[Eisfair] E1: Samba als PDC und Windows 10

Jürgen Witt j-witt at web.de
Do Mär 10 17:13:39 CET 2016 

Hallo NG,

ich habe erste Erfahrungen mit Windows 10 als Klient in einer
Samba-Domäne auf einem E1 gesammelt. Hier eine kleine Zusammenfassung.

Das Einfügen in die Domäne funktioniert unproblematisch, wenn man wie
schon seit Windows 7 den Registry-Patch

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
"DomainCompatibilityMode"=dword:00000001
"DNSNameResolutionRequired"=dword:00000000

ausführt. Ein Anmelden an der Domäne funktioniert danach aber nicht.

Dazu muß entweder händisch (und damit fliegt der Parameter nach jedem
Samba-Update oder Speichern der Konfiguration wieder 'raus) in der
/etc/smb.conf "max protocol = NT1" gesetzt werden oder auf dem Windows
Klient mit Adminrechten an der Konsole Folgendes ausgeführt werden.

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start=disabled

Jetzt verbindet sich der W10-Klient gezwungener Weise mit dem alten
Protokol und die anderen Klienten wie gewohnt.

Das sieht dann z.B. so aus

eis # smbstatus|more

Samba version 4.3.5-for-eisfair-1-patch-1
PID    Username       Group      Machine             Protocol Version
4711   jwatt          users      192.168.170.5       NT1
4719   jwitt          users      192.168.170.6       SMB2_10

Jetzt sollte die Anmeldung nach einem Reboot des W10-Klients
funktionieren - die Loginscripte funktionieren danach aber immer noch
nicht. Man hat unter W10 keinen Zugriff auf das netlogon-Verzeichnis.
Ich habe dazu im Netz folgenden Beitrag gefunden:

I just joined a Windows 10 to our Samba 3 domain. It seems to work. I
can login, a home directory is created on the server, and I can access
shares.

All shares are OK, except "netlogon". Logon scripts don't run, and I
cannot open the netlogon share. I get "Access denied" and a prompt to
enter my username and password, which keeps coming back.

At the command prompt, if I do "dir \\server\netlogon", I just get
"Network access is denied." but listing other shares is fine.

Solution: GPEDIT.MSC -> Computer -> Administrative templates -> Network
-> Networkprovider -> Hardened UNC Paths

Set on "Enabled".
Under options, click on the "Show..." button
Under "Value name", enter: \\servername\netlogon (or \\*\netlogon)
Under "Value" enter: RequireMutualAuthentication=0, RequireIntegrity=0

Den Lösungsweg in der Anleitung habe ich erfolgreich ausprobiert. Jetzt
habe ich noch eine W10-Registry-Patch-Datei gefunden, die sich auch um
dieses Problem zu kümmern scheint.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
"DNSNameResolutionRequired"=dword:00000000
"DomainCompatibilityMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters]
"UseProfilePathExtensionVersion"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000001
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001

Ob die beiden Abschnitte nach dem Abschnitt mit "HardendPaths"
erforderlich oder von Vorteil sind, kann ich nicht beurteilen.

Soweit meine Erkenntnisse.

Gruß
Jürgen

Mehr Informationen über die Mailingliste Eisfair