Problem: MAC OS X - Windows Server 2003 ADS Integration

gitarrist

Neues Mitglied
Thread Starter
Dabei seit
08.01.2006
Beiträge
15
Reaktionspunkte
0
Hallo Zusammen,
ich hoffe, dass ist hier das richtige Forum ist - ein passenderes habe ich nicht gefunden.

Ich habe seit einigen Monaten einen iMAC G5 den ich privat verwende und versuche nun diesen an meinem Arbeitsplatz in ein Windows Netzwerk einzubinden. Das versuche ich aus gutem Grunde:

Ich bin Sys-Admin an der Universität Osnabrück und verwalte ca. 200 Client-PCs (WinXP) und 5 Server (Win2003 mit Active Directory „ADS“). Da der alltägliche Windows-Wahnsinn mich an die Grenzen der Belastbarkeit bringt (ich mache das seit 20 Jahren), habe ich den Plan einer Initiative zu einem realistischen Systemwechsel bei den Client-PCs. Die Server werden bleiben wie sie sind. Realistisch ist es aber, eine ganze Reihe von Clients (vor allen Dingen Sekretariate etc.) auf MACs umzustellen.

Nun zum Problem:

Auch nach Wälzen von 100ten Seiten aktueller Literatur ist es mir nicht gelungen mit meinen iMAC auf einen Windows Server zuzugreifen.

Der Zugriff auf Win-Freigaben, die keine Authentifizierung verlangen ist problemlos. Sobald eine Authentifizierung verlang wird (was natürlich Standard ist), ist jedoch keine Zugriff möglich.

Die Integration in die ADS-Domäne an meinem Test-Server hat jedoch funktioniert. Nach dem Eintragen der ADS-Domäne in den „Verzeichnisdiensten“ des MAC OS wurde der iMAC in die ADS-Domäne Serverseitig aufgenommen (belegbar im ADS-Manager auf dem Server - dort wird sogar korrekt die Betriebssystemversion „MAC OS 10.4.6“ angezeigt)

Ferner kann ich im Finder alle Domänen im Hause finden und mir Server-Aliasse anzeigen lassen. Sobald ich jedoch über Finder/Server-Alias auf einen Server zugreifen will, bekomme ich die Meldung:

"Das Alias "Server" konnte nicht geöffnet werden, da das Original nicht gefunden wurde"

bzw. bei einem Verbindungsversuch über die Verzeichnisdienste (Server - Verbinden):

"Account oder Kennwort wurde nicht erkannt"
(wobei sowohl Account als auch Kennwort definitiv korrekt sind)

Interessant ist noch, dass nach der Serverseitig erfolgreichen Integration des MAC-Clients in die ADS-Domäne alle Server der anderen Domänen im Hause angezeigt werden, aber über den Finder ausgerechnet der Server der eigenen Domäne (also der eigene ADS-Controller) nicht mehr - auch nicht als "Alias" - angezeigt wird, was ich absolut nicht mehr nachvollziehen kann.

Die Situation ist also folgende:

- Netzwerkzugriffe sind _prinzipiell_ möglich
- Internet funktioniert einwandfrei
- Zugriff auf simple Windows-Freigaben (Win-Clients ohne Authentifizierung) funktioniert
- Alle Domänen im Hause werden korrekt im Finder angezeigt
- DNS-Services werden korrekt abgefragt
- DHCP-Zuweisung korrekt
- kein Zugriff auf Domänenserver (Win2003) mit Authentifizierung
- eigener ADS-Controller/Server wird im Finder nicht angezeigt

Hat irgendjemand eine Idee dazu? Ich weiß nicht mehr weiter. Das einzige was ich bislang zu dem Thema gefunden habe, ist, das Kollegen das gleiche Problem haben...
Die Literatur sagt aber, dass das alles ganz „easy“ sei und problemlos funktioniert.

Ich brauche dringend Hilfe
Vielen Dank im Voraus
 
gitarrist schrieb:
Der Zugriff auf Win-Freigaben, die keine Authentifizierung verlangen ist problemlos. Sobald eine Authentifizierung verlang wird (was natürlich Standard ist), ist jedoch keine Zugriff möglich.

Ich habe eine ähnliche Situation (großes Windows-Netzwerk, mittleres Linux-Cluster und mein Mac). Normalerweise verbinde ich auf einen Windows-Fileserver, indem ich im Finder Apfel+K drücke und dann eine Adresse in der Form "smb://fileserver.xyz.blafasel.de" eingebe. Geht das bei Dir?

Mit den Freigaben, die der Finder automatisch findet, habe ich auch so meine Schwierigkeiten...
 
Hallo,

danke für den Tipp, aber das führt leider zu dem gleichen Ergebnis. Auch hier bekomme ich nur den Hinweis, dass Account oder Kennort falsch wären, was aber definitiv nicht der Fall ist. Ist es eine normale Freigabe zu der ich verbinde (also ohne Authentifizierung z.B. von einem Win-Client) so funktioniert auch diese (deine) Methode.

Man könnte glauben, es wäre ein Fehler bei der Eingabe oder ein falsches Passwort etc. - ist es aber sicherlich nicht. Scheinbar verstehen sich die Authentifizierungsroutinen nicht....
 
Hi!

Ich kann dir sagen ich hab das gleiche Problem in meiner Schule! Ich hab mit unserem Admin auch schon versucht das Problem zu lösen, aber war bis jetzt nicht möglich! Es ist ein ominöses Problem! Selbst der Windows-Server schreibt ins Log "Authentifikation erfolgt" und trotzdem ist der Zugriff nicht möglich! Da die Homeverzeichnisse auf einem DC liegen ist der Zugriff nicht möglich!

ich find das absolut bitter! aber wenigstens weiß ich jetzt das ich nicht der einzige mit dem Problem bin!

mfg stillalive
 
Gut gemeinter Tipp, danke, aber SFM (ServiceForMacintosh) sind nur nötig für ältere MAC OS (< OS X), da bis OS9 das Netzwerk auf AppleTalk basierte und nicht auf TCP/IP.

In der Kombination OS X und WinServer2003 sind nach Angaben von Apple und MS keine Erweiterungen, Tools etc. nötig, da MAC OS X sogar Verzeichnisdienste wie ADS etc. unterstützt.

Warum es dennoch bei vielen Leuten nicht funktioniert, bleibt ein Mysterium....
 
Einen Vorschlag hab ich noch! Versuch doch mal ADmitMac! Mit dem sollte es möglicherweise funktionieren!

admitmac.com

mfg stillalive
 
ADmitMac

Ich habe mich gerade mal ein wenig auf den Seiten von "ADmitMac" umgesehen. Das könnte wirklich das Problem lösen - wenn es hält, was es verspricht... (eigentlich sollte es ja auch mit "Boardmitteln" klappen...)

Allerdingst kostet eine Lizenz $ 119,-. Das ist nicht gearde ein Schnäppchen, dafür, dass ich nur meinem MAC in eine Domäne eingbinden will. Ich hab mir aber die Evaluationsversion runtergeladen und werde es nächste Woche bei Gelegenheit testen.

Erstmal vielen Dank für den Hinweis.
 
Ich würde mich freuen wenn du einen Bericht posten würdest!
 
hi,


wenn es bei der Anmeldung hapert, dann schalte mal "digitale Signierung" aus. Dann sollte es funzen ;-)
Da da der mac mit meines Wissens nicht mit "Wins" umgehen kann, würde ich probieren den server über die IP anzusprechen.

-xymos.
 
Bei mir ist das Problem das ich die digitale Signatur nicht abschalten kann! Deswegen such ich einen Workaround!
 
xymos schrieb:
wenn es bei der Anmeldung hapert, dann schalte mal "digitale Signierung" aus. Dann sollte es funzen ;-)
Da da der mac mit meines Wissens nicht mit "Wins" umgehen kann, würde ich probieren den server über die IP anzusprechen.

-xymos.
Hi,

Ansprechen mit IP statt mit Namen hatte ich versucht - leider mit dem gleichen Ergenbis. Gefunden wird ja auch alles, nur die Authentifizierung klappt nicht.

"digitale Signierung" - wo kann ich das deaktiveiern? Ich habe den MAC noch nicht sehr lange, von daher sagt mir das gar nichts. Die MAC Hilfe hat zu dem Thema leider auch keine Inhalt.
 
Die digitale Signatur musst du beim Windows Server 2003 ausschalten. Bin mir aber nicht sicher wo!
 
Ah, Serverseitig meinstest Du. Gut, das kann ich in den GroupPolicies mit Hilfe des ADS-Managers konfigurieren.

Ich werde das erst in den nächsten Tagen ausprobieren können, da ich heute keinen Zugriff auf einem MAC im UNI-Netz habe. Aber ich werde das Ergebnis hier mitteilen, wenn's soweit ist.

Dank und schöne Grüße
 
Kein Problem mehr mit Mac OS X und WinServer2003 - ADS-Integration

HEUREKA - Es funktioniert!

Das war des Rätsels Lösung:

Die "Digitale Signierung" des Win-Servers muss ausgeschaltet werden. Über die GroupPolicies kann die erzwungene "Digitale Signierung" ausgeschaltet werden, so dass sie nur noch optional bei erfolgreichem Aushandeln verwendet wird.

Alternativ kann die Einstellung mit einem Registry-Key geändert werden:

HKLM\SYSTEM\CCS\Service\lanmanserver\parameters\RequireSecuritySignature" - den Wert von 1 auf 0 setzen
Volle ADS-Integration ist nun möglich. Authentifizierter Zugriff auf alle Freigaben ist möglich - ich bin ein Stück weit begeistert ;-)

Vielen Dank für Eure Hilfe!
 
Super! Danke für die Lösung!
Schade nur das unser Admin ein Sicherheitsfanatiker ist und sowas nie machen würde!
 
das funktioniert wirklich:

Microsoft network server: Digitally sign communications (XXXXX)

...nach wochen voller verzweiflung. allerdings aus sicherheitsgründen auch nicht das beste, sagt der admin. und leider habe ich dieses forum auch gerade es gelesen, wir haben wochenlang getestet.
 
habt ihr evtl. die genauen schritte festgehalten wie ihr das über die GroupPolicies ausgeschaltet habt?
so geschrieben das man es step by step nachvollziehen kann...,

daaaaaaaaaaaanke
gruß
mario
 
Schön das ihr das Problem schon gefunden habt.
Ich hätte da euch auch weiter helfen könne.

Das Problem,welches ihr habt ist ein SAMBA Problem.
Dies kann mit der "Verschlüsselten" Passwörtern nicht umgehen.

Das muss man auf dem Windows Rechenr (ab Windows 2000) abschalten.

Ich hoffe mal das in OS 10.5 die neue SAMBA Verison drin ist, die meines wissen nach damit klar kommt.
 
Zurück
Oben Unten