PDA

View Full Version : AUTENTICAZIONI WINDOWS 2003


puntura
22-11-2006, 08:21
Salve a tutti,

ho sostituito nella rete aziendale il vecchio PDC (WIN 2000 SBS), con un fiammante Server che monta WIN 2003 STD RC2.

Nella rete locale tutto funge a meraviglia; MA da un'altra sede del gruppo necessitano di acedere ad alcune cartelle condivise su tale server.

Per questo c'è una linea dedicata che collega le 2 reti. Tramite NET USE venivano collegate le caretelle come unità disco utilizzando le apposite credenziali DOMINIO\USER + PASS Messe sul server.

SOTTOLINEO che passando a win 2003 tutto ciò non va più. da sempre un errore di autorizzazione negata. nonostante tutto (utenti, permission IP ecc ecc) sia rimasto invariato.

Qualcuno è a conoscenza di particolari criteri di protezione da modificare su questo nuovo OS per renderlo di nuovo ragiungibile dalla linea esterna?

PS: l'ip del server è pingabile......

V4N3X
22-11-2006, 12:17
Ciao. Io non ho capito bene: per "altra sede" intendi altro ufficio collegato alla stessa LAN, oppure altra rete fisica esterna al dominio??
In altre parole, la linea dedicata di cui parli è un bridge fra due sottoreti, o una vera e propria linea indipendente??
Cambiando server hai mantenuto lo stesso IP locale??
Che dispositivo usi per collegare il tutto, intendo rete locale con altra sede e mondo esterno??
I dipendenti che si collegano usano un client VPN, ovvero esisteva una VPN che eventualmente andrebbe riconfigurata??

puntura
24-11-2006, 11:09
Linea dati dedicata con 2 router da un capo all altro..... 2 diverse classi ip.

si tutto lo stesso trane l'os
...

Per collegarsi utilizzano la connessione unita di rete con credenziali del mio dominio

Rottweiler
24-11-2006, 14:00
Puoi postare il log di "pretezione" che vedi sul server relativo al tentativo di connessione da parte di un pc dell'altra rete?

Rottweiler
24-11-2006, 14:02
Oppure, ma sarebbe banale...
Il gateway che usa il server per vedere l'altra rete è lo stesso che usa per navigare?

puntura
24-11-2006, 19:23
Il gateway che usa il server per vedere l'altro è solo x questo...
per navigare il gateway è un Firewall --> poi un router
...

MA il bello è ke utilizzando uno dei loro pc con VNC ho fatto quanto segue:
1) tirato fuori dal loro dominio il pc
2) ri Joinato il dominio
3) TUTTO FUNGE.....

Questi poi spengono i pc...e ritorna a non funzionare.....
ora... ke kaspita potrà mai esserci di mezzo....?

Voglio dire mappare un percorso di rete come drive X: ... dovrebbe essere una operazione banale a livello di autorizzazioni.... Passando IP + Dominio + User e pass.....

Potrebbe essere quanche criterio di protezione???

stepvr
24-11-2006, 19:50
Il gateway che usa il server per vedere l'altro è solo x questo ...
per navigare il gateway è un Firewall --> poi un router ...

Cioe'? Quanti gateway ci sono configurati sul server?


MA il bello è ke utilizzando uno dei loro pc con VNC ho fatto quanto segue:
1) tirato fuori dal loro dominio il pc
2) ri Joinato il dominio
3) TUTTO FUNGE.....

Da quel che dici pare di capire che siano 2 domini indipendenti. E' stato fatto il trust tra i 2 domini?


Voglio dire mappare un percorso di rete come drive X: ... dovrebbe essere una operazione banale a livello di autorizzazioni....

coi domini indipendenti, mica tanto ... ;)

Rottweiler
24-11-2006, 19:53
Prova a mettere il server 2003 come dns nelle configurazioni di rete dei "computer dall'altra parte"..

Però ti dico che per fare le cose fatte bene ci vorrebbe un domain controller anche dall'altra parte.

puntura
25-11-2006, 08:22
Gateway sul Domain Controller: solo quello che va dall'altra parte.
Si sono 2 domini indipendenti.

Il trust.... ci avevo pensato .. ma sinceramente non l'ho mai fatto....
basta farlo solo dalla mia parte (visto che sono io ad accettare connessioni in ingresso?)

stepvr
25-11-2006, 10:42
Il trust.... ci avevo pensato .. ma sinceramente non l'ho mai fatto....
basta farlo solo dalla mia parte (visto che sono io ad accettare connessioni in ingresso?)

Il trust/trusted puo' essere monodirezionale o bidirezionale, dipende dalle esigenze. Mi preoccupa di piu' quel "basta farlo solo ...": la manovra e' esente da di rischi ma non proprio semplicissima.

Stavo invece ripensando alla configurazione precedente: con SBS2000 le politiche di autenticazione erano molto simili per cui posso ipotizzare che avevi l'utente "Guest" abilitato, altrimenti non si spiega.

puntura
25-11-2006, 13:26
Il fatto che mi sta facendo uscire pazzo è questo, win 2000 praticamente lavora allo stesso modo.....
Con utente Guest attivato che intendi?

In effetti quello di cui ho bisogno è che 2 pc dalla loro parte abbiano accesso a una condivisione sul mio server..... che tipo di trust si deve impostare?
e sopratutto come?

stepvr
25-11-2006, 19:46
La cartella/e da condividere e'/sono sul domain controller?
si': abilita l'utente "guest" in active directory"
no: abilita l'utente "guest" sul server che condivide.

NB: abilitando l'utente "guest" sull'intero dominio azzeri i criteri di sicurezza. Tutte le risorse con permessi "everyone" non saranno protette e tutti gli utenti potranno entrare. E quando dico tutti, dico il mondo intero.

Per il trust/trusted devi conoscere piuttosto bene il DNS. :mbe:

puntura
25-11-2006, 22:52
Non mi torna una cosa:
Perchè appena tiriamo fuori i pc dal dominio e li ri joiniamo.. le condivisioni funzionano????

Le cartelle sono tutte Strutturate con permission individuali... everyone c'è solo nella prima cartella come lettura e stop.

tu dici quindi che abilitando il Guest risolvo?????

stepvr
26-11-2006, 01:24
Non mi torna una cosa:
Perchè appena tiriamo fuori i pc dal dominio e li ri joiniamo.. le condivisioni funzionano????

Perche' fate certe domande? Ti sembra che la prova abbia portato a qualche soluzione?
I domain controller impiegano un po' di tempo a capire le fantasie degli umani quando non sanno che pesci pigliare! Poi si adeguano. ;)

Torniamo al tuo problema ...

Le cartelle sono tutte Strutturate con permission individuali... everyone c'è solo nella prima cartella come lettura e stop.

tu dici quindi che abilitando il Guest risolvo?????

Assolutamente no. Con i permessi individuali l'utente "guest" non entra.

Sei sicuro che i DNS siano configurati correttamente?
Se dal dominio A provi il ping nomeDC.dominiozonaB.ext e viceversa, i nomi vengono risolti?

Il DNS del dominio A deve contenere la zona del dominio B come secondaria e il DNS del dominio B deve contenere la zona del dominio A come secondaria.

puntura
26-11-2006, 08:53
Faccio certe domande solo xkè con 2000 sbs senza troppi problemi tutto fungeva..... :)

Allora mi interrogo anche sulle cose più sceme.

Altra domanda, tutte queste interazioni fra zone, non porteranno mica a farmi vedere (sfogliando la rete) tutto il contenuto del loro dominio (intendo i pc) e viceversa ? (perchè questo vorrei evitarlo).

nel mio dns non è al momento contenuta nessuna informazione sulla loro zona..... come faccio ad includerci solo 2 pc interessati?

stepvr
26-11-2006, 11:11
Faccio certe domande solo xkè con 2000 sbs senza troppi problemi tutto fungeva..... :)
Questa invece e' una buona domanda che merita una risposta. A differenza di w2k, con w2k3 e' stato abilitata di default l'opzione di cifratuta dei canali di connessione tramite certificato kerberos; il certificato viene rilasciato dal domain controller di appartenenza. Quando un computer tenta di connettersi a un altro dominio, il suo domain controller non e' in grado di interpretare la cifratura del canale non avendo il certificato kerberos originale. Risultato: "utente o password non valida". Questo e' il motivo per cui si usa il trust tra domini cosi' che i domain controller possono parlarsi e trasmettersi le varie informazioni.

Altra domanda, tutte queste interazioni fra zone, non porteranno mica a farmi vedere (sfogliando la rete) tutto il contenuto del loro dominio (intendo i pc) e viceversa ? (perchè questo vorrei evitarlo).
Certamente, incrociando le zone DNS o abilitando il trust, i 2 domini saranno visibili tra loro. Quindi escludiamo anche questa soluzione. Altre clausole vessatorie? ;)

nel mio dns non è al momento contenuta nessuna informazione sulla loro zona..... come faccio ad includerci solo 2 pc interessati?
Non toccare il DNS! Scusa la domanda: non vedendo il nome del computer remoto in rete come lo raggiungi? \\IPaddress? :mbe:
Tentiamo un'altra soluzione. Si tratta di disabilitare il canale cifrato quando i PC si connettono in giro per la rete. Sui PC interessati entra nel tool di amministrazione dei "Criteri di sicurezza locale"; troverai una voce "IP secury policies on local machine (icona con computer e una chiavetta)" con una serie di opzioni. Se a livello di dominio non sono state forzate politiche obbligatorie, potresti ottenere dei risultati. Vai e combatti. :Perfido:

puntura
26-11-2006, 12:46
Sono loro che devono raggiungere il mio server e lo fanno con:
Connetti unità di Rete (netuse),
\\IP-MIO-SERVER\Condivisione,
Accedi come utente diverso:
User: MIO-DOMINIO\Utente
Pass: Password

Credenziali Impostate nel mio Active D.

L'errore è esattamente quello, continua a richiedergli nome utente e password.

Ora capito che sto Kerberos è il "problema", ti dico che mi trovo sia Criteri di protezione del dominio che Criteri di protezione del Controller di dominio (nessuna voce criteri locali).
Ho già girato nei criteri IP: cosa dovrei cambiare? modo di autentica? anzichè kerberos cosa ci metto?

PS: Mi viene in mente una cosuccia:
Se Imposto le stesse user name e password che gli utenti hanno sul dominio esterno, si può stabilire una sorta di delega di autorizzazione al loro dc per accedere alle risorse sul mio DC?????

stepvr
26-11-2006, 18:45
Ora capito che sto Kerberos è il "problema", ti dico che mi trovo sia Criteri di protezione del dominio che Criteri di protezione del Controller di dominio (nessuna voce criteri locali).

Piu' che il kerberos, il problema sono i canali cifrati. Il tool dei "Criteri di sicurezza locale" sono sul client, non sul server :rolleyes: e solo sui client che devono entrare nel tuo domino.
Correggo le indicazioni precedenti con la giusta sezione:

Local Policies
Security Option

troverai 4 voci riguardanti la sicurezza del canale: disabilitale.


Se Imposto le stesse user name e password che gli utenti hanno sul dominio esterno, si può stabilire una sorta di delega di autorizzazione al loro dc per accedere alle risorse sul mio DC?????

Ho seri dubbi, comunque prova. Deleghe? Senza trust no sicuro.
Ti diro' di piu': il problema che stai rilevando e' comune al samba di Linux, Apple MacOS X e w2k3.

puntura
26-11-2006, 19:37
Per intenderci quelli in allegato?

Ora che ci penso da quando ho messo su questo DC appena tento l'accesso alle risorse del fileserver (Samba) mi da lo stesso errore....... quindi disattivando su tutti i client sta roba qui .. anche il Samba riprenderà a fungere....?

Riepiloghiamo... domani con VNC vado sui client interessati e disabilito le voci in allegato; sul server non faccio nulla, e dovrebbe andare la condivisione...!

Speriamo bene...

stepvr
26-11-2006, 23:13
Per intenderci quelli in allegato?
Esatto! :asd:

Ora che ci penso da quando ho messo su questo DC appena tento l'accesso alle risorse del fileserver (Samba) mi da lo stesso errore....... quindi disattivando su tutti i client sta roba qui .. anche il Samba riprenderà a fungere....?

Tutti i PC? In questo caso si modificano le policies sul DC ma l'argomento e troppo delicato e rischioso.

Riepiloghiamo... domani con VNC vado sui client interessati e disabilito le voci in allegato; sul server non faccio nulla, e dovrebbe andare la condivisione...!

Speriamo bene...
Allora, ci sono circa un altro milione e mezzo di variabili che possono influire sul problema. Queste modifiche sul client sono a basso rischio e se qualcosa non va ripristini i valori originali. Invece puo' succedere che dopo un certo tempo i valori si ripristinino in automatico; significa che le "policies di dominio" o le "policies del domain controller", che sono entrambe prioritarie sulle locali, hanno il valore di quei campi assegnati. In questo caso vedi Samba.

Auguri ;)

puntura
27-11-2006, 07:55
Guarda se si tratta di modificare policies sul mio Dominio o DC no problem... (il problema del fileserver linux è nella mia lan ma è molto secondario)

La cosa che assolutamente mi preokkupa è che ci siano delle policies sul Loro dominio (e li non ho nessun potere).

Ti dirò di più: ho provato a settare un server VPN (sempre sul DC), i soliti client esterni accedono alla vpn... prendono un ip interno.. ma appena vanno sulle condivisioni..... solito problema...

puntura
27-11-2006, 09:38
La tua individuazione del problema direi che è superba.
Ho xò effettuato i cambi sui criteri di gruppo e su quelli del controller di dominio, sulle voci in allegato..... (due in più); riavviato i servizi:
Workstation
Server

E oplà, sembra fungere tutto....
si vede che uno o tutti i loro dc sono precedenti a w2k3 e non hanno la cifratura attivata.

V4N3X
27-11-2006, 09:53
A differenza di w2k, con w2k3 e' stato abilitata di default l'opzione di cifratuta dei canali di connessione tramite certificato kerberos; il certificato viene rilasciato dal domain controller di appartenenza. Quando un computer tenta di connettersi a un altro dominio, il suo domain controller non e' in grado di interpretare la cifratura del canale non avendo il certificato kerberos originale. Risultato: "utente o password non valida".

Complimenti anche da parte mia per l'ottima memoria e cultura :D !!!
Sarà che ho poco tempo per riflettere....sarà che ho troppe cose a cui pensare....ma questo io non me lo ricordavo..... :rotfl: :rotfl:
L'unione fa la forza!!!! :D

puntura
27-11-2006, 10:11
Eh si,
La conoscenza deve girare... e più gira più aumenta di valore..... Spero sia utile per chiunque abbia lo stesso problema...... :)

Salutissimi e grazie a tutti... miticiiiiiiiiiiiiiiiiiiiiiii