Problem mit Samba und ADS

[alternativende]

Hallo zusammen,
ich habe diese Anfrage schon in einem anderen Forum gestartet, aber habe bisher das Problem leider noch nicht lösen können. Anscheinend kämpfen viele Leute mit dieser Geschichte.

Ich bin derzeit dabei einen Windows 2000 DC an einen neuen Samba Server anzuschließen, damit sich die User nur einmal an der Domäne anmelden müssen und Passwörter etc. vom Windowsserver geholt werden können. Es handelt sich um Debian Etch.

Ich bin nach folgender Anleitung vorgegangen...

http://www.pro-linux.de/work/server/samba3-domaene.html

Es hat an sich auch alles ganz gut geklappt mit kinit etc. , aber beim Versuch eines net join -S DOMÄNE -UAdministrator%PASSWORT bekomme ich folgende Meldung.

Code: Select all

r221-DOMÄNE-debian:~# net join -S DOMÄNE -UAdministrator%DASPASSWORT
Using short domain name -- DOMÄNE
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'R221-DEBIAN' in realm 'DOMÄNE'
ADS join did not work, falling back to RPC...
Unable to find a suitable server
Unable to find a suitable server

Beide Server sowohl der W2K , als auch der Debian bekommen ihre Ip´s von einem IPCop. Darum weiß ich nicht genau wo da der Fehler liegen könnte.

Wäre super, wenn mir dabei jemand von euch helfen könnte...

[flo]

Code: Select all

[libdefaults]
        default_realm = <REALMNAME>
        clockskew = 300
        dns_lookup_kdc = false
        dns_lookup_realm = false

[realms]
        <REALMNAME> = {
                kdc = 192.168.5.2
                admin_server = 192.168.5.2
                default_domain = domain.de 
        }

Die DNS-Lookups waren bei mir eins der Probleme, sind aber mittlerweile auch gelöst.

Was macht der Join ohne Passwort?

Code: Select all

net join ads -U Administrator

flo.

[alternativende]

Ich werde das mal so entsprechend wie du es hast ändern und Rückmeldung geben.
Den Join ohne Passwort habe ich noch nicht probiert. Melde mich heute Nachmittag dazu.

Vielen Dank erstmal

[alternativende]

Hallo,
heute bin ich endlich dazu gekommen das auszuprobieren.
Wenn ich einen Join ohne Passwort probiere dann passiert in etwa das selbe. Er fragt nach dem Passwort und nach der Eingabe bekomme ich dieselbe Meldung.
Ich habe die krb5.conf dann mal wie folgt angepasst, aber leider blieb das Ergebnis dasselbe :(
Die Domäne besitzt übrigens kein .de oder ähnlich es ist einfach immer nur BEISPIEL ohne .de oder .local etc..

Code: Select all

[libdefaults]
	default_realm = DOMÄNE

# The following krb5.conf variables are only for MIT Kerberos.
	krb4_config = /etc/krb.conf
	krb4_realms = /etc/krb.realms
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true
	clockskew = 300
# vorher stand da nichts von wegen Dns lookup
        dns_lookup_kdc = false
        dns_lookup_realm = false

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

#	default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#	default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#	permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]

DOMÄNE = {
	    kdc = COMPUTERNAME.DOMÄNE
# vorher stand da wieder nichts von wegen Admin Server und default domain
               admin_server = 192.168.0.10
                default_domain = DOMÄNE
	    }

[domain_realm]

	DOMÄNE = DOMÄNE

[login]
	krb4_convert = true
	krb4_get_tickets = true
	
	
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
	ticket_lifetime = 1d
	renew_lifetime = 1d
	forwardable = true
	proxiable = false
	retain_after_close = false
	minimum_uid = 0
	debug = false 
	}

[flo]

Die Domäne besitzt übrigens kein .de oder ähnlich es ist einfach immer nur BEISPIEL ohne .de oder .local etc..

Und hast Du dem DNS die neue Top-Level-Domain auch beigebracht? :-)

Probier das bitte nach Doku - ohne anständige Domäne wirst Du mit allem Probleme haben, daß nicht direkt die Dienste des PDC nutzt.

flo.

[alternativende]

Habe mir schon fast gedacht, dass das noch zu Problemen führt.
Ich weiß nicht wie ich das genau testen kann. Ich habe in /etc/hosts schon auf die IP des DC´s eingetragen COMPUTERNAME.DOMÄNE.LOCAL , aber das blieb ohne Ergebnis. Ich kann jetzt nmap auf die Sache machen und das funktioniert auch aber an net join ändert sich dadurch leider nichts. Wie kann ich es am DC ändern ?

[flo]

das sauberste wäre, neu zu installieren - ich stand auch schon mal vor dem Problem, daß ich Domäne ändern wollte - hatte eine interne Domain dazu verwendet und wollte nach eier Migration und vorher der KK sozusagen die "offizielle" dafür hernehmen.

Ich hab Microsofts Anleitung nur kurz überflogen und mich dann dafür entschlossen, daß ich das doch eher nicht möchte. :-)

flo.

[alternativende]

Nun ja das kann ich verstehen, aber das durchzuführen nur um Samba mit Cups etc. richtig ins Netz zu bekommen steht ja in keinem Verhältnis zueinander.

Kann ich nicht einfach durch Eintragungen in der /etc/hosts korrekte Einstellungen im DNS vortäuschen ???

[alternativende]

Ich habe mich mal ein wenig informiert und die Tatsache, dass ich dort eine Windows 2000 Domäne habe könnte mein Vorteil werden. Ich kann mit dcpromo den Domänencontroller herabstufen, die Domäne umbenennen und ihn anschließend wieder rauf stufen. Angeblich soll das funktionieren...

[flo]

Ja, das steht so in den Dokus - berichte mal ... Ich hab bei dem Kunden sonst nur Macs stehen, das auszuprobieren, ging bei mir nicht.

flo.