Zugriff von DOS, 9x oder Linux auf einen Windows 2003 / 2008 / 2008 R2 / 2012 Server.

Autor: Mark Heitbrink - vom 09.01.2013 - Kategorie(n): Anleitungen

Wer mit einem nicht 2000/XP/2003 Client auf einen Windows 2003/8/R2/12  Domänen Controller zugreifen will, wird auf folgenden Fehler laufen:

Zugriffsfehler 5: Zugriff verweigert (bei MS Systemen), bzw. „Access Denied“ bei *nix.
 
Grundsätzlich werden sich jetzt einige wundern, den die Konfiguration des Clients hat sich nicht geändert und bisher waren die Einstellungen auch immer richtig und haben bei jedem NT4 oder Windows 2000 Server wunderbar funktioniert. Der „Fehler“ liegt nicht am Client, sondern am Server ... manch einer wird mitbekommen haben, dass sich mit der Einführung des 2003 Servers, wie schon bei Windows XP, spätestens aber mit Server 2008, Microsoft verstärkt darum bemüht die Systeme in der Default Konfiguration (Einstellungen nach Setup) sicherer zu gestalten.
 
Microsoft geht seit dem Windows 2003 Server davon aus, das auch endlich die vorhandenen Clients aktualisiert wurden und die DOS/9x Systeme zur Vergangenheit gehören. Aus dieser Sichtweise heraus sind die bei einem 2003 DC getroffenen Einstellungen nur noch Windows 2000 aufwärts konform. Mit dieser Grundeinstellungen hat es jetzt die alten System und auch leider die Linux Systeme aus dem Netzwerk „gekickt“.
 
Natürlich ist diese Default Konfiguration zu ändern und man kann das System wieder auf einen Stand bringen, der es erlaubt, dass die oben genannten Systeme auch weiterhin mit einem 2003 Server kommunizieren können.
 
Die Änderung erfolgt direkt in der Default Domain Controllers Policy, oder der zuletzt auf dem DC angewendeten. Einige der Einstellungen sollten bisher noch auf "Nicht konfiguriert" stehen.
Digital signieren ist nicht der Hautpknackpunkt, aber eine mögliche Ursache.
Mehr zum Thema SMB Signing - Kommunikation digital signieren in diesem HowTo:
SMB Signing - Kommunikation digital signieren

Default Domain Controllers Policy\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Deaktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Deaktiviert
Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Deaktiviert
Netzwerksicherheit: LAN Manager-Authentifizierungsebene Nur NTLM Antworten senden

 
Wichtiger Hinweis von Norbert Remmel:
Nachdem man die Einstellung "Netzwerksicherheit: Keine LAN Manager-Hashwerte für die nächste Kennwortänderung speichern" auf "Deaktiviert" gesetzt hat, muß bei allen bereits bestehenden Usern das Kennwort einmalig zurückgesetzt werden, damit die Hash-Werte neu erzeugt werden.
Entfällt dieser Schritt, ist mit den bereits bestehenden Benutzerkonten trotz der Änderung der Gruppenrichtlinie keine Anmeldung von DOS und W9x Clients aus möglich.
 

Der Server versucht grundsätzlich seine Kommunikation mit jedem Endgerät digital zu signieren, ihm also auch einen Zeitstempel etc. mitzugeben, die seine Pakete verifizieren und für „Echtheit“ garantieren. DOS/9x/Linux können damit nichts anfangen. Jedenfalls nicht, wenn man diese Systeme nicht weiter konfiguriert. NT4 kann ab dem Service Pack 4 mit digital signierten Paketen umgehen. Bitte beachtet die grundsätzliche Problematik bei der Fehlkonfiguration des SMB Signings. (siehe HowTo Artikel) 
 
Wer seinen Server lieber unangetastet lassen möchte und den Aspekt der Sicheren Kommunikation in den Vordergrund stellt. Der sollte seine Clients auf einen entsprechenden Stand bringen, bzw. deren Konfiguration anpassen und ändern. Wobei hier gesagt werden muss, dass man einem DOS Rechner niemals dazu bringen wird mit SMB Signing umzugehen. Windows 98 stellt hier die minimalste Anforderung dar. Über "Scan-to-UNC" und andere Multifunktionsgeräte haben wir noch garnicht gesprochen ... :-) 
 
How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains
http://support.microsoft.com/kb/555038/en-us