Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1308 views
  • Users 0 members are here
Options
Suggested

[7.075] AD joining does not work with changed security settings [CONFIRMED]

jasont
/var/log/fallback.log:"2007:11:12-19:30:18 (none) [user:err] net:   net_rpc_join_ok: failed to get schannel session key from server PENWEBDC.WEBDC.XYZ.GOV.UK for domain WEBDC. Error was NT_STATUS_ACCESS_DENIED"

DNS is fine, I had similar issues with 7.0.9 -> 11.  Computer account is created, but "half" joined.  Suspect this is related to post sp1 and may be something to do with the samba schannel options.  I have tried changing these settings manually and forcing a join through the shell, but no improvement.

This is a native mode post SP1 Windows 2003 Domain Controller.  I would have thought that the new join would be using ADS rather than RPC.

Jason
Parents
  • 0
    Hi Jason,

    we have sp2 on our test DC, and have no problem to join. Did you make changes to the security policies in the domain?
  • 0 in reply to tom_01
    Yes, I made a few changes from defaults, but only to attempt to get the Astaro to join, this was a brand new domain for testing Astaro functionality.

    Domain Controller: LDAP Signing required: -> None
    Domain Member: Digitally Encrypt or sign secure channel data -> Disabled
    Microsoft Network Server: Digitally Sign communications (always) -> Disabled
    Microsoft Network Server: Digitally Sign communications (if client agrees) -> Disabled
    Allow Anonymous SID/Name translation -> Enabled.
    Network Security: LAN Manager authentication level -> Send LM & NTLM - use NTLMv2 session security if negotiated.

    Is it possible for you to send me details of what non-default (ie. non defined) settings you have on your test domain controller.

    Also could you confirm that your SP2 is a brand NEW domain, created on an SP2 machine.

    If you need any more detailed information then please ask.  

    Thanks

    Jason
Reply
  • 0 in reply to tom_01
    Yes, I made a few changes from defaults, but only to attempt to get the Astaro to join, this was a brand new domain for testing Astaro functionality.

    Domain Controller: LDAP Signing required: -> None
    Domain Member: Digitally Encrypt or sign secure channel data -> Disabled
    Microsoft Network Server: Digitally Sign communications (always) -> Disabled
    Microsoft Network Server: Digitally Sign communications (if client agrees) -> Disabled
    Allow Anonymous SID/Name translation -> Enabled.
    Network Security: LAN Manager authentication level -> Send LM & NTLM - use NTLMv2 session security if negotiated.

    Is it possible for you to send me details of what non-default (ie. non defined) settings you have on your test domain controller.

    Also could you confirm that your SP2 is a brand NEW domain, created on an SP2 machine.

    If you need any more detailed information then please ask.  

    Thanks

    Jason
Children
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?