Openschoolproxy Forum

Forum für Fragen, Probleme und Anregungen zum OSP

Du bist nicht angemeldet.

#1 2016-04-19 07:23:03

cschwend
Mitglied
Registriert: 2016-04-19
Beiträge: 4

Domainverbindung Critical - checking the trust secret for domain ...

Folgender Fehler wird seit heute auf der Admin-Konfigurationsseite angezeigt:

Domainverbindung Critical - checking the trust secret for domain *** via RPC calls failed

Bis gestern lief alles einwandfrei. Kann leider den osp-server auch nicht mehr der Domäne hinzufügen während des Setups kommt nach Tests auf Namensauflösung (funktioniert) irgendwann die Meldung

Failed to join Domain: failed to look up DC info for Domain ...... over rpc: Access denied.

(DC ins Windows Server 2012)

Bitte um schnelle Hilfe, damit ich den Internetzugang wiederherstellen kann. Im Moment läuft nämlich leider gar nichts.

Falls weitere Infos benötigt -> bitte melden.

Vielen Dank im voraus.

Offline

#2 2016-04-19 10:41:46

HeinzM23
Mitglied
Registriert: 2016-04-19
Beiträge: 2

Re: Domainverbindung Critical - checking the trust secret for domain ...

Hallo zusammen,
das gleiche Problem haben wir heute auch bei mehreren OSP AD Versionen festgestellt. Ich denke es liegt an einem aktuellen Windows Update. Dieses Problem gibt es bei Windows 2012 Domänen und auch bei Windows 2008r2 Domänen. Wir haben momentan auf die IP Version gewechselt.
Ich habe vor ein paar Tagen über ein Sicherheitsproblem bei Active Directory etwas gelesen. Microsoft hat wohl das Sicherheitsproblem behoben und dadurch die Samba AD Anbindung bei älteren Versionen blockiert.
Soetwas kann doch auch nur wieder MS schaffen.
Ich habe heute mal bei einem Server das Update KB3149090 deinstalliert. Hat aber noch nicht geholfen. Aber vielleicht muss man danach nochmal den OSP in die Domäne integrieren. Dass will ich später noch mal testen.

http://www.heise.de/forum/heise-online/ … 6219/show/

Falls Ihr eine Lösung findet bitte auch hier posten. Ich werde es auch machen.

Schöne Grüße,
Heinz

Offline

#3 2016-04-19 17:14:32

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Vielen Dank für die Infos! Ich werde mich heute Abend/Nacht mal dransetzen und hoffentlich einen Weg finden das Problem zu behen. Vermutlich reicht ein Update der Samba Version aus. Ich poste dann die zugehörige Anleitung und ggf. ein geupdates Installationsimage.

Ich melde mich spätestens morgen früh nochmal.

Mit besten Grüßen

Benedikt

Offline

#4 2016-04-20 04:32:07

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Update: at the moment I am still troubleshooting the issue. I will keep everyone posted about

Offline

#5 2016-04-20 14:21:53

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Hmm, ich konnte das Problem bei meiner Windows2008R2 testinstallation nicht reproduzieren. Vielleicht sind nicht all Windows Server Versionen betroffen. @Heinz and @cschwend: Welche windows server version ist bei euch im Einsatz?

Offline

#6 2016-04-20 14:25:45

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Ah windows server 2012 und 2008R2. Falls ihr mehrere Installationen habt, ist das Problem bei allen gleichermaßen aufgetreten? Oder gab es Installationen bei denen es nicht aufgetreten ist?

Offline

#7 2016-04-20 14:26:13

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Ich versuche das Problem jetzt mit einem Win2012 Server nachzustellen

Offline

#8 2016-04-20 16:06:15

HeinzM23
Mitglied
Registriert: 2016-04-19
Beiträge: 2

Re: Domainverbindung Critical - checking the trust secret for domain ...

Hallo Benedikt,
wir haben das Problem seit Dienstag bei Win2012r2 und an Win08r2 Systemen. Beide Systeme haben automatisch am Wochenende die Windows Updates installiert. Am Montag lief es aber noch. Am Dienstag macht der OSP glaub ich einen Neustart. Seit diesem Neustart geht es nicht mehr.
Oder hat der OSP vielleicht von Montag auf Dienstag ein Update geladen? Wir haben bei allen System das automatische Update aktiv.
Das Ubuntu läuft aber noch in dem Auslieferungszustand. Es müsste die 12.04 sein. Samba Version ist die 3.6.25.
Grüße
Heinz

Offline

#9 2016-04-20 17:15:53

cschwend
Mitglied
Registriert: 2016-04-19
Beiträge: 4

Re: Domainverbindung Critical - checking the trust secret for domain ...

@Benedikt B: Unser DC ist Windows Server 2012. Genau wie bei Heinz ging seit Dienstag nichts mehr. Habe jetzt als Notlösung mal die IP-basierte Variante am Laufen, damit das Content-Filtering nach der Shalla-List wieder durchgeführt wird, allerdings muss ich baldmöglichst wieder zwecks Unterscheidung der Benutzergruppen zu AD-Variante wechseln.

Vielen Dank für Deine Bemühungen.

Offline

#10 2016-04-20 17:18:45

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Thanks a lot for this information, I am able to reproduce this bug now with Win2008r2. I am looking for a solution.

Offline

#11 2016-04-20 17:45:33

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

I found a very likely solution for the problem. I will prepare some instructions on how to apply the fix

Offline

#12 2016-04-20 18:33:45

Benedikt B
Administrator
Registriert: 2010-12-05
Beiträge: 249

Re: Domainverbindung Critical - checking the trust secret for domain ...

Das Problem hat zwei mögliche Lösungen.

ABER zuerst ein wenig !wichtiger! Hintergrund:
==================================

Am jüngsten MS Patchday (12.04.) der u.a. die Badlock Sicherheitslücke schließt gab es nicht nur Änderungen an den WindowsServer Versionen, sondern auch bei Samba. Microsoft und die Samba Entwickler haben gleichzeitig die entsprechenden Patches veröffentlicht, woraufhin Canonical (Ubuntu) tätig wurde und diese Patches in die Ubuntu Samba version eingearbeitet hat. Die geupdatete Samba Version wurde dann Anfang dieser Woche in den ubuntu repositories bereitgestellt und vom OSP installiert.

Die badlock Sicherheitslücke besteht, da WindowsServer und Samba gewisse Kommunikation zwischen Client und Server nicht signiert und dadurch einen Man in the Middle Angriff ermöglicht (mehr details zum Beispiel hier: http://www.heise.de/ct/ausgabe/2016-9-L … 9477.html). Die offensichtliche Lösung dazu ist die Signierung zu erzwingen, was mit dem neusten Samba Update das Standardverhalten geworden ist. Allerdings muss der Domain Controller das auch unterstützen! Falls dieser das nicht tut, kommt es zu der hier diskutierten Fehlermeldung. Dafür gibt es zwei Lösungen:


Die Lösung Nummer 1:
===================

Signierung im Domain Controller aktivieren. Siehe dazu die zwei Screenshots der Gruppenrichtlinien:

In der Zusammenfassungansicht:
policy_overview.png
Im Gruppenrichtlinien-Editor:
policy_editor.png

Die wichtige Punkte sind hier:

Microsoft Network client: Digitally sign communications (if server agrees)
Microsoft Network server: Digitally sign communications (if client agrees)

Diese beiden Werte müssen auf Enabled gestellt sein.

Microsoft Network client: Digitally sign communications (always)
Microsoft Network server: Digitally sign communications (always)

sind stränger und können auch auf Disabled gesetzt werden ohne dass die Funktion des OSP beinträchtigt wird. Diese Optionen erlauben die Signierung der Kommunikation und damit das Abwenden von badlock. Wenn ihr diese Einstellungen ändert, kann es 1-2 Minuten dauern bis sie übernommen worden sind und die Kommunikation mit dem OSP funktioniert.

In der Deutschen WindowsServer variante lauten die Einstellungen:
image003.png

Sollten diese Lösung bei eurem setup aus gründen der Abwärtskompatibilität oder aus anderen Gründen nicht möglich sein, so ist die Alternative unsignierte Verbindungen im OSP zu erlauben.

Die Lösung Nummer 2:
===================

Unsignierte Verbindungen im OSP erlauben. Dies ermöglicht aber möglicherweise auch wieder die Ausnutzung von badlock und sollte daher nur gewählt werden, wenn Lösung 1 nicht funktioniert. Ändert dazu die Datei /etc/samba/smb.conf mittels

nano /etc/samba/smb.conf

Relativ nah am Anfang der Datei findet ihr dort die Zeilen

[global]

## Browsing/Identification ###

welche ihr zu

[global]

server signing = auto
client signing = auto
client ipc signing = auto

## Browsing/Identification ###

abändert. Danach führt ihr

sudo smbcontrol all reload-config

oder alternativ einen Neustart durch, damit die neue Konfiguration übernommen wird.


Abschluss:
===========

Nachdem ihr entweder Lösung 1 oder 2 umgesetzt habt, könnt ihr den OSP nun mittels

sudo osp-adintegration -s

wieder der Domäne hinzufügen.

Lasst mich wissen falls es doch noch zu Problemen kommt und ob diese Lösungsmethoden bei euch funktioniert haben.

Mit besten Grüßen

Benedikt

Offline

Fußzeile des Forums

Powered by FluxBB