Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1308 views
  • Users 0 members are here
Options
Suggested

[7.075] AD joining does not work with changed security settings [CONFIRMED]

jasont
/var/log/fallback.log:"2007:11:12-19:30:18 (none) [user:err] net:   net_rpc_join_ok: failed to get schannel session key from server PENWEBDC.WEBDC.XYZ.GOV.UK for domain WEBDC. Error was NT_STATUS_ACCESS_DENIED"

DNS is fine, I had similar issues with 7.0.9 -> 11.  Computer account is created, but "half" joined.  Suspect this is related to post sp1 and may be something to do with the samba schannel options.  I have tried changing these settings manually and forcing a join through the shell, but no improvement.

This is a native mode post SP1 Windows 2003 Domain Controller.  I would have thought that the new join would be using ADS rather than RPC.

Jason
Parents
  • 0
    Hi Jason,

    we have sp2 on our test DC, and have no problem to join. Did you make changes to the security policies in the domain?
  • 0 in reply to tom_01
    Yes, I made a few changes from defaults, but only to attempt to get the Astaro to join, this was a brand new domain for testing Astaro functionality.

    Domain Controller: LDAP Signing required: -> None
    Domain Member: Digitally Encrypt or sign secure channel data -> Disabled
    Microsoft Network Server: Digitally Sign communications (always) -> Disabled
    Microsoft Network Server: Digitally Sign communications (if client agrees) -> Disabled
    Allow Anonymous SID/Name translation -> Enabled.
    Network Security: LAN Manager authentication level -> Send LM & NTLM - use NTLMv2 session security if negotiated.

    Is it possible for you to send me details of what non-default (ie. non defined) settings you have on your test domain controller.

    Also could you confirm that your SP2 is a brand NEW domain, created on an SP2 machine.

    If you need any more detailed information then please ask.  

    Thanks

    Jason
  • 0 in reply to jasont
    We reproduced this here and fixed it. Unfortunately we only have a german W23k here. 

    There is an option called

    "Anonymen Zugriff auf Named Pipes und Freigaben einschraenken"

    (Restrict anonymous access to named pipes and shares).

    It is NOT set by default. If we set it, we get the error you describe. That option comes with another option list that lists the pipes that allow anon access. You either need to unset the option above OR add "NETLOGON" to the allowed pipes list.

    Anyway, we now have fixed this in our code, so joining should work in any case with the next beta version.
Reply
  • 0 in reply to jasont
    We reproduced this here and fixed it. Unfortunately we only have a german W23k here. 

    There is an option called

    "Anonymen Zugriff auf Named Pipes und Freigaben einschraenken"

    (Restrict anonymous access to named pipes and shares).

    It is NOT set by default. If we set it, we get the error you describe. That option comes with another option list that lists the pipes that allow anon access. You either need to unset the option above OR add "NETLOGON" to the allowed pipes list.

    Anyway, we now have fixed this in our code, so joining should work in any case with the next beta version.
Children
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?