Problem: Jaguar und Windows 2003 Server

[Wrecker]

Hallo Leute,

Wir hatten jetzt seit einer Woche unseren Netzwerksupport in der Firma rumrennen. Nachdem die alles auf den Kopf gestellt haben, um uns einen neuen, sicheren und schnelleren Server aufzubauen ging erstmal garnix mehr. Jetzt, nach nur (!!!) einer Woche scheint alles wieder fast wie vorher zu laufen. Nur, daß der Server viel langsamer als vorher ist ;-) Ich habe noch nie so viele Flüche über Win gehört wie über Windoof Server 2003 in dieser Woche. Aber jetzt kommts, denn ein Problem ist noch geblieben:

Der Mac (G5 1,8 GHz, OS 10.2 Jaguar, alle Updates von Apple) bekommt keinen Zugriff mehr auf den Server. Vorher hatten wir einen Win 2000-Server und als der Mac geliefert wurde ging alles ohne Probleme, Andocken und glücklich sein. Auf meinem PC am Arbeitsplatz läuft XP Professional, und jetzt muß ich die Daten erst vom Mac auf den PC und von da auf den Server schieben. Das soll kein Dauerzustand sein!! Wenn ich "mit Server verbinden" im Finder wähle kann ich weiterhin das ganze Netzwerk und den Server sehen. Wenn ich allerdings den Server anwähle bekomme ich nur "Fehler 5000" gemeldet. Die Jungs vom Support sind ratlos und können nur vermuten, daß es an irgendeiner Rechtevergabe am Server liegen kann. Haben sogar AppleTalk installiert, obwohl ich sagte, daß der Mac das nichtmehr braucht. Bei Microsoft war auch nix zu dem Thema zu finden. Hat jemand von Euch nen Tip für die Jungs, damit ich wieder normal arbeiten kann?

Andererseits bin ich ja froh die einzige Mac-Insel in der Firma zu haben, so konnte ich als einziger in der letzten Woche arbeiten, während alle Dosen komplett lahmgelegt waren

 

[maceis]

hallo Wrecker,

kann das evtl. daran liegen, dass dein rechner in der WIN 2003 Domain nicht in Active Directory angelegt ist ?
(Frag mich jetzt bitte nicht, wie man das genau macht, aber soweit ich weiss ist das unbedingt erforderlich)

Ein weiterer "Ort" zur Fehlersuche, wäre die Überprüfung der Einstellungen im Dienstprogramm "Verzeichnisdienste".

 

[Wrecker]

Möglich ist alles, obwohl ich mal vermute, daß die daran gedacht haben. Aber ich bin für alle Vorschläge dankbar und werde sie an unsere Techniker weiterleiten. Die haben nur überhaupt keine Ahnung vom Mac und was der braucht. Hatten schon mit den Freigaben für unsere Win-Rechner zu kämpfen. Dafür habe ich wenigstens meinen Spaß, wenn die neidvoll auf das 20" Cinema Display schauen. Ich will nur nicht mehr neidisch auf die Dosen schauen müssen weil die auf den Server kommen und ich nicht.

Hat denn vielleicht jemand ne Ahnung was dieser "Fehler 5000" bedeuten kann?

Immer her mit allen Tips, auch wenns noch so lächerlich scheinende Vermutungen sind.

 

[emjaywap]

nachdem ich w2003 selbst bei mir zuhause habe und der gleiche fehler auftritt habe ich etwas rumgeforscht:

I think I found out what to do here. I've tried it from linux but not the apple so far but I'm sure it'll work. I will be able to check it next week.

Seems like you need to make a registry change on the Windows 2003 box. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters

The value of RequireSecuritySignature needs to be changed from '1' to '0'.

One note: If this is a domain controller, you will need to set it with the 'Domain Controller Security Policy' editor under the 'Administrative Tools' Menu. Otherwise it'll be reset nightly.

You need to go to 'Security Settings', 'Local Policies', 'Security Options'. You then need to set the 'Microsoft network server: Digitally sign communications' to disabled. It is enabled by default.

ich weiss nicht, ob es funktiniert, aber ich werde es nun mal ausprobieren

 

[Wrecker]

Danke, das klingt schonmal nach einer möglichen Lösung. Warum muß Windoof auch immer komplizierter werden?

Habe zur Zeit Urlaub. Werde es aber nächste Woche von unserem Dienstleister testen lassen. Dann wollen die auch unseren Mac-Händler mal nach Rat fragen. Vielleicht hat der ja schon Erfahrungen diesbezüglich gemacht.

 

[emjaywap]

ich habe gestern noch nachgefragt, bei Linux scheint der selbe Fehler aufzutreten. Ein Kursleiter meinte, er konnte das beheben, indem er unter Linux die aktuellste Samba-Version installierte. Die Ursache des Problems liegt darin, dass bei W2003 die Passwörter anders verschlüsselt werden als bei der Vorgängerversion. Durch den Registry-Key, den ich oben zitiert habe, wird diese Verschlüsselung deaktiviert - und das Passwort in Klartext übertragen.

 

[abgemeldeter Benutzer]

Original geschrieben von emjaywap
Die Ursache des Problems liegt darin, dass bei W2003 die Passwörter anders verschlüsselt werden als bei der Vorgängerversion.

Und das hat einen einfachen Grund: FUD. Microsoft möchte, dass Linux inkompatibel wird, damit die Leute sagen: Linux funktioniert ja nicht richtig, wir benutzen lieber Windows Clients.

 

[Wrecker]

Danke emjaywap,

genau das war der richtige Lösungsansatz. Laut unserem Service gibt es sogar als Notlösung ein Tool für Mac das die Passwörter so verschlüsselt, wie es Win 2003 erwartet. Das war in unserem Fall nun aber nicht nötig, da man Win 2003, wie von Dir beschrieben überreden kann auch unverschlüsselte Passwörter zu akzeptieren.

Nochmals Danke für die Hilfe. Und vor allem toll, daß Macianer auch Dosenprofis noch helfen können ;-)

 

[maceis]

hallo zusammen,

danke für diesen qualitativ hochwertigen Thread.
So macht macuser.de Spass - und ich hab wieder was gelernt

.(*>...freu.
.//\
V_/___

 

[moppi99]

Hallo,

kurze Anmerkung von mir dazu.
Das "Problem" mit den verschlüsselten Kennwörtern ist seit Jahren bekannt.
Selbst der Hersteller der Serversoftware gibt in seiner FAQ Base eine Anleitung
dafür bekannt.

 

[maceis]

hallo moppi99

so nach und nach dämmert da auch was bei mir -

ist das die sache mit dem ms-chap oder wie das heisst ?
gibts v1 und v2 soweit ich mich erinnern kann.

Interessant wäre die Möglichkeit statt unverschlüsselt wenigstens eine Verschlüsselung zu verwenden, die auf Standards aufbaut zb CHAP.

 

[moppi99]

Hallo,

nein, MS-Chap kann bei einer DFü Verbindung genutzt z.B. Einwahl mit einem Modem
beim Internetprovider.Ist auch eine Art Verschlüsselung.

Bei Windows Servern(NT-2003) läuft das ähnlich ab.
Nehmen wir an du möchtest dich an einem Windows Server identifizieren.
Da haste ja nen Benutzernamen und ein Kennwort.
Wenn du dich nun anmelden möchtest wird dein Benutzername und dein Kennwort
übertragen, in verschlüsselter Form.
Nun mit dieser Verschlüsselung haben Unix Betriebsysteme fast immer ein Problem.
Sie kennen diese Verschlüsselungsart meist nicht.Dies lässt sich über Tools oder ein
Softwareupdate meist in Ordnung bringen.
Unix OS benutzen meist die Software SAMBA.Diese "emuliert" einen Windows Server/Client.
Das sollten aber die Administratoren wissen! Das ist deren Job!
Wenn die Admins nur wenig Ahnung haben wird diese Verschlüsselung halt abgeschaltet.
Der Benutzername und Kennwort wird dann im Klartext übertragen.
Jeder der mit einigen speziellen Tools umgehen kann, hat die Möglichkeit dann deinen
Benutzernamen und dein Kennwort zu bekommen.

So ich hab das mal versucht mit einfachen Worten zu erklären.

 

[maceis]

hallo moppi99

danke für die Info.

Die "speziellen Tools" und der Umgang damit ist mir geläufig, daher auch meine Frage, wie man dennoch eine verschlüsselte Authentifizierung erreichen kann.
Denn sind wir uns doch mal ehrlich: Alles andere ist Pfusch.
Einerseits Einsatz vom WinServer 2003, andererseits unverschlüsselte Übertragung von Kennwörtern ---> *aua*

Nun mit dieser Verschlüsselung haben Unix Betriebsysteme fast immer ein Problem.
Sie kennen diese Verschlüsselungsart meist nicht.Dies lässt sich über Tools oder ein
Softwareupdate meist in Ordnung bringen.

Da hätte ich jetzt noch einige Fragen:
- Weisst Du, wie die Verschlüsselungstechnik heisst ?
- Welche Tools oder Updates könnte man da anwenden?
Muss das server- oder clientseitig passieren?
Ich vermute mal im ersten Fall beim Client im zweiten beim Server.

---

Da du Dich in der Materie offensichtlich gut auskennst noch eine Frage am Rande:
Ist die aktuelle SAMBA-Software in der Lage einen PDC zu emulieren und ActiveDirectory zu halten (oder einen Verzeichnisdienst, der das Selbe leisten kann)?

 

[moppi99]

Hallo maceis,

die Anpassung sollte nur auf dem Client erfolgen.
Normalerweise ändert man den Server nicht.Teilweise hängt das aber auch davon ab wieviele Clients geändert werden müssen.

Zur Verschlüsselungstechnik die Microsoft dort anwendet kann ich
dir im Moment nichts sagen.

Meines wissens könnte die Identifizierung von OS 10.3 Clients am
Windows 2003 Server funktionieren.
Ich hab es noch nicht getestet.

Im Moment ist es möglich einen PDC mit SAMBA 2.2.x zu "emulieren".
Aber auch nur die wichtigesten Funktionen.Aber es funktioniert.
Am besten schaust du dir mal die Samba Homepage an.
http://samba.sernet.de/

Das mit Active Directory ist so eine Sache.
Active Directory ist mehr als nur ein Verzeichnisdienst.
Einige Dinge kann man via LDAP,OpenLDAP abbilden.
http://www.linuxhaven.de/dlhp/HOWTO/DE-LDAP-HOWTO.html

Mhh...so wie ich das hier sehe muss ich doch mal meinen Mac
mit in die Firma nehmen und ein wenig testen.

 

[maceis]

hallo moppi99

ich hab mich in diese Thematik noch nie so ganz vertieft, aus dem einfachen Grund, weil ich es bisher noch nicht gebraucht habe.
Interessant ist das Thema allemal.

Ich würde mal aus dem Bauch raus vermuten, dass winzigweich halt wieder mal ne Solonummer fährt, um gemischte Umgebungen möglichst zu unterbinden; weil dann sehr bald die Notwedigkeit von Windows zumindest auf der Serverseite in Frage gestellt werden würde.

 

[moppi99]

Hallo maceis,

nun ja interessant ist die Thema schon.
Nur es kostet sehr viel Zeit sich in solche Themen einzuarbeiten.

Die Sache mit den Micrsosoft Protokollen und "Erweiterungen" geht in eine Richtung
die überhaupt nicht lustig ist.
Es wird halt alles versucht mit Assitenten zu richten.Es ist also möglich ohne viel
Fachwissen einen Server zu installieren.Was der dann kann und ob der optimal eingerichtet ist ist eine andere Frage.Stichwort: Systemsicherheit

Einige Protokolle wie z.B. das SMB Protokoll sind kaum durch MS für die Öffentlichkeit
dokumentiert.Vieles wird durch testen zurückentwickelt, also nachprogrammiert bis es funktioniert.Ein Beispiel ist das Paket SAMBA.
Bei vielen Anwendungen ist aus meiner heutigen Sicht kein Windows Serverprodukt
mehr nötig.

Es geht vielmehr darum die EDV Kosten zu senken.
Bei Windows kaufste die Lizenz und benötigst etwas Wissen und ein Server steht.
Bei Unix Systemen gibst die Software quasi fast kostenlos.Da brauchste einfach Manpower.Also einen fähigen Admin.
Nun beim OS X nimmt dir Apple vieles ab.Es funktioniert einfach.
Das schlägt sich dann teilweise im Preis nieder.
Wenn die EDV Entscheider in den Firmen detailliert wüßten was das OS X ist.
Was glaubst du würden die einsetzen?
Gemischte Umgebungen sind heute nicht das Problem.
Das Problem ist der Mensch und manch ein Hersteller.

Frage mal einen Windows Admin nach Linux Kenntnissen oder umgekeht.
Frage diese Personen mal nach einem stabilen Unixkern mit guter und einfacher Benutzeroberfläche.
Die Antworten werden dich erstaunen.

Im Endeffekt hat jedes Produkt seine Existenzberechtigung.
Ob es ein Erfolg wird überlässt man einfach den Kunden.
Es geht dabei nicht darum ob es gut ist.Es geht darum wer macht die beste Werbung.

Nun ja manchmal bin ich doch sehr kritisch.


So long

 

[maceis]

hallo moppi99

du hast in vielem recht, was du schreibst.

Ich selbst habe aufgrund meiner einjährigen Ausbildung zum Fachmann für heterogene Netzwerke doch etwas Einblick in die Materie und auch entsprechende Kontakte.

Die "Einfachheit" der Einrichtung eines Windowsservers stösst bei einem relativ geringen Komplexitätsgrad sehr schnell an kritische Grenzen.

Ein Standardsetup für kleiner Firmen sieht beispielsweise so aus:
- 2 redundante Server (oder zumindest mit Lastenverteilung)
- RAID System mit gespiegelten Platten
- Internetanbindung mit Hardware-Firewall
- Mailserver (meist Exchange *seufz*)
- BackUp Lösung auf Band mit Veritas Software (auch für den Mailserver)
- Virenschutz mit Client-Server Konzept
- redundante Notstromversorgung für geregeltes Herunterfahren der Server bei Stromausfall

Das schafft man nicht ohne ein Minimum an Fachwissen !!!

Sicherheit (in all Ihren Aspekten) ist in vielen (auch produktiven) Umgebungen ein Fremdwort.
Das know-how bei den "Admins" ist sehr oft kaum gegeben, wobei die oft noch nicht einmal was dafür können.
Das bekommt halt jemand aufs Auge gedrückt, der gerne Computerspiele macht, weil "der kennt sich mit Computern aus".
Ausbildung bekommt er nicht also kauft er sich halt ab und zu mal die Computer Bild.

Erschwerend kommt hinzu
a) die mangelnde Akzeptanz der User (früher konnten wir das immer so machen!)
b) das Mißtrauen der Chefs (was macht der da eigentlich immer am Server ? Es läuft doch alles! Kann der meine Geschäftsführerdaten lesen?)

Was die Verbreitung von Apple angeht:
In der Ausbildung gabs am ganzen Institut nicht einen, der sich mit Apple auch nur oberflächlich auskannte.
In der "Wirklichkeit" sinds einige (wenige) Architekturbüros, ein paar Druckereien und einige Grafik-/Werbeunternehmen, die Macs verwenden.
In der Quelle zum Beispiel läuft Windows überall, nur die Werbeleute, die den Quelle-Katalog machen verwenden Macs.

Linux ist auch bei Netzwerkfirmen kaum präsent, lediglich die Webhoster und ein paar Freaks haben sowas rumstehen (ach ja - und Apollo Optik ist deutschland- bzw. bald europaweit mit SCO vernetzt).
Da krieg ich ja noch IBM-Anlagen - AS 400 - und sowas öfter zu sehen.

Was Windows wiederum angeht, lügen sich viele in die eigene Tasche, da der administrative Aufwand immens ist.
Da stecken nämlich die echten Kosten und nicht bei der Anschaffung von ein paar HP Servern.

 

[moppi99]

Hallo maceis,

oh man, wir schweifen ein wenig vom Thema ab.

Tja mein reden! Aber die Entscheider wollen es halt anders.

Ab und zu wird es ja auch lustig.
Heute durfte ich mal zu nem Kunden und was sehe ich da?
(Normalerweise arbeite ich nur intern)
Ein offenes VPN (3 Standorte).Immerhin ,so schöne
Bintec X1200 Router.Aber richtig mies konfiguriert.
Für die 4 Server ne USV - nö so was brauchen wir nicht!
Datensicherung absolute Fehlanzeige.Nicht mal ne externe HDD.
Und die arbeiten mit CAD-Daten eines großen Automobilherstellers.
Der "Admin" vor Ort hat dieses System betreut.
Seine 2te Frage war ob es möglich ist Couterstrike über die Internetverbindung der Firma zu spielen.
Da bin ich dann erstmal eine rauchen gegangen.Ich war auf 180.
Ich möchte nicht wissen wie es sonst in Deutschland aus sieht.

In der Pause kamen wie mal aufs OS X.
Tja, Windows rules.

 

[maceis]

hallo moppi99,

genau das, was du da beschreibst, hab´ich gemeint.

deswegen bin ich auch froh, dass ich in dem Bereich (außer dem Praktikum) bisher nie hauptberuflich gearbeitet habe.
Richtig Spass macht mir eine Arbeit nämlich nur dann, wenn ich was richtig Gutes machen kann.
In meinem Hauptberuf sieht es aber (im übertragenen Sinn) genauso oder noch schlimmer aus.

Bisher habe ich "nur" verschiedene Büronetzwerke (auch reine Apple Netzwerke) "umgebaut" und administriert.
Das hat soweit ganz gut geklappt, weil ich -aufgrund der kapitalen Unkenntnis von Kollegen und Vorgesetzten - mehr oder weniger schalten und walten durfte, wie ich wollte.

--- aber du hast recht, wir schweifen ab

noch eine kleine Andekdote zum Thema Sicherheit:
Umfeld: Firma für Stanzwerkzeuge; international mehrere Standorte, Geschäftsführer Klaus ....; ständige Internetanbindung; verschiedene Dienste (z. T. auch FileServer) von extern erreichbar;
Alle Zugänge ins Netzwerk sowie auf die Server ----> Benutzername: klaus; Kennwort: klaus
Kommentar des Geschäftsführers: "Was anderes kann ich mir nicht merken!"
***äääächz***