AUTENTICAZIONI WINDOWS 2003

[puntura]

Salve a tutti,

ho sostituito nella rete aziendale il vecchio PDC (WIN 2000 SBS), con un fiammante Server che monta WIN 2003 STD RC2.

Nella rete locale tutto funge a meraviglia; MA da un'altra sede del gruppo necessitano di acedere ad alcune cartelle condivise su tale server.

Per questo c'è una linea dedicata che collega le 2 reti. Tramite NET USE venivano collegate le caretelle come unità disco utilizzando le apposite credenziali DOMINIO\USER + PASS Messe sul server.

SOTTOLINEO che passando a win 2003 tutto ciò non va più. da sempre un errore di autorizzazione negata. nonostante tutto (utenti, permission IP ecc ecc) sia rimasto invariato.

Qualcuno è a conoscenza di particolari criteri di protezione da modificare su questo nuovo OS per renderlo di nuovo ragiungibile dalla linea esterna?

PS: l'ip del server è pingabile......

[V4N3X]

Ciao. Io non ho capito bene: per "altra sede" intendi altro ufficio collegato alla stessa LAN, oppure altra rete fisica esterna al dominio??
In altre parole, la linea dedicata di cui parli è un bridge fra due sottoreti, o una vera e propria linea indipendente??
Cambiando server hai mantenuto lo stesso IP locale??
Che dispositivo usi per collegare il tutto, intendo rete locale con altra sede e mondo esterno??
I dipendenti che si collegano usano un client VPN, ovvero esisteva una VPN che eventualmente andrebbe riconfigurata??

[puntura]

Linea dati dedicata con 2 router da un capo all altro..... 2 diverse classi ip.

si tutto lo stesso trane l'os
...

Per collegarsi utilizzano la connessione unita di rete con credenziali del mio dominio

[Rottweiler]

Puoi postare il log di "pretezione" che vedi sul server relativo al tentativo di connessione da parte di un pc dell'altra rete?

[Rottweiler]

Oppure, ma sarebbe banale...
Il gateway che usa il server per vedere l'altra rete è lo stesso che usa per navigare?

[puntura]

Il gateway che usa il server per vedere l'altro è solo x questo...
per navigare il gateway è un Firewall --> poi un router
...

MA il bello è ke utilizzando uno dei loro pc con VNC ho fatto quanto segue:
1) tirato fuori dal loro dominio il pc
2) ri Joinato il dominio
3) TUTTO FUNGE.....

Questi poi spengono i pc...e ritorna a non funzionare.....
ora... ke kaspita potrà mai esserci di mezzo....?

Voglio dire mappare un percorso di rete come drive X: ... dovrebbe essere una operazione banale a livello di autorizzazioni.... Passando IP + Dominio + User e pass.....

Potrebbe essere quanche criterio di protezione???

[stepvr]

Quote:

Originariamente inviato da puntura

Il gateway che usa il server per vedere l'altro è solo x questo ...
per navigare il gateway è un Firewall --> poi un router ...

Cioe'? Quanti gateway ci sono configurati sul server?

Quote:

Originariamente inviato da puntura

MA il bello è ke utilizzando uno dei loro pc con VNC ho fatto quanto segue:
1) tirato fuori dal loro dominio il pc
2) ri Joinato il dominio
3) TUTTO FUNGE.....

Da quel che dici pare di capire che siano 2 domini indipendenti. E' stato fatto il trust tra i 2 domini?

Quote:

Originariamente inviato da puntura

Voglio dire mappare un percorso di rete come drive X: ... dovrebbe essere una operazione banale a livello di autorizzazioni....

coi domini indipendenti, mica tanto ...

[Rottweiler]

Prova a mettere il server 2003 come dns nelle configurazioni di rete dei "computer dall'altra parte"..

Però ti dico che per fare le cose fatte bene ci vorrebbe un domain controller anche dall'altra parte.

[puntura]

Gateway sul Domain Controller: solo quello che va dall'altra parte.
Si sono 2 domini indipendenti.

Il trust.... ci avevo pensato .. ma sinceramente non l'ho mai fatto....
basta farlo solo dalla mia parte (visto che sono io ad accettare connessioni in ingresso?)

[stepvr]

Quote:

Originariamente inviato da puntura

Il trust.... ci avevo pensato .. ma sinceramente non l'ho mai fatto....
basta farlo solo dalla mia parte (visto che sono io ad accettare connessioni in ingresso?)

Il trust/trusted puo' essere monodirezionale o bidirezionale, dipende dalle esigenze. Mi preoccupa di piu' quel "basta farlo solo ...": la manovra e' esente da di rischi ma non proprio semplicissima.

Stavo invece ripensando alla configurazione precedente: con SBS2000 le politiche di autenticazione erano molto simili per cui posso ipotizzare che avevi l'utente "Guest" abilitato, altrimenti non si spiega.

[puntura]

Il fatto che mi sta facendo uscire pazzo è questo, win 2000 praticamente lavora allo stesso modo.....
Con utente Guest attivato che intendi?

In effetti quello di cui ho bisogno è che 2 pc dalla loro parte abbiano accesso a una condivisione sul mio server..... che tipo di trust si deve impostare?
e sopratutto come?

[stepvr]

La cartella/e da condividere e'/sono sul domain controller?
si': abilita l'utente "guest" in active directory"
no: abilita l'utente "guest" sul server che condivide.

NB: abilitando l'utente "guest" sull'intero dominio azzeri i criteri di sicurezza. Tutte le risorse con permessi "everyone" non saranno protette e tutti gli utenti potranno entrare. E quando dico tutti, dico il mondo intero.

Per il trust/trusted devi conoscere piuttosto bene il DNS.

[puntura]

Non mi torna una cosa:
Perchè appena tiriamo fuori i pc dal dominio e li ri joiniamo.. le condivisioni funzionano????

Le cartelle sono tutte Strutturate con permission individuali... everyone c'è solo nella prima cartella come lettura e stop.

tu dici quindi che abilitando il Guest risolvo?????

[stepvr]

Quote:

Originariamente inviato da puntura

Non mi torna una cosa:
Perchè appena tiriamo fuori i pc dal dominio e li ri joiniamo.. le condivisioni funzionano????

Perche' fate certe domande? Ti sembra che la prova abbia portato a qualche soluzione?
I domain controller impiegano un po' di tempo a capire le fantasie degli umani quando non sanno che pesci pigliare! Poi si adeguano.

Torniamo al tuo problema ...

Quote:

Originariamente inviato da puntura

Le cartelle sono tutte Strutturate con permission individuali... everyone c'è solo nella prima cartella come lettura e stop.

tu dici quindi che abilitando il Guest risolvo?????

Assolutamente no. Con i permessi individuali l'utente "guest" non entra.

Sei sicuro che i DNS siano configurati correttamente?
Se dal dominio A provi il ping nomeDC.dominiozonaB.ext e viceversa, i nomi vengono risolti?

Il DNS del dominio A deve contenere la zona del dominio B come secondaria e il DNS del dominio B deve contenere la zona del dominio A come secondaria.

[puntura]

Faccio certe domande solo xkè con 2000 sbs senza troppi problemi tutto fungeva.....

Allora mi interrogo anche sulle cose più sceme.

Altra domanda, tutte queste interazioni fra zone, non porteranno mica a farmi vedere (sfogliando la rete) tutto il contenuto del loro dominio (intendo i pc) e viceversa ? (perchè questo vorrei evitarlo).

nel mio dns non è al momento contenuta nessuna informazione sulla loro zona..... come faccio ad includerci solo 2 pc interessati?

[stepvr]

Quote:

Originariamente inviato da puntura

Faccio certe domande solo xkè con 2000 sbs senza troppi problemi tutto fungeva.....

Questa invece e' una buona domanda che merita una risposta. A differenza di w2k, con w2k3 e' stato abilitata di default l'opzione di cifratuta dei canali di connessione tramite certificato kerberos; il certificato viene rilasciato dal domain controller di appartenenza. Quando un computer tenta di connettersi a un altro dominio, il suo domain controller non e' in grado di interpretare la cifratura del canale non avendo il certificato kerberos originale. Risultato: "utente o password non valida". Questo e' il motivo per cui si usa il trust tra domini cosi' che i domain controller possono parlarsi e trasmettersi le varie informazioni.

Quote:

Originariamente inviato da puntura

Altra domanda, tutte queste interazioni fra zone, non porteranno mica a farmi vedere (sfogliando la rete) tutto il contenuto del loro dominio (intendo i pc) e viceversa ? (perchè questo vorrei evitarlo).

Certamente, incrociando le zone DNS o abilitando il trust, i 2 domini saranno visibili tra loro. Quindi escludiamo anche questa soluzione. Altre clausole vessatorie?

Quote:

Originariamente inviato da puntura

nel mio dns non è al momento contenuta nessuna informazione sulla loro zona..... come faccio ad includerci solo 2 pc interessati?

Non toccare il DNS! Scusa la domanda: non vedendo il nome del computer remoto in rete come lo raggiungi? \\IPaddress?
Tentiamo un'altra soluzione. Si tratta di disabilitare il canale cifrato quando i PC si connettono in giro per la rete. Sui PC interessati entra nel tool di amministrazione dei "Criteri di sicurezza locale"; troverai una voce "IP secury policies on local machine (icona con computer e una chiavetta)" con una serie di opzioni. Se a livello di dominio non sono state forzate politiche obbligatorie, potresti ottenere dei risultati. Vai e combatti.

[puntura]

Sono loro che devono raggiungere il mio server e lo fanno con:
Connetti unità di Rete (netuse),
\\IP-MIO-SERVER\Condivisione,
Accedi come utente diverso:
User: MIO-DOMINIO\Utente
Pass: Password

Credenziali Impostate nel mio Active D.

L'errore è esattamente quello, continua a richiedergli nome utente e password.

Ora capito che sto Kerberos è il "problema", ti dico che mi trovo sia Criteri di protezione del dominio che Criteri di protezione del Controller di dominio (nessuna voce criteri locali).
Ho già girato nei criteri IP: cosa dovrei cambiare? modo di autentica? anzichè kerberos cosa ci metto?

PS: Mi viene in mente una cosuccia:
Se Imposto le stesse user name e password che gli utenti hanno sul dominio esterno, si può stabilire una sorta di delega di autorizzazione al loro dc per accedere alle risorse sul mio DC?????

[stepvr]

Quote:

Originariamente inviato da puntura

Ora capito che sto Kerberos è il "problema", ti dico che mi trovo sia Criteri di protezione del dominio che Criteri di protezione del Controller di dominio (nessuna voce criteri locali).

Piu' che il kerberos, il problema sono i canali cifrati. Il tool dei "Criteri di sicurezza locale" sono sul client, non sul server e solo sui client che devono entrare nel tuo domino.
Correggo le indicazioni precedenti con la giusta sezione:

Local Policies
Security Option

troverai 4 voci riguardanti la sicurezza del canale: disabilitale.

Quote:

Originariamente inviato da puntura

Se Imposto le stesse user name e password che gli utenti hanno sul dominio esterno, si può stabilire una sorta di delega di autorizzazione al loro dc per accedere alle risorse sul mio DC?????

Ho seri dubbi, comunque prova. Deleghe? Senza trust no sicuro.
Ti diro' di piu': il problema che stai rilevando e' comune al samba di Linux, Apple MacOS X e w2k3.

[puntura]

Per intenderci quelli in allegato?

Ora che ci penso da quando ho messo su questo DC appena tento l'accesso alle risorse del fileserver (Samba) mi da lo stesso errore....... quindi disattivando su tutti i client sta roba qui .. anche il Samba riprenderà a fungere....?

Riepiloghiamo... domani con VNC vado sui client interessati e disabilito le voci in allegato; sul server non faccio nulla, e dovrebbe andare la condivisione...!

Speriamo bene...

[stepvr]

Quote:

Originariamente inviato da puntura

Per intenderci quelli in allegato?

Esatto!

Quote:

Originariamente inviato da puntura

Ora che ci penso da quando ho messo su questo DC appena tento l'accesso alle risorse del fileserver (Samba) mi da lo stesso errore....... quindi disattivando su tutti i client sta roba qui .. anche il Samba riprenderà a fungere....?

Tutti i PC? In questo caso si modificano le policies sul DC ma l'argomento e troppo delicato e rischioso.

Quote:

Originariamente inviato da puntura

Riepiloghiamo... domani con VNC vado sui client interessati e disabilito le voci in allegato; sul server non faccio nulla, e dovrebbe andare la condivisione...!

Speriamo bene...

Allora, ci sono circa un altro milione e mezzo di variabili che possono influire sul problema. Queste modifiche sul client sono a basso rischio e se qualcosa non va ripristini i valori originali. Invece puo' succedere che dopo un certo tempo i valori si ripristinino in automatico; significa che le "policies di dominio" o le "policies del domain controller", che sono entrambe prioritarie sulle locali, hanno il valore di quei campi assegnati. In questo caso vedi Samba.

Auguri