Problem mit Samba und WIN2003 Domäne

Dieses Thema im Forum "Samba" wurde erstellt von Bifi, 03.08.2006.

  1. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hallöchen zusammen,

    ich hoffe das mir hier jemand weiterhelfen kann. Ich bin langsam wirklich am verzweifeln.
    Hier mal meine Gegebenheiten:
    - Windows 2003 Server (FAKTURA) mit Domäne (Name: DOELKER)
    - SUSE 10.0 mit Samba (3.0.23a-0.1.34)

    - nssswitch.conf :

    Code:
    passwd: files winbind
    shadow: files
    group:  files winbind
    
    # passwd: compat
    # group:  compat
    
    hosts:	files dns winbind
    networks:       files dns
    
    services:       files
    protocols:      files
    rpc:		files
    ethers:		files
    netmasks:       files
    netgroup:       files
    publickey:	files
    
    bootparams:     files
    automount:      files nis
    aliases:        files
    
    
    Mein Ziel war/ist es die Linuxmaschnine an unser Active Dirctory anzubinden. Ich habe dies auch vor Ewigkeiten mit unserer alten Linuxmaschine hinbekommen, nur die neue Installation bereitet mir Sorgen.

    Die Anmeldung über net rpc join -U Administrator%'passwort' gab immer folgende Meldung zurück :
    "failed to get schannel session key from server FAKTURA for domain DOELKER."

    Trotz dieser Fehlermeldung hat er den LINUX-Server im Active Directory angelegt und mittels wbinfo -u / -g bekomme ich die Benutzer/Gruppen auch angezeigt. getent passwd Administrator funktioniert soweit auch.

    Möchte ich von Windows auf den Linux-Server zugreifen sagt er mir das die Vertrauensstellung mit der primären Domäne nicht hergestellt werden konnte.

    Das Samba log ist beim Neustart des SambaServers einwandfrei, sobald ich dann die oben besagte Fehlermeldung beim Zugriff bekomme ist das Logfile überfüllt mit Fehlermeldungen.

    Code:
    [2006/08/03 15:09:58, 0] smbd/server.c:main(847)
      smbd version 3.0.23a-0.1.34%nil-SUSE-SL10.0 started.
      Copyright Andrew Tridgell and the Samba Team 1992-2006
    [2006/08/03 15:09:58, 1] param/loadparm.c:lp_do_parameter(3426)
      WARNING: The "printer admin" option is deprecated
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \lsarpc to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:domain_client_validate(206)
      domain_client_validate: Domain password server not available.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \lsarpc to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:domain_client_validate(206)
      domain_client_validate: Domain password server not available.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \lsarpc to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:18, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:18, 0] auth/auth_domain.c:domain_client_validate(206)
      domain_client_validate: Domain password server not available.
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \lsarpc to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:domain_client_validate(206)
      domain_client_validate: Domain password server not available.
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \lsarpc to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:19, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
      cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine FAKTURA.  Error was NT_STATUS_ACCESS_DENIED
    [2006/08/03 15:10:19, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2673)
      cli_rpc_pipe_open_schannel: failed to get schannel session key from server FAKTURA for domain DOELKER.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:connect_to_domain_password_server(112)
      connect_to_domain_password_server: unable to open the domain client session to machine FAKTURA. Error was : NT_STATUS_ACCESS_DENIED.
    [2006/08/03 15:10:19, 0] auth/auth_domain.c:domain_client_validate(206)
      domain_client_validate: Domain password server not available.
    
    Ich hoffe ich habe an alle wichtigen Infos gedacht.
    Danke schonmal für euer Bemühen
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 phrenicus, 03.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    ist Kerberos sauber konfiguriert?
    Was sagt klist? Hast Du am Anfang kinit ausgeführt und ein TGT vom Win-Server bekommen? Und ist die Maschine wirklich im AD? Sieht mir eher so aus, als ob der Windows-Rechner den Linux-Rechner zwar kennt, aber nicht wirklich im AD als Member Server hat.

    Gruß
     
  4. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hi,

    meinst du Kerberos auf dem Win-Server oder auf dem Linuxrechner? Auf dem Linuxrechner müsste mir doch der Kerberos-Client genügen oder?

    klist sagt mir:
    Credentials cache /tmp/krb5cc_0 not found.

    kinit? TGT? Steh ich grad auf dem Schlauch? Ich hab das ganze damals per Webmin gemacht *schäm*.

    Vom Win2k3 Server gesehen sehe ich den Rechner nicht nur im Netz sondern auch in der Active-Directory-Verwaltung als PRÄ-2000 Computer.
     
  5. #4 phrenicus, 05.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    genau, der Kerberos-Client ist natürlich wichtig.
    Ein TGT ist ein Ticket-Granting-Ticket, das Du vom AD-Server bekommen solltest. Offenbar hast Du keines und bist deshalb auch nicht im AD.
    /etc/krb5.conf ordentlich konfigurieren, Realm und Domain eintragen. Dann größten Wert darauf legen, dass der DNS-Server absolut sauber konfiguriert ist (wenn er auf dem AD-Server läuft). Anschließend
    Code:
    linux:~ # kinit -U Administrator%Passwort
    
    und mit klist überprüfen, ob Du das TGT bekommen hast. Danach kannst Du Dich ins AD aufnehmen lassen. Du bist jetzt jedenfalls nicht ordentlich drin, so viel steht fest:
    Code:
    net ads join -U Administrator
    
    und nach Eingabe des Passworts sollte es tun.

    Gruß
     
  6. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hi,

    also ich habe am Wochenende erst mal Suse neu aufgesetzt, nach meinem vielen rumprobieren war es mir lieber ein frisches System zu haben und dieses nochmals sauber zu konfigurieren.

    Also ein "kinit -U Administrator%Passwort" sagt bei mir nur "invalid option -- U". Entsprechend sagt er mir bei klist das keine Tickets gecached sind.

    Müsste ich kinit nicht so aufrufen :
    kinit Administrator@domain.de
    Und danach das Passwort eingeben? Nach dem Passwort werde ich noch gefragt, aber da bekomme ich nur die Meldung "kinit(v5): KDC reply did not match expectations while getting initial credentials". Und da hänge ich dann wieder, hab auch schon nach dieser Meldung "gegoogeled" aber nichts passendes gefunden.

    Meine /etc/krb5.conf sieht übrigens so aus :
    PHP:
    [libdefaults]
        
    default_realm EDV-DOELKER.DE

    [realms]
        
    EDV-DOELKER.DE = {
            
    kdc 192.168.10.1
    }

    [
    logging]
        
    kdc FILE:/var/log/krb5kdc.log
        admin_server 
    FILE:/var/log/kadmin.log
        
    default = FILE:/var/log/krb5lib.log

    [domain_realms]
        
    EDV-DOELKER.DE EDV-DOELKER.DE

    [appdefaults]
        
    pam = {
            
    ticket_lifetime 1d
            renew_lifetime 
    1d
            forwardable 
    true
            proxiable 
    false
            retain_after_close 
    false
            minimum_uid 
    0
            try_first_pass 
    true
    }

     
  7. #6 phrenicus, 07.08.2006
    Zuletzt bearbeitet: 07.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    Nein, sondern so:

    Code:
    kinit Administrator@REALM.DE
    
    Das Realm wird immer groß geschrieben. Aber Du hast Recht, dass -U falsch ist. Mein Fehler, ich hab so was nicht immer auswendig im Kopf.

    Dann hast Du noch einen kleinen Fehler in der /etc/krb5.conf:

    Das ist eine Umsetzung der Domain und des Realm. Die Domain wird in der Regel klein geschrieben:

    Code:
    [domain_realms]
        .edv-doelker.de = EDV-DOELKER.DE 
    
    sollte gehen. Du solltest ferner KEINE IP-Adresse als KDC angeben, sondern einen Hostnamen (den des AD Servers). Beim Betrieb eines AD MUSS der DNS absolut sauber konfiguriert sein, sonst kannst Du es völlig vergessen.
    Du musst also den Windows-Server unter seinem DNS-Namen erreichen und er muss Deinen Rechner unter seinem Namen kennen (IP reicht nicht).

    Gruß
     
  8. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Guten Morgen,

    erstmal danke für deine ausführlichen Hilfen :)
    Aber es will noch immer noch nicht so recht klappen, nach den Änderungen deines letzten Beitrages bekomme ich immerhin das Kerberos-Ticket, aber in die Domäne will er mich immernoch nicht lassen.

    Er meldet immer :
    Code:
    linux:~ # net ads join -U Administrator
    Administrator's password:
    Using short domain name -- EDV-DOELKER
    [2006/08/08 08:24:27, 0] utils/net_rpc_join.c:net_rpc_join_ok(70)
      net_rpc_join_ok: failed to get schannel session key from server faktura.edv-doelker.de for domain EDV-DOELKER. Error was NT_STATUS_ACCESS_DENIED
    Failed to verify membership in domain!
    
    Dns-Auflösung funktioniert in beide Richtungen korrekt mit linux.edv-doelker.de und faktura.edv-doelker.de.
    Kann es sein das ich noch irgendwo die Domain großgeschrieben habe so wie den Realm? In einer anderen conf-Datei?
     
  9. #8 Havoc][, 08.08.2006
    Havoc][

    Havoc][ Debian && Gentoo'ler

    Dabei seit:
    27.07.2003
    Beiträge:
    898
    Zustimmungen:
    0
    Ort:
    GER/BaWü/Karlsruhe (bzw. GER/NRW/Siegen)
    Hallo Bifi,

    Am Ende deiner Fehlermeldung steht "NT_STATUS_ACCESS_DENIED". Ich glaube zwar das du das Passwort mehrmals eingegeben hast, aber kann das vielleicht Probleme machen? Das gleiche sagt der smbclient auch wenn man nicht genügend Rechte hat um auf einen Share zu connecten.

    Havoc][
     
  10. #9 phrenicus, 08.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo Bifi und Havoc,

    ja, das glaube ich auch. Möglicherweise ist der Linux-Rechner auch dem Windows-Server noch "unsauber" bekannt. Vielleicht kannst Du ihn zuerst aus der AD-Verwaltung werfen und dann neu hinzufügen.
    Wenn Du ein Kerberos-TGT bekommen hast, dann hat mal jedenfalls das Admin-Passwort gestimmt ;-) Und der Beitritt zum AD sollte dann jedenfalls möglich sein.

    Gruß
     
  11. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Also das Passwort habe ich, wie Havoc schrieb, schon mehr als oft eingegeben *g*. Ich habe auch einen anderen User-Account mit vollen Adminrechten probiert, aber auch ohne Erfolg.

    Ich habe vor meiner Neuinstallation den Rechner aus dem AD entfernt, bei einem net ads join registriert er ihn wieder ... auch ein manuelles Erstellen vor dem join half nicht.

    Was verstehst du denn unter "unsauber"?
     
  12. #11 phrenicus, 08.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    ich möchte prüfen, ob Dein Linux-Rechner den Windows-Server als KDC erkennt:

    Code:
    net lookup kdc EDV-DOELKER.DE
    
    sollte die IP des Windows-Rechners ausspucken.
    Kannst Du mit

    Code:
    net ads user
    die Benutzer sehen?
    Ansonsten stell mal bitte sicher, dass Dein Passwort den Regeln entspricht. Das machst Du unter Windows über die Gruppenrichtlinien. Passwörter wie "1234" gehen gar nicht und werden abgelehnt.
    Und - wie immer - ist der DNS wirklich absolut sauber? Das ist m.E. die häufigste Fehlerquelle bei der Integration.

    Gruß
     
  13. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hi,

    net lookup kdc EDV-DOELKER.DE gibt nichts zurück, Cursor steht einfach wieder in der Shell als wäre nichts gewesen.

    net ads user zeigt mir korrekt die Benutzer meines Windows-Servers.
    Das Passwort ist den Richtlinine entsprechend, habe sogar schon 2 mal einen neuen Admin angelegt mit entsprechenden Rechten und Passwörtern die absolut den Komplexitätseinstellungen von Win2003 entsprechen.

    Mein DNS Server löst auch alles korrekt auf und meldet keinerlei Fehler.
    Langsam bin ich am verzweifeln :(
    Danke ;)
     
  14. #13 phrenicus, 08.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    Hier stimmt schon was nicht. Welchen DNS-Server benutzt Dein Linux-Server?
    Das Problem am DNS mit AD ist, dass die Windows-Schüsseln alle möglichen Kerberos-Einträge im DNS speichern. Der Verdacht liegt also nahe, dass es wirklich der DNS-Server ist, mit dem was nicht stimmt. Prüf nochmal alles, auch die Rückwärtsauflösung, leer den Cache des DNS-Servers und schau nach, ob Dein TGT inzwischen verfallen ist oder ob Du schon ein neues hast.
    Ansonsten wieder kinit (Du weißt schon).

    Damit muss es etwas zu tun haben. Vielleicht hast DU auch irgendwelchen Kerberos-Output in einem Logfile stehen (/var/log/krb5.log oder so).
    Und lies die Ereignisprotokolle des Windows-Servers. Da steht drin, wenn eine Anmeldung erfolglos war und warum (jedenfalls warum der Windows-Server glaubt, warum).

    Gruß
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. Bifi

    Bifi Grünschnabel

    Dabei seit:
    03.08.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hi,

    sorry war nun anderweitig mit einem streikenden Exchange-Server beschäftigt *g*.
    Also die Namensauflösung ist meiner Meinung nach korrekt:

    Code:
    linux:~ # nslookup edv-doelker.de
    Server:         192.168.10.1
    Address:        192.168.10.1#53
    
    Name:   edv-doelker.de
    Address: 192.168.10.1
    Name:   edv-doelker.de
    Address: 169.254.79.12
    
    Code:
    linux:~ # ping faktura
    PING faktura.edv-doelker.de (192.168.10.1) 56(84) bytes of data.
    64 bytes from faktura.edv-doelker.de (192.168.10.1): icmp_seq=1 ttl=128 time=0.151 ms
    64 bytes from faktura.edv-doelker.de (192.168.10.1): icmp_seq=2 ttl=128 time=0.135 ms
    
    --- faktura.edv-doelker.de ping statistics ---
    2 packets transmitted, 2 received, 0% packet loss, time 999ms
    rtt min/avg/max/mdev = 0.135/0.143/0.151/0.008 ms
    
    Code:
    linux:~ # ping linux
    PING linux.site (192.168.10.2) 56(84) bytes of data.
    64 bytes from linux.site (192.168.10.2): icmp_seq=1 ttl=64 time=0.085 ms
    
    --- linux.site ping statistics ---
    1 packets transmitted, 1 received, 0% packet loss, time 0ms
    rtt min/avg/max/mdev = 0.085/0.085/0.085/0.000 ms
    
    Die zweite Adresse bei nslookup auf meine Domäne macht mich etwas stutzig, aber ich glaube das ist ein DHCP-IP-Adressbereich von MS. Bei einem Ping auf den Linux-Rechner selbst kommt linux.site zurück, muss da schon linux.edv-doelker.de stehen? Normalerweise sollte das eigentlich meiner Meinung nach so sein da ich den Host ja in meiner Forward-Lookup-Zone eingetragen habe.
    Könnte daher der Fehler kommen?
     
  17. #15 phrenicus, 17.08.2006
    phrenicus

    phrenicus Routinier

    Dabei seit:
    24.05.2006
    Beiträge:
    253
    Zustimmungen:
    0
    Ort:
    Tübingen, Germany
    Hallo,

    wenn ich sage, dass der DNS 100% korrekt sein muss, dann meine ich auch 100%. Was soll linux.site für eine Domain sein? Das ist falsch. Des weiteren hast Du nicht gezeigt, dass der Windows-Rechner den Linux-Rechner kennt. Wenn Du vom Linux-Rechner auf den Linux-Rechner pingst, ist wohl kaum ein DNS-Server im Spiel. Also bring Dein DNS in Ordnung. Da liegt der Fehler.

    Gruß
     
Thema:

Problem mit Samba und WIN2003 Domäne

Die Seite wird geladen...

Problem mit Samba und WIN2003 Domäne - Ähnliche Themen

  1. Problem mit Win-Zugriff auf SAMBA

    Problem mit Win-Zugriff auf SAMBA: Hallo rundherum, vielleicht hat jemand eine Idee... Habe jetzt schon 1 1/2 Tage damit verbraten und den Fehler nicht gefunden. Problem:...
  2. Samba 3.6 on Centos probleme mit OSX 10.10

    Samba 3.6 on Centos probleme mit OSX 10.10: Hallo Zusammen Ich habe einen smb server der läuft auf einer linux Kiste und habe ein sehr großes problem. Wenn man viele files verschiebt...
  3. Samba Freigabe Windows Problem

    Samba Freigabe Windows Problem: Ich habe ein Problem mit einer Samba Freigabe (Debian) unter Windows. Meine config http://pastebin.com/18ncwngr Mit smbclient -U ftp...
  4. skuriles Samba Problem

    skuriles Samba Problem: Hi, ich habe hier folgene Konstallation: - Fileserver - Debian Squeeze - hat Shares via Samba für die Windows-Benutzer - Samba...
  5. Problem mit A1-Mobile Broadband und Samba sharing

    Problem mit A1-Mobile Broadband und Samba sharing: Ich betreibe einen Linux/Debian-Squeeze (LAMP) Server mit Samba 3.5.6. Ich kann auf definierte shares über Telecom-Austria-Festnetz von einem...