Beitritt zur AD-Domäne fehlgeschlagen SPNEGO-Anmeldung fehlgeschlagen: {Zugriff verweigert} Ein Prozess hat Zugriff auf ein Objekt angefordert, aber die Zugriffsrechte wurden ihm nicht erteilt.

tag-icon tag-icon linux windows active-directory samba kerberos
Beitritt zur AD-Domäne fehlgeschlagen SPNEGO-Anmeldung fehlgeschlagen: {Zugriff verweigert} Ein Prozess hat Zugriff auf ein Objekt angefordert, aber die Zugriffsrechte wurden ihm nicht erteilt.

Beim Versuch, einer Active Directory-Domäne mit Samba beizutreten, tritt ein Problem auf.

Die Fehlermeldung lautet

cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00   00 00 00 00 00 00 00 00   ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D   E5 27 86 90 39 7C 4E 1E   ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.

Mein AD-Server ist Windows Server 2012.

Ich bin ziemlich sicher, dass auf dem AD-Server etwas falsch konfiguriert ist, da derselbe Linux-Host erfolgreich einer anderen AD-Domäne beitritt.

Mein Befehl ist "net ads join -U myaccount -k"

Hier heißt es: „Für ein Objekt wurden jedoch keine Zugriffsrechte gewährt.“ Wie kann ich wissen, um welches Objekt es sich handelt und welche Zugriffsberechtigung erforderlich ist?

Ich habe folgende Aktionen ausgeführt:

  • Verwenden Sie ldapsearch, um sicherzustellen, dass die LDAP-Schnittstelle einwandfrei funktioniert. Ja, sie funktioniert einwandfrei.

  • Anderer AD-Domäne beitreten, Erfolg

  • Wenn ich "-k" nicht verwende, lautet die Fehlermeldung:

    error_string             : 'Failed to set machine spn: 
    Operations error
    Do you have sufficient permissions to create machine accounts?'

Sieht aus, als ob das Festlegen des Dienstprinzipalnamens fehlgeschlagen ist. Ich kann jedoch erfolgreich „setspn -S“ auf dem AD-Server verwenden.

Ich vermute also, dass mit der Konfiguration des Kerberos-Dienstes etwas nicht stimmt. Jeder Vorschlag zur Behebung dieses Problems ist willkommen.

Dank im Voraus.

verwandte Informationen