Samba-Domäne

[fisi23]

Hallo,

ich will mir eine Domäne unter Samba einrichten. Nun hat alles wunderbar geklappt und ich konnte einen NT Rechner auch in die Domäne aufnehmen. Anschließend wollte der NT Rechner einen Neustart. Nun hat er allerdings das Problem, dass er den passenden Domänencontroller nicht finden will und sich somit auch nicht anmelden kann.

Samba ist als WINS Server konfiguriert.

Oder dauert es einfach sehr lange bis sich der Domänencontroller "bekannt" gemacht hat?

Habt Ihr eine Idee?

danke!

[Alde]

poste mal bitte deine smb.conf.

Alex

edit: Hast du für deine NT Maschine einen Account auf dem Samba erstellt?

im übrigen siehe hier

[gambit1978]

check mal über "testparm" die secure channel daten -> diese müssen auf dem samba und auch auf dem nt syncron eingestellt sein! ansonsten mault der mit solchen meldungen wie der von dir beschriebenen rum.

die betreffenden parameter müssen i.d.R explizit angegeben werden, entweder in der smb.conf oder du bastelst in der registry deiner nt-maschine rum -> je nachdem was dir lieber ist

[fisi23]

Hallo.

das ist die smb.conf

# Global parameters

[global]

workgroup = domaene

map to guest = Bad User

username map = /etc/samba/smbusers

printcap cache time = 750

printcap name = cups

add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %***

logon path = \\%L\profiles\.msprofile

logon drive = P:

logon home = \\%L\%U\.9xprofile

domain logons = Yes

os level = 100

preferred master = Yes

domain master = Yes

wins support = Yes

printer admin = @ntadmin, root, administrator

cups options = raw

include = /etc/samba/dhcp.conf

[profiles]

comment = Network Profiles Service

path = %H

read only = No

create mask = 0600

directory mask = 0700

store dos attributes = Yes

[users]

comment = All users

path = /home

read only = No

inherit acls = Yes

veto files = /aquota.user/groups/shares/

[groups]

comment = All groups

path = /home/groups

read only = No

inherit acls = Yes

[printers]

comment = All Printers

path = /var/tmp

create mask = 0600

printable = Yes

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin, root

force group = ntadmin

create mask = 0664

directory mask = 0775

[netlogon]

comment = Network Logon Service

path = /var/lib/samba/netlogon

write list = root

[cdrom]

comment = cdrom

path = /cdrom

guest ok = Yes

[homes]

valid users = %S

read only = No

browseable = No

Das mit testparm konnte ich noch nicht testen. Werd es aber bald machen und hoff ich bekomm es hin. Bin nämlich noch nicht so vertraut mit Linux.

Hoffe Ihr habt noch ein paar Ideen, wo der Fehler liegen könnte!

DANKE!

[gambit1978]

Das mit testparm konnte ich noch nicht testen. Bin nämlich noch nicht so vertraut mit Linux.

Ist von der Sache her ganz einfach.

Einfach den Befehl "testparm -v" bei laufendem samba server ausführen.

Da dann alle (ca 1500) Parameter runtergerasselt werden empfiehlt es sich an den Befehl eine sog. Pipe (Umleitung) nach "less" oder "more" anzuhängen.

Sieht dann so aus: "testparm -v | less"

Die uns interessierenden samba Parameter sind: client schannel, client signing, server schannel, server signing.

Unter WinXP kann man die Werte folgendermassen nachvollziehen: Start -> Einstellungen -> Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie -> Lokale Richtlinien -> Sicherheitsoptionen.

Darunter gibts nen Bereich in dem mehrfach "Microsoft-Netwerk" auftaucht. Hier gibts Server und Client Einstellungen -> diese müssen analog den Einstellungen in der smb.conf sein!

Meist ist dies auch schon der Fall, nur hatte ich in der Vergangenheit nun schon öfter den Fall das sie doch nicht syncron eingestellt waren. Und wenn das SMB-Signing nicht sauber rockt, wird der Samba als DC nie seinen Dienst aufnehmen.

[fisi23]

@ Alde:

Ja, hab ich. Das Aufnehmen in die Domäne klappt ja auch...

Aber nach einem Neustart funktioniert das Anmelden nicht.

Die Meldung kommt aber wirklich sofort und es dauert auch nicht lange bis der Client meckert, dass er den Domänencontroller nicht findet.

Warum bloss?!

@ gambit1978:

es handelt sich um einen NT Rechner und da finde ich die passenden Einstellungen nicht...

[BlindGuardian]

ich hatte auch ein aehnlihces problem. du musst zuerst einen maschinenaccount fuer den client einrichten. das benutzerkonto heist genauso wie der name des clients. hatte aber auch probleme das richtig einzurichten, hab dann hier bei der linksammlung nen guten verweis gefunden wo maschinenkonten automatisch erstellt werden. hier mal der LINK

[fisi23]

Ich habe doch bereits ein Konto für den Rechner angelegt. Ansonsten hätte die Aufnahme in die Domäne auch nicht geklappt.

[s1653]

Hallo,

ich kenne ebenfalls das Problem aus meinem alten Job. Dort (50 XP-Clients, 1 Suse 9.3 Server / PDC / Samba-Server) gab es auch ziemliche Wartezeiten beim Anmelden an die Domäne. Es lief meist so ab, dass nach dem Anmelden die Meldung kam, dass das Servergespeicherte Profil nicht geladen werden konnte, und dass ein lokales Profil ausgeführt wird. Nach erneuter Abmeldung und dem Warten von ca. 1 Minute ging es dann einwandfrei. So als ob der Client erst eine Weile braucht eine Verbindung zum Server zu bekommen, und dass es erst dann hin haut.

Ich kann von dieser Konstellation her aber ausschließen, dass das Netz die Ursache war (Gigabit, kein Wireless) oder die Samba-Version (auch nach Update selbes Problem), sowie Machine-Accounts o.ä., da die Konfiguration einwandfrei ist und bei einigen Rechnern läuft, bei anderen nicht.

Lösungen haben wir leider nie gefunden, außer die Clients in Geduld zu schulen.

Vielleicht den Rechner nochmal aus der Domäne abmelden und wieder anmelden, das half oft bei Rechnern die über Images installiert wurden.

Viel Erfolg!

[fisi23]

@ s1653

genau, dieses Phänomen habe ich auch beobachtet. Mittlerweile klappt das Anmelden, aber ab und an kommt die Meldung mit dem Serverprofil. Evtl. könnte es an der Firewall von SUSE liegen?! Aber ein Arbeiten und diesen Bedingungen (einmal klappt es / einmal nicht) kann ja nicht das Wahre sein.

Gruß und schönes Wochenende!

[cane]

Mal die Pakete mitgeschnitten um nachvollziehen was genau da solange dauert?

Ich weiß von Problemen beim OpenLDAP, sind aber normalerweise erst ab mehreren tausend Clients relevant...

Das muss doch zu lösen sein...

mfg

cane

[Alde]

Mal was anderes, sieh mal in der Datei hosts deiner Windowsmaschine und trage mal deinen Domänencontroller ein.

Die Datei steht unter "C:/WINNT/System32/drivers/etc/".

Vielleicht funzt dein DNS nicht richtig...

Alde

[fisi23]

Hallo.

Habe nun den lmhost Eintrag vorgenommen. Leider ohne Erfolg.

Ich vermute, dass es an der SUSE Firewall liegt. Sobald ich diese ausschalte funktioniert alles. Was muss bei der Firewall Konfiguration eingetragen sein?

Unter "Erlaubte Dienste" steht Samba bereits unter der externen Zone.

Ich check auch nicht ganz, warum Samba unter externer Zone stehen muss. Ist mit extern nicht zum Beispiel eine Modem Schnittstelle o.ä. gemeint?

Vielleicht kann mir ja jemand weiterhelfen,

würde mich freuen!

Gruß

fisi23

[cane]

Samba & SuSE machen viele(n) Probleme.

Was macht man immer zuerst?

Genau: Alle Logs checken ob was drinsteht, also /var/log/messages und die Logs von smdb und nmdb und winbind, hoffe das sind alle, unter /var/log/samba/

mfg

cane

[fisi23]

Leider steht in den Logdateien auch nichts auffälliges drin. Aber danke, es war mal ein Versuch wert.

Es ist eh komisch:

beim ersten Versuch mit Firewall kommt die Meldung, dass die Verbindung zum PDC und somit das Profil nicht verfügbar ist. Wenn ich dann die Firewall stoppe, klappt es bei der 2ten Anmeldung.

Starte ich dann wieder die Firewall und melde den Windows NT User noch mal ab und anschließend wieder an, funktioniert der Austausch auch mit Firewall.

Ich als Linux Newbie find das schon sehr komisch und habe wirklich keine Idee mehr!

[cane]

Hört sich danach an das bestimmte Ports geblockt werden.

Wenn Du angemeldet bist und die Firewall wieder anmachst bist Du ja noch angemeldet - deswegen klappt es weiterhin.

Also testen welche Ports Samba braucht - müssten vier stück sein...

mfg

cane

[fisi23]

Hallo,

habe jetzt nochmals die Firewall ausgeschaltet.

Dann die Windows Anmeldung durchgeführt.

Und leider funktioniert es immer noch nicht.

Es kann keine Verbindung zum DC hergestellt werden.

Aber das Homelaufwerk ist verfügbar...

Warum denn bloß?

[cane]

Logs durchsehen bzw. den Loglevel erhöhen wird garantiert etwas bringen. Samba loggt eigentlich recht aussagekräftig...

mfg

cane