PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : umzug PDC - member-server verlassen die domaine



leiner
18.07.11, 11:40
Hallo Gemeinde

Ich brauche mal Erleuchtung.

Aufgabe: Alten PDC mit Samba 2.2.7 aus Suse 7.3 ersetzen durch neuen PDC auf OSS11.4 Samba 3.5.7.
Erstmal von smbpasswd nach smbpasswd (später mehr ...)
unterschiedliche Netbiosnamen und IP-Adressen

Umgebung:
40 XP-Prof.
alter PDC samba 2.2.7
Suse 9.3 member Samba-Server (3.0.13) mit diversen Verzeichniss- und Druckerfreigaben (das Arbeitspferd) , Wins-Server , lokaler Master Browser
Win2003 Server - auch Domainenmitglied einige Verzeichnissfreigaben
Neuer PDC Opensuse 11.4 mit Samba 3.5.7

Ich habe folgendes gemacht:
- SID auf altem PDC per smbpasswd -S DOM ausgelesen, und per net setlocalSID DOM auf dem neuen gesetzt. Ein net getlocalsid spuckt die gleiche SID aus wie auf dem alten (musste erst den Netbios-Namen auf den Domainen namen setzen dann hat es geklappt dann Name wie auf neuen netbiosname zurück gesetzt)
- home-Verzeichnisse per rsync geklont und mit convmv Zeichensatz angepasst
- profile per rsync geklont und per convmv Zeichensatz angepasst
- /etc/passwd sychronisiert/zusammen geführt damit alle UID's auf dem neuen vorhanden sind
- /etc/samba/smbpasswd per rsync geklont
- netlogon per rsync geklont und per convmv Zeichensatz angepasst
- entsprechende smb.conf erzeugt.

Zum Zeitpunkt 19:30 habe ich:
- auf dem alten PDC "domain master = no", und "domain logon = no" gesetzt, und smbd und nmbd neu gestartet.
- auf dem neuen "domain master = yes" , und "domain logon = yes" , und smbd und nmbd neu gestartet.

soweit so gut

ein nmblookup -R 'DOM#1b' bzw nmblookup -R 'DOM#1c' gab die Adresse des neuen Servers aus.

am nächsten Tag haben sich die Benutzer normal angemeldet:
- Benutzer konnten sich anmelden
- Profile wurden gefunden und benutzt

nach zwei Stunden arbeit !? war plötzlich der Member Server nicht mehr ansprechbar (Netzwerk nicht gefunden oder sie haben kein Berechtigung - genauen Wortlaut hab ich nicht mehr war plötzlich Stress), - weder direkt per \\Servername noch über die Netzwerkumgebung und in der Arbeitsgruppe nicht mehr vorhanden.

Auch ein wieder aktivieren des alten PDC half erst nicht.
Erst als ich aus der /etc/passwd und smbpasswd die einträge des Maschinenkontos gelöscht habe konnet ich den Server wieder in der Domaine auf nehmen. Damit lief wieder dann alles wieder normal.
(erstmal Blutdruck senken)

Ein Test am letzten Wochenende ohne Benutzer hat gezeigt das auch der Win2003-Server sich aus der Domaine veraschiedet???
Im nachhinein hätte ich vermutlich den Member auch am neuen PDC wieder in die Domaine durch löschen des Maschinenkontos, und dann neu in der Domaine aufnehmen können.
Also Member-Samba als auch Win2003 zeigen gleiches verhalten die XP-Clients aber nicht?

Wo liegt mein Gedankenfehler??
Ich dachte das die Domainenvertrauensstellung durch die Gleich SID plus die gleiche smbpasswd bestehen bleibt!?
Warum trennen sich die XP-Clients nicht auch?

Bin Ratlos - bitte um Erleuchtung sachdienliche Hinweise wie ich die Aufgabe löse.

Gruss und voraus eilender Dank
Leiner

leiner
19.07.11, 08:45
Alle allesamt

So, da ich ja auch weiter Suche habe ich noch weitere Fragen:
Auf dem altem PDC (2.2.7) ist die Ausgabe von smbpasswd -S nicht identisch mit dem Inhalt der MASCHINE.SID.

Wenn ich mir aber in den Benutzerprofile ein:
"string NTUSER.DAT |grep 'S-1-5-21' " absetze ist das identisch mit dem smbpasswd -S.

Nun bin ich aber verwirrt. In den Anleitungen, in denen die Portierung Samba2.X -> Samba 3.x beschrieben wird, steht heißt es die MACHINE.SID sein die Domainen-SID.


weiterhin um jeden Rat dankbar
Leiner

muell200
19.07.11, 09:09
weiterhin um jeden Rat dankbar
Leiner

du musst die maschinen sid auch mit auf den neuen pdc nehmen
stehen irgendwo unter: /var/lib/samba/....tdb
( habe keine samba maschine gerade da... )

warum es die ersten 2 stunden funktioniert hat, denke ich, das windows die namen und keywoerter noch im cache hatte.

setze mal den debuglevel hoch, dann solltest du den fehler finden...

alternative setzte den neuen server zuerst als bdc auf und schalte dann um...

leiner
19.07.11, 14:59
du musst die maschinen sid auch mit auf den neuen pdc nehmen
stehen irgendwo unter: /var/lib/samba/....tdb
( habe keine samba maschine gerade da... )



Ich habe unter /etc/samba/ die MACHINE.SID. Da steht in Klartext was drin alá "S-1-5-21-1800056 ....."

Was soll ich damit machen? Einfach die Datei auf den neuen ebenfalls unter /etc/samba kopieren?
oder per net set ??? auf dem neuen irgendwo eintragen?
Obwohl ein tdbdump von alter und neuer secrets.tdb für Host und Domaine die gleichen Einträge zeigen (also vier mal die gleichen Daten).

T'schuldige das ich so genau frage aber mir raucht inzwischen der Kopf und ich bin mir inzwischen mit nichts mehr sicher.



warum es die ersten 2 stunden funktioniert hat, denke ich, das windows die namen und keywoerter noch im cache hatte.

setze mal den debuglevel hoch, dann solltest du den fehler finden...

alternative setzte den neuen server zuerst als bdc auf und schalte dann um...

War auch so als BDC gedacht, aber synchronisieren der smbpasswd klappt nicht zuverlässig, ausserdem profile und home-Verzeichnisse müssen auch synchron sein mit unterschiedlich Zeichensätzen ...
Der alte ist halt schon sehr alt.

Vielen Dank das Du Dir Zeit für mein Problem genommen hast
Gruss Leiner

leiner
21.07.11, 14:26
Hay alle zusammen

Leider ist das Thema immer noch heiss.

Am Wochende werd ich wohl wieder testen können ohne die Firma lahm zu legen.
Daher bin ich nach wie vor für jeden Beitrag dankbar.

Gruss Leiner

muell200
21.07.11, 14:45
Daher bin ich nach wie vor für jeden Beitrag dankbar.


und jetzt? sollen wie raten? - oder ? :)

config, logs,...
- oder einen ssh zugang damit wir das problem loesen koennen...

leiner
21.07.11, 16:38
und jetzt? sollen wie raten? - oder ? :)

config, logs,...
- oder einen ssh zugang damit wir das problem loesen koennen...

Hay

ssh - na ja wenn wir uns persönlich kennen würden ... ;)

dachte ich hätt schon genug geschrieben im 1. Beitrag - schäm ...

Ok - alles was hilft:

das Log-file smb.log für den Member-Server[PLANCK] der rum zickt auf dem neuen PDC - :

[2011/07/13 08:14:37.063224, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 08:14:37.063250, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/13 08:14:37.129601, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 08:14:37.129626, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/13 08:14:37.063224, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 08:14:37.063250, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/13 08:14:37.129601, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 08:14:37.129626, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/14 08:42:26.781356, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/14 08:42:26.781398, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
-- scnipp --
[2011/07/17 12:28:40.028985, 0] rpc_server/srv_netlog_nt.c:714(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PLANCK machine account PLANCK$
[2011/07/17 12:40:03.706614, 0] rpc_server/srv_netlog_nt.c:714(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client PLANCK machine account PLANCK$


logs von Member "PLANCK" zu den Ereignissen finde ich keine

smb.log für win2003-Server[SOKRATES] auf dem neuen PDC

[2011/07/13 16:59:27.549938, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 16:59:27.549984, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/13 16:59:27.703439, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 16:59:27.703462, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/13 16:59:28.477863, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 16:59:28.477885, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/13 16:59:28.604354, 1] ../librpc/ndr/ndr.c:421(ndr_push_error)
ndr_push_error(5): Bad character conversion
[2011/07/13 16:59:28.604375, 0] rpc_server/srv_pipe.c:2439(api_rpcTNP)
api_rpcTNP: \netlogon: NETR_LOGONSAMLOGON failed.
[2011/07/16 09:42:00.169225, 0] rpc_server/srv_netlog_nt.c:714(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client SOKRATES machine account SOKRATES$



hier die smb.conf des members (3.0.13 Suse9.3)- global sollte reichen oder?

[global]
workgroup = DOMAIN
server string = Planck
security = DOMAIN
null passwords = Yes
password server = *
username map = /etc/samba/smbusers
log level = 2
syslog = 0
log file = /var/log/samba/%m
deadtime = 30
#logon path = \\%L\profiles\.msprofile
logon path = \\%L\profiles\%U
logon drive = P:
logon home = \\%L\%U\.9xprofile
logon script = scripts/default.bat
domain master = No
wins support = yes
os level = 62
local master = yes
preferred master = yes


Hier die smb.conf neuer PDC (samba 3.5.7 aktuelle Suse11.4 )- bei testen werden natürlich domain master und domain logon umgeschaltet


[global]
server string = PDC-DOMAIN
workgroup = DOMAIN
passdb backend = smbpasswd
printing = cups
printcap name = cups
printcap cache time = 750
name resolve order = wins host bcast lmhosts
cups options = raw
map to guest = Bad User
logon path = \\%L\profiles\%U
#logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = H:
usershare allow guests = Yes
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
########### Domainencontroller ####
# domain logons = Yes
# domain master = yes
############ dummer Server ########
domain logons = no
domain master = no

ldap suffix =
netbios name = PDC-DOMAIN
#netbios name = DOMAIN
security = user
wins server = 192.168.14.50
wins support = No
include =/etc/samba/smb.conf.%I
log file = /var/log/samba/log.smb.%m


wie gesagt zu Zeitpunkt des umschaltens kopiere ich per rsync die smbpasswd von alt auf neu.

13.->14. waren die Samba -Prozesse komplett abgeschaltet.
16->17. war der alte PDC[EINSTEIN] mit domain master =no und domain logon =no ereichbar damit wins den neuen sofort akzeptiert.

Die smb.conf des alten PDC's (samba2.2.7)

[global]
workgroup = DOMAIN
netbios name = EINSTEIN
server string = Einstein
config file = /etc/samba/smb.conf.%L
interfaces = 192.168.14.30/255.255.255.0
encrypt passwords = Yes
min passwd length = 0
map to guest = Bad User
null passwords = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*password* %n\n *new*password* %n\n *Password*changed*
passwd chat debug = Yes
unix password sync = Yes
log level = 0
log file = /var/log/samba/%L_%m_%u
#log file = /var/log/samba/smblogfile
#log file = /var/log/samba/%S_%U.log
level2 oplocks = no
oplocks = no

name resolve order = wins host bcast lmhosts
time server = Yes
deadtime = 150
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
show add printer wizard = No
character set = ISO8859-1
domain admin group = @adm
printer admin = @adm, rl, root
add user script = /usr/sbin/useradd -d /dev/null -g 99 -c Maschinen -s /bin/false -M %u
username map = /etc/samba/smbusers
#logon script = scripts\default.bat %U
logon script = scripts\default.bat
logon path = \\EINSTEIN\profiles\%U
logon drive = c:
logon home = \\EINSTEIN\%U

############################################# domain logons = no
domain logons = yes
os level = 40
# preferred master = True
preferred master = no
############################################# domain master = no
domain master = yes

wins server = planck
# wins support = Yes
wins proxy = yes
guest account = smbuser
printing = cups
lpq cache time = 120
share modes = No



Ohne des Untersuchung der configs vorgreifen zu wollen denke ich das mein Problem irgend wo mit MACHINE.SID. smbpasswd -S, net [get|set]localSID zutun hat.

Wenn noch andere Daten hilfreich sein könnten ...

Danke

Leiner