Samba PDC - Probleme mit der Vertrauensstellung

Dieses Thema im Forum "Samba" wurde erstellt von rainbowwarrior, 29.07.2010.

  1. #1 rainbowwarrior, 29.07.2010
    rainbowwarrior

    rainbowwarrior Jungspund

    Dabei seit:
    08.01.2010
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo zusammen,

    ich habe seit einiger Zeit eine Samba Domänenstruktur mit LDAP als Backend im Einsatz. Seit kurzem häufen sich einige Probleme.

    Serverdaten
    • FreeBSD 8.0 Stable
    • Samba 3-3.10

    Problem mit der Vertrauensstellung
    Plötzlich haben manche Rechner, aktuell 2 Windows 7 Maschinen keine Vertrauensstellung mehr zur Domäne. Dabei arbeiten sie seit über einen Monat stabil und zuverlässig.

    Fehlermeldungen:
    Code:
    [2010/07/29 17:46:07,  0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
      _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC003 machine account PC003$
    [2010/07/29 17:46:07,  0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
      _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC003 machine account PC003$
    Nach einigen Reboots ( ca. 10 ) kann sich der Rechner plötzlich wieder anmelden.

    Die Frage ist, was kann ich tun um die Vertrauensstellung wieder herzustellen oder das Problem komplett zu vermeiden. Ich hoffe auf einen Tipp.

    Fehlermeldung bzgl. smbusers-Datei

    Häufig habe ich auch diese Meldung:

    Code:
    can't open username map /usr/local/etc/samba/smbusers. Error Permission denied
    Dabei dürften die Rechte doch eigentlich niemanden abweisen:
    Code:
    ls -al /usr/local/etc/samba/smbusers
    -rwxrwxrwx  1 root  wheel  37 Jan  8  2010 /usr/local/etc/samba/smbusers
    Code:
     cat /usr/local/etc/samba/smbusers
    root = administrator
    guest = nobody
    
    Fehlermeldung bzgl. getpeername socket

    Immer wieder und offenbar dann wenn ein Windows Client beim Loginversuch die Meldung erhält das kein Anmeldeserver zur Verfügung stünde, erhalten ich diese Fehlermeldung:

    Code:
    [2010/07/29 17:57:06,  0] lib/util_sock.c:read_socket_with_timeout(939)
    [2010/07/29 17:57:06,  0] lib/util_sock.c:get_peer_addr_internal(1676)
      getpeername failed. Error was Socket is not connected
      read_socket_with_timeout: client 0.0.0.0 read error = Socket is not connected.
    [2010/07/29 17:59:35,  0] lib/util_sock.c:read_socket_with_timeout(939)
    [2010/07/29 17:59:35,  0] lib/util_sock.c:get_peer_addr_internal(1676)
      getpeername failed. Error was Socket is not connected
    
    Ich habe irgendwo gelesen das man jene mit "smb ports = 139" weg bekommen würde. Das habe ich jedoch in der smb.conf drin.

    Dann habe ich noch ein weiteres, aber immerhin letztes Problem mit dem Zugriff von MAC-OS, aber da fang ich besser gar nicht erst mit an. :)

    Das sind mittlerweile echt viele arge Probleme, die mich verzweifeln lassen. Ich hoffe mir kann geholfen werden.

    smb.conf

    Code:
    [global]
        workgroup = DOMAIN
        netbios name = FILESERVER
        netbios aliases = PDC
        server string = %h (Samba PDC)
        passdb backend = ldapsam:ldap://10.0.0.2
        username map = /usr/local/etc/samba/smbusers
    
        add user script = /usr/local/sbin/smbldap-useradd -m '%u'
        delete user script = /usr/local/sbin/smbldap-userdel %u
        add group script = /usr/local/sbin/smbldap-groupadd -p '%g'
        delete group script = /usr/local/sbin/smbldap-groupdel '%g'
        add user to group script = /usr/local/sbin/smbldap-groupmod -m '%u' '%g'
        delete user from group script = /usr/local/sbin/smbldap-groupmod -x '%u' '%g'
        set primary group script = /usr/local/sbin/smbldap-usermod -g '%g' '%u'
        add machine script = /usr/local/sbin/smbldap-useradd -w '%u'
    
        unix extensions = no
        ea support = yes
    
        logon script = KIX32.EXE machmal.kix
        logon path = \\%L\profiles\%U
        hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/
    
        logon drive = f:
        socket options = TCP_NODELAY
        smb ports = 139
    
        log level = 5
        domain logons = Yes
        os level = 65
        preferred master = Yes
        domain master = Yes
        ldap suffix = dc=for-sale-digital,dc=de
        ldap machine suffix = ou=machines
        ldap user suffix = ou=accounts
        ldap group suffix = ou=groups
        ldap admin dn = cn=ldapAdmin,dc=firma,dc=de
        ldap ssl = no
        ldap passwd sync = Yes
        idmap uid = 15000-20000
        idmap gid = 15000-20000
    
        printing = cups
        load printers = yes
        printcap name = /usr/local/etc/printcap
    
        wins support = yes
        name resolve order = wins hosts bcast
        dns proxy = yes
    
        # NFS und SMB Shares
        include = /usr/local/etc/smb_shares.conf
    
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 rainbowwarrior, 02.08.2010
    rainbowwarrior

    rainbowwarrior Jungspund

    Dabei seit:
    08.01.2010
    Beiträge:
    19
    Zustimmungen:
    0
    Hi,

    heute sind es wieder mehr Rechner die Probleme machen und sich nicht an der Domäne anmelden lassen.

    Code:
      _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC006 machine account PC006$
    
    Mir ist aufgefallen, das im Syslog immer wieder zwischendurch diese Meldung auftaucht:

    Code:
    Jul 30 15:41:15 smbd: nss_ldap: could not search LDAP server - Server is unavailable
    
    Meine nss_ldap.conf
    Code:
    host ldap-ip-adress  
    base dc=firma,dc=de
    uri ldap://ldap-ip-adress
    uri ldap://ldap-url
    binddn cn=Admin,dc=firma,dc=de
    bindpw secret
    rootbinddn cn=Admin,dc=firma,dc=de
    timelimit 30
    bind_timelimit 30
    bind_policy soft
    nss_connect_policy persist
    
    Hat jemand eine Idee dazu?
     
  4. #3 saeckereier, 02.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ja, du hast zwei LDAP Server definiert, evtl. ist einer davon falsch?
     
  5. #4 rainbowwarrior, 02.08.2010
    rainbowwarrior

    rainbowwarrior Jungspund

    Dabei seit:
    08.01.2010
    Beiträge:
    19
    Zustimmungen:
    0
    Hi,

    Code:
    host ldap-ip-adress  
    
    uri ldap://ldap-ip-adress
    uri ldap://ldap-url
    
    Die sind alle 3 korrekt, habe das grade mit einem LDAP-Search geprüft.
    Ich habe jetzt die beiden LDAP-URI's mal auskommentiert. Muss ja nicht drin stehen, wenn es nicht benötigt wird...
     
  6. #5 rainbowwarrior, 04.08.2010
    Zuletzt bearbeitet: 04.08.2010
    rainbowwarrior

    rainbowwarrior Jungspund

    Dabei seit:
    08.01.2010
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo,

    ich versteh es einfach nicht.

    Ich habe immer wieder diese Meldung:
    smbd: nss_ldap: could not search LDAP server - Server is unavailable

    Das Ldap-Log ist sauber, dort gibt es keine Probleme. Ich habe nun auch einiges an den nss_ldap.conf Einstellungen verändert. Jedoch ohne jedlichen Erfolg. Die IP-Adresse vom LDAP-Server ist nun überall korrekt und die selbe. Ein DNS-Problem ist damit ausgeschlossen.

    Selbst wenn die Anmeldung am Client erfolgreich war, erhalte ich die oben genannte Meldung im Syslog.

    Hat noch jemand einen Ansatz?

    Die neuen nss_ldap und smb.conf Einstellungen:

    nss_ldap:

    smb.conf:

    ldap.conf:
     
  7. #6 rainbowwarrior, 23.10.2010
    rainbowwarrior

    rainbowwarrior Jungspund

    Dabei seit:
    08.01.2010
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo,

    mittlerweile ist das mit dem nicht zu erreichenden LDAP-Server gelöst. Es lag an einer libnss Einstellung.

    Jedoch existiert nach wie vor das Problem, das Windows Clients ( egal ob Windows XP oder Windows 7 ) nach einiger Zeit Ihre Vertrauensstellung verlieren.
    Code:
      _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC008 machine account PC008$
    Ich habe kürzlich die Policy "refuse machine password change" via pdbedit auf "1" gestellt. Das hat das Problem leider nicht behoben. Bei Windows 7 muss man offenbar den Registrierungsschlüssel DisableMachinePasswordChange ( o.ä. ) einschalten. Aber was ist mit Windows XP Clients? Liegt das Problem vielleicht doch woanders?

    Hat jemand vielleicht das selbe Problem mal gehabt?

    Freu mich über jeden Hinweis.

    Vielen Dank
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema: Samba PDC - Probleme mit der Vertrauensstellung
Besucher kamen mit folgenden Suchen
  1. samba win7 vertrauensstellung

    ,
  2. samba computer verlieren vertrauensstellung

    ,
  3. netlogon_creds_server_check failed

Die Seite wird geladen...

Samba PDC - Probleme mit der Vertrauensstellung - Ähnliche Themen

  1. Samba 3.6 on Centos probleme mit OSX 10.10

    Samba 3.6 on Centos probleme mit OSX 10.10: Hallo Zusammen Ich habe einen smb server der läuft auf einer linux Kiste und habe ein sehr großes problem. Wenn man viele files verschiebt...
  2. Samba Share auf DFS Link - Probleme

    Samba Share auf DFS Link - Probleme: Wir haben einen Win2008 R2 SP1 Server am laufen auf dem ein Verzeichnis z.B. F:\Austausch als Netzwerkshare freigegeben haben, in diesem...
  3. Samba - Acces und Mountprobleme

    Samba - Acces und Mountprobleme: Hallo, ich habe ein Problem den ich mit einem Samba 3.4.7 auf Ubuntu 10.4 laufen habe. Ich denke mir das es eigentlich kein Problem sein sollte...
  4. Probleme mit Samba

    Probleme mit Samba: Hallo Leute, ich habe zwei Problem mit Samba auf Debian Squezze. Das erste Problem ist das ich wenn ich von meinem Windows etwas auf das...
  5. Probleme mit Win7, UAC und Samba 3

    Probleme mit Win7, UAC und Samba 3: Hallo zusammen, (vorneweg möchte ich erwähnen, dass ich mich nicht gerade als Samba Profi bezeichnen würde, aber der Kollege der das...