PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vertrauensstellung nach samba-crash verloren



djtmx
18.03.04, 14:27
hy leute,

ich habe ein richtig grosses problem:

in meiner firma läuft seit knapp 2 jahren ein samba-PDC (zur zeit samba-2.2.7a-80). die user und die rechner sind im ldap abgebildet, und das ganze rennt mit den smbldap-tools (von idealx.com).

letzte woche ist mittlerweile zum 2. mal ein horror-szenario eingetreten:
der samba-server ist abgestürzt nach einem neustart konnte sich keiner der windows-clients an der domäne anmelden, als ob sie einfach weg wäre. zur sicherheit hab ich mittels einer linux-kiste überprüft ob der server noch funzt.
ohne probleme. ich hab mit vielen windows-sysadmins aus meinem freundeskreis gesprochen, und jedesmal die selbe antwort bekommen. "durch den absturz haben die clients die SID zum PDC verloren."
aber keiner konnte mir sagen wie ich vorgehen soll.
also hab ich leider auf jedem windoof folgendes tun müssen:
- lokale profile wegsichern (nur zur sicherheit)
- client aus der domäne rausnehemen -> neustart :mad:
- rechte der verzeichnisse, die dem domänen-user gehörten, bearbeiten
(sprich: auf NTFS-platten kann man rechte für verzeichnisse vergeben,
das profil-verzeichniss des domänen-users hat noch den user als
owner eingetragen, nur leider heisst er nicht mehr DOMAIN\user sondern
SID-1-35436346-3466, also muss man diesen eintrag rauslöschen
sonst kann man sich nicht mehr in eine domäne reinhängen)
- client wieder in die domäne reinhängen -> neustart :mad:
- mit dem user anmelden -> neues profil wird erstellt
- diese neue profil mit dem alten überschreiben und rechte setzen
- und mit viel viel viel glück ist alles wieder beim alten *haha*

hab das auf 20 rechnern machen müssen, und mit vielen komplikationen.
wie ist es wohl wenn man das auf 200 rechner machen muss *urgggg*

es muss doch einen einfacheren weg geben, so eine situation zu meistern.
irgendwo am samba würd ich meinen, so etwas wie: SID's neu vergeben oder so.....

ich hoffe jemand kann mir da helfen. wenn das nochmal passiert , lass ich
mich in eine psychatrische anstalt einweisen :ugly:

danke im voraus
tmX

Stormbringer
18.03.04, 16:25
Würde nicht ggf. ein Backup/Restore von /etc/samba/* und /var/lib/samba/* helfen ...? Zumindest hilft das ja wohl, wenn samba auf eine andere Maschine verlegt wird.
Aber ob's in der Kombi mit ldap auch klappt, weiß ich nicht, da die Infos ja ggf. im ldap hinterlegt sind ....

Gruß

jado
18.03.04, 16:42
Aber auch LDAP-Verzeichnisse kann man sichern.
Vielleicht könnte auch ein zweiter Samba-DC und
replizierter (slurpd) LDAP-Server helfen.

djtmx
19.03.04, 11:01
ein samba-restore hab ich auch schon ausprobiert, hat aber leider nicht
gefunzt.
es liegt wahrscheinlich eh irgendwo im ldap , nur wo?
hier ein ausdruck eines rechners im ldap:

server153:/usr/local/sbin # ./smbldap-usershow.pl w2k1$
dn: uid=w2k1$,ou=Computers,dc=firma,dc=com
sn: w2k1$
uidNumber: 1002
gidNumber: 553
homeDirectory: /dev/null
loginShell: /bin/false
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaAccount
uid: W2K1$
pwdLastSet: 0
logonTime: 0
logoffTime: 0
kickoffTime: 0
pwdCanChange: 0
pwdMustChange: 0
displayName: w2k1$
cn: w2k1$
description: Computer
rid: 3004
primaryGroupID: 2107
lmPassword: C728E10B1D75CCDE73A11BFDD77AC069
ntPassword: 708DFA26F011F8C7F9A295E44A74FFC9
acctFlags: [ ]

nichts deutet auf irgend eine verschlüsselte kennungs-ID.

hab noch ein bischen gegoogelt, und bin auf etwas gestossen:
unter windows NT 4 gab es auch schon solche fälle, und dafür gabs ein
eigenes program: "setsid.exe". mit dem hat man manuell die SID neu
setzen können. aber unter samba gibt es nichts vergleichbares. kenn
schon die ganze doku fast auswendig.

ich wette es gibt jede menge sysadmins, denen das auch schon passiert ist.
wenn wir doch bloss keine windoof-user hätten , würd ich samba nie
einsetzen, und das ganze über NFS oder anders machen :mad:

jado
22.03.04, 11:21
das "acctFlags: [ ]" ist leer.
da müsste aber ein W für Workstation drin stehen:
"acctFlags: [W]"

djtmx
22.03.04, 21:27
dies wird schon von ldap übernommen. dadurch das der DN in der
gruppe computers ist , ist es automatisch ein rechner, zur sicherheit
wird ja auch noch ein "$" verwendet beim namen.

ausserdem war das ein ausdruck aus dem wieder laufendem betrieb, somit
beiweiss genug das es nicht an dem liegt, aber wer weiss, beim
nächsten mal probier ich das gleich aus (ich hoffe soweit kommts nicht)

trotzdem vielen dank

jado
22.03.04, 23:57
und woran lag es jetzt?
vielleicht haben andere bald auch noch dieses problem....