Hallo,

Habe ein Netzwerk mit einem Windows 2003 Server, an dem sich ein Linux Fileserver anmelden soll. Anschließend soll der Win Server und die Windows/Mac Clients zugriff auf die Freigaben haben.

Ich bin nach dieser Anleitung vorgegangen: http://www.pro-linux.de/work/server/samba3-domaene.html

Es ist ein Debian System mit Samba 3.0.14. Ich konnte mich erfolgreich an der domäne anmelden (Joined '***' to realm '***') und mit einem kinit bekomm ich nach eingabe eines Benutzers und Passwortes auch ein positives Feedback. Mit wbinfo -g bekomme ich die Gruppen auf dem Win Server angezeigt.

Nun zu meinem Problem:
Ich kann von keinem Rechner aus auf die Freigaben über die Netzwerkumgebung zugreifen. Es kommt immer die Aufforderung, BN und PW einzugeben. Gebe ich eins ein (das 100% korrekt ist) bekomme ich erneut die Aufforderung.
In den Logfiles von Samba/Winbind habe ich folgendes gefunden:
"failed to verify ticket samba"
Neben ständigen Einträgen "No rid to ***".
Das seltsame ich, gebe ich über Start/Ausführen "\\XXX.XXX.XXX.XXX\freigabename" ein, geht es ohne PW-Abfrage.

In Samba habe ich bei den Freigaben als valid user folgendes eingetragen:
@WORKGROUP/linux

Auf dem Win2k3 Server hab ich eine neue Gruppe "linux" angelegt, in der ich die Benutzer, die berechtigt sein sollen, als Mitglieder angegeben habe.
Damit die Macs sich anmelden konnten, habe ich RequireSecuritySignature am Win Server deaktiviert.

Wenn gewünscht, poste ich heute abend noch meine konfig files und error logs.

Vielen Dank im Vorraus

Mögliche Fehler sind meines erachtens ..
workgroup stimmt nicht überein ( Groß/Kleinschreibung !!) o.
netbiosname wird nicht richtig aufgelöst .. o.
WinsServer kennt Linuxserver nicht.
Es gibt kein Computerkonto für Linux unter Win2003 ...

Vom Rechner(Client) aus ein ping auf Servernamen machen ..
wird dieser mit der FQDN beantwortet ?


Configs wären gut ...

smb.conf:


[global]
workgroup = DOMAIN
netbios name = Fileserver
realm = DOMAIN.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = Yes
security = ADS
encrypt passwords = yes
password server = HOSTSERVER.DOMAIN.LOCAL
client use spnego = yes

[root]
comment = Backup
path = /
browseable = yes
read only = no
guest ok = no
valid users = @DOMAIN/linux
create mask = 0770
directory mask = 0770

krb5.conf:

[libdefaults]
default_realm = DOMAIN.LOCAL
clockskew = 300

[realms]
DOMAIN.LOCAL = {
kdc = HOSTSERVER.DOMAIN.LOCAL
}

[domain_realm]
.Domain.local = DOMAIN.LOCAL

[logging]
# default = SYSLOG:NOTICE:DAEMON
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}

nsswitch.conf:

# /etc/nsswitch.conf
passwd: files winbind
group: files winbind
shadow: compat

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis


Kann ich mir irgendwie vom Linux aus anzeigen lassen, in welcher Arbeitsgruppe die anderen Rechner angemeldet sind? Bin mir nicht ganz sicher, wie das mit der Groß-/Kleinschreibung ist. Hab bei der Linux Konfig alles groß geschrieben.

Wie siehts mit dem ping aus ?

der slash muss schonmal zum slash gemacht werden (valid users)

greez

der slash muss schonmal zum slash gemacht werden (valid users)

greez


versteh ich nicht,


winbind separator = /

dann muss es doch


valid users = @DOMAIN/linux

heißen, oder?




--- 192.168.20.100 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.096/0.096/0.096/0.000 ms
Fileserver:~# ping HOSTSERVER.DOMAIN.LOCAL -c 1
PING HOSTSERVER.DOMAIN.LOCAL (192.168.20.100) 56(84) bytes of data.
64 bytes from hostserver.DOMAIN.local (192.168.20.100): icmp_seq=1 ttl=128 time=0.069 ms

--- HOSTSERVER.DOMAIN.LOCAL ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.069/0.069/0.069/0.000 ms
Fileserver:~# ping DOMAIN.LOCAL -c 1
PING DOMAIN.LOCAL (192.168.20.100) 56(84) bytes of data.
64 bytes from hostserver.DOMAIN.local (192.168.20.100): icmp_seq=1 ttl=128 time=0.063 ms

--- DOMAIN.LOCAL ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.063/0.063/0.063/0.000 ms



Wie kann ich den die neuste Samba version installieren???
Über apt-get update wird nicht die neuste geladen.

den ping vom Client aus bitte nicht vom Server..

neuste Samba Version vom
www.samba.org runterladen und installieren wird dort gut beschrieben.

Den ping habe ich vom Linux rechner aus auf den ADS gemacht (3 stück: IP-Adresse, Hostname, Domain)

Ok, dann installier ich erstmal die neueste Samba version, hab gelesen, dass das Problem evtl ab 3.0.20 nicht mehr auftreten soll.

Vielen Dank schonmal zwischendurch.

Achso: Von einem Windows Rechner aus einen ping auf Fileserver.DOMAIN.LOCAL oder FILESERVER.DOMAIN.LOCAL kann nicht gefunden werden. Nur über die IP und fileserver (aber ohne den Domainzusatz).

Hab ihn jetzt auf 3.0.23d geupdated, ohne Erfolg

Wenn ich über die Netzwerkumgebung zugreifen möchte bekomme ich immer folgenden Fehler in der log.smbd:



[2007/01/11 22:29:23, 1] smbd/sesssetup.c:reply_spnego_kerberos(202)
Failed to verify incoming ticket!

und seid neustem


printing/pcap.c:pcap_cache_reload(159)
Unable to open printcap file /etc/printcap for read!

oder das hat wohl nicht mit meinem eigentlich Problem zu tun, oder?

Wenn ich über Start/Ausführen "\\192.168.20.101" ausführe, komme ich drauf und folgende "Fehlermeldung":



smbd/service.c:make_connection_snum(950)
ws3 (192.168.20.3) connect to service root initially as user DOMAIN/xxxx (uid=10000, gid=10010) (pid 1377)


So, habs eben mal von einem unserer Mac ausprobiert: Netzwerk/DOMAIN/Fileserver verbinden, Laufwerk verbinden, Passwort aufforderung => ERFOLG!

Denke irgendwie es liegt an der Passwort verschlüsselung von den Windows Rechnern. Kann das sein?

Hab mal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation\parameters\enablesecuritysign ature auf 0 gesetzt, hat nichts gebracht.

Achso: Von einem Windows Rechner aus einen ping auf Fileserver.DOMAIN.LOCAL oder FILESERVER.DOMAIN.LOCAL kann nicht gefunden werden. Nur über die IP und fileserver (aber ohne den Domainzusatz).

Hier scheint etwas mit der Namensauflösung nicht zu gehen.


printing/pcap.c:pcap_cache_reload(159)
Unable to open printcap file /etc/printcap for read!

Gibt es die denn ?

in der krb5.conf


[realms]
DOMAIN.LOCAL = {
kdc = hostserver.domain.local
admin_server = hostserver.domain.local
default_domain = DOMAIN.LOCAL
kpasswd_server = hostserver.domain.local
}
[domain_realm]
.Domain.local = DOMAIN.LOCAL
.DOMAIN.LOCAL = DOMAIN.LOCAL


hinzufügen.
in nsswitch.conf


hosts: files dns
networks: files dns

auch hinzu



smbd/service.c:make_connection_snum(950)
ws3 (192.168.20.3) connect to service root initially as user DOMAIN/xxxx (uid

Das ist keine Fehlermeldung eher eine Erfolgsmeldung




[libdefaults]
default_realm = DOMAIN.LOCAL
clockskew = 300

Die Uhren dürfen maximal 5 min unterschied haben ...
Auch hier abgleichen

Gib mal die Ausgaben von folgenden Befehlen :


kinit
klist -v
net ads join

Hi!


[pMz][;1483991']Achso: Von einem Windows Rechner aus einen ping auf Fileserver.DOMAIN.LOCAL oder FILESERVER.DOMAIN.LOCAL kann nicht gefunden werden. Nur über die IP und fileserver (aber ohne den Domainzusatz).
Ist DOMAIN.LOCAL überhaupt richtig? Welches DNS-Suffix spuckt ipconfig /all dort aus? Welchen UserPrincipalName haben die Benutzer im AD? Der Teil hinter dem @ ist der korrekte Domain-Name.

Gruß
fuffy

nochmal zum "slash":
hatte den winbind seperator ueberlesen

sorry&greez

pconfig /all von nem Windows Client



Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : ws3
Primäres DNS-Suffix . . . . . . . : Domain.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : Domain.local

Ethernetadapter LAN-Verbindung 3:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI
Gigabit Ethernet Controller
Physikalische Adresse . . . . . . : 00-11-2F-E4-8A-B2
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.20.3
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.20.251
DHCP-Server . . . . . . . . . . . : 192.168.20.100
DNS-Server. . . . . . . . . . . . : 192.168.20.100
Primärer WINS-Server. . . . . . . : 192.168.20.100
Lease erhalten. . . . . . . . . . : Montag, 15. Januar 2007 15:49:01
Lease läuft ab. . . . . . . . . . : Dienstag, 23. Januar 2007 15:49:01


net ads join



Fileserver:~# net ads join
Using short domain name -- DOMAIN
Joined 'FILESERVER' to realm 'DOMAIN.LOCAL'


klist (parameter v gibt es nicht, sagt er)



Fileserver:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@DOMAIN.LOCAL

Valid starting Expires Service principal
01/15/07 16:09:22 01/16/07 02:09:22 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Fileserver:~#


kinit



Fileserver:~# kinit
Password for Administrator@DOMAIN.LOCAL:
Fileserver:~#


Auf dem WinServer hab ich ein Benutzerkonto, das "krbtgt" lautet. Ist aber deaktiviert und lässt sich auch nicht aktivieren, soll aber angeblich so richtig sein.

MMM, gibt wohl auf jedenfall ein Problem mit dem DNS. Auf dem 2003er Server steht in der AD-Benutzer/Computer-Verwaltung unter Fileserver:

DNS-Name: localhost.localdomain

Wenn ich den Computer lösche, anlege und einen neuen netjoin mache, steht es da wieder....

So, das hab ich gelöst, stand falsch in der hosts drin. Mal schaun, was er jetzt macht.

Hab jetzt in hosts folgendes reingeschrieben:


127.0.0.1 FILESERVER.DOMAIN.LOCAL localhost Fileserver

Jetzt wird es im Win2003 richtig angezeigt, aber ein ping auf FILESERVER.DOMAIN.LOCAL geht immer noch nicht :(

Die lokale Host Datei hat wohl wenig mit der DNS Namensauflösung zu tuen.
Dies liegt wohl mehr am Zoneneintrag im DNS Server bzw. am DNS Server selbst.
Welcher Server ist den eingetragen ?
unter Linux steht das in der /etc/resolv.conf
unter Windows siehst Du das mit ipconfig /all

achja 127.0.0.1 ist immer nur localhost

mach da bitte nichts anderes draus.
Der Fehler liegt mit Sicherheit wo anders.


Was läuft denn auf dem HOSTSERVER windows oder Linux ?

/etc/resolv.conf sagt:



search
192.168.20.100


wie auch auf den Windows Maschinen.

Ist ja auch richtig, da "Hostserver" (192.168.20.100) Windows 2003 SB mit AD-, DHCP- und DNS-Server ist.

M.E. muß die resolv.conf so aussehen :
z.B. in Deinem Fall mit domain.local ....

search saxsys.de linuxfibel.de galaxis.de
nameserver 134.109.192.18
nameserver 192.168.85.1

Mach mal ein


dig Hostserver.doamin.local
dig -x 192.168.20.100

werden die namen richtig aufgelöst ?

Nabend!

Die /etc/resolv.conf kann ich nicht editieren, bzw. wird immer automatisch bei start mit den Einstellungen (siehe oben) vom DHCP Server überschrieben.

dann wird hier etwas nicht richtig übertragen ..
Du kannst diese temporär überschreiben ... was sagt der dig befehl ?

Ok, hab in der resolv.conf folgendes eingetragen:



search Domain.local
nameserver 192.168.20.100




Fileserver:~# dig Hostserver.domain.local

; <<>> DiG 9.2.4 <<>> Hostserver.domain.local
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26560
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;Hostserver.domain.local. IN A

;; ANSWER SECTION:
Hostserver.domain.local. 3600 IN A 192.168.20.100

;; Query time: 1 msec
;; SERVER: 192.168.20.100#53(192.168.20.100)
;; WHEN: Thu Jan 18 14:19:07 2007
;; MSG SIZE rcvd: 59




Fileserver:~# dig -x 192.168.20.100

; <<>> DiG 9.2.4 <<>> -x 192.168.20.100
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61336
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;100.20.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
100.20.168.192.in-addr.arpa. 1200 IN PTR hostserver.domain.local.

;; Query time: 1 msec
;; SERVER: 192.168.20.100#53(192.168.20.100)
;; WHEN: Thu Jan 18 14:19:52 2007
;; MSG SIZE rcvd: 84


EDIT: Ich glaube es funktioniert! Melde mich gleich nochmal.