PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba und W2k



ronnyM
08.02.06, 17:04
Question Suse 92 Samba Und Win2000
Moin ich brauche mal Hilfe.
Ich hab nen Samba als PDC aufgesetzt und der hat in meiner Testumgebung auch funktioniert d.h. ein WinXP-Client hat sich in die Domäne angemeldet und per Netlogon Script auch wunderbar gearbeitet.
Also das Ding eingepackt ins Büro meines Vaters getragen--da läuft alles unter Win2000 als Arbeitsgruppe mit Shares-- den Suse-Server ans netzwerk gesteckt und nix geht mehr!
Naja sein Windows Zeug geht noch aber ich bekomme keine Winkiste in meine Domain("der Netzwerkpfad konnte nicht gefunden werden oder die Domain existiert nicht") in der Arbeitsgruppenumgebung seh ich ihn. den Netzwerkdrucker (per LAN 192.168.0.37) finde ich vom server auch nicht
Meine smb.conf wie folgt:
# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2006/02/03 15:32:01

# Global parameters
[global]
workgroup = WORKGROUP
netbios name = NOPRO
server string = Firmen-Server
map to guest = Bad User
username map = /etc/samba/smbusers
printcap cache time = 750
printcap name = cups
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon script = %u.bat
logon path = \\%L\profiles\%u
logon drive = U:
logon home = \\%L\%U\.9xprofile
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap suffix = dc=example,dc=com
ldap ssl = no
admin users = root
printer admin = @ntadmin, root, administrator
cups options = raw
include = /etc/samba/dhcp.conf

[netlogon]
comment = Netzwerk Logon Service
path = /var/samba/share/netlogon
read only = No
browseable = No

[profiles]
comment = Benutzerprofile im Netzwerk
path = /var/samba/share/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No

[buero]
comment = Freigabe fuer Angestellte
path = /home/shares/buero
read only = No

[intern]
comment = Freigabe fuer Buchhaltung
path = /home/shares/intern
read only = No

[alle]
comment = Freigabe fuer Alle
path = /home/shares/alle
read only = No

[gast]
comment = Freigabe fuer Gaeste
path = /home/shares/gast
read only = No

[kiddies]
comment = Freigabe fuer Kinder
path = /home/shares/kiddies
read only = No

[home]
comment = Home-Verzeichnisse
path = /home
read only = No
create mask = 0700
browseable = No

[printers]
comment = Alle Drucker
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[EpsonFarblaser]
comment = EPSON AcuLa. C1900PS Postscript
path = /var/tmp
read only = No
create mask = 0600
guest ok = Yes
printable = Yes
printer name = EpsonFarblaser
oplocks = No
share modes = No


Ich verstehs nicht mehr. Vermutlich is es nur ne Kleinigkeit, aber......bin Ratlos
Ach ja ich hab Maschinenkonten eingerichtet und auch lokal auf dem Server Benutzer, für jeden ein logon script.
__________________:eek:

mbo
14.02.06, 14:19
Gordischer Knoten?

Der Server gehört zur Domäne WORKGROUP.
Die Clients sind alle in der Arbeitsgruppe WORKGROUP.
Die Clients sollen alle in die Domäne WORKGROUP.
Die Clients sind alle W2K.
Über Netzwerkidentifiaktion willst Du die Clients in die Domäne aufnehmen.

Das stimmt so?

Was sagen die Logs auf dem samba?


cu/2

ronnyM
14.02.06, 21:14
Die Logs ich denke ich hab da noch nicht reingesehen da die w2k kisten mit der ID5171 aussteigen aber ich kann sie dir morgen posten.

ronnyM
18.02.06, 12:05
Ok hier sind die log`s aus var/log/samba:



"log.nmbd"
[2006/02/14 12:11:30, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(220)
find_response_record: response packet id 16430 received with no matching record.
[2006/02/14 12:11:30, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(220)
find_response_record: response packet id 16431 received with no matching record.
[2006/02/14 12:11:30, 0] nmbd/nmbd_responserecordsdb.c:find_response_record(220)
find_response_record: response packet id 16432 received with no matching record.

"log.smbd"
[2006/02/14 11:58:15, 0] param/loadparm.c:set_server_role(3801)
Server's Role (logon server) conflicts with share-level security
[2006/02/14 11:58:15, 0] printing/print_cups.c:cups_printer_fn(94)
Unable to connect to CUPS server localhost - Connection refused
[2006/02/14 12:06:00, 0] smbd/service.c:make_connection(799)
nopro (192.168.2.70) couldn't find service dev
[2006/02/14 12:06:30, 0] smbd/service.c:make_connection(799)
nopro (192.168.2.70) couldn't find service dev

"log.swat"
[2006/02/14 12:03:33, 0] param/loadparm.c:lp_do_parameter(3143)
Global parameter load printers found in service section!
[2006/02/14 12:03:33, 0] param/loadparm.c:map_parameter(2435)
Unknown parameter encountered: "print commans"
[2006/02/14 12:03:33, 0] param/loadparm.c:lp_do_parameter(3125)
Ignoring unknown parameter "print commans"
[2006/02/14 12:04:37, 0] param/loadparm.c:service_ok(2614)
No path in service /dev/hdd1/ - using /tmp
[2006/02/14 12:05:03, 0] param/loadparm.c:service_ok(2614)
No path in service /dev/hdd1/ - using /tmp
[2006/02/14 12:05:03, 1] param/loadparm.c:lp_do_parameter(3131)
WARNING: The "only user" option is deprecated
[2006/02/14 12:05:03, 1] param/loadparm.c:lp_do_parameter(3131)
WARNING: The "mangled map" option is deprecated

"log.winbind"
[2006/02/09 12:08:37, 1] nsswitch/winbindd.c:main(864)
winbindd version 3.0.9-2.3-SUSE started.
Copyright The Samba Team 2000-2004
[2006/02/09 12:08:37, 0] param/loadparm.c:lp_do_parameter(3143)
Global parameter load printers found in service section!
[2006/02/09 12:08:37, 0] param/loadparm.c:map_parameter(2435)
Unknown parameter encountered: "print commans"
[2006/02/09 12:08:37, 0] param/loadparm.c:lp_do_parameter(3125)
Ignoring unknown parameter "print commans"
[2006/02/09 12:08:37, 0] nsswitch/winbindd_util.c:winbindd_param_init(560)
winbindd: idmap uid range missing or invalid
[2006/02/09 12:08:37, 0] nsswitch/winbindd_util.c:winbindd_param_init(561)
winbindd: cannot continue, exiting.
[2006/02/09 12:08:37, 1] nsswitch/winbindd.c:main(897)
Could not init idmap -- netlogon proxy only
[2006/02/09 12:08:37, 0] lib/util_sock.c:create_pipe_sock(1192)
invalid permissions on socket directory /var/lib/samba/winbindd_privileged
open_winbind_socket: Resource temporarily unavailable


bin verwirrt.......

mbo
18.02.06, 15:03
Öhm, hast Du schon mal daran gedacht, die in den Logs gemeldeten Fehler zu korrigieren? Wie zB das eklatante gemecker, daß die "Server Role" der "Share security" widerspricht?

testparm könnte übrigens für Dich interesssant sein.

cu/2

ronnyM
18.02.06, 21:28
Das Mekern hab ich abgestellt-nachdem ich einige sachen bei den w2k-kisten nachinstalliert hab ist suse jetzt PDC und die Sicherheit ist User( wäre da Domain besser?) ich hab das soweit hinbekommen daß die w2k-kisten sich der Domain anschliessen. Jetzt meckern sie dass der Netzwerkpfad nicht da ist oder sie hätten keine schreibrechte auf dem profil-ordner in /var/samba/share/profiles obwohl ich da chmod 777 drauf hab. bei einem User funzt das bei anderen nicht........kann es sein dass ich nur zu schnell bin manchmal? dauern änderungen bis die sich im netzwerk bekannt gemacht haben?

Sargnagel
19.02.06, 11:11
Guten Morgen...

Handelt es sich in dieser Firma eigentlich um ein Produktivsystem? Da ist diese Herangehensweise nicht besonders sinnvoll. Ich glaube dass Du nicht ganz weißt, was Du da tust.

Welche Samba-Version ist bei SuSE92 dabei? Wieso verwendest Du Winbind? Stimmen die Benutzer-IDs auf dem Linux-System mit denen in /etc/samba/smbpasswd überein? Stimmen beide Datenbanken überhaupt im Bezug auf die Samba-Benutzer und Trustaccounts überein?

chmod 777 auf dem Profilordner halte ich für keine gute Idee. Ein Profilverzeichnis gehört seinem Besitzer, und niemand hat sonst etwas darauf verloren. Es empfiehlt sich, beim Anlegen eines Samba-Benutzers gleich sein Profilverzeichnis mit anzulegen und mittels "chown" den neuen Benutzer als Besitzer und mittels "chmod 700" als einzigen Schreibberechtigten zu definieren. Es reicht auch tatsächlich, wenn nur der Admin Profilordner anlegen kann. Die dargestellte Variante kann von Benutzern als Alternativ-Freigabe benutzt werden

Was mir beim Ansehen der Konfiguration auf die Schnelle auffällt:
- Der Arbeitsgruppenname sollte vielleicht durch einen Domänennamen ersetzt werden.
- Die idmap-Konfiguration kann man sich schenken, wenn man die Standardwerte gesetzt lässt. Hier glaube ich nicht, dass mit diesen Werten ein LDAP-Server läuft.
- Das Home-Verzeichnis ist nicht unter dem Standardnamen "Homes" exportiert
- Die einzelnen Shares haben keine wirkliche Abgrenzung zueinander, wenn jeder reinschauen darf (keine Gruppenbeschränkung, kein Schreibschutz, also darf im Prinzip jeder) - damit reicht auch eine Freigabe mit Unterverzeichnissen.

Grüzi!
Marc

ronnyM
20.02.06, 15:15
Nein ich weiß nicht wirklich was ich da tue. Ist das so schlimm? Prinzipiell hab ich mich nach Büchern gehalten und halt das installiert was Suse9.2 vorgeschlagen hat. Der ist-Stand ist folgender im Büro sind w2k-kisten ind einige XPHome Laptops über eine Arbeitsguppe und Ordnerfreigaben miteinander vernetzt. Jetzt soll der Suse-Server als Proxy, Mailserver und Daten/Backupserver fungieren. Gut ich habe es mir einfacher vorgestellt als es ist, deswegen hab ich mich ja an die Bücher gehalten (Linux im Windows-Netz von O`Reilly, Linux-Server im Windows-Netzwerk vom Milin-Verlag und vom Knowware-Verlag ein Heft).
Was soll ich denn sonst machen? Ich wühle mich halt so durch und frage oder ist das falsch? Das ist ne kleine Firma mit kleinem Finanzrahmen und wenn ich das auf die Reihe bekomm ist das immernoch besser als das Windowsnetz so zulassen wie es ist. Learning by doing! Und an den rechten muß ich noch feilen, es war nur so dass windows die Meldung brachte " kann das Profil nicht anlegen da keine schreibrechte..."
Ich poste demnächst die neue smb.config. Ist es jetzt besser die sicherheit statt auf User auf Domain zu ändern?
cu ronnyM

Sargnagel
20.02.06, 16:05
Mahlzeitchen...

'Domain' wird mit XPHome nicht richtig funktionieren. Es gibt zwar eine Möglichkeit, XPHome mit einigen XPPro-Features zu installieren, aber das erfordert einige Eingriffe im System, da das ja nicht vorgesehen ist. 'User' geht nur für Freigaben und verwendet die smbpasswd oder ein anderes Passwort-Backend (wenn ich mich da nur mal nicht irre :) ).

Im Prinzip kann für die Passwortprüfung der W2k-Server verwendet werden. Der muss dann auf dem Samba-Server als Passwortserver eingetragen werden (mit security = server, wenn ich mich recht entsinne). Das ganze System ist halt ein wenig unübersichtlich dadurch und auf dem Sambaserver muss jeder User als Linux-User und als Samba-Benutzer angelegt werden, mitsamt einem Mapping mittels /etc/samba/smbusermap (oder ähnlich). Bei dieser Lösung lasse ich mich gerne belehren, ob das wirklich noch geht, denn diese Variante habe ich unter Samba 2 einmal verwendet aber mit der Migration auf Samba 3 verworfen.

Alternativ wäre es vielleicht besser, für alle domänenfähigen Clients einen PDC zu installieren und auch den W2k-Server gegen diesen authentifizieren zu lassen. In diesem Falle müssten die XPHome-Clients mit einem kleinen Anmeldeskript (was jedoch nicht mittels automatischen Logon geht) die nötigen Netzlaufwerke mehr oder weniger händisch eingebunden bekommen und auch immer die Anmeldedaten vom PDC verwenden (es sei denn, die Benutzer auf den XPHome-Clients entsprächen denen in der Domäne). Noch besser wäre jedoch, XPHome durch XPPro zu ersetzen und nur noch mit Domäne zu arbeiten. Dann gibts im System auch nur noch die Samba-Benutzer des PDC und alles wäre etwas übersichtlicher. Mit einem netten Gruppenmapping von Linuxgruppen auf Samba-Gruppen ist auch die Administration etwas einfacher (im jeweilgen Rahmen :) ). Solche Systeme setze ich immer ein.

Welche Samba-Version bei SuSE 9.2 dabei ist, hast Du noch nicht geschrieben.

Grüzi
Marc

ronnyM
21.02.06, 10:28
Hier erst mal die Aktuelle smb.config. die samba version ist 3.0.9-2.3
# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2006/02/18 17:39:46

# Global parameters
[global]
workgroup = FIRMA
netbios name = NOPRO
server string = Firmen-Server
map to guest = Bad User
username map = /etc/samba/smbusers
printcap cache time = 750
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon script = %u.bat
logon path = \\%L\profiles\%u
logon drive = U:
logon home = \\%L\%U\.9xprofile
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
wins support = Yes
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap suffix = dc=example,dc=com
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
admin users = root
printer admin = @ntadmin, root, administrator
cups options = cups
include = /etc/samba/dhcp.conf

[netlogon]
comment = Netzwerk Logon Service
path = /var/samba/share/netlogon
read only = No
browseable = No

[profiles]
comment = Benutzerprofile im Netzwerk
path = /var/samba/share/profiles
valid users =
read only = No
create mask = 0600
directory mask = 0700
browseable = No

[buero]
comment = Freigabe fuer Angestellte
path = /home/shares/buero
read only = No

[intern]
comment = Freigabe fuer Buchhaltung
path = /home/shares/intern
read only = No

[alle]
comment = Freigabe fuer Alle
path = /home/shares/alle
read only = No

[gast]
comment = Freigabe fuer Gaeste
path = /home/shares/gast
read only = No

[kiddies]
comment = Freigabe fuer Kinder
path = /home/shares/kiddies
read only = No

[home]
comment = Home-Verzeichnisse
path = /home
read only = No
create mask = 0700
browseable = No

[printers]
comment = Alle Drucker
path = /var/spool/samba
read only = No
create mask = 0600
guest ok = Yes
printable = Yes
browseable = No

[epsonfarblaser]
comment = EPSON AcuLa. C1900PS Postscript
path = /var/tmp
read only = No
create mask = 0600
guest ok = Yes
printable = Yes
printer name = EpsonFarblaser
oplocks = No
share modes = No

[/dev/hdd1/]
path = /tmp
Ach und Marc"sargnagel": wenn du mir das etwas "How-To"-Mässig aufdröseln könntest?
eventuell auch per mail?(kommt per PN)

$emperf!
19.10.11, 12:24
ronnyM

Wenn du noch keine Erfahrung mit Domänen und AD unter Windows gesammelt hast wird der Einstieg direkt über Linux/Samba ein sehr wages Unterfangen was mit grösster Wahrscheinlichkeit darin endet, dass du nach etlichen Stunden entweder frustriert aufgibst oder ihr jemanden sucht der so was beherrscht und dann wird es ungefähr doppelt so teuer wie wenn es gleich jemand gemacht hätte der es beherrscht.

Es kann aber auch sein, dass du eine halbwegs laufende Umgebung hinkriegst die dann jedoch jede zweite Woche aus unerklärlichen Gründen klemmt, alle beteiligten nervt und den Leuten den Eindruck gibt, Linux sei eine unprofessionelle und instabile Sache.

Bitte nicht persönlich nehmen. Ich habe Jahrelang auf Windows Client/Server gearbeitet und staune immer noch ab und zu darüber wie tückisch der Wechsel auf Samba sein kann.

Wie willst du eigentlich das Backup machen und wie stellst du dir die Wartung der Umgebung vor?


Grüsse

mbo
19.10.11, 12:52
Wow, 2066 Tage ... das ist Rekordverdächtig.

cu/2

$emperf!
19.10.11, 13:38
Kaum verwendet man einmal die Suchfunktion schon ist wieder was nicht recht.. :ugly:

:o ...

Edit: Aber interessant wäre es schon, zu wissen wie die Sache ausging..

mbo
19.10.11, 13:50
Kaum verwendet man einmal die Suchfunktion schon ist wieder was nicht recht.. :ugly:
Die Suchfunktion ist für Leute mit Problemen, die Lösungen suchen (sollten). :rolleyes:




Edit: Aber interessant wäre es schon, zu wissen wie die Sache ausging..
1. Hier doch nicht.
2. Wahrscheinlich hat er
2.1. eine andere Lösung
2.2. einen anderen Job

ronnyM
22.10.11, 09:54
Hallo,
weil gefragt wurde wie die Geschichte ausging:
Das System ist trotz einiger Unkenntnis meinerseits ganz gut gelaufen.
Das Equipment das 2006 verwendet wurde waren zusammen gewürfelte Heim-PCs und nichts Professionelles.
Ich hab sogar das Lexmark auf dem Server zum laufen bekommen^^ also soo schlecht war ich auch nicht.


Danke allen die mir geholfen haben.
Ronny