PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : windows xp pro findet domain nicht



XeN
21.09.06, 15:29
Hallo,

wir haben hier einen samba server. Dieser fungiert schon etwas länger als Fileserver. Nun soll er aber auch anmelde server sprich PDC Werden.

Sollte auch alles soweit eingerichtet sein. Habe auch die Registry patches eingespielt.

Habe sogar auf dem PDC einen DNS eingerichtet welcher auch funktioniert. Und wenn ich nun der domain "panno.com" beitreten möchte bekomme ich folgende ausgabe von windoof.



Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\WINDOWS\debug\dcdiag.txt weiter.

Ein Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domänencontrollers für die Domäne "panno.com" verwendet wird.

Fehler: "Bei der DNS-Abfrage wurden keine Einträge gefunden."
(Fehlercode 0x0000251D DNS_INFO_NO_RECORDS)

Es handelt sich um die Abfrage des Dienstidentifizierungeintrags für _ldap._tcp.dc._msdcs.panno.com

Klicken Sie auf "Hilfe", um weitere Informationen zu erhalten.


Nun habe ich mich die letzten tage viel durch google gesucht und an vielen stellen gesehen das ein DNS eigentlich nicht nötig ist und das das alles über wins läuft. Habe auch den wins support eingeschaltet. Das Problem ist das wir im netzwerk noch einen NT4 PDC haben den ich nicht abschalten kann. Der Samba soll diesen aber mal ersetzen.

Maschienen konten sind noch keine erstellt da der Samba aber so konfiguriert sein soll das dies automatisch geschiet (Also auch mit ldap anbindung) sollte das ja auch kein Problem sein. Ehrlich gesagt bin ich mit meinem Latein am ende. Überall lese ich tips und tricks und wie die leute dann nach anwendung sagen "juhu hat geklappt" aber wenn ich diese tips befolge ändert sich bei mir nix.


Anbei noch dei smb.conf.



[global]
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
# Name der Domain
workgroup = panno.com
# Netbios Name auf den der Server zusälich hö ne
netbios name = panno.com
# Dies wird bei den Freigaben angezeigt an welchen Server man sich Connecten möe
server string = PDC
update encrypted = Yes
obey pam restrictions = Yes
# Passwort Backend
passdb backend = ldapsam:ldap://127.0.0.1/
pam password change = Yes
passwd chat debug = yes
# Loglevel und in welche Datei gelogt wird
# %m bedeutet das er eine Datei anlegt mit dem PC Namen bzw. IP Adresse von dem
# ein Connect stattgefunden hat
log level = 1
#log file = /var/log/samba/log.%m
# Samba soll auch als Zeitserver fungieren
time server = Yes
socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
# Samba Tools zur Verwaltung der Benutzer, Gruppen und Computerkonten im LDAP
add user script = /usr/local/sbin/smbldap-useradd .m .a .%u.
delete user script = /usr/local/sbin/smbldap-userdel .%u.
add group script = /usr/local/sbin/smbldap-groupadd .p .%g.
delete group script = /usr/local/sbin/smbldap-groupdel .%g.
add user to group script = /usr/local/sbin/smbldap-groupmod .m .%u. .%g.
delete user from group script = /usr/local/sbin/smbldap-groupmod .x .%u..%g.
set primary group script = /usr/local/sbin/smbldap-usermod .g .%u. .%g.
add machine script = /usr/local/sbin/smbldap-useradd .w .%u.
# Datei die beim Login in der Domä ausgefüerden soll und wo sich
# die Profile der Benutzer sich befinden die beim Login geladen werden sollen
logon script = %U.cmd
logon path = \\%L\%U\profile
logon drive = Z:
logon home = \\%L\%U
# Server soll Domän Logons durchfüund als Masterserver in der Netzwerk
# Umgebung fungieren
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
wins support = Yes
#domain admin group = @admin
security = user
# LDAP werte fü Zugriff von Samba auf die LDAP Datenbank
ldap admin dn = uid=mailadmin,dc=panno,dc=com
ldap delete dn = Yes
ldap user suffix = ou=Users,ou=OxObjects
ldap group suffix = ou=Groups,ou=OxObjects
ldap machine suffix = ou=Computers,ou=OxObjects
ldap passwd sync = Yes
ldap suffix = dc=panno,dc=com
ldap ssl = no
host msdfs = Yes
# Administratoren des Servers . alle Aktionen warden mit dem Systembenutzer root
# ausgefü admin users = root, Administrator
# Welche Netzwerke bzw. Hosts düauf diesen Server zugreifen
hosts allow = 192.168.194.0/18
profile acls = Yes
logon drive = y:
use sendfile = no
large readwrite = no
max xmit = 16644
# Druckereinstellungen
printing = sysv
printcap name = cups
show add printer wizard = yes
unix password sync = yes
wins proxy = yes
dns proxy = yes
nt acl support = no



[profiles]
comment = Network Profiles Service
path = /daten/files/profiles/
read only = No
create mask = 0600
directory mask = 0700
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
[print$]
comment = Printer Drivers
path = /daten/files/drivers/
browseable = yes
guest ok = yes
read only = yes
write list = he_EDV, ntadmin, root, sebasti
[public]
comment = public
path = /daten/files/public/
read only = No
#admin users = sebasti, kauth, froels
guest only = No
browsable = Yes
hide files = /desktop.ini/RECYCLER/
vfs objects = recycle
[pdf]
comment = Ausgabe fuer PDF Dokumente
path = /daten/files/public/pdf
read only = No
browsable = Yes
guest only = No
[pdf-printer]
comment = Treiber: Minolta Color PageWorks/Pro PS
path = /daten/files/public/pdf
printable = Yes
guest ok = yes
print command = /usr/bin/smbprngenpdf -J '%J' -c %c -s %s -u '%u' -z %z -p /daten/files/public/pdf
lpq command =
lprm command =
create mask = 0600
[netlogon]
comment = Network Logon Service
path = /daten/files/netlogon
write list = Administrator, root
browsable = No
read only = No
guest ok = yes
[homes]
valid users = %S
path = /daten/files/homes/%U
valid users = %S
read only = No
comment = HOME Directories
browsable = No
create mask = 0644
directory mask = 0775


Danke schon einmal für die hilfe

Myst
21.09.06, 23:33
W2K3 benötigt für Domain-Funktionalität natürlich DNS! Ohne DNS funktioniert ab 2000 keine ADS, somit keine Domain. Es ist möglich, WINS zusätzlich einzusetzen, aber nicht ohne DNS. Wobei zu sagen wäre, das DNS das bessere Namenssystem ist.

XeN
22.09.06, 08:48
Hallo,

erstmal danke für die antwort. Dann hab ichs ja soweit richtg gemacht. Was versucht der XP Client denn aufzulösen? Denn eigentlich funktioniert der DNS Server.

Es gibt da nur ein Problem das ich zwar z.B. www.panno.lan anpingen kann, aber panno.lan nicht. Daran könnte es doch liegen denke ich.

hier mal meine named.conf



options {
directory "/var/lib/named";

forward first;
forwarders {
192.168.194.240;
};
// Wenn Verbindungen üine Firewall gehen müund das nicht
// so funktioniert, wie es sollte, hilft es vielleicht, die folgende
// Zeile auszukommentieren.

//query-source port 53;
};

zone "." {
type hint;
file "root.hints";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "pz/127.0.0";
};

zone "panno.lan" {
notify no;
type master;
file "pz/panno.lan";
};

zone "194.168.192.in-addr.arpa" {
notify no;
type master;
file "pz/192.168.194";
};


und hier die zonen datei panno.lan



;
; Zonendatei fuer panno.lan
;
; Die komplette Zonendatei
;
@ IN SOA mail.panno.lan. sebastian.panno.com. (
199802151 ; Datum + Seriennummer #
8H ; refresh, Sekunden
2H ; retry, Sekunden
1W ; expire, Sekunden
1D ) ; minimum,
;
NS mail ; Rechnername des Nameserver
MX 10 mail.panno.lan. ; erster Mailserver
MX 20 mail2.panno.lan. ; zweiter Mailserver
;
localhost A 127.0.0.1
mail-test A 192.168.194.99
gw A 192.168.194.240
www CNAME mail
mail A 192.168.194.25
mail1 A 192.168.194.26
mail2 A 192.168.194.27

Myst
23.09.06, 18:25
Leg doch mal die SRV-Einträge für LDAP und Kerberos an. Ein gutes Tutorial dazu gibts hier: http://www.linuxtopia.org/online_books/network_administration_guides/samba_reference_guide/17_NetworkBrowsing_09.html

XeN
25.09.06, 15:14
hallo,

hatte noch keine zeit das howto durch zu arbeiten. Aber ich vermute mal das es daran liegt.
Wenn nicht melde ich mich nochmal. Danke jedenfalls!

XeN
27.09.06, 16:23
Hallo,

also ich habe es jetzt hinbekommen. Ich konnte die domain Joinen. Maschienenkonto wurde auch erzeugt. Alles wunderbar geklappt. Nur kann ich mich komischerweise nicht an der Domain anmelden. Jemand ne ahnung woran das liegen kann?

mfg

Myst
27.09.06, 20:01
Das ist eine Meta-Frage. Genauso könntest du die Frage stellen, warum die Sonne aufgeht.

Ernsthaft: Genauere Informationen bringen uns weiter. Welcher Fehler kommt am Client (welcher Client, welche Version des OS)? Bist du in der Lage, einen Mitschnitt der Login-Session zu machen? Oder soll das beschrieben werden?

Was hast du wo und auf welche Einstellung geändert?

XeN
28.09.06, 08:27
hmm, okay, ich dachte man könnte das vielleicht aus dem Kontext erkennen oder so.

Einstellungen geändert habe ich eigentlich nicht. Habe was mit dem security level rum gespielt. Habe aber hauptsächlich den samba server als wins server eingetragen. Dann konnte ich die Domain joinen. Hab das root pass eingegeben und gut war.

Als ich den rechner dann neu gestartet habe und mich anmelden wollte kommt da dann ein fehler.



Sie konnten nicht angemeldet werden Überprüfen Sie Benutzername und Domäne und geben Sie das Kennwort erneut ein. Bei kennwörtern wird die Groß-/Kleinschreibung beachtet.

wobei ich das samba kennwort extra von hand dem normalen kennwort angepasst habe (ldap, über webmin)


in den Log files kommt soweit nix ungewöhnliches, nur eine zeile mit der ich auch nicht so viel anfangen kann.



[2006/09/28 08:27:53, 0] rpc_server/srv_pipe.c:api_pipe_bind_req(981)
Attempt to bind using schannel without successful serverauth2

wobei die meldung auch mal so zwischendurch kommt. Das kann aber von jemand anderem sein da wir noch einen NT4 PDC hier haben.


danke schonmal für die hilfe

new@tux
28.09.06, 08:32
manchmal hilft es auch, den Client zu seinem Glück zu zwingen. Trage mal bei dem Client eine IP-Adresse aus dem entsprechenden Pool ein und schau, ob Du ihn damit in die Domäne bekommst. Sollte das funktionieren, kannst du die IP-Adresse wieder heraus nehmen.
Hast Du ihm eingentlich mitgeteilt, welche DNS-Serveradresse erv verwenden soll?

XeN
28.09.06, 08:45
wie gesagt, ich habe einfach die samba ip beim wins server eingetragen. Danach der Domäne beigetreten und schwubs kam das popup für den benutzernamen und passwort. Da dann die root daten eingegeben.

Zuerst habe ich einen fehler bekommen das das passwort nicht stimmt, dann habe ich im Webmin einfach das samba passwort geändert, und nochmal versucht zu joinen. Dann kam ein popup wilkommen in der domäne blabla rechner neu starten und so.

Habe jedenfalls gerade das kennwort vom maschienen konto auf das selbe gesetzt wie das im benutzeraccount und dann ging auch die anmeldung.

Nun muss ich mich nur noch um die sharing profiles kümmern und logon scripte erstellen.


Ne andere frage, und vielleicht was off topic, habe ich ausser den Unix berechtigungen noch andere möglichkeiten (oder bessere) zugriffsrechte zu setzen? Folgendes problem. Wir haben durch unsere Groupware verschiedene ldap gruppen. Ich müßte also rechte setzen wie ordnerA gruppeA darf lesen und schreiben gruppeB darf nur lesen und userZ hat vollzugriff.

Aber ich kann über das dateisystem ja nur Owner group und others setzen, und das jeweils nur einmal. Oder ich müßte gruppen zu einer gruppe hinzufügen. Aber das geht soweit ich weiss auch nicht. Jemand nen kleinen tip was man sich da anschauen sollte/könnte?

XeN
28.09.06, 11:23
okay, doch ein Problem.

Als ich mich neu anmelden wollte sagte er mir wieder das das passwort falsch sei. Ändert der client das machienen passwort irgendwann oder irgendwie ab? Wie muss das maschienen passwort überhaupt sein. Im buch steht nur wozu es ist, aber nicht was es sein soll. Und vorallem wo steht das passwort im Client? Muss ja auch irgendwo stehen wenn sich der client selbst beim PDC authentifizieren soll.

mfg

Myst
28.09.06, 20:27
Das Maschinen-Konto und -Passwort wird einmal festgelegt, wenn die Maschine zur Domain hinzugefügt wird. Es gibt wohl ein Timeout, irgendwann läuft das Kennwort ab, oder das Maschinen-Konto wird deaktiviert.

Das Passwort kannst du nicht ändern. Du kannst nur die Maschine aus der Domain nehmen, das Maschinenkonto löschen und die Maschine neu hinzufügen. Dann haste ein neues Passwort.

Normalerweise sollte der Domain-Controller das Konto auch selbst anlegen. Wenn er das nicht tut, ist er nicht richtig konfiguriert.

Welchen log level haste eingestellt? Mach mal 3 und zeig nen kompletten Auszug aus dem Logfile. Ich mach das immer so:

1. Samba stoppen
2. smb.conf so einstellen, das für jede Maschine ein Log erstellt wird. (%m)
3. Alle logs archivieren und löschen.
4. Samba neu starten.
5..... z.b. Tests starten.

EDIT: seh grad, du hast deine smb.conf mit geschickt:

Zeilen sind interessant:

log level = 1 << auf 3
#log file = /var/log/samba/log.%m

2. Zeile ent-kommentieren.