RHELv5 Join in W2K3 Domäne funktioniert nicht richtig

[-eraz-]

Ich habe mehrere RedHat Server, die ich in die Domäne Joinen will. Dazu habe ich vorab einen Installiert und für die Domäne konfiguriert, das hat auch nach einigem hin und her funktioniert. Der erste Server hängt also in der Domäne.

Noch bevor ich den ersten Server in die Domäne gehängt habe, habe ich ein Image davon abgezogen. Nachdem ich nun ein funktionierendes Image hatte, habe ich dieses auf die anderen Server aufgespielt. Beim ersten mit dem Image erstellten Server funktioniert der Domänenjoin noch einwandrei, aber bei allen anderen nun nicht mehr...?!

Nach ausführen des Befehls "net join -w DOMAIN.LOCAL -S DOMAINCRONTROLLER -U ADMINUSER"

Kommt folgendes:

USER@DOMAIN.LOCAL Preauthentication failed
Failed to join to domain: Logon failure
ADS join did not work, falling back to RPC...
Could not connect to server DOMAINCRONTROLLER
The username or password was not correct
Could not connect to server DOMAINCRONTROLLER
The username or password was not correct
Connection failed: NT_STATUS_LOGON_FAILURE

Username und Passwort stimmt sicher, ich hab's oft genug versucht. Der RHEL Server hängt dann irgendwie so halb in der Domäne.
Folgede Befehle geben das aus:

[root@hostname ~]# net ads testjoin
[2010/01/20 17:35:27, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password HOSTNAME$@DOMAIN.LOCAL failed: Client not found in Kerberos database
[2010/01/20 17:35:27, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password HOSTNAME$@DOMAIN.LOCAL failed: Client not found in Kerberos database
Join to domain is not valid: Improperly formed account name

[root@hostname ~]# kinit -V aduser
Password for aduser@DOMAIN.LOCAL:
Authenticated to Kerberos v5
[root@hostname ~]#

[root@hostname ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: aduser@DOMAIN.LOCAL

Valid starting     Expires            Service principal
01/20/10 17:51:06  01/21/10 03:56:08  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
        renew until 01/21/10 17:51:06


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

[root@hostname ~]# wbinfo -u
Error looking up domain users

Die Domaincontroller kann ich per nslookup mit und ohne DNS Suffix auflösen.

Meine smb.conf:

workgroup = DOMAIN
   password server = domaincrontroller1.domain.local domaincontroller2.domain.local
   realm = DOMAIN.LOCAL
   security = ads
   allow trusted domains = no
   idmap backend = rid:DOMAIN..local=10000-200000
   winbind cache time = 7776000
   idmap uid = 10000-200000
   idmap gid = 10000-200000
   winbind nested groups = yes
   winbind separator = \
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind use default domain = true
   winbind offline logon = true
   winbind refresh tickets = true

   encrypt passwords = yes
   obey pam restrictions = yes

Geloggte Meldungen in /var/log/messages:

Jan 20 16:30:43 hostname winbindd[19496]: [2010/01/20 16:30:43, 0] nsswitch/idmap.c:smb_register_idmap(146)
Jan 20 16:30:43 hostname winbindd[19496]: Idmap module rid already registered!
Jan 20 16:30:43 hostnamewinbindd[19496]: [2010/01/20 16:30:43, 0] lib/module.c:do_smb_load_module(69)
Jan 20 16:30:43 hostname winbindd[19496]: Module '/usr/lib64/samba/idmap/rid.so' initialization failed: NT_STATUS_OBJECT_NAME_COLLISION

Jan 20 15:30:21 t12rqib winbindd[2224]: rpc_api_pipe: Remote machine dnsserver.local pipe \lsarpc fnum 0xcreturned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
Jan 20 15:30:21 hostname winbindd[2224]: [2010/01/20 15:30:21, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_ntlmssp_internal(2363)
Jan 20 15:30:21 hostname winbindd[2224]: cli_rpc_pipe_open_ntlmssp_internal: cli_rpc_pipe_bind failed with error NT_STATUS_INVALID_PARAMETER
Jan 20 15:30:21 hostname winbindd[2224]: [2010/01/20 15:30:21, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel_with_key(2537)
Jan 20 15:30:21 hostname winbindd[2224]: cli_rpc_pipe_open_schannel_with_key: cli_rpc_pipe_bind failed with error NT_STATUS_NETWORK_ACCESS_DENIED

Geloggte Meldungen in /var/log/samba/winbindd.log:

[2010/01/20 18:01:01, 5] nsswitch/winbindd_async.c:lookupname_recv(850)
lookupname_recv: unable to determine forest root

[2010/01/20 18:01:01, 10] nsswitch/winbindd_cache.c:lookup_groupmem(1879)
lookup_groupmem: [Cached] - cached info for domain DOMAIN status: NT_STATUS_UNSUCCESSFUL
[2010/01/20 18:01:01, 1] nsswitch/winbindd_group.c:fill_grent_mem(365)
could not lookup membership for group sid S-1-5-21-1913674976-3749364880-3420908912-4578 in domain DOMAIN (error: NT_STATUS_UNSUCCESSFUL)

 

[T-One]

Hi,

zwei kurze Infos noch bitte:
1. Ist die Zeit auf beiden Servern gleich?
2. Es müsste Security-Meldungen auf dem DC im Event-Viewer geben, bitte posten.

Danke

 

[-eraz-]

Die Zeit stimmt auf beiden, ja... war eins der ersten Dinge die ich kontrolliert habe.
Die Einträge im Eventlog des Domänencontroller liefere ich noch nach, ich hab auf die DC's leider keine Adminrechte, muss deswegen noch nen Kollegen belästigen.

/edit
Was mir noch aufgefallen ist:
Wenn man sich die Ausgabe von "net ads testjoin" mal anschaut, dann sieht man, dass er den Maschinennamen so ausgibt:
HOSTNAME$@DOMAIN.LOCAL

Ist es normal, dass nach dem Hostnamen ein '$' Zeichen drin ist?

/edit2
Also wir haben jetzt mal am DC geschaut und haben nur das gefunden:

Event Type:	Success Audit
Event Source:	Security
Event Category:	Account Management 
Event ID:	646
Date:		21.01.2010
Time:		14:13:38
User:		DOMAIN\admin
Computer:	DOMAINCONTROLLER
Description:
Computer Account Changed:
 	-
 	Target Account Name:	hostname$
 	Target Domain:	RVS
 	Target Account ID:	hostname
DEL:46da5657-4a1e-46ce-817b-e4911f65f539
 	Caller User Name:	admin
 	Caller Domain:	DOMAIN
 	Caller Logon ID:	(0x0,0x7F1B0D0)
 	Privileges:	-
 Changed Attributes:
 	Sam Account Name:	-
 	Display Name:	-
 	User Principal Name:	-
 	Home Directory:	-
 	Home Drive:	-
 	Script Path:	-
 	Profile Path:	-
 	User Workstations:	-
 	Password Last Set:	21.01.2010 14:13:38
 	Account Expires:	-
 	Primary Group ID:	-
 	AllowedToDelegateTo:	-
 	Old UAC Value:	0x85
 	New UAC Value:	0x280
 	User Account Control:	
		Account Enabled 
		'Password Not Required' - Disabled 
		'Don't Expire Password' - Enabled 
 	User Parameters:	-
 	Sid History:	-
 	Logon Hours:	-
 	DNS Host Name:	-
 	Service Principal Names:	-
 

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

/edit3
Oh man, was für eine Zeitverschwendung. Hab den Fehler wohl endlich gefunden... Am DNS Server waren die Server noch nicht angelegt!! Server angelegt -> Domänenjoin läuft einwandfrei... tja so kann man sich auch beschäftigen *gg*