Profile können sporadisch nicht geladen werden

R

ramsys

Grünschnabel
Erstmal Hallo und gleich n ertser Thread von mir.

Hab bisher noch leider keine wirkliche oder annähernde Lösung gefunden.
Habe einen PDC mit Ldab backend am laufen.
Solange jeder brav an seinem PC bleibt ist alles roger.
Sobald die Leute angangen sich an anderen PCs anzumelden wirds komisch.
Mal werden die Profile geladen und mal halt nicht. Heute hats heute mich mit meinem Testprofil erwischt welches ich zum erledigen Administrativer Aufgaben nutze. Nach 7 oder 8 Rechner konnte es plötzlich nicht mehr geladen werden und das lokale wurde genutzt. Unten am Ursprungsrechner wurde das Profil normal geladen. Wenn nichts geht lösche benenne ich eines der Profile um. Meist auf dem Server. Das geht dann eine weile gut.
Manche bekommen auch sofort ein problem wenn sie sich an einen anderen PC anmelden. Dort kommt die Meldung das das Profil nicht geladen werden konnte obwohl das Profilo auf den PC kopiert wurde.

Ich nutzt smb 3.0.20 und suse 9.3.
Auf den Clients ist w2ksp4.
Die üblichen einstellungen im gpedit habe ich auch schon gesetzt.
Den loglevel erhöhe ich morgen um dort etwas mehr zu sehen.
Im MOment steht er auf 2 ohne bei einem Fehlerhaften login etwas anderes zu zeigen als nach einem normalen Login.


Code:
[global]
	netbios name = xxxxxxxxx	
	workgroup = xxxxxxxx
	Server string = Windows %v
	time server = yes
	wins support = yes
	
	username map = /etc/samba/smbusers
	map to guest = Bad User
	
	ldap passwd sync = yes
	ldap admin dn = cn=Manager,dc=sg,dc=xxxxxxxx,dc=de
	ldap suffix = dc=sg,dc=xxxxxxx,dc=de
	ldap user suffix = ou=Users
	ldap group suffix = ou=Groups
 	ldap machine suffix = ou=Computers
	ldap idmap suffix = ou=Idmap
	ldap delete dn = Yes
	passdb backend = ldapsam:ldap://127.0.0.1/
	ldap ssl = no
	
	log level = 2
	log file = /var/log/samba/log.%m
	max log size = 10000
	
#	Dos charset = 850
#	Unix charset = UTF8
#	Display charset = UTF8
	
	logon path = \\%L\profiles\%U
	logon drive = H: 
	logon script = logon.bat
		
	os level = 65
	security = user
	encrypt passwords = yes
	domain logons = yes
	domain master = yes
	local master = yes
	preferred master = yes
	
	add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
	add user script = /usr/local/sbin/smbldap-useradd -m "%u"
	add group script = /usr/local/sbin/smbldap-groupadd -p "%g"	
	add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
	delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
	set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
	
#	preserve case = yes
#	short preserve case = yes
#	case sensitive = yes
#	guest account = nobody
	
[netlogon]
	comment = Network Logon Service
	path = /usr/home/netlogon
	browseable = no
	read only = yes
[homes]
 	comment = Home Directories
	path = /usr/home/user/%U/Documents
	valid users = %U, '@Domain Admin'
 	browseable = no
	writeable = yes
	inherit acls = Yes
[profiles]
	comment = Network Profiles Service
	path = /usr/home/profiles
	valid users = %U, '@Domain Admins'
	read only = no
	store dos attributes = yes
 	create mask = 0600
	directory mask = 0700
#	profile acls = yes
	browseable = no
	inherit permissions = yes

Wenn hier jemand weiterhelfen kann wäre es super.
Gibt es irgendwelche mir nicht bekannte bugs?

Gruß Mike
 
Hast Du das Problem gelöst?
Ich plage mich mit dem gleichen Mist.
Die einzige Hilfe, die ich gefunden habe, kommt von Microsoft und bezieht sich auf das Entladen von Profilen: http://support.microsoft.com/kb/837115/de
Anfangs dachte ich, dass die Fehler nicht so oft auftreten würden, mittlerweile bin ich mir nicht mehr so sicher.
 
Hallo,

hat jemand von Euch beiden das Problem bereits behoben?
Bei meinem Fall ist eine korrekte Anmeldung nur nach einer gewissen Wartezeit (>1 min.) möglich. Gibt es irgendwelche Einstellungen über gpedit.msc, die mir da weiter helfen könnten?

Ich danke Euch
Sel
 
Kann das ein Problem mit der DNS Auflösung bzw. mit WINS sein? Ist nur so eine Vermutung.
 
mcas schrieb:
Kann das ein Problem mit der DNS Auflösung bzw. mit WINS sein? Ist nur so eine Vermutung.

Hi mcas,

das kann ich nicht ausschließen. Hast Du eine Idee, welche Einstellung ich anpassen sollte?

Danke
Sel
 
Poste mal deine global Section aus deiner smb.conf vll. kann man da was erkennen. Kannst du dich den normal an der Maschine anmelden per ssh oder so?
 
Eventuell hilft die (bei dir auskommentierte Option) "profile acls". Ansonsten die Ereignissanzeige der Windows-Clients und die Samba-Log-Dateien untersuchen!

profile acls (S)
This boolean parameter was added to fix the problems that people
have been having with storing user profiles on Samba shares from
Windows 2000 or Windows XP clients. New versions of Windows 2000
or Windows XP service packs do security ACL checking on the
owner and ability to write of the profile directory stored on a
local workstation when copied from a Samba share.

When not in domain mode with winbindd then the security info
copied onto the local workstation has no meaning to the logged
in user (SID) on that workstation so the profile storing fails.
Adding this parameter onto a share used for profile storage
changes two things about the returned Windows ACL. Firstly it
changes the owner and group owner of all reported files and
directories to be BUILTIN\\Administrators, BUILTIN\\Users
respectively (SIDs S-1-5-32-544, S-1-5-32-545). Secondly it adds
an ACE entry of "Full Control" to the SID BUILTIN\\Users to
every returned ACL. This will allow any Windows 2000 or XP work-
station user to access the profile.

Note that if you have multiple users logging on to a workstation
then in order to prevent them from being able to access each
others profiles you must remove the "Bypass traverse checking"
advanced user right. This will prevent access to other users
profile directories as the top level profile directory (named
after the user) is created by the workstation profile code and
has an ACL restricting entry to the directory tree to the owning
user.

Default: profile acls = no
 
mcas schrieb:
Poste mal deine global Section aus deiner smb.conf vll. kann man da was erkennen. Kannst du dich den normal an der Maschine anmelden per ssh oder so?

Hi mcas,

entschuldige bitte, dass ich erst jetzt antworte. Hier die global selection:

Code:
 netbios name = space
        workgroup = starfleet
        passdb backend = tdbsam, smbpasswd
        os level = 255
        preferred master = yes
        domain master = yes
        local master = yes
        security = user
        domain logons = yes
        log file = /var/log/samba/log.%M
        unix password sync = yes
        server string = Space
        wins support = yes
        logon script = logon.cmd
        update encrypted = yes
        logon drive = M:
        logon home = \\%N\%U
        logon path = \\%N\%U\profile
        encrypt passwords = yes
        time server = yes

Ich hoffe, mir kann geholfen werden. :)

Danke
Sel
 
Hi Andreas,

das ist die Ausgabe, die ich bekomme. Ich habe den Benutzer, Vor- und Nachnamen durch Platzhalter ersetzt. Fällt Dir irgendetwas Ungewöhnliches auf?

Vielen Dank und viele Grüße
Sel

Code:
Unix username:        [Benutzername]
NT username:
Account Flags:        [U          ]
User SID:             S-1-5-21-2061847221-2344170220-4226334385-3000
Primary Group SID:    S-1-5-21-2061847221-2344170220-4226334385-513
Full Name:            [Vorname] [Nachname]
Home Directory:       \\space\[Benutername]
HomeDir Drive:        M:
Logon Script:         logon.cmd
Profile Path:         \\space\[Benutzername]\profile
Domain:               STARFLEET
Account desc:
Workstations:
Munged dial:
Logon time:           0
Logoff time:          Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time:         Fri, 13 Dec 1901 21:45:51 GMT
Password last set:    Thu, 29 Jun 2006 09:14:52 GMT
Password can change:  Thu, 29 Jun 2006 09:14:52 GMT
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
 
Aus # man smb.conf:

Windows clients can sometimes maintain a connection to the
[homes] share, even though there is no user logged in. There-
fore, it is vital that the logon path does not include a refer-
ence to the homes share (i.e. setting this parameter to
\\%N\homes\profile_path will cause problems).

Besser wäre:
Code:
# Heimverzeichnis des Benutzers
  logon drive 	     = M:
  logon home        = \\%L\%u
 
  # Standort der Benutzerprofile 
  logon path        = \\%L\profiles\%u
 

Ähnliche Themen

Dovecot: Geteilte Postfächer (Shared Mailboxes) funktionieren nicht

Samba 4.9.5-Debian - Kennwort von unix übernehmen

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Samba-Server mit Univention Corporate Server

Samba Dateien und Ordner verschieben

Zurück
Oben