Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux an Windows 2003 Domäne
Hallo,
Habe ein Netzwerk mit einem Windows 2003 Server, an dem sich ein Linux Fileserver anmelden soll. Anschließend soll der Win Server und die Windows/Mac Clients zugriff auf die Freigaben haben.
Ich bin nach dieser Anleitung vorgegangen: http://www.pro-linux.de/work/server/samba3-domaene.html
Es ist ein Debian System mit Samba 3.0.14. Ich konnte mich erfolgreich an der domäne anmelden (Joined '***' to realm '***') und mit einem kinit bekomm ich nach eingabe eines Benutzers und Passwortes auch ein positives Feedback. Mit wbinfo -g bekomme ich die Gruppen auf dem Win Server angezeigt.
Nun zu meinem Problem:
Ich kann von keinem Rechner aus auf die Freigaben über die Netzwerkumgebung zugreifen. Es kommt immer die Aufforderung, BN und PW einzugeben. Gebe ich eins ein (das 100% korrekt ist) bekomme ich erneut die Aufforderung.
In den Logfiles von Samba/Winbind habe ich folgendes gefunden:
"failed to verify ticket samba"
Neben ständigen Einträgen "No rid to ***".
Das seltsame ich, gebe ich über Start/Ausführen "\\XXX.XXX.XXX.XXX\freigabename" ein, geht es ohne PW-Abfrage.
In Samba habe ich bei den Freigaben als valid user folgendes eingetragen:
@WORKGROUP/linux
Auf dem Win2k3 Server hab ich eine neue Gruppe "linux" angelegt, in der ich die Benutzer, die berechtigt sein sollen, als Mitglieder angegeben habe.
Damit die Macs sich anmelden konnten, habe ich RequireSecuritySignature am Win Server deaktiviert.
Wenn gewünscht, poste ich heute abend noch meine konfig files und error logs.
Vielen Dank im Vorraus
Mögliche Fehler sind meines erachtens ..
workgroup stimmt nicht überein ( Groß/Kleinschreibung !!) o.
netbiosname wird nicht richtig aufgelöst .. o.
WinsServer kennt Linuxserver nicht.
Es gibt kein Computerkonto für Linux unter Win2003 ...
Vom Rechner(Client) aus ein ping auf Servernamen machen ..
wird dieser mit der FQDN beantwortet ?
Configs wären gut ...
smb.conf:
[global]
workgroup = DOMAIN
netbios name = Fileserver
realm = DOMAIN.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = Yes
security = ADS
encrypt passwords = yes
password server = HOSTSERVER.DOMAIN.LOCAL
client use spnego = yes
[root]
comment = Backup
path = /
browseable = yes
read only = no
guest ok = no
valid users = @DOMAIN/linux
create mask = 0770
directory mask = 0770
krb5.conf:
[libdefaults]
default_realm = DOMAIN.LOCAL
clockskew = 300
[realms]
DOMAIN.LOCAL = {
kdc = HOSTSERVER.DOMAIN.LOCAL
}
[domain_realm]
.Domain.local = DOMAIN.LOCAL
[logging]
# default = SYSLOG:NOTICE:DAEMON
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
nsswitch.conf:
# /etc/nsswitch.conf
passwd: files winbind
group: files winbind
shadow: compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Kann ich mir irgendwie vom Linux aus anzeigen lassen, in welcher Arbeitsgruppe die anderen Rechner angemeldet sind? Bin mir nicht ganz sicher, wie das mit der Groß-/Kleinschreibung ist. Hab bei der Linux Konfig alles groß geschrieben.
Wie siehts mit dem ping aus ?
der slash muss schonmal zum slash gemacht werden (valid users)
greez
der slash muss schonmal zum slash gemacht werden (valid users)
greez
versteh ich nicht,
winbind separator = /
dann muss es doch
valid users = @DOMAIN/linux
heißen, oder?
--- 192.168.20.100 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.096/0.096/0.096/0.000 ms
Fileserver:~# ping HOSTSERVER.DOMAIN.LOCAL -c 1
PING HOSTSERVER.DOMAIN.LOCAL (192.168.20.100) 56(84) bytes of data.
64 bytes from hostserver.DOMAIN.local (192.168.20.100): icmp_seq=1 ttl=128 time=0.069 ms
--- HOSTSERVER.DOMAIN.LOCAL ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.069/0.069/0.069/0.000 ms
Fileserver:~# ping DOMAIN.LOCAL -c 1
PING DOMAIN.LOCAL (192.168.20.100) 56(84) bytes of data.
64 bytes from hostserver.DOMAIN.local (192.168.20.100): icmp_seq=1 ttl=128 time=0.063 ms
--- DOMAIN.LOCAL ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.063/0.063/0.063/0.000 ms
Wie kann ich den die neuste Samba version installieren???
Über apt-get update wird nicht die neuste geladen.
den ping vom Client aus bitte nicht vom Server..
neuste Samba Version vom
www.samba.org runterladen und installieren wird dort gut beschrieben.
Den ping habe ich vom Linux rechner aus auf den ADS gemacht (3 stück: IP-Adresse, Hostname, Domain)
Ok, dann installier ich erstmal die neueste Samba version, hab gelesen, dass das Problem evtl ab 3.0.20 nicht mehr auftreten soll.
Vielen Dank schonmal zwischendurch.
Achso: Von einem Windows Rechner aus einen ping auf Fileserver.DOMAIN.LOCAL oder FILESERVER.DOMAIN.LOCAL kann nicht gefunden werden. Nur über die IP und fileserver (aber ohne den Domainzusatz).
Hab ihn jetzt auf 3.0.23d geupdated, ohne Erfolg
Wenn ich über die Netzwerkumgebung zugreifen möchte bekomme ich immer folgenden Fehler in der log.smbd:
[2007/01/11 22:29:23, 1] smbd/sesssetup.c:reply_spnego_kerberos(202)
Failed to verify incoming ticket!
und seid neustem
printing/pcap.c:pcap_cache_reload(159)
Unable to open printcap file /etc/printcap for read!
oder das hat wohl nicht mit meinem eigentlich Problem zu tun, oder?
Wenn ich über Start/Ausführen "\\192.168.20.101" ausführe, komme ich drauf und folgende "Fehlermeldung":
smbd/service.c:make_connection_snum(950)
ws3 (192.168.20.3) connect to service root initially as user DOMAIN/xxxx (uid=10000, gid=10010) (pid 1377)
So, habs eben mal von einem unserer Mac ausprobiert: Netzwerk/DOMAIN/Fileserver verbinden, Laufwerk verbinden, Passwort aufforderung => ERFOLG!
Denke irgendwie es liegt an der Passwort verschlüsselung von den Windows Rechnern. Kann das sein?
Hab mal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation\parameters\enablesecuritysign ature auf 0 gesetzt, hat nichts gebracht.
Achso: Von einem Windows Rechner aus einen ping auf Fileserver.DOMAIN.LOCAL oder FILESERVER.DOMAIN.LOCAL kann nicht gefunden werden. Nur über die IP und fileserver (aber ohne den Domainzusatz).
Hier scheint etwas mit der Namensauflösung nicht zu gehen.
printing/pcap.c:pcap_cache_reload(159)
Unable to open printcap file /etc/printcap for read!
Gibt es die denn ?
in der krb5.conf
[realms]
DOMAIN.LOCAL = {
kdc = hostserver.domain.local
admin_server = hostserver.domain.local
default_domain = DOMAIN.LOCAL
kpasswd_server = hostserver.domain.local
}
[domain_realm]
.Domain.local = DOMAIN.LOCAL
.DOMAIN.LOCAL = DOMAIN.LOCAL
hinzufügen.
in nsswitch.conf
hosts: files dns
networks: files dns
auch hinzu
smbd/service.c:make_connection_snum(950)
ws3 (192.168.20.3) connect to service root initially as user DOMAIN/xxxx (uid
Das ist keine Fehlermeldung eher eine Erfolgsmeldung
[libdefaults]
default_realm = DOMAIN.LOCAL
clockskew = 300
Die Uhren dürfen maximal 5 min unterschied haben ...
Auch hier abgleichen
Gib mal die Ausgaben von folgenden Befehlen :
kinit
klist -v
net ads join
Hi!
[pMz][;1483991']Achso: Von einem Windows Rechner aus einen ping auf Fileserver.DOMAIN.LOCAL oder FILESERVER.DOMAIN.LOCAL kann nicht gefunden werden. Nur über die IP und fileserver (aber ohne den Domainzusatz).
Ist DOMAIN.LOCAL überhaupt richtig? Welches DNS-Suffix spuckt ipconfig /all dort aus? Welchen UserPrincipalName haben die Benutzer im AD? Der Teil hinter dem @ ist der korrekte Domain-Name.
Gruß
fuffy
nochmal zum "slash":
hatte den winbind seperator ueberlesen
sorry&greez
pconfig /all von nem Windows Client
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : ws3
Primäres DNS-Suffix . . . . . . . : Domain.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : Domain.local
Ethernetadapter LAN-Verbindung 3:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI
Gigabit Ethernet Controller
Physikalische Adresse . . . . . . : 00-11-2F-E4-8A-B2
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.20.3
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.20.251
DHCP-Server . . . . . . . . . . . : 192.168.20.100
DNS-Server. . . . . . . . . . . . : 192.168.20.100
Primärer WINS-Server. . . . . . . : 192.168.20.100
Lease erhalten. . . . . . . . . . : Montag, 15. Januar 2007 15:49:01
Lease läuft ab. . . . . . . . . . : Dienstag, 23. Januar 2007 15:49:01
net ads join
Fileserver:~# net ads join
Using short domain name -- DOMAIN
Joined 'FILESERVER' to realm 'DOMAIN.LOCAL'
klist (parameter v gibt es nicht, sagt er)
Fileserver:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@DOMAIN.LOCAL
Valid starting Expires Service principal
01/15/07 16:09:22 01/16/07 02:09:22 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Fileserver:~#
kinit
Fileserver:~# kinit
Password for Administrator@DOMAIN.LOCAL:
Fileserver:~#
Auf dem WinServer hab ich ein Benutzerkonto, das "krbtgt" lautet. Ist aber deaktiviert und lässt sich auch nicht aktivieren, soll aber angeblich so richtig sein.
MMM, gibt wohl auf jedenfall ein Problem mit dem DNS. Auf dem 2003er Server steht in der AD-Benutzer/Computer-Verwaltung unter Fileserver:
DNS-Name: localhost.localdomain
Wenn ich den Computer lösche, anlege und einen neuen netjoin mache, steht es da wieder....
So, das hab ich gelöst, stand falsch in der hosts drin. Mal schaun, was er jetzt macht.
Hab jetzt in hosts folgendes reingeschrieben:
127.0.0.1 FILESERVER.DOMAIN.LOCAL localhost Fileserver
Jetzt wird es im Win2003 richtig angezeigt, aber ein ping auf FILESERVER.DOMAIN.LOCAL geht immer noch nicht :(
Die lokale Host Datei hat wohl wenig mit der DNS Namensauflösung zu tuen.
Dies liegt wohl mehr am Zoneneintrag im DNS Server bzw. am DNS Server selbst.
Welcher Server ist den eingetragen ?
unter Linux steht das in der /etc/resolv.conf
unter Windows siehst Du das mit ipconfig /all
achja 127.0.0.1 ist immer nur localhost
mach da bitte nichts anderes draus.
Der Fehler liegt mit Sicherheit wo anders.
Was läuft denn auf dem HOSTSERVER windows oder Linux ?
/etc/resolv.conf sagt:
search
192.168.20.100
wie auch auf den Windows Maschinen.
Ist ja auch richtig, da "Hostserver" (192.168.20.100) Windows 2003 SB mit AD-, DHCP- und DNS-Server ist.
M.E. muß die resolv.conf so aussehen :
z.B. in Deinem Fall mit domain.local ....
search saxsys.de linuxfibel.de galaxis.de
nameserver 134.109.192.18
nameserver 192.168.85.1
Mach mal ein
dig Hostserver.doamin.local
dig -x 192.168.20.100
werden die namen richtig aufgelöst ?
Nabend!
Die /etc/resolv.conf kann ich nicht editieren, bzw. wird immer automatisch bei start mit den Einstellungen (siehe oben) vom DHCP Server überschrieben.
dann wird hier etwas nicht richtig übertragen ..
Du kannst diese temporär überschreiben ... was sagt der dig befehl ?
Ok, hab in der resolv.conf folgendes eingetragen:
search Domain.local
nameserver 192.168.20.100
Fileserver:~# dig Hostserver.domain.local
; <<>> DiG 9.2.4 <<>> Hostserver.domain.local
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26560
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;Hostserver.domain.local. IN A
;; ANSWER SECTION:
Hostserver.domain.local. 3600 IN A 192.168.20.100
;; Query time: 1 msec
;; SERVER: 192.168.20.100#53(192.168.20.100)
;; WHEN: Thu Jan 18 14:19:07 2007
;; MSG SIZE rcvd: 59
Fileserver:~# dig -x 192.168.20.100
; <<>> DiG 9.2.4 <<>> -x 192.168.20.100
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61336
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;100.20.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
100.20.168.192.in-addr.arpa. 1200 IN PTR hostserver.domain.local.
;; Query time: 1 msec
;; SERVER: 192.168.20.100#53(192.168.20.100)
;; WHEN: Thu Jan 18 14:19:52 2007
;; MSG SIZE rcvd: 84
EDIT: Ich glaube es funktioniert! Melde mich gleich nochmal.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.