PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Profile können sporadisch nicht geladen werden



ramsys
30.01.2006, 17:57
Erstmal Hallo und gleich n ertser Thread von mir.

Hab bisher noch leider keine wirkliche oder annähernde Lösung gefunden.
Habe einen PDC mit Ldab backend am laufen.
Solange jeder brav an seinem PC bleibt ist alles roger.
Sobald die Leute angangen sich an anderen PCs anzumelden wirds komisch.
Mal werden die Profile geladen und mal halt nicht. Heute hats heute mich mit meinem Testprofil erwischt welches ich zum erledigen Administrativer Aufgaben nutze. Nach 7 oder 8 Rechner konnte es plötzlich nicht mehr geladen werden und das lokale wurde genutzt. Unten am Ursprungsrechner wurde das Profil normal geladen. Wenn nichts geht lösche benenne ich eines der Profile um. Meist auf dem Server. Das geht dann eine weile gut.
Manche bekommen auch sofort ein problem wenn sie sich an einen anderen PC anmelden. Dort kommt die Meldung das das Profil nicht geladen werden konnte obwohl das Profilo auf den PC kopiert wurde.

Ich nutzt smb 3.0.20 und suse 9.3.
Auf den Clients ist w2ksp4.
Die üblichen einstellungen im gpedit habe ich auch schon gesetzt.
Den loglevel erhöhe ich morgen um dort etwas mehr zu sehen.
Im MOment steht er auf 2 ohne bei einem Fehlerhaften login etwas anderes zu zeigen als nach einem normalen Login.



[global]
netbios name = xxxxxxxxx
workgroup = xxxxxxxx
Server string = Windows %v
time server = yes
wins support = yes

username map = /etc/samba/smbusers
map to guest = Bad User

ldap passwd sync = yes
ldap admin dn = cn=Manager,dc=sg,dc=xxxxxxxx,dc=de
ldap suffix = dc=sg,dc=xxxxxxx,dc=de
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap delete dn = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap ssl = no

log level = 2
log file = /var/log/samba/log.%m
max log size = 10000

# Dos charset = 850
# Unix charset = UTF8
# Display charset = UTF8

logon path = \\%L\profiles\%U
logon drive = H:
logon script = logon.bat

os level = 65
security = user
encrypt passwords = yes
domain logons = yes
domain master = yes
local master = yes
preferred master = yes

add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"

# preserve case = yes
# short preserve case = yes
# case sensitive = yes
# guest account = nobody

[netlogon]
comment = Network Logon Service
path = /usr/home/netlogon
browseable = no
read only = yes
[homes]
comment = Home Directories
path = /usr/home/user/%U/Documents
valid users = %U, '@Domain Admin'
browseable = no
writeable = yes
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = /usr/home/profiles
valid users = %U, '@Domain Admins'
read only = no
store dos attributes = yes
create mask = 0600
directory mask = 0700
# profile acls = yes
browseable = no
inherit permissions = yes

Wenn hier jemand weiterhelfen kann wäre es super.
Gibt es irgendwelche mir nicht bekannte bugs?

Gruß Mike

hedora
03.04.2006, 09:17
Hast Du das Problem gelöst?
Ich plage mich mit dem gleichen Mist.
Die einzige Hilfe, die ich gefunden habe, kommt von Microsoft und bezieht sich auf das Entladen von Profilen: http://support.microsoft.com/kb/837115/de
Anfangs dachte ich, dass die Fehler nicht so oft auftreten würden, mittlerweile bin ich mir nicht mehr so sicher.

Selloso
19.08.2006, 03:07
Hallo,

hat jemand von Euch beiden das Problem bereits behoben?
Bei meinem Fall ist eine korrekte Anmeldung nur nach einer gewissen Wartezeit (>1 min.) möglich. Gibt es irgendwelche Einstellungen über gpedit.msc, die mir da weiter helfen könnten?

Ich danke Euch
Sel

mcas
19.08.2006, 09:01
Kann das ein Problem mit der DNS Auflösung bzw. mit WINS sein? Ist nur so eine Vermutung.

Selloso
19.08.2006, 10:58
Kann das ein Problem mit der DNS Auflösung bzw. mit WINS sein? Ist nur so eine Vermutung.

Hi mcas,

das kann ich nicht ausschließen. Hast Du eine Idee, welche Einstellung ich anpassen sollte?

Danke
Sel

mcas
19.08.2006, 12:01
Poste mal deine global Section aus deiner smb.conf vll. kann man da was erkennen. Kannst du dich den normal an der Maschine anmelden per ssh oder so?

AndreasMeyer
20.08.2006, 18:12
Eventuell hilft die (bei dir auskommentierte Option) "profile acls". Ansonsten die Ereignissanzeige der Windows-Clients und die Samba-Log-Dateien untersuchen!


profile acls (S)
This boolean parameter was added to fix the problems that people
have been having with storing user profiles on Samba shares from
Windows 2000 or Windows XP clients. New versions of Windows 2000
or Windows XP service packs do security ACL checking on the
owner and ability to write of the profile directory stored on a
local workstation when copied from a Samba share.

When not in domain mode with winbindd then the security info
copied onto the local workstation has no meaning to the logged
in user (SID) on that workstation so the profile storing fails.
Adding this parameter onto a share used for profile storage
changes two things about the returned Windows ACL. Firstly it
changes the owner and group owner of all reported files and
directories to be BUILTIN\\Administrators, BUILTIN\\Users
respectively (SIDs S-1-5-32-544, S-1-5-32-545). Secondly it adds
an ACE entry of "Full Control" to the SID BUILTIN\\Users to
every returned ACL. This will allow any Windows 2000 or XP work-
station user to access the profile.

Note that if you have multiple users logging on to a workstation
then in order to prevent them from being able to access each
others profiles you must remove the "Bypass traverse checking"
advanced user right. This will prevent access to other users
profile directories as the top level profile directory (named
after the user) is created by the workstation profile code and
has an ACL restricting entry to the directory tree to the owning
user.

Default: profile acls = no

Selloso
24.08.2006, 21:53
Poste mal deine global Section aus deiner smb.conf vll. kann man da was erkennen. Kannst du dich den normal an der Maschine anmelden per ssh oder so?

Hi mcas,

entschuldige bitte, dass ich erst jetzt antworte. Hier die global selection:


netbios name = space
workgroup = starfleet
passdb backend = tdbsam, smbpasswd
os level = 255
preferred master = yes
domain master = yes
local master = yes
security = user
domain logons = yes
log file = /var/log/samba/log.%M
unix password sync = yes
server string = Space
wins support = yes
logon script = logon.cmd
update encrypted = yes
logon drive = M:
logon home = \\%N\%U
logon path = \\%N\%U\profile
encrypt passwords = yes
time server = yes


Ich hoffe, mir kann geholfen werden. :)

Danke
Sel

AndreasMeyer
24.09.2006, 12:34
Kontrolliere mit pdbedit -u -L <Benutzername>, ob Samba alle Einstellungen korrekt vom LDAP einliest und die Profile-Angaben korrekt sind (kein Platzhalter "%L"):
http://wiki.bsdforen.de/index.php/FreeBSD_-_Samba_PDC#Pdbedit

Selloso
02.10.2006, 20:13
Hi Andreas,

das ist die Ausgabe, die ich bekomme. Ich habe den Benutzer, Vor- und Nachnamen durch Platzhalter ersetzt. Fällt Dir irgendetwas Ungewöhnliches auf?

Vielen Dank und viele Grüße
Sel



Unix username: [Benutzername]
NT username:
Account Flags: [U ]
User SID: S-1-5-21-2061847221-2344170220-4226334385-3000
Primary Group SID: S-1-5-21-2061847221-2344170220-4226334385-513
Full Name: [Vorname] [Nachname]
Home Directory: \\space\[Benutername]
HomeDir Drive: M:
Logon Script: logon.cmd
Profile Path: \\space\[Benutzername]\profile
Domain: STARFLEET
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: Thu, 29 Jun 2006 09:14:52 GMT
Password can change: Thu, 29 Jun 2006 09:14:52 GMT
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

AndreasMeyer
08.10.2006, 21:04
Aus # man smb.conf:


Windows clients can sometimes maintain a connection to the
[homes] share, even though there is no user logged in. There-
fore, it is vital that the logon path does not include a refer-
ence to the homes share (i.e. setting this parameter to
\\%N\homes\profile_path will cause problems).

Besser wäre:

# Heimverzeichnis des Benutzers
logon drive = M:
logon home = \\%L\%u

# Standort der Benutzerprofile
logon path = \\%L\profiles\%u