Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba3 und winbind problem
Hi @all,
Stand ist dieser:
habe eine Samba3 Server unter Suse10 als MemberServer in einem 2003 ActiveDirectoy integriert.
Der Server ist jetzt seit ca. 1 1/2 Wochen Produktiv im Einsatz.
Es greifen insgesamt ca. 150 Benutzer auf den Server zu.
Die Benutzer sind nicht alle in der gleichen Domäne das heißt es greifen auch Benutzer auf den Server zu von Rechnern die nicht in der Domäne sind.
Eigentlich klappt alles super.
Heute ist mir aber ein Problem aufgefallen.
Wenn ich versuche aus einer anderen Domäne auf die Sambafreigabe zuzugreifen, bekam ich die Fehlermeldung das der Anmeldeserver nicht verfügbar wär.
Die User die direkt hängen wo der Samba drin ist hatten kein Problem auf das Share zuzugreifen.
Nachdem ich auf dem Sambaserver rcwinbind stop und wieder gestartet habe konnten alle benutzer wieder auf das Share zugreifen.
Das heißt aus den Fremdnetzen ging die Anmeldemaske wieder auf wenn verucht wird auf das Share zuzugreifen.
Ich habe das log.winbind durchsucht um einen Fehler zu finden, bin aber nicht fündig geworden.
Hat jemand sowas schonmal gehabt oder kann mir jemand einen Tipp geben wo ich nach dem Fehler suchen kann.
Danke schonmal für jede Hilfe.
Greets
@all
log level erhoehen
winbindd interaktiv starten (winbindd -d3 -i)
welche samba version setzt du ein?
nutzt du trusted domains oder muessen sich "fremde" nutzer aus anderen domaenen mit gueltigen crendtials der lokalen domaene anmelden?
greez
Hi,
log level ist auf 10 in der SMB.CONF.
Die User aus den fremden Domänen müssen sich Anmelden via domäne\user passwort.
Ich nutze samba Version 3.0.20b-3.1-SUSE unter Suse10.
Da der Server produktiv ist muss ich noch mal nachfragen, was passiert wenn ich winbind so aufrufe?
Danke schonmal für die Unterstützung.
Greets
verdammt
ich mus nochmal fragen: nutzt ihr trusted domains oder soll "domäne\user" bedeuten, dass, wenn nutzer "fremdedomäne\user" auf den fileserver zugreifen will, er sich unbedingt mit "domäne\user" anmelden muss, da ihr keine trusted domains nutzt?
interaktiv bedeutet, dass er im vordergrund in der shell gestartet wird, damit du live mitverfolgen kannst, was er nach STDOUT/STDERR logt.
dazu muss er aber kurz angehalten werden.
wenn es sich wirklich um eine produktivumgebung handelt, die 99,999% haben muss, dann musst du das szenario eben (virtuell) nachbauen in einem anderen testnetz
kannst du nicht auch mal einen relevanten auszug aus den logs posten (level 5 reicht)
greez
Hi,
ja richtig wir nutzen keine Trusted Domänen. Die User müssen sich explizit mit Bsp. TEST\Mustermann und passwort anmelden.
Bin momentan zuhause, poste aber heute abend nach Produktion die Log Dateien.
Schonmal danke im voraus für die Unterstützung.
bitte probier auch mal folgendes:
log dich auf einer windowsmaschine, welche in einer fremden domaene steht, lokal ein (kein domainlogin, sondern ein lokaler). versuche von da aus, mal ein share zu mounten. ich wette, das geht
hintergrund (allgemein): der PDC der fremden domaene sucht nach "trustinformationen" auf dem "zielpdc"
falls der winbind nichts ordentliches logt, kann es auch helfen, das logging auf dem PDC in der zieldomaene und der fremddomaene zu erhoehen/aktivieren
greez
Hi,
wenn ich mich lokal an der Maschine anmelde geht ebenfalls das Anmeldefenster auf. Nachdem ich mich mit Domäne\Username angemeldet habe bekomme ich zugriff auf die Shares.
Kann ich dir das log.winbindd per mail zukommen lassen!? Will das hier nicht alles posten weil das soviel ist.
Oder kann ich das ruhig machen?
Greets
verdammt
was mir wichtig ist, und nur wichtig ist:
das log im level 5 ab der stufe, wo das fenster aufgeht - nix vorher und nicht einfach logs posten!
am besten du machst folgendes:
- loglevel erhoehen auf dem fileserver
- an der fremden domaene anmelden
- echo "" >log.winbind; echo "" >log.foreignclient
- versuchen, ein share zu mappen
du kannst die logs hier komprimiert posten
greez
So jetzt stehe ich total auf dem Schlauch. Bin nicht so der Linuxcrack! Sorry.
Hab das alles so gemacht wie du geschrieben hast.
Aber was passiert hier?
echo "" >log.winbind; echo "" >log.foreignclient
Hab das an der Console gemacht aber das log.foreignclient ist leer.
Greets
Markus
hier mal die SMB.CONF:
Das ist jetzt ein Testrechner mit gleichen conf wie das Produktionssystem.
[global]
workgroup = GUT
netbios name = samba3-test
realm = SAPRO.COM
winbind separator = +
security = ADS
encrypt passwords = yes
password server = SAPRO-CASLON1.SAPRO.COM
client use spnego = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 IPTOS_LOWDELAY
read raw = yes
write raw = yes
oplocks = yes
max xmit = 65535
dead time = 15
getwd cache = yes
log level = 5
log file = /var/log/samba/%m
winbind uid = 10000-20000
winbind gid = 10000-20000
dos charset = CP850
unix charset = UTF8
display charset = UTF8
[backup]
comment = Backup
path = /volumen
browseable = yes
read only = no
guest ok = no
valid users = @GUT/Sapro
Gruß
Markus
hm, die conf sieht für ein ads-member ohne trusts gut aus
besteht eigentlich immer noch das prob, dass du den winbindd neu starten musst?
Hab das an der Console gemacht aber das log.foreignclient ist leer.
genau das macht der befehl ja
er leert das log, damit nur die einträge geschrieben werden, die seit dem leeren hinzukommen (ab der anmeldemaske)
interessant wäre mal ein vergleich der logs, bevor der winbindd neugestartet wird (also wenn die fehlermeldung kommt) und nachdem der winbindd gestartet wurde (wenn die maske kommt und alles funktioniert)
sieht ja eher buggy aus
greez
bisher klappt alles!
Aber der Fehler war ja schon öfters da. Vielleicht hat das ja irgendwas mit der Useranzahl zu tun die gleichzeitig auf den Server zugreifen, zwischen den Tagen war es ja ziemlich ruhig bei uns.
Ich behalte das ganze mal im Auge, ich glaube nicht das sich das Problem erledigt hat.
Greets
Markus
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.