<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p><br>
    </p>
    <br>
    <div class="moz-cite-prefix">On 08/06/17 16:35, Christian Garling
      wrote:<br>
    </div>
    <blockquote
      cite="mid:fe34e614-0822-6ce4-bc58-217290322ae0@cg-networks.de"
      type="cite">
      <meta http-equiv="content-type" content="text/html;
        charset=windows-1252">
      <p>Hello list,</p>
      <p>a few days ago we migrated our shares to a DFS cluster, also we
        disabled SMBv1 protocol. Now we are no longer able to connect to
        the shares with our linux workstations. The setup looks like
        this:</p>
      <p>linux workstation -----> AD server (Windows Server 2008 R2)
        -----> file server (Windows Server 2016, running in 2008 R2
        compat mode)</p>
      <p>I have searched the web for a solution on the last few days.
        Mostly it came down to this:</p>
      <p>Take care that smbclient, cifs-utils and keyutils is installed.
        Also have these lines in /etc/request-key.conf:</p>
      <pre class="code-java">create  cifs.spnego     *       *               /usr/sbin/cifs.upcall %k
create  dns_resolver    *       *               /usr/sbin/cifs.upcall %k

</pre>
      <p>My setup satisfies these requirements. I have tried the
        connection with these commands (I replaced our domain with
        example.com):<br>
      </p>
      <p>mount -v -t cifs //office.example.com/technik /mnt/dfs -o
        username=c.garling,domain=OFFICE,vers=2.0<br>
        mount -v -t cifs //office.example.com/technik /mnt/dfs -o
        username=c.garling,domain=OFFICE,vers=2.1</p>
      <p>If I do so I can see this in tcpdump:</p>
      <p>100.392000390 192.168.23.107 -> 192.168.15.6 SMB2 172
        Negotiate Protocol Request<br>
        100.393121936 192.168.15.6 -> 192.168.23.107 SMB2 318
        Negotiate Protocol Response<br>
        100.393223968 192.168.23.107 -> 192.168.15.6 SMB2 190 Session
        Setup Request, NTLMSSP_NEGOTIATE<br>
        100.394178092 192.168.15.6 -> 192.168.23.107 SMB2 390 Session
        Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED,
        NTLMSSP_CHALLENGE<br>
        100.394295512 192.168.23.107 -> 192.168.15.6 SMB2 494 Session
        Setup Request, NTLMSSP_AUTH, User: OFFICE\c.garling<br>
        100.397795864 192.168.15.6 -> 192.168.23.107 SMB2 142 Session
        Setup Response<br>
        100.397895000 192.168.23.107 -> 192.168.15.6 SMB2 198 Tree
        Connect Request Tree: \\office.example.com\technik<br>
        100.398866908 192.168.15.6 -> 192.168.23.107 SMB2 143 Tree
        Connect Response, Error: STATUS_BAD_NETWORK_NAME</p>
      <p>My client directly tries to connect to the share on
        192.168.15.6, but this is the AD server that should forward to
        192.168.15.17 which is the file server.</p>
      <p>I also traced the connection attempt with wireshark. In the
        request sent from my workstation I found this message in the
        flags:</p>
      <p>"This host does NOT support DFS."</p>
      <p>We re-enabled SMBv1 for testing purposes. With SMBv1 the
        connection to the DFS works with the command above but vers=1.0.</p>
      <p>I can not figure out why DFS does not work when vers=2.0 or
        vers=2.1 will be used. We tested some different distros (Linux
        Mint 18.1, Debian 8, Debian 9, Gentoo) with different kernel
        versions.</p>
      <p>Please ask me for further information, if I missed something.<br>
      </p>
      <p>Any help is welcome!</p>
      <p>Regards, Christian Garling<br>
      </p>
    </blockquote>
    <br>
  </body>
</html>