Samba PDC - Probleme mit der Vertrauensstellung

R

rainbowwarrior

Jungspund
Hallo zusammen,

ich habe seit einiger Zeit eine Samba Domänenstruktur mit LDAP als Backend im Einsatz. Seit kurzem häufen sich einige Probleme.

Serverdaten
  • FreeBSD 8.0 Stable
  • Samba 3-3.10

Problem mit der Vertrauensstellung
Plötzlich haben manche Rechner, aktuell 2 Windows 7 Maschinen keine Vertrauensstellung mehr zur Domäne. Dabei arbeiten sie seit über einen Monat stabil und zuverlässig.

Fehlermeldungen:
Code:
[2010/07/29 17:46:07,  0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
  _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC003 machine account PC003$
[2010/07/29 17:46:07,  0] rpc_server/srv_netlog_nt.c:_netr_ServerAuthenticate2(555)
  _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC003 machine account PC003$

Nach einigen Reboots ( ca. 10 ) kann sich der Rechner plötzlich wieder anmelden.

Die Frage ist, was kann ich tun um die Vertrauensstellung wieder herzustellen oder das Problem komplett zu vermeiden. Ich hoffe auf einen Tipp.

Fehlermeldung bzgl. smbusers-Datei

Häufig habe ich auch diese Meldung:

Code:
can't open username map /usr/local/etc/samba/smbusers. Error Permission denied

Dabei dürften die Rechte doch eigentlich niemanden abweisen:
Code:
ls -al /usr/local/etc/samba/smbusers
-rwxrwxrwx  1 root  wheel  37 Jan  8  2010 /usr/local/etc/samba/smbusers

Code:
 cat /usr/local/etc/samba/smbusers
root = administrator
guest = nobody

Fehlermeldung bzgl. getpeername socket

Immer wieder und offenbar dann wenn ein Windows Client beim Loginversuch die Meldung erhält das kein Anmeldeserver zur Verfügung stünde, erhalten ich diese Fehlermeldung:

Code:
[2010/07/29 17:57:06,  0] lib/util_sock.c:read_socket_with_timeout(939)
[2010/07/29 17:57:06,  0] lib/util_sock.c:get_peer_addr_internal(1676)
  getpeername failed. Error was Socket is not connected
  read_socket_with_timeout: client 0.0.0.0 read error = Socket is not connected.
[2010/07/29 17:59:35,  0] lib/util_sock.c:read_socket_with_timeout(939)
[2010/07/29 17:59:35,  0] lib/util_sock.c:get_peer_addr_internal(1676)
  getpeername failed. Error was Socket is not connected

Ich habe irgendwo gelesen das man jene mit "smb ports = 139" weg bekommen würde. Das habe ich jedoch in der smb.conf drin.

Dann habe ich noch ein weiteres, aber immerhin letztes Problem mit dem Zugriff von MAC-OS, aber da fang ich besser gar nicht erst mit an. :)

Das sind mittlerweile echt viele arge Probleme, die mich verzweifeln lassen. Ich hoffe mir kann geholfen werden.

smb.conf

Code:
[global]
    workgroup = DOMAIN
    netbios name = FILESERVER
    netbios aliases = PDC
    server string = %h (Samba PDC)
    passdb backend = ldapsam:ldap://10.0.0.2
    username map = /usr/local/etc/samba/smbusers

    add user script = /usr/local/sbin/smbldap-useradd -m '%u'
    delete user script = /usr/local/sbin/smbldap-userdel %u
    add group script = /usr/local/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/local/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/local/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/local/sbin/smbldap-groupmod -x '%u' '%g'
    set primary group script = /usr/local/sbin/smbldap-usermod -g '%g' '%u'
    add machine script = /usr/local/sbin/smbldap-useradd -w '%u'

    unix extensions = no
    ea support = yes

    logon script = KIX32.EXE machmal.kix
    logon path = \\%L\profiles\%U
    hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/

    logon drive = f:
    socket options = TCP_NODELAY
    smb ports = 139

    log level = 5
    domain logons = Yes
    os level = 65
    preferred master = Yes
    domain master = Yes
    ldap suffix = dc=for-sale-digital,dc=de
    ldap machine suffix = ou=machines
    ldap user suffix = ou=accounts
    ldap group suffix = ou=groups
    ldap admin dn = cn=ldapAdmin,dc=firma,dc=de
    ldap ssl = no
    ldap passwd sync = Yes
    idmap uid = 15000-20000
    idmap gid = 15000-20000

    printing = cups
    load printers = yes
    printcap name = /usr/local/etc/printcap

    wins support = yes
    name resolve order = wins hosts bcast
    dns proxy = yes

    # NFS und SMB Shares
    include = /usr/local/etc/smb_shares.conf
 
Hi,

heute sind es wieder mehr Rechner die Probleme machen und sich nicht an der Domäne anmelden lassen.

Code:
  _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC006 machine account PC006$

Mir ist aufgefallen, das im Syslog immer wieder zwischendurch diese Meldung auftaucht:

Code:
Jul 30 15:41:15 smbd: nss_ldap: could not search LDAP server - Server is unavailable

Meine nss_ldap.conf
Code:
host ldap-ip-adress  
base dc=firma,dc=de
uri ldap://ldap-ip-adress
uri ldap://ldap-url
binddn cn=Admin,dc=firma,dc=de
bindpw secret
rootbinddn cn=Admin,dc=firma,dc=de
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist

Hat jemand eine Idee dazu?
 
Ja, du hast zwei LDAP Server definiert, evtl. ist einer davon falsch?
 
Hi,

Code:
host ldap-ip-adress  

uri ldap://ldap-ip-adress
uri ldap://ldap-url

Die sind alle 3 korrekt, habe das grade mit einem LDAP-Search geprüft.
Ich habe jetzt die beiden LDAP-URI's mal auskommentiert. Muss ja nicht drin stehen, wenn es nicht benötigt wird...
 
Hallo,

ich versteh es einfach nicht.

Ich habe immer wieder diese Meldung:
smbd: nss_ldap: could not search LDAP server - Server is unavailable

Das Ldap-Log ist sauber, dort gibt es keine Probleme. Ich habe nun auch einiges an den nss_ldap.conf Einstellungen verändert. Jedoch ohne jedlichen Erfolg. Die IP-Adresse vom LDAP-Server ist nun überall korrekt und die selbe. Ein DNS-Problem ist damit ausgeschlossen.

Selbst wenn die Anmeldung am Client erfolgreich war, erhalte ich die oben genannte Meldung im Syslog.

Hat noch jemand einen Ansatz?

Die neuen nss_ldap und smb.conf Einstellungen:

nss_ldap:

host 10.0.0.5
base dc=firma,dc=de
binddn cn=ldapAdmin,dc=firma,dc=de
bindpw secret
rootbinddn cn=ldapAdmin,dc=firma,dc=de
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
nss_paged_results yes
pagesize 1000
nss_base_group ou=groups,dc=firma,dc=de?sub
ssl off

smb.conf:

workgroup = DOMAIN
netbios name = SERVER
netbios aliases = PDC
server string = %h (Samba PDC)
passdb backend = ldapsam:ldap://10.0.0.5
username map = /usr/local/etc/samba/users.map

add user script = /usr/local/sbin/smbldap-useradd -m '%u'
delete user script = /usr/local/sbin/smbldap-userdel %u
add group script = /usr/local/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/local/sbin/smbldap-groupdel '%g'
add user to group script = /usr/local/sbin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/local/sbin/smbldap-groupmod -x '%u' '%g'
set primary group script = /usr/local/sbin/smbldap-usermod -g '%g' '%u'
add machine script = /usr/local/sbin/smbldap-useradd -w '%u'

unix extensions = no
ea support = yes

logon script = KIX32.EXE netlogon.kix
logon path = \\%L\profiles\%U
hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/

logon drive = f:
socket options = TCP_NODELAY

smb ports = 139

log level = 2
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
ldap suffix = dc=firma,dc=de
ldap machine suffix = ou=machines
ldap user suffix = ou=accounts
ldap group suffix = ou=groups
ldap admin dn = cn=ldapAdmin,dc=firma,dc=de
ldap ssl = no
ldap passwd sync = Yes

idmap backend = ldap:ldap://10.0.0.5
idmap uid = 15000-20000
idmap gid = 15000-20000
idmap alloc backend = ldap
idmap alloc config : ldap_url = ldap://ldapserver
idmap alloc config : ldap_base_dn = ou=idmaps,dc=firma,dc=de
ldap idmap suffix = ou=idmaps

printing = cups
load printers = yes
printcap name = /usr/local/etc/printcap

wins support = yes
winbind separator = +
winbind use default domain = Yes
name resolve order = wins hosts bcast
dns proxy = no

ldap.conf:
BASE dc=firma,dc=de
URI ldap://10.0.0.5

SIZELIMIT 12
TIMELIMIT 15
#DEREF never
 
Zuletzt bearbeitet:
Hallo,

mittlerweile ist das mit dem nicht zu erreichenden LDAP-Server gelöst. Es lag an einer libnss Einstellung.

Jedoch existiert nach wie vor das Problem, das Windows Clients ( egal ob Windows XP oder Windows 7 ) nach einiger Zeit Ihre Vertrauensstellung verlieren.
Code:
  _netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PC008 machine account PC008$

Ich habe kürzlich die Policy "refuse machine password change" via pdbedit auf "1" gestellt. Das hat das Problem leider nicht behoben. Bei Windows 7 muss man offenbar den Registrierungsschlüssel DisableMachinePasswordChange ( o.ä. ) einschalten. Aber was ist mit Windows XP Clients? Liegt das Problem vielleicht doch woanders?

Hat jemand vielleicht das selbe Problem mal gehabt?

Freu mich über jeden Hinweis.

Vielen Dank
 

Ähnliche Themen

Samba-Server mit Univention Corporate Server

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Samba Dateien und Ordner verschieben

Problem bei der Vergabe von Sciherheitsinformationen auf eine Freiagbe

Samba 4.1.11 Domänen anbindung funktioniert nicht !!!

Zurück
Oben