C
cardillac
Grünschnabel
Hallo Samba-Profis,
versuche seit Tagen Samba als PDC(Domain Controller) zu konfigurieren. Ich habe alle gängigen Howtos beachtet, nichts unversucht gelassen. (vielleicht auch zuviel konfiguriert?!)
Trotzallem: erst kann ich am XP Pro Rechner der Domaine beitreten, nach dem Neustart kommt jedoch diese Fehlermeldung (sinngemäss):
DOMAINNAME lautet natürlich anders...
Aus dieser schwammigen Windows-Meldung wird man natürlich nicht schlau...
oder doch?
Lokal angemeldet kann ich jedoch in der lokalen Benutzerverwaltung(XP) die von mir zuvor im Debian erzeugten Groupmappings (Domain Admins[512], Domain Computers[515], Domain Users[513]) und die beim Beitritt von Samba erzeugten Buitlin-Gruppen (Administrators, Users) über 'net groupmap list' sehen. Auch das Aufrufen von shares gelingt, nur das mir eben das Recht fehlt, bestimmte Domain-Shares zu öffnen, da ich ja kein Domainenmitglied bin.
- Benutze nicht(!) LDAP für die Anmeldung.
- Habe Computerkonten im unix und samba angelegt (ohne Passwort -amn).
- Mache alles als root bzw. administrator
- Passworte stimmen, denn beim Beitreten, merkt der Samba, wenn ich mich vertippe
- Habe root mit net groupmap.. auf Administrator (SID: S-...-500) gemappt
- Habe S-Admins(unixgroup) auf 'Domain Admins'(ntgroup) gemappt
- Gruppenzuordnungen: root u. administrator gehören den 'Domain Admins'->S-Admins an
- Habe administrator,root,"Domain Admins" mit 'net rpc rights grant' alle Rechte gegeben
- nein, es gibt keine plain text Passwörter, deshalb 'encrypt passwords = Yes' entspr. Sicherheitsrichtlinie (XP, gpedit.msc) deaktiviert
- ping DC3 geht vom XP aus
Debian 2.6.8-3-686, sarge
Samba 3.0.24
Apache 1.3
Client: XP Pro SP2, Fujitsu Siemens OEM
Ja, ich weiss nicht mehr weiter...
in c:\windows\debug\NetSetup.LOG steht, dass es nicht möglich war das Computerkonto zu erstellen,... aber das habe ich ja auch schon selber vorher getan.. auch wenn ich das Samba-Maschinenkonto für den beizutretenden Client-Rechner lösche, damit XP es selber versuchen kann, kommt die gleiche Fehlermeldung:
c:\windows\debug\NetSetup.LOG
in /var/log/samab/log.nmbd steht
meine smb.conf
/etc/network/interfaces
Kann einer der eingefleischten Profis oder auch Anfänger weiterhelfen???
Danke für jeden Tip!
versuche seit Tagen Samba als PDC(Domain Controller) zu konfigurieren. Ich habe alle gängigen Howtos beachtet, nichts unversucht gelassen. (vielleicht auch zuviel konfiguriert?!)
Trotzallem: erst kann ich am XP Pro Rechner der Domaine beitreten, nach dem Neustart kommt jedoch diese Fehlermeldung (sinngemäss):
DOMAINNAME\administrator kann nicht angemeldet werden, da die Domain DOMAINNAME nicht erreichbar ist bzw. das Computerkonto nicht gefunden wurde.
DOMAINNAME lautet natürlich anders...
Aus dieser schwammigen Windows-Meldung wird man natürlich nicht schlau...
oder doch?
Lokal angemeldet kann ich jedoch in der lokalen Benutzerverwaltung(XP) die von mir zuvor im Debian erzeugten Groupmappings (Domain Admins[512], Domain Computers[515], Domain Users[513]) und die beim Beitritt von Samba erzeugten Buitlin-Gruppen (Administrators, Users) über 'net groupmap list' sehen. Auch das Aufrufen von shares gelingt, nur das mir eben das Recht fehlt, bestimmte Domain-Shares zu öffnen, da ich ja kein Domainenmitglied bin.
- Benutze nicht(!) LDAP für die Anmeldung.
- Habe Computerkonten im unix und samba angelegt (ohne Passwort -amn).
- Mache alles als root bzw. administrator
- Passworte stimmen, denn beim Beitreten, merkt der Samba, wenn ich mich vertippe
- Habe root mit net groupmap.. auf Administrator (SID: S-...-500) gemappt
- Habe S-Admins(unixgroup) auf 'Domain Admins'(ntgroup) gemappt
- Gruppenzuordnungen: root u. administrator gehören den 'Domain Admins'->S-Admins an
- Habe administrator,root,"Domain Admins" mit 'net rpc rights grant' alle Rechte gegeben
- nein, es gibt keine plain text Passwörter, deshalb 'encrypt passwords = Yes' entspr. Sicherheitsrichtlinie (XP, gpedit.msc) deaktiviert
- ping DC3 geht vom XP aus
Debian 2.6.8-3-686, sarge
Samba 3.0.24
Apache 1.3
Client: XP Pro SP2, Fujitsu Siemens OEM
Ja, ich weiss nicht mehr weiter...
in c:\windows\debug\NetSetup.LOG steht, dass es nicht möglich war das Computerkonto zu erstellen,... aber das habe ich ja auch schon selber vorher getan.. auch wenn ich das Samba-Maschinenkonto für den beizutretenden Client-Rechner lösche, damit XP es selber versuchen kann, kommt die gleiche Fehlermeldung:
c:\windows\debug\NetSetup.LOG
in /var/log/samba/log.PC08$ steht07/08 13:18:27 -----------------------------------------------------------------
07/08 13:18:27 NetpDoDomainJoin
07/08 13:18:27 NetpMachineValidToJoin: 'PC08'
07/08 13:18:27 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:27 NetpMachineValidToJoin: status: 0x0
07/08 13:18:27 NetpJoinDomain
07/08 13:18:27 Machine: PC08
07/08 13:18:27 Domain: DOMAINNAME
07/08 13:18:27 MachineAccountOU: (NULL)
07/08 13:18:27 Account: DOMAINNAME\administrator
07/08 13:18:27 Options: 0x27
07/08 13:18:27 OS Version: 5.1
07/08 13:18:27 Build number: 2600
07/08 13:18:27 ServicePack: Service Pack 2
07/08 13:18:27 NetpValidateName: checking to see if 'DOMAINNAME' is valid as type 3 name
07/08 13:18:27 NetpCheckDomainNameIsValid [ Exists ] for 'DOMAINNAME' returned 0x0
07/08 13:18:27 NetpValidateName: name 'DOMAINNAME' is valid for type 3
07/08 13:18:27 NetpDsGetDcName: trying to find DC in domain 'DOMAINNAME', flags: 0x1020
07/08 13:18:27 NetpDsGetDcName: found DC '\\DC3' in the specified domain
07/08 13:18:27 NetpJoinDomain: status of connecting to dc '\\DC3': 0x0
07/08 13:18:27 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:27 NetpGetNt4RefusePasswordChangeStatus: trying to read from '\\DC3'
07/08 13:18:27 NetpGetNt4RefusePasswordChangeStatus: RefusePasswordChange == 0
07/08 13:18:27 NetpLsaOpenSecret: status: 0xc0000034
07/08 13:18:27 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:27 NetpLsaOpenSecret: status: 0xc0000034
07/08 13:18:28 NetpManageMachineAccountWithSid: NetUserAdd on '\\DC3' for 'PC08$' failed: 0x8b0
07/08 13:18:28 NetpManageMachineAccountWithSid: status of attempting to set password on '\\DC3' for 'PC08$': 0x0
07/08 13:18:28 NetpJoinDomain: status of creating account: 0x0
07/08 13:18:28 NetpGetLsaPrimaryDomain: status: 0x0
07/08 13:18:28 NetpSetLsaPrimaryDomain: for 'DOMAINNAME' status: 0x0
07/08 13:18:28 NetpJoinDomain: status of setting LSA pri. domain: 0x0
07/08 13:18:28 NetpJoinDomain: status of managing local groups: 0x0
07/08 13:18:28 NetpJoinDomain: status of setting netlogon cache: 0x0
07/08 13:18:29 NetpJoinDomain: status of clearing ComputerNamePhysicalDnsDomain: 0x0
07/08 13:18:29 NetpUpdateW32timeConfig: 0x0
07/08 13:18:29 NetpJoinDomain: status of disconnecting from '\\DC3': 0x0
07/08 13:18:29 NetpDoDomainJoin: status: 0x0
07/08 13:24:04 -----------------------------------------------------------------
[2007/07/08 13:13:42.898425, 0, pid=4229, effective(0, 0), real(0, 0)] lib/util_sock.c:write_data(562)
write_data: write failure in writing to client 192.168.0.8. Error Connection reset by peer
[2007/07/08 13:13:42.898624, 0, pid=4229, effective(0, 0), real(0, 0)] lib/util_sock.c:send_smb(769)
Error writing 4 bytes to client. -1. (Connection reset by peer)
[2007/07/08 13:14:30.827378, 0, pid=4230, effective(0, 0), real(0, 0)] smbd/service.c:make_connection_snum(849)
Can't become connected user!
in /var/log/samab/log.nmbd steht
Copyright Andrew Tridgell and the Samba Team 1992-2006
[2007/07/08 12:21:25.290929, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_logonnames.c:add_logon_names(163)
add_domain_logon_names:
Attempting to become logon server for workgroup DOMAINNAME on subnet 192.168.0.3
[2007/07/08 12:21:25.291277, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(290)
become_domain_master_browser_bcast:
Attempting to become domain master browser on workgroup DOMAINNAME on subnet 192.168.0.3
[2007/07/08 12:21:25.291468, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(303)
become_domain_master_browser_bcast: querying subnet 192.168.0.3 for domain master browser on workgroup DOMAINNAME
[2007/07/08 12:21:30.548344, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_logonnames.c:become_logon_server_success(124)
become_logon_server_success: Samba is now a logon server for workgroup DOMAINNAME on subnet 192.168.0.3
[2007/07/08 12:21:34.547791, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)
*****
Samba server DC3 is now a domain master browser for workgroup DOMAINNAME on subnet 192.168.0.3
*****
[2007/07/08 12:21:48.545644, 0, pid=5565, effective(0, 0), real(0, 0)] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)
*****
Samba name server DC3 is now a local master browser for workgroup DOMAINNAME on subnet 192.168.0.3
*****
meine smb.conf
[global]
workgroup = DOMAINNAME
server string = %h Server
passdb backend = tdbsam
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
username level = 2
syslog = 100
log file = /var/log/samba/log.%m
max log size = 1000
debug hires timestamp = Yes
debug pid = Yes
debug uid = Yes
logon path = \\%N\profile\%U
domain logons = Yes
domain master = Yes
dns proxy = No
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 500-20000
idmap gid = 500-20000
template homedir = /home/user/%U
winbind use default domain = Yes
valid users = "Domain Admins","Domain Users","Domain Computers",@S-Admins,@S-Users,@S-Computers,root,administrator
admin users = "Domain Admins",root,administrator
profile acls = Yes
[homes]
comment = Datenverzeichnis von %S
valid users = %S
create mask = 0700
directory mask = 0700
profile acls = Yes
[netlogon]
comment = Anmeldeservice
path = /home/user/%U/netlogon
profile acls = Yes
[profile]
comment = Benutzerprofile
path = /home/profile
valid users = "Domain Admins",S-Admins
profile acls = Yes
/etc/network/interfaces
# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.0.3
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
# dns-nameservers 192.168.0.254
# dns-search DOMAINNAME
Kann einer der eingefleischten Profis oder auch Anfänger weiterhelfen???
Danke für jeden Tip!