Tag archieven: unix share

The case of… Unix Samba share niet bereikbaar op Windows server na uitrol met MDT2012

Geplaatst op door

Bij het installeren van software in de nieuwe omgeving van een klant, liepen we tegen het probleem aan dat we vanuit de Citrix servers de samba share op een unix server niet konden bereiken. Alle servers anders dan de Citrix servers werkten super.

sambashare1Op de Citrix servers kregen we de melding ‘[servernaam] is niet toegankelijk. U hebt mogelijk niet de juiste machtingen voor deze netwerkbron. De RPC is mislukt en niet uitgevoerd’. De engelse vertaling van het laatste stuk is ‘The remote procedure call failed and did not execute’.

Verder onderzoek gaf aan dat het probleem zich niet bevond in geinstalleerde software. Als de server werd uitgerold met MDT 2012 (Microsoft Deployment Toolkit) en alleen het OS (Windows 2008 R2 SP1) met Nederlands languagepack werd uitgerold konden we al niet meer bij de samba share. Echter, dat gebeurde pas na een reboot. Zolang het ‘uitrol succesvol’ scherm in beeld stond was de share benaderbaar. Het leek dus op een policy setting, echter zat de server op dat moment niet in het domein. Het moest dus wel een lokale policy zijn. Maar hoe komt die op een ‘vers’ uitgerolde server terecht.

Na wat zoekwerk op internet blijkt dat in MDT 2012 een nieuwe optie zit. MDT 2012 heeft de mogelijkheid om lokale policies in te stellen met de uitrol van een server. Deze functie heeft de naam GPOPack. Naast deze nieuwe functie heeft Microsoft bedacht dat het handig is om bij bepaalde OSen (Windows 2008/Vista SP2 en Windows 2008R2/Windows 7 SP1) gelijk maar een Baseline Security toe te passen. Deze lokale policies worden in de allerlaatste fase van de uitrol op de machine gezet (zodat ze de uitrol niet in de weg zitten). Wat verklaard waarom pas na een reboot de Samba share niet meer bereikbaar was. De instellingen die in deze default policies worden gezet, zijn hier te vinden in een excel sheet. Dit automatisch toepassen van de policy kan worden gestopt door ‘ApplyGPOPack=NO’ op te nemen in de customsettings.ini van MDT. Daarna was de server ook weer bereikbaar na een nieuwe uitrol.

sambashare3Maar stel dat je deze default beveiligingsinstellingen wel wil behouden. Welke optie zorgt er dan voor dat de Unix Samba share niet meer bereikbaar is. Na wat uitzoekwerk blijkt de optie ‘Microsoft network client: Digitally sign communications (always): Enabled’ hiervoor te zorgen. Als je deze optie disabled of terug zet op ‘not configured’ kan de Windows server weer de Unix Samba share benaderen zonder problemen.