Directory Server Der angeforderte verschlüsselungstyp wird vom kerberos-domänencontroller nicht unterstützt

alegend

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Hallo Zusammen!
Sooool....ich habe das Ganze nun mal versucht und bin mir nicht sicher an was das problem liegt.
Ich habe die eine Datei libgensec-samba4.so getauscht....dann=>
Wir haben einen Rechner der an einem Plotter ist - er wird nur zum Plotten benutzt diesen habe ich gestern zur Domäne hinzugefügt und daraufhin habe ich eine kennwortänderung erzwungen.
Perfekt hat funktioniert - das Gleiche hatte ich aber schon mal mit einem Domänenuser auf der Synology Win 11 VM - da hat es auch funktioniert (ohne tausch der Datei)
Heute morgen will sich eine Mitarbeiterin anmelden und es kommt wieder der Kerberosfehler - der Account hat die gleichen settings wie der Plotter account....
Ich frage mich nun WORAN KANN DAS LIEGEN?! Ich weiss langsam nicht mehr weiter.....der User ist in der gleichen Usergroup, hat die gleichen Rechte usw.
Habe auch das Feld "Dieses Konto von der Kerberos Vorauth. ausnehmen" schon deaktiviert - ohne Erfolg.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.151
Punkte für Reaktionen
739
Punkte
154
Du hättest ja noch ein paar weitere Dateien zum tauschen, das war nur meine Idee mal mit der einen anzufangen.

Mir schiesst hier aber noch ein anderer Thread durch den Kopf, der vorderhand nichts mit deinem Problem zu tun hat:
https://www.synology-forum.de/threads/dns-records-test-problem.126822/

Da aber DNS eine entscheidende Basis für ein AD bildet, überprüf doch mal, ob DNS-technisch bei dir alles in Ordnung ist. Alle Dienste im AD werden über DNS bekannt gemacht und wenn da was nicht richtig arbeitet, kann das einige Probleme verursachen.
 

alegend

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Laut dem checker tool etc läuft alles ich kann ja der domäne auch beitreten etc - kann es da wirklich sein dass dns nicht passt wenn kerberos das problem sein soll?
Ich hab ein ticket bei synology auf die wollen einen admin etc aber ich weiss nicht ob das der richtige weg ist da scheinbar ja die passwortänderung funktioniert nur eben nicht für die bestimmten user bzw. alle ausser jetzt der neue user der klappt

Ich habe mich eben nochmal als Problemuser angemeldet und konnte das pw ändern - allerdings auf der Virtual machine welche auf der synology läuft ich weiss halt nicht ob das nen Einfluss auf die Kerberos Verschlüsselung haben kann?!
Kann das sein ? Ich muss aber sagen ich habe eben noch den Forwarder von 8.8.8.8 auf die nas ip geändert und den 2. forwarder bei 8.8.4.4. gelassen. - kann mir nicht vorstellen dass es daran liegt.
1683896342090.png1683896342090.png
 
Zuletzt bearbeitet:

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.151
Punkte für Reaktionen
739
Punkte
154
Naja, schaden es zu testen kann es ja nicht. Ich weiß nicht, was Synology da wirklich testet.

Es ist ja letztlich nur um sicher zu gehen. Allerdings hab ich vorhin festgestellt, dass es den Befehl "host" gar nicht auf der Syno gibt.

Aber mit dem "samba_dnsupdate --verbose" kannst du eigentlich nichts verkehrt machen. Und laut ChristophK funktioniert der Befehl auf der Syno. Das hatte ich gar nicht mal erwartet, so wie Synology an Samba herumschraubt.

Bei meinem Problem haben die auch auf die Maschine geschaut und auch gemeint, sieht doch alles ok aus. Nur dass das Problem ja erst in Zusammenhang mit Windows auftritt. Und ich konnte ja nachweisen, dass durch Tausch der einen Datei es wieder geht, also das Problem eindeutig bei denen liegt.
 

alegend

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Ich bin mal wieder hier....da das Problem bis dato immer noch nicht gelöst wurde und jetzt auch noch die Settings in gpedit.msc ausgegraut sind....
woran liegt das?
Neueste dsm 7.2. 64570 ist nun installiert -wieso kann ich iher als Admin nichts mehr ändern?
1689574393368.png
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.151
Punkte für Reaktionen
739
Punkte
154
Das ist ja eine Einstellung in Windows. Mit DSM hat das wenig zu tun.

Das Einzige, was mir dazu einfällt: Hast du diese Werte per GPO gesetzt? Dann sperrt Windows ja durchaus den Zugriff.

P.S. Der verwendete User hat Admin-Rechte auf der Workstation?
 
Zuletzt bearbeitet:

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
643
Punkte für Reaktionen
54
Punkte
54
Hilft das hier unter Umständen weiter?
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.151
Punkte für Reaktionen
739
Punkte
154
Bei mir sieht das - trotz Admin-User - genauso aus. Ich setze diese Werte per GPO.

typen.PNG
 

alegend

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
ich glaube ich habe mich da irgendie vertan
ich konnte die werte im gpedit nicht ändern (editor für lokale gruppenrichtlinien) jedoch aber
im Gruppenrichtlinenverwatlungs Editor...
Was ist der Unterschied ? Sorry für die Dumme Frage fü rmich ist die Verwendung Neuland.
Ist der Verwaltungseditor = Änderung der Gruppenrichtline für die ganze Domäne und somit richtungsweisend? Sehe ich das richtig?
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.151
Punkte für Reaktionen
739
Punkte
154
Eine Gruppenrichtlinie gilt für den Bereich, an den man sie im Directory anhängt.

Das kann die ganze Domäne sein, das kann aber z.b. für eine GPO für PCs auch nur die OU sein, in der die Rechner hängen.
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat