Hallo zusammen,
ich habe diese Anfrage schon in einem anderen Forum gestartet, aber habe bisher das Problem leider noch nicht lösen können. Anscheinend kämpfen viele Leute mit dieser Geschichte.
Ich bin derzeit dabei einen Windows 2000 DC an einen neuen Samba Server anzuschließen, damit sich die User nur einmal an der Domäne anmelden müssen und Passwörter etc. vom Windowsserver geholt werden können. Es handelt sich um Debian Etch.
Es hat an sich auch alles ganz gut geklappt mit kinit etc. , aber beim Versuch eines net join -S DOMÄNE -UAdministrator%PASSWORT bekomme ich folgende Meldung.
r221-DOMÄNE-debian:~# net join -S DOMÄNE -UAdministrator%DASPASSWORT
Using short domain name -- DOMÄNE
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'R221-DEBIAN' in realm 'DOMÄNE'
ADS join did not work, falling back to RPC...
Unable to find a suitable server
Unable to find a suitable server
Beide Server sowohl der W2K , als auch der Debian bekommen ihre Ip´s von einem IPCop. Darum weiß ich nicht genau wo da der Fehler liegen könnte.
Wäre super, wenn mir dabei jemand von euch helfen könnte...
Ich werde das mal so entsprechend wie du es hast ändern und Rückmeldung geben.
Den Join ohne Passwort habe ich noch nicht probiert. Melde mich heute Nachmittag dazu.
Hallo,
heute bin ich endlich dazu gekommen das auszuprobieren.
Wenn ich einen Join ohne Passwort probiere dann passiert in etwa das selbe. Er fragt nach dem Passwort und nach der Eingabe bekomme ich dieselbe Meldung.
Ich habe die krb5.conf dann mal wie folgt angepasst, aber leider blieb das Ergebnis dasselbe :(
Die Domäne besitzt übrigens kein .de oder ähnlich es ist einfach immer nur BEISPIEL ohne .de oder .local etc..
[libdefaults]
default_realm = DOMÄNE
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
clockskew = 300
# vorher stand da nichts von wegen Dns lookup
dns_lookup_kdc = false
dns_lookup_realm = false
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
DOMÄNE = {
kdc = COMPUTERNAME.DOMÄNE
# vorher stand da wieder nichts von wegen Admin Server und default domain
admin_server = 192.168.0.10
default_domain = DOMÄNE
}
[domain_realm]
DOMÄNE = DOMÄNE
[login]
krb4_convert = true
krb4_get_tickets = true
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
Habe mir schon fast gedacht, dass das noch zu Problemen führt.
Ich weiß nicht wie ich das genau testen kann. Ich habe in /etc/hosts schon auf die IP des DC´s eingetragen COMPUTERNAME.DOMÄNE.LOCAL , aber das blieb ohne Ergebnis. Ich kann jetzt nmap auf die Sache machen und das funktioniert auch aber an net join ändert sich dadurch leider nichts. Wie kann ich es am DC ändern ?
das sauberste wäre, neu zu installieren - ich stand auch schon mal vor dem Problem, daß ich Domäne ändern wollte - hatte eine interne Domain dazu verwendet und wollte nach eier Migration und vorher der KK sozusagen die "offizielle" dafür hernehmen.
Ich hab Microsofts Anleitung nur kurz überflogen und mich dann dafür entschlossen, daß ich das doch eher nicht möchte. :-)
Nun ja das kann ich verstehen, aber das durchzuführen nur um Samba mit Cups etc. richtig ins Netz zu bekommen steht ja in keinem Verhältnis zueinander.
Kann ich nicht einfach durch Eintragungen in der /etc/hosts korrekte Einstellungen im DNS vortäuschen ???
Ich habe mich mal ein wenig informiert und die Tatsache, dass ich dort eine Windows 2000 Domäne habe könnte mein Vorteil werden. Ich kann mit dcpromo den Domänencontroller herabstufen, die Domäne umbenennen und ihn anschließend wieder rauf stufen. Angeblich soll das funktionieren...