PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba3 und winbind problem



verdammt
21.12.05, 22:38
Hi @all,

Stand ist dieser:
habe eine Samba3 Server unter Suse10 als MemberServer in einem 2003 ActiveDirectoy integriert.

Der Server ist jetzt seit ca. 1 1/2 Wochen Produktiv im Einsatz.
Es greifen insgesamt ca. 150 Benutzer auf den Server zu.
Die Benutzer sind nicht alle in der gleichen Domäne das heißt es greifen auch Benutzer auf den Server zu von Rechnern die nicht in der Domäne sind.

Eigentlich klappt alles super.

Heute ist mir aber ein Problem aufgefallen.
Wenn ich versuche aus einer anderen Domäne auf die Sambafreigabe zuzugreifen, bekam ich die Fehlermeldung das der Anmeldeserver nicht verfügbar wär.
Die User die direkt hängen wo der Samba drin ist hatten kein Problem auf das Share zuzugreifen.
Nachdem ich auf dem Sambaserver rcwinbind stop und wieder gestartet habe konnten alle benutzer wieder auf das Share zugreifen.
Das heißt aus den Fremdnetzen ging die Anmeldemaske wieder auf wenn verucht wird auf das Share zuzugreifen.

Ich habe das log.winbind durchsucht um einen Fehler zu finden, bin aber nicht fündig geworden.

Hat jemand sowas schonmal gehabt oder kann mir jemand einen Tipp geben wo ich nach dem Fehler suchen kann.

Danke schonmal für jede Hilfe.

Greets
@all

emba
22.12.05, 18:51
log level erhoehen
winbindd interaktiv starten (winbindd -d3 -i)
welche samba version setzt du ein?
nutzt du trusted domains oder muessen sich "fremde" nutzer aus anderen domaenen mit gueltigen crendtials der lokalen domaene anmelden?

greez

verdammt
23.12.05, 18:56
Hi,

log level ist auf 10 in der SMB.CONF.

Die User aus den fremden Domänen müssen sich Anmelden via domäne\user passwort.

Ich nutze samba Version 3.0.20b-3.1-SUSE unter Suse10.

Da der Server produktiv ist muss ich noch mal nachfragen, was passiert wenn ich winbind so aufrufe?

Danke schonmal für die Unterstützung.

Greets
verdammt

emba
23.12.05, 19:05
ich mus nochmal fragen: nutzt ihr trusted domains oder soll "domäne\user" bedeuten, dass, wenn nutzer "fremdedomäne\user" auf den fileserver zugreifen will, er sich unbedingt mit "domäne\user" anmelden muss, da ihr keine trusted domains nutzt?

interaktiv bedeutet, dass er im vordergrund in der shell gestartet wird, damit du live mitverfolgen kannst, was er nach STDOUT/STDERR logt.

dazu muss er aber kurz angehalten werden.
wenn es sich wirklich um eine produktivumgebung handelt, die 99,999% haben muss, dann musst du das szenario eben (virtuell) nachbauen in einem anderen testnetz

kannst du nicht auch mal einen relevanten auszug aus den logs posten (level 5 reicht)

greez

verdammt
27.12.05, 17:27
Hi,

ja richtig wir nutzen keine Trusted Domänen. Die User müssen sich explizit mit Bsp. TEST\Mustermann und passwort anmelden.

Bin momentan zuhause, poste aber heute abend nach Produktion die Log Dateien.

Schonmal danke im voraus für die Unterstützung.

emba
27.12.05, 18:44
bitte probier auch mal folgendes:
log dich auf einer windowsmaschine, welche in einer fremden domaene steht, lokal ein (kein domainlogin, sondern ein lokaler). versuche von da aus, mal ein share zu mounten. ich wette, das geht

hintergrund (allgemein): der PDC der fremden domaene sucht nach "trustinformationen" auf dem "zielpdc"

falls der winbind nichts ordentliches logt, kann es auch helfen, das logging auf dem PDC in der zieldomaene und der fremddomaene zu erhoehen/aktivieren

greez

verdammt
28.12.05, 19:02
Hi,

wenn ich mich lokal an der Maschine anmelde geht ebenfalls das Anmeldefenster auf. Nachdem ich mich mit Domäne\Username angemeldet habe bekomme ich zugriff auf die Shares.

Kann ich dir das log.winbindd per mail zukommen lassen!? Will das hier nicht alles posten weil das soviel ist.

Oder kann ich das ruhig machen?

Greets
verdammt

emba
28.12.05, 23:37
was mir wichtig ist, und nur wichtig ist:

das log im level 5 ab der stufe, wo das fenster aufgeht - nix vorher und nicht einfach logs posten!

am besten du machst folgendes:
- loglevel erhoehen auf dem fileserver
- an der fremden domaene anmelden
- echo "" >log.winbind; echo "" >log.foreignclient
- versuchen, ein share zu mappen

du kannst die logs hier komprimiert posten

greez

verdammt
29.12.05, 13:41
So jetzt stehe ich total auf dem Schlauch. Bin nicht so der Linuxcrack! Sorry.

Hab das alles so gemacht wie du geschrieben hast.

Aber was passiert hier?

echo "" >log.winbind; echo "" >log.foreignclient

Hab das an der Console gemacht aber das log.foreignclient ist leer.

Greets
Markus

verdammt
29.12.05, 13:46
hier mal die SMB.CONF:
Das ist jetzt ein Testrechner mit gleichen conf wie das Produktionssystem.

[global]
workgroup = GUT
netbios name = samba3-test
realm = SAPRO.COM
winbind separator = +
security = ADS
encrypt passwords = yes
password server = SAPRO-CASLON1.SAPRO.COM
client use spnego = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 IPTOS_LOWDELAY
read raw = yes
write raw = yes
oplocks = yes
max xmit = 65535
dead time = 15
getwd cache = yes
log level = 5
log file = /var/log/samba/%m
winbind uid = 10000-20000
winbind gid = 10000-20000
dos charset = CP850
unix charset = UTF8
display charset = UTF8


[backup]
comment = Backup
path = /volumen
browseable = yes
read only = no
guest ok = no
valid users = @GUT/Sapro

Gruß
Markus

emba
30.12.05, 19:08
hm, die conf sieht für ein ads-member ohne trusts gut aus
besteht eigentlich immer noch das prob, dass du den winbindd neu starten musst?


Hab das an der Console gemacht aber das log.foreignclient ist leer.

genau das macht der befehl ja
er leert das log, damit nur die einträge geschrieben werden, die seit dem leeren hinzukommen (ab der anmeldemaske)

interessant wäre mal ein vergleich der logs, bevor der winbindd neugestartet wird (also wenn die fehlermeldung kommt) und nachdem der winbindd gestartet wurde (wenn die maske kommt und alles funktioniert)

sieht ja eher buggy aus

greez

verdammt
02.01.06, 10:09
bisher klappt alles!

Aber der Fehler war ja schon öfters da. Vielleicht hat das ja irgendwas mit der Useranzahl zu tun die gleichzeitig auf den Server zugreifen, zwischen den Tagen war es ja ziemlich ruhig bei uns.

Ich behalte das ganze mal im Auge, ich glaube nicht das sich das Problem erledigt hat.

Greets
Markus