Hallo Zusammen,

ich habe seit einigen Monaten einen iMAC G5 den ich privat verwende und versuche nun diesen an meinem Arbeitsplatz in ein Windows Netzwerk einzubinden.


Auch nach Wälzen von 100ten Seiten aktueller Literatur ist es mir nicht gelungen mit meinen iMAC auf einen Windows Server 2003 mit ADS zuzugreifen.

Der Zugriff auf Win-Freigaben, die keine Authentifizierung verlangen ist problemlos. Sobald eine Authentifizierung verlang wird (was natürlich Standard ist), ist jedoch keine Zugriff möglich.

Die Integration in die ADS-Domäne an meinem Test-Server hat jedoch funktioniert. Nach dem Eintragen der ADS-Domäne in den „Verzeichnisdiensten“ des MAC OS wurde der iMAC in die ADS-Domäne Serverseitig aufgenommen (belegbar im ADS-Manager auf dem Server - dort wird sogar korrekt die Betriebssystemversion „MAC OS 10.4.6“ angezeigt)

Ferner kann ich im Finder alle Domänen im Hause finden und mir Server-Aliasse anzeigen lassen. Sobald ich jedoch über Finder/Server-Alias auf einen Server zugreifen will, bekomme ich die Meldung:

"Das Alias "Server" konnte nicht geöffnet werden, da das Original nicht gefunden wurde"

bzw. bei einem Verbindungsversuch über die Verzeichnisdienste (Server - Verbinden):

"Account oder Kennwort wurde nicht erkannt"
(wobei sowohl Account als auch Kennwort definitiv korrekt sind)

Interessant ist noch, dass nach der Serverseitig erfolgreichen Integration des MAC-Clients in die ADS-Domäne alle Server der anderen Domänen im Hause angezeigt werden, aber über den Finder ausgerechnet der Server der eigenen Domäne (also der eigene ADS-Controller) nicht mehr - auch nicht als "Alias" - angezeigt wird, was ich absolut nicht mehr nachvollziehen kann.

Die Situation ist also folgende:

- Netzwerkzugriffe sind _prinzipiell_ möglich
- Internet funktioniert einwandfrei
- Zugriff auf simple Windows-Freigaben (Win-Clients ohne Authentifizierung) funktioniert
- Alle Domänen im Hause werden korrekt im Finder angezeigt
- DNS-Services werden korrekt abgefragt
- DHCP-Zuweisung korrekt
- kein Zugriff auf Domänenserver (Win2003) mit Authentifizierung
- eigener ADS-Controller/Server wird im Finder nicht angezeigt

Hat irgendjemand eine Idee dazu? Ich weiß nicht mehr weiter. Das einzige was ich bislang zu dem Thema gefunden habe, ist, das Kollegen das gleiche Problem haben...
Die Literatur sagt aber, dass das alles ganz „easy“ sei und problemlos funktioniert.

Ich brauche dringend Hilfe
Vielen Dank im Voraus

Ändere mal folgenden Registry-Schlüssel:

HKLM\SYSTEM\CCS\Service\lanmanserver\parameters\RequireSecuritySignature" von 1 auf 0

Reboot der Servers

Danke für die schnellen Hilfeangebote!

zappa:
Das mit dem Registry-Schlüssel werde ich Morgen früh testen, da es nicht so gut ankommen würde, wenn ich den Server im laufenden Betrieb reebooten würde ... obwohl, es juckt mich ja in den Fingern

bvk
ADS bedeutet "ActiveDirectoryService" - ein Verzeichnisdienst für Domänen ab Windows 2000. Bei NT gab es das noch nicht (hat nichts mit SMB zu tun).

gitarrist

kann ich gut verstehen

als mein Kollege vor ein paar Wochen versehentlich den ganzen Systemraum stromlos machte, kam das auch nicht so gut an.

Unsere AS/400 brauchte über 'ne Stunde bis sie wieder normal lief.

zappa
Aua, hä ... hat der Kollege jetzt Zwangsurlaub?

Bei uns schaffen es die Sekretärinnen immer wieder regelmässig ganze Etagen Stromlos zu machen, indem sie ihre verkalken Kaffemaschinen am EDV-Netz betreiben. Sie versehen einfach nich, was das "EDV" auf der roten Steckdose bedeutet...

Heureka - es funktioniert!

Ich habe den folgende Registry-Key- wie mir empfohlen wurde - gesetzt und aufgrund eines weiteren Tipps auch in den GroupPolicies (des Win 2003 Servers) die erzwungene „Digitale Signierung“ und „Digitale Verschlüsselung des Datenkanals“ ausgeschaltet bzw. auf „optional“ gesetzt und nun funktioniert es.

Notwendiger Registry-Eintrag:
HKLM\SYSTEM\CCS\Service\lanmanserver\parameters\RequireSecuritySignature" von 1 auf 0

Volle ADS-Integration ist nun möglich. Authentifizierter Zugriff auf alle Freigaben ist möglich - ich bin ein Stück weit begeistert

Vielen Dank für Eure Hilfe!

gittariust

damit habe ich auch lang gekämpft, man kann hier jede Menge falsch machen!

Ein paar kleine Warnungen an alle:

Es ist vollkommen gerechtfertigt, dem WindowsServer die erzwungene Signatur abzugewöhnen, SMB-Clients (auch Linux!) haben damit immer Probleme. Auf Windowes-Seite ist mir keine negative Auswirkung bekannt, zumal das ja auch neu ist, ein Windows2000-Server kann garnicht signieren.

Mann sollte das allerdings nicht über die Registry lösen!

Dafür gibt es den GroupPolicy-Editor (Ausführen gpedit.msc)

Man kann genau diese bearbeiten (siehe Screenshot), aber hier ist äusserste Vorsicht gefragt! Schaltet um Gottes willen NIE(!!!) die Signatur bei den Client-Optionen auf aus (nach dem Motto wenn schon aus dann auch alle!) Dies bewirkt, dass sich ein Windows-Client, der einmal diese GP gezogen hat, nicht mehr an einem Windows-Server anmelden kann, der die Signatur aktiviert hat.

Also wirklich nur "MS-Netzwerk (Server) Kommunikation digital signieren : deaktiviert" bearbeiten und dann das ganze per Ausführen "gpupdate"

Wer seinen Win-Kollegen eine Freude machen will, bringt seinem OS X noch bei, keine (für Windows sichtbare!) Ordnerinformationen auf SMB-Freigaben abzulegen. Das geht per Terminal (ich vergesse aber den scheiß befehl immer ) oder aber mit Onyx bequem über die GUI, hier einfach einen HAken setzen

hier onyx

Apfelholgi
Ich muss mich noch mal selbst ergänzen (ich hatte das nämlich genau so falsch gemacht:-PO:-))

Selbst wenn ihr das wieder rückgängig macht (in der GP am Server) bringt es nichts, da der Client ja aufgrund nicht mehrt unterstützter Signatur am Server gar keine GPs mehr updaten kann!

Einziger Ausweg: SneakerLan...

Zu jedem Win-Arbeitsplatzz gehen und dort mittels gpedit.msc die lokalen Richtlineien wider so umbiegen, das der Clent wieder signieren will.

Wer das einmal falsch gemacht hat, der wiederholt den Fehler nicht mehr (devil)

Was ist ADS, ich greife auf Win Server mit SMB zu, und das funktioniert. Bei uns allerdings serverseitig mit Win NT. das Problem könnte von der Passwortverschlüsselung kommen, die mit der am Server nicht zusammenpasst, sodass im Ergebnis ein falsches weil beispielsweise garnicht verschlüsseltes Passwort ankommt. Damit wird der Account windowsseitig sofort gesperrt.