E
-eraz-
Tripel-As
Ich habe mehrere RedHat Server, die ich in die Domäne Joinen will. Dazu habe ich vorab einen Installiert und für die Domäne konfiguriert, das hat auch nach einigem hin und her funktioniert. Der erste Server hängt also in der Domäne.
Noch bevor ich den ersten Server in die Domäne gehängt habe, habe ich ein Image davon abgezogen. Nachdem ich nun ein funktionierendes Image hatte, habe ich dieses auf die anderen Server aufgespielt. Beim ersten mit dem Image erstellten Server funktioniert der Domänenjoin noch einwandrei, aber bei allen anderen nun nicht mehr...?!
Nach ausführen des Befehls "net join -w DOMAIN.LOCAL -S DOMAINCRONTROLLER -U ADMINUSER"
Kommt folgendes:
Username und Passwort stimmt sicher, ich hab's oft genug versucht. Der RHEL Server hängt dann irgendwie so halb in der Domäne.
Folgede Befehle geben das aus:
Die Domaincontroller kann ich per nslookup mit und ohne DNS Suffix auflösen.
Meine smb.conf:
Geloggte Meldungen in /var/log/messages:
Geloggte Meldungen in /var/log/samba/winbindd.log:
Noch bevor ich den ersten Server in die Domäne gehängt habe, habe ich ein Image davon abgezogen. Nachdem ich nun ein funktionierendes Image hatte, habe ich dieses auf die anderen Server aufgespielt. Beim ersten mit dem Image erstellten Server funktioniert der Domänenjoin noch einwandrei, aber bei allen anderen nun nicht mehr...?!
Nach ausführen des Befehls "net join -w DOMAIN.LOCAL -S DOMAINCRONTROLLER -U ADMINUSER"
Kommt folgendes:
Code:
USER@DOMAIN.LOCAL Preauthentication failed
Failed to join to domain: Logon failure
ADS join did not work, falling back to RPC...
Could not connect to server DOMAINCRONTROLLER
The username or password was not correct
Could not connect to server DOMAINCRONTROLLER
The username or password was not correct
Connection failed: NT_STATUS_LOGON_FAILURE
Username und Passwort stimmt sicher, ich hab's oft genug versucht. Der RHEL Server hängt dann irgendwie so halb in der Domäne.
Folgede Befehle geben das aus:
Code:
[root@hostname ~]# net ads testjoin
[2010/01/20 17:35:27, 0] libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password HOSTNAME$@DOMAIN.LOCAL failed: Client not found in Kerberos database
[2010/01/20 17:35:27, 0] libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password HOSTNAME$@DOMAIN.LOCAL failed: Client not found in Kerberos database
Join to domain is not valid: Improperly formed account name
Code:
[root@hostname ~]# kinit -V aduser
Password for aduser@DOMAIN.LOCAL:
Authenticated to Kerberos v5
[root@hostname ~]#
Code:
[root@hostname ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: aduser@DOMAIN.LOCAL
Valid starting Expires Service principal
01/20/10 17:51:06 01/21/10 03:56:08 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
renew until 01/21/10 17:51:06
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Code:
[root@hostname ~]# wbinfo -u
Error looking up domain users
Die Domaincontroller kann ich per nslookup mit und ohne DNS Suffix auflösen.
Meine smb.conf:
Code:
workgroup = DOMAIN
password server = domaincrontroller1.domain.local domaincontroller2.domain.local
realm = DOMAIN.LOCAL
security = ads
allow trusted domains = no
idmap backend = rid:DOMAIN..local=10000-200000
winbind cache time = 7776000
idmap uid = 10000-200000
idmap gid = 10000-200000
winbind nested groups = yes
winbind separator = \
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = true
winbind refresh tickets = true
encrypt passwords = yes
obey pam restrictions = yes
Geloggte Meldungen in /var/log/messages:
Jan 20 16:30:43 hostname winbindd[19496]: [2010/01/20 16:30:43, 0] nsswitch/idmap.c:smb_register_idmap(146)
Jan 20 16:30:43 hostname winbindd[19496]: Idmap module rid already registered!
Jan 20 16:30:43 hostnamewinbindd[19496]: [2010/01/20 16:30:43, 0] lib/module.c:do_smb_load_module(69)
Jan 20 16:30:43 hostname winbindd[19496]: Module '/usr/lib64/samba/idmap/rid.so' initialization failed: NT_STATUS_OBJECT_NAME_COLLISION
Jan 20 15:30:21 t12rqib winbindd[2224]: rpc_api_pipe: Remote machine dnsserver.local pipe \lsarpc fnum 0xcreturned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
Jan 20 15:30:21 hostname winbindd[2224]: [2010/01/20 15:30:21, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_ntlmssp_internal(2363)
Jan 20 15:30:21 hostname winbindd[2224]: cli_rpc_pipe_open_ntlmssp_internal: cli_rpc_pipe_bind failed with error NT_STATUS_INVALID_PARAMETER
Jan 20 15:30:21 hostname winbindd[2224]: [2010/01/20 15:30:21, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel_with_key(2537)
Jan 20 15:30:21 hostname winbindd[2224]: cli_rpc_pipe_open_schannel_with_key: cli_rpc_pipe_bind failed with error NT_STATUS_NETWORK_ACCESS_DENIED
Geloggte Meldungen in /var/log/samba/winbindd.log:
[2010/01/20 18:01:01, 5] nsswitch/winbindd_async.c:lookupname_recv(850)
lookupname_recv: unable to determine forest root
[2010/01/20 18:01:01, 10] nsswitch/winbindd_cache.c:lookup_groupmem(1879)
lookup_groupmem: [Cached] - cached info for domain DOMAIN status: NT_STATUS_UNSUCCESSFUL
[2010/01/20 18:01:01, 1] nsswitch/winbindd_group.c:fill_grent_mem(365)
could not lookup membership for group sid S-1-5-21-1913674976-3749364880-3420908912-4578 in domain DOMAIN (error: NT_STATUS_UNSUCCESSFUL)