Samba - Domänenanmeldung nicht möglich

[interfACE69]

Hallo Leute,
bin leider erst seit 2 Monaten Linuxer (also noch ein Newbie)...

ich habe hier einen Sambaserver (3.0.22-13.16-SUSE-SLES10) der als Domänencontroller läuft und etliche Windows-Clients Das Problem ist, dass ich mit 2 Workstations (XP-SP2) Probleme habe.Ich nenne sie hier mal WS1 und WS2.

Bei WS1 begann es damit dass das Login ewig dauerte und schliesslich das "Profil auf dem Server nicht gefunden wurde". (Ich habe auf dem Server nachgesehen, aber das Profil ist noch vorhanden) Dann habe ich auf diesem XP-Client unter "Systemeigenschaften->Computername->Ändern" versucht mich erneut der Domäne anzuschliessen, was mit dem Fehler "Die angegebene Domäne konnte nicht gefunden werden oder es konnte keine Verbindung hergestellt werden." endete.

Um einen Fehler auszuschliessen, habe ich dann auf dem zweiten Client versucht
diese Prozedur nachzustellen. Also habe ich ihn von der Domäne abgemeldet
("Systemeigenschaften->Computername->Ändern") als ich ihn wieder anmelden wollte kam auch dort "Die angegebene Domäne konnte nicht gefunden werden oder es konnte keine Verbindung hergestellt werden."

Nun arbeiten beide nur noch in der Arbeitsgruppe
Alle Serverfreigaben sind noch vorhanden und erreichbar..und ich bin völlig ratlos.
Hat irgendjemand hier eine Idee???

zur Unterstützung hier noch meine smb.config:

# Samba3 Konfiguration

[global]
# Identifikation des Servers und der Arbeitsgruppe
#
workgroup = lenz.local
netbiosname = LENZBRB_PDC
server string = Samba(PDC)@lenz.local
#
# Grundeinstellungen für die einzelnen Shares. Um eine höhere Sicherheit zu gewähren, wird global erst einmal
# alles verboten und in den jeweiligen Shares die Rechte dann vergeben
#
browseable = no
public = yes
writeable = no
guest ok = yes
#
# Die Log-Files für Samba
#
log file = /var/samba/log.%m
#
# Browsing
#
domain master = yes
local master = yes
preferred master = yes
os level = 69
#
# Sicherheit & Zeit
#
passdb backend = smbpasswd
security = user
time server = yes
#
# Logon Einstellungen für Windows 9x/NT/2000/ME
#
logon path = \\LENZBRB_PDC\profiles\%U.pds
logon home = \\LENZBRB_PDC\profiles\%U
logon script = users.bat
domain logons = Yes
update encrypted = yes
password level = 4
unix password sync = yes
passwd program = /usr/bin/passwd %u
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
#
# Die Administratoren des PDC
#
domain admin users = root, administrator, Administrator, ADMINISTRATOR
#
# Performance Einstellungen
#
deadtime = 15
keep alive = 180
read raw = yes
write raw = yes
socket options = TCP_NODELAY
getwd cache = yes
#
# WINS (überprüfen ob notwendig)
#
wins support = yes
#
# Dateinamen (diese Optionen gehören in den Bereich der Shares
# ausserdem sind alle auf Standard-Werten und damit überflüssig - noch zu überprüfen)
#
case sensitive = no
default case = lower
preserve case = yes
short preserve case = yes
mangle case = no
#
# Logging-Optionen
#
log level = 3
max log size = 5000
#
# Locking-Optionen
#
oplocks = yes
fake oplocks = no
level2 oplocks = False
#
# Drucker Einstellungen
#
printing = cups
load printers = yes
#
[homes]
path = /home/%u
comment = Benutzer-Verzeichnisse
browseable = no
writeable = yes
#
[netlogon]
path = /home/netlogon
browseable = no
writeable = no
comment = NetLogON
write list = root
#
[profiles]
path = /home/profiles
browseable = no
writeable = yes
store dos attributes = Yes
create mask = 0777
directory mask = 0777
comment = Benutzerprofile
#
[public]
path = /home/public
browseable = yes
writeable = yes
guest ok = yes
public = yes
create mask = 0777
directory mask = 0777
inherit permissions = yes
comment = Öffentlicher Ordner
#
[beton]
path = /home/groups/beton
browseable = yes
read list = @beton @erdbau @azubi
write list = @beton
create mask = 0770
directory mask = 0660
comment = Bereich Beton
#
[erdbau]
path = /home/groups/erdbau
browseable = yes
read list = @beton @erdbau @azubi
write list = @erdbau
create mask = 0770
directory mask = 0660
comment = Bereich Erdbau
#
[ifu]
path = /home/groups/ifu
browseable = yes
writeable = yes
read list = @ifu
write list = @ifu
inherit permissions = yes
comment = Bereich IFU
#
[sebu]
path = /home/groups/sebu
browseable = yes
writeable = yes
read list = @sebu
write list = @sebu
inherit permissions = yes
comment = Sekretariat und Buchhaltung
#
[azubi]
path = /home/groups/azubi
browseable = yes
writeable = yes
read list = @azubi @erdbau @beton
write list = @azubi @erdbau @beton
inherit permissions = yes
comment = Lehrlinge
#
[treiber]
path = /home/treiber
browseable = no
writeable = yes
read list = @azubi @erdbau @beton @sebu @ifu
write list = @erdbau @beton @ifu @sebu
inherit permissions = yes
comment = Treiber und Software
#
[programme]
path = /home/programme
browseable = no
writeable = yes
read list = @azubi @erdbau @beton @sebu @ifu
write list = @erdbau @beton @ifu @sebu
create mask = 0777
directory mask = 0777
comment = Programmdateien

und testparm ergab folgendes:

Load smb config files from /etc/samba/smb.conf
Unknown parameter encountered: "domain admin users"
Ignoring unknown parameter "domain admin users"
Unknown parameter encountered: "mangle case"
Ignoring unknown parameter "mangle case"
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[public]"
Processing section "[beton]"
Processing section "[erdbau]"
Processing section "[ifu]"
Processing section "[sebu]"
Processing section "[azubi]"
Processing section "[treiber]"
Processing section "[programme]"
Loaded services file OK.
WARNING: passdb expand explicit = yes is deprecated
Server role: ROLE_DOMAIN_PDC

[interfACE69]

Präziser gesagt, melde ich mich an dem Windows-Client als Administrator an und gehe auf "Systemeigenschaften->Computername->Ändern".
Dort gebe ich den Namen der Domäne an (hier lenz.local) und bestätige mit "OK".
Dann fragt er nach dem Benutzer & Passwort und ich gebe "root" sowie dass Passwort dazu ein und bestätige wiederum mit "OK". Antwort: "Die angegebene Domäne konnte nicht gefunden werden oder es konnte keine Verbindung hergestellt werden." Mist, ich weiss nicht mehr weiter, zumal diese beiden Clients vorher schon in der Domäne waren. Die Profil-Ordner sind alle noch unter /home/profiles zu finden...

[heinzelrumpel]

die netzwerkeinstellungen der clients sind o.k, also pdc als dns-server z.B?

ich kenne derartiges verhalten, wenn keine computerkonten für die clients erstellt wurden.

[interfACE69]

Wenn ich richtig verstanden habe, werden die Computerkonten über diesen Befehl in meiner smb.config erzeugt:
add machine script = /sbin/yast /usr/share/YaST2/data/add_machine.ycp %m$.

Gibts einen weg zu überprüfen ob die entsprechrenden Konten existieren bzw. ordnungsgemäss angelegt wurden?

[heinzelrumpel]

Wenn ich richtig verstanden habe, werden die Computerkonten über diesen Befehl in meiner smb.config erzeugt:
add machine script = /sbin/yast /usr/share/YaST2/data/add_machine.ycp %m$.

Gibts einen weg zu überprüfen ob die entsprechrenden Konten existieren bzw. ordnungsgemäss angelegt wurden?

klar.

Code:

cat /etc/passwd | grep computerkonto$

[interfACE69]

Der Befehl bewirkt scheinbar nichts. Jedenfalls lande ich kommentarlos wieder am Eingabeprompt...

[heinzelrumpel]

Der Befehl bewirkt scheinbar nichts. Jedenfalls lande ich kommentarlos wieder am Eingabeprompt...

genau, damit ist bewiesen, dass das Computerkonto nicht existiert. Dein add-mashinescript scheint wohl wirkungslos zu sein. Versuche das Computerkonto mal manuell anzulegen.

Code:

useradd maschinenkonto$

und dann


smbpasswd -am maschienenkonto

gruß, torsten

[interfACE69]

Da habe ich ein paar Fragen:

Wird das irgendwie den Betrieb des laufenden Servers beeinträchtigen? Ich will ja niemand hier verärgern und das System ganz lahmlegen...

und

Wenn ich es richtig verstanden hab, dann muss für jeden Client ein Maschinenkonto auf dem Server liegen. Das heisst ja es müssen etliche davon existieren, sonst könnten ja andere Clients nicht in der Domäne arbeiten. oder?
Und wie es es mit den Namen dieser Konten...wenn ich alle nur "Maschinenkonto" nenne, woran erkennt der SaMBa-Server um welchen Client es sich handelt??

Sorry für die vielen Fragen...

Grüsse
Thomas

[heinzelrumpel]

"maschinekonto" ist natürlich nur als platzhalter zu verstehen. wichtig ist, dass die maschinenaccounts unter unix mit einem $ am ende erstellt werden. es muss für jeden client in der domäne solch ein konto erstellt werden. warum das bei dir händisch passieren muss, kann ich nicht sagen. eigentlich sollte das in der smb.conf angegebene script diese aufgabe übernehmen. hast du mal geschaut, ob das script dort auch existiert?

den server wird es nicht beeinflussen, zumindest nicht negativ.
für die fragen brauchst du dich nicht entschuldigen. dafür ist ein forum da.

hth, torsten

[interfACE69]

Also ich hab nochmal genau nachgesehen. Das add_machine-script existiert.
Ich kann mir die Maschinenkonten in der Benutzerverwaltung von Yast anschauen (es gibt also welche). Leider habe ich festgestellt, dass in der smbpasswd mehr Konten sind als in der Yast-Benutzerverwaltung. Das scheint mir falsch zu sein - umgekehrt wäre es normal oder?!

Nun will ich auf Nummer sicher gehen und die Konten per Hand anlegen. Erst auf Linuxebene (Yast) und füge ich die Konten per Hand der smbpasswd zu.

smbpasswd -a -m maschinenkonto$

oder

smbpasswd -am maschinenkonto

und muss hinter dem Maschinenkontenname auch hier ein $ ??

Grüsse
Thomas

[interfACE69]

Gleich noch eine Frage hinterher. Ich habe gerade festgestellt das ich mit der Yast-Benutzerverwaltung kein Maschinenkonto erstellen kann. Yast möchte dafür immer eine Home-Verzeichnis anlegen und verweigert es gleich wieder wegen dem "$" im Namen. Dann muss ich da wohl mit dem useradd-befehl arbeiten.

beispiel:

useradd brb-z3-1$ -p claudia

Ist es so richtig? Bei dem Passwort bin ich mir nicht sicher. Die Maschinenkonten der Yast-Benutzerverwaltung hatten alle welche...

Grüsse Thomas