich übersehen?
Wie oben erwähnt, Vorabcheck, ob v2 und v3 richtig laufen.
Bitte erspart euch jedwede Beleidigung, bin schon gestraft genug...
Hab mich bemüht
PS: Interessant ist vielleicht noch dass ab Windows 10 1709 SMBv1 nicht installiert ist.
Nicht ganz richtig, die ersten 15 oder 30 Tage ist es aktiv und deaktiviert sich dann.

Das Microsoft-Tutorial eignet sich hierfür eigentlich hervorragend https://support.microsoft.com/de-de/help/2696547/how-to-detect-enable-an ...
Bitte warten ..
Mitglied: DerWoWusste
12.12.2017, aktualisiert um 11:54 Uhr
Hi.

Dein Problem: die Anbhängigkeit des Anmeldedienstes scheint bestehen geblieben zu sein. Das musst Du überprüfen, denn wenn der Anmeldedienst nicht läuft, ist eine Domänenanmeldung nicht möglich. Also zurück hzur Testumgebung.
@chgorges
Computerstartskript per GPO verteilen.
Nicht möglich, da der Anmeldedienst nicht läuft.
Bitte warten ..
Mitglied: Freak-On-Silicon
12.12.2017 um 12:25 Uhr
Ich hab eben wirklich keine Geräte mehr die SMBv1 benutzen.

Ich hab zumindest getestet ob SMB allgemein noch funktioniert.
Zugriff auf verschiedenste Shares, und auch Domänenanmeldung, alle "Testgeräte" (alle virtuell) wurden auch mehrmals neugestartet.

Ja, Zwischenschritte wären wirklich ratsam gewesen^^

Da is nix mit GPO, ohne Zugriff auf die DCs

Das mit 1709 ist interessant.

Dieses Microsoft Tutorial hab ich mehrmals durch, in englisch wie auch in deutsch.
Von da hab ich auch meine bat abgeleitet.

Danke mal
Bitte warten ..
Mitglied: Freak-On-Silicon
12.12.2017, aktualisiert um 12:28 Uhr
Ja das ist es ja, in der Testumgebung läuft alles.

SMBv1 ist dort definitv deaktiviert, und die Clients können sich anmelden.

Irgendwas bewegt anscheinend meine Produktiv DCs (bzw auch zumindest den Fileserver) dazu SMBv1 zu verwenden.

Jetzt ist nur mehr die Frage, was

Derweil lauf ich von einem PC zum anderen und führe das Skript aus.
Bisl Sport schadet eh nicht ^^

Leider hatte ich noch immer keine Zeit mich mit Wireshark genauer zu beschäftigen, denn da könnt ich ja schaun wer SMBv1 benutzt.
Bitte warten ..
Mitglied: DerWoWusste
12.12.2017 um 12:52 Uhr
Irgendwas bewegt anscheinend meine Produktiv DCs (bzw auch zumindest den Fileserver) dazu SMBv1 zu verwenden.
Wie kommst Du nur darauf... das hat einzig und allein mit dem Anmeldedienst zu tun.
Bitte warten ..
Mitglied: Freak-On-Silicon
12.12.2017 um 12:59 Uhr
Na weil ich ja sonst auf die zugreifen könnte?

Ich musste auch beim Fileserver bzw bei beiden DCs SMBv1 wieder aktivieren und dann natürlich neustarten.
Dass die Shares wieder funktionierten.

Deswegen dachte ich mir dass die DCs für zb SYSVOL und NETLOGON SMBv1 benutzen.
Bitte warten ..
Mitglied: DerWoWusste
12.12.2017 um 13:12 Uhr
Das Anmelden hat nichts und gar nichts mit SMB zu tun. Der Zugriff auf Sysvol (GPOs), ja, dafür brauchst Du SMB.
Dein Link Gruppenrichtlinien.de spricht doch eine Warnung aus bezüglich des Anmeldedienstes. Das musst Du prüfen. Wenn der jetzt nicht läuft, dann weißt Du, woran es liegt. Mit Sicherheit nicht an SMBv1.
Bitte warten ..
Mitglied: Freak-On-Silicon
12.12.2017, aktualisiert um 14:30 Uhr
Naja, ich führe

01.
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
02.
sc.exe config mrxsmb10 start= auto
aus und dann gehts wieder alles.

Ich hab wie bei Gruppenrichtlinien.de beschrieben extra eben auf den Anmeldedienst geachtet.
Aber das werde ich mir nochmal bei den betroffenen Geräten näher anschauen.
Bitte warten ..
Mitglied: DerWoWusste
12.12.2017 um 15:31 Uhr
Auch das hat rein gar nichts mit der Anmeldung zu tun.
Bitte warten ..
Mitglied: Freak-On-Silicon
13.12.2017 um 08:57 Uhr
Ok, habs schon verstanden.
Wieso funktioniert die Anmeldung nach diesen Befehlen dann?
Bitte warten ..
Mitglied: Freak-On-Silicon
13.12.2017 um 09:07 Uhr
Glaub nicht, da es bei 7, 8 und 10 vorkommt.
Bitte warten ..
Mitglied: DerWoWusste
13.12.2017 um 09:09 Uhr
Sag mal, was ist denn nun so schwer daran, zu prüfen, ob bei einem der Rechner der Anmeldedienst läuft oder nicht?
Dein Befehl stellt die Abhängigkeiten der Dienste wieder her und deshalb startet er wieder.
Bitte warten ..
Mitglied: Freak-On-Silicon
13.12.2017 um 09:59 Uhr
Weil ich erst morgen wieder dort bin.
Da werde ich das gleich prüfen.
Bitte warten ..
Mitglied: Freak-On-Silicon
14.12.2017, aktualisiert um 11:54 Uhr
Also der Anmeldedienst ist wie zu erwarten NICHT gestartet.
Allerdings steht er auf "Automatisch".

Wurscht, ich werde das im Frühjahr nochmal genauer durchtesten, und gegebenenfalls hier berichten.
Hab keine Zeit mehr für den Schaß.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 14.12.2017 um 11:58 Uhr
"Allerdings steht er auf "Automatisch" - es_geht_um_die_Abhängigkeiten.
Wenn der Dienst von SMBv1 abhängig ist und Du smbv1 tötest, ja, dann startet er nicht, auch wenn er auf automatisch steht.
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
Ransomware ?Deaktivierung SMBv1?
Frage von padimonuNetzwerkprotokolle6 Kommentare

Hallo Zusammen, sehr aktuelles Thema :-) Im Internet liest man, das SMB Protokoll v1 zu deaktivieren. Was haltet ihr ...

Netzwerkprotokolle
SMBv1 Windows 10
gelöst Frage von leon123Netzwerkprotokolle7 Kommentare

Hallo zusammen, hat sich bei Windows 10 etwas an den SMB Protokollen geändert bzw. ist hier das SMBv1 nicht ...

Windows 10

SMBv1 unter Windows 10 Version 1709 wieder aktivieren - per GPO - Wie?

Frage von ribrobWindows 104 Kommentare

Hallo Community, ich habe noch ein paar Storage-Geräte im Netzwerk, die noch das SMBv1-Protokoll verwenden. Also muss ich das ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 12 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...