Samba-PDC mit XP Pro Clients- Domain nicht erreichbar

C

cardillac

Grünschnabel
Hallo Samba-Profis,

versuche seit Tagen Samba als PDC(Domain Controller) zu konfigurieren. Ich habe alle gängigen Howtos beachtet, nichts unversucht gelassen. (vielleicht auch zuviel konfiguriert?!)

Trotzallem: erst kann ich am XP Pro Rechner der Domaine beitreten, nach dem Neustart kommt jedoch diese Fehlermeldung (sinngemäss):

DOMAINNAME\administrator kann nicht angemeldet werden, da die Domain DOMAINNAME nicht erreichbar ist bzw. das Computerkonto nicht gefunden wurde.

DOMAINNAME lautet natürlich anders...

Aus dieser schwammigen Windows-Meldung wird man natürlich nicht schlau...
oder doch?

Lokal angemeldet kann ich jedoch in der lokalen Benutzerverwaltung(XP) die von mir zuvor im Debian erzeugten Groupmappings (Domain Admins[512], Domain Computers[515], Domain Users[513]) und die beim Beitritt von Samba erzeugten Buitlin-Gruppen (Administrators, Users) über 'net groupmap list' sehen. Auch das Aufrufen von shares gelingt, nur das mir eben das Recht fehlt, bestimmte Domain-Shares zu öffnen, da ich ja kein Domainenmitglied bin.

- Benutze nicht(!) LDAP für die Anmeldung.
- Habe Computerkonten im unix und samba angelegt (ohne Passwort -amn).
- Mache alles als root bzw. administrator
- Passworte stimmen, denn beim Beitreten, merkt der Samba, wenn ich mich vertippe
- Habe root mit net groupmap.. auf Administrator (SID: S-...-500) gemappt
- Habe S-Admins(unixgroup) auf 'Domain Admins'(ntgroup) gemappt
- Gruppenzuordnungen: root u. administrator gehören den 'Domain Admins'->S-Admins an
- Habe administrator,root,"Domain Admins" mit 'net rpc rights grant' alle Rechte gegeben
- nein, es gibt keine plain text Passwörter, deshalb 'encrypt passwords = Yes' entspr. Sicherheitsrichtlinie (XP, gpedit.msc) deaktiviert
- ping DC3 geht vom XP aus

Debian 2.6.8-3-686, sarge
Samba 3.0.24
Apache 1.3

Client: XP Pro SP2, Fujitsu Siemens OEM

Ja, ich weiss nicht mehr weiter...


in c:\windows\debug\NetSetup.LOG steht, dass es nicht möglich war das Computerkonto zu erstellen,... aber das habe ich ja auch schon selber vorher getan.. auch wenn ich das Samba-Maschinenkonto für den beizutretenden Client-Rechner lösche, damit XP es selber versuchen kann, kommt die gleiche Fehlermeldung:

c:\windows\debug\NetSetup.LOG
07/08 13:18:27 -----------------------------------------------------------------
07/08 13:18:27 NetpDoDomainJoin
07/08 13:18:27 NetpMachineValidToJoin: 'PC08'
07/08 13:18:27 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:27 NetpMachineValidToJoin: status: 0x0
07/08 13:18:27 NetpJoinDomain
07/08 13:18:27 Machine: PC08
07/08 13:18:27 Domain: DOMAINNAME
07/08 13:18:27 MachineAccountOU: (NULL)
07/08 13:18:27 Account: DOMAINNAME\administrator
07/08 13:18:27 Options: 0x27
07/08 13:18:27 OS Version: 5.1
07/08 13:18:27 Build number: 2600
07/08 13:18:27 ServicePack: Service Pack 2
07/08 13:18:27 NetpValidateName: checking to see if 'DOMAINNAME' is valid as type 3 name
07/08 13:18:27 NetpCheckDomainNameIsValid [ Exists ] for 'DOMAINNAME' returned 0x0
07/08 13:18:27 NetpValidateName: name 'DOMAINNAME' is valid for type 3
07/08 13:18:27 NetpDsGetDcName: trying to find DC in domain 'DOMAINNAME', flags: 0x1020
07/08 13:18:27 NetpDsGetDcName: found DC '\\DC3' in the specified domain
07/08 13:18:27 NetpJoinDomain: status of connecting to dc '\\DC3': 0x0
07/08 13:18:27 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:27 NetpGetNt4RefusePasswordChangeStatus: trying to read from '\\DC3'
07/08 13:18:27 NetpGetNt4RefusePasswordChangeStatus: RefusePasswordChange == 0
07/08 13:18:27 NetpLsaOpenSecret: status: 0xc0000034
07/08 13:18:27 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:27 NetpLsaOpenSecret: status: 0xc0000034
07/08 13:18:28 NetpManageMachineAccountWithSid: NetUserAdd on '\\DC3' for 'PC08$' failed: 0x8b0
07/08 13:18:28 NetpManageMachineAccountWithSid: status of attempting to set password on '\\DC3' for 'PC08$': 0x0
07/08 13:18:28 NetpJoinDomain: status of creating account: 0x0
07/08 13:18:28 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:28 NetpSetLsaPrimaryDomain: for 'DOMAINNAME' status: 0x0
07/08 13:18:28 NetpJoinDomain: status of setting LSA pri. domain: 0x0
07/08 13:18:28 NetpJoinDomain: status of managing local groups: 0x0
07/08 13:18:28 NetpJoinDomain: status of setting netlogon cache: 0x0
07/08 13:18:29 NetpJoinDomain: status of clearing ComputerNamePhysicalDnsDomain: 0x0
07/08 13:18:29 NetpUpdateW32timeConfig: 0x0
07/08 13:18:29 NetpJoinDomain: status of disconnecting from '\\DC3': 0x0
07/08 13:18:29 NetpDoDomainJoin: status: 0x0
07/08 13:24:04 -----------------------------------------------------------------
in /var/log/samba/log.PC08$ steht

[2007/07/08 13:13:42.898425, 0, pid=4229, effective(0, 0), real(0, 0)] lib/util_sock.c:write_data(562)
write_data: write failure in writing to client 192.168.0.8. Error Connection reset by peer
[2007/07/08 13:13:42.898624, 0, pid=4229, effective(0, 0), real(0, 0)] lib/util_sock.c:send_smb(769)
Error writing 4 bytes to client. -1. (Connection reset by peer)
[2007/07/08 13:14:30.827378, 0, pid=4230, effective(0, 0), real(0, 0)] smbd/service.c:make_connection_snum(849)
Can't become connected user!

in /var/log/samab/log.nmbd steht

Copyright Andrew Tridgell and the Samba Team 1992-2006
[2007/07/08 12:21:25.290929, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_logonnames.c:add_logon_names(163)
add_domain_logon_names:
Attempting to become logon server for workgroup DOMAINNAME on subnet 192.168.0.3
[2007/07/08 12:21:25.291277, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(290)
become_domain_master_browser_bcast:
Attempting to become domain master browser on workgroup DOMAINNAME on subnet 192.168.0.3
[2007/07/08 12:21:25.291468, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(303)
become_domain_master_browser_bcast: querying subnet 192.168.0.3 for domain master browser on workgroup DOMAINNAME
[2007/07/08 12:21:30.548344, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_logonnames.c:become_logon_server_success(124)
become_logon_server_success: Samba is now a logon server for workgroup DOMAINNAME on subnet 192.168.0.3
[2007/07/08 12:21:34.547791, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)
*****
Samba server DC3 is now a domain master browser for workgroup DOMAINNAME on subnet 192.168.0.3
*****
[2007/07/08 12:21:48.545644, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
*****
Samba name server DC3 is now a local master browser for workgroup DOMAINNAME on subnet 192.168.0.3
*****

meine smb.conf

[global]
workgroup = DOMAINNAME
server string = %h Server
passdb backend = tdbsam
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
username level = 2
syslog = 100
log file = /var/log/samba/log.%m
max log size = 1000
debug hires timestamp = Yes
debug pid = Yes
debug uid = Yes
logon path = \\%N\profile\%U
domain logons = Yes
domain master = Yes
dns proxy = No
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 500-20000
idmap gid = 500-20000
template homedir = /home/user/%U
winbind use default domain = Yes
valid users = "Domain Admins","Domain Users","Domain Computers",@S-Admins,@S-Users,@S-Computers,root,administrator
admin users = "Domain Admins",root,administrator
profile acls = Yes

[homes]
comment = Datenverzeichnis von %S
valid users = %S
create mask = 0700
directory mask = 0700
profile acls = Yes

[netlogon]
comment = Anmeldeservice
path = /home/user/%U/netlogon
profile acls = Yes

[profile]
comment = Benutzerprofile
path = /home/profile
valid users = "Domain Admins",S-Admins
profile acls = Yes

/etc/network/interfaces

# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.0.3
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
# dns-nameservers 192.168.0.254
# dns-search DOMAINNAME



Kann einer der eingefleischten Profis oder auch Anfänger weiterhelfen???

Danke für jeden Tip!
 
mit WINS auf dem Samba aktiviert (wins support = Yes) und IP des Samba in der WINS-Konf. der Netzwerkkarten der Windows-Rechner ging's schliesslich sofort.

Der Tip kam von einem Mitglied auf debianforum-punkt-de.
 
Windows XP SP2 an Domain anmelden

Windows XP SP2 verlangt zwingend einen WINS-Server vor der Anmeldung an Samba 2.2.8. Ich wollte das nur bestätigen, weil ich den Fehler auch über 2 Tage lang gesucht habe.

Zusätzzlich müssen die Group Policies bein WinXP SP2 geändert werden:

Systemsteuerung -> Verwaltung -> "Lokale Sicherheitsrichtline" starten
-> Loale Richtlinien -> Sicherheitsoptionen -> "Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)" DEAKTIVIEREN
(von "http://www.tuxfutter.de/wiki/Windows_in_eine_SAMBA-Dom%C3%A4ne_eingliedern")

Die Option "Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)" muss auf "AKTIV" gesetzt sein, ebenso "... digital signieren (wenn möglich)". Sonst kann der Rechner zwar der Domäne beitreten, aber es kann sich kein Benutzer anmelden. Windows XP gibt dann die kryptische Fehlermeldung "Die Prozedurauswahl liegt außerhalb des erlaubten Bereiches" aus (warum auch immer).

HTH

Reinhard
 
Zuletzt bearbeitet von einem Moderator:

Ähnliche Themen

Samba 4.1.11 Domänen anbindung funktioniert nicht !!!

Samba 4.1.3 auf falschen Netzwerkinterface

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

zwei Sambaserver binden

Windows clients können nicht mehr auf lange laufendes System zugreifen

Zurück
Oben