Problem bei Integration von Samba in Win2003 Domäne als Member Server (Failed to join domain- No logon servers)

Hallo zusammen,
ich habe ein Problem bei der Integration von Linux-Fileservern in unsere Win2003 SBS Domäne. Folgende Aufgabenstellung:
ich will die Fileserver (Gentoo-Linux, Samba 3.0.28) als Computer im AD registrieren und mit Kerberos,Samba,Winbind den Domänennutzern Rechte auf den File-Server-Shares einrichten. Jetzt gibt es dazu diverse HowTo's und Anleitungen die aber alle mein Problem nicht genau abdecken bzw. enthalten. Ich habe auch versucht, folgende Howtos zu befolgen bzw. mich danach zu richten:
Debian Linux in eine Active Directory Domäne integrieren
bzw. http://de.gentoo-wiki.com/Samba_Server_in_AD_Domain

Ergebnis:
ich kann:
- pingen von beiden Seiten (Win2003 - Gentoo box und umgekehrt) per ip und dns
- Ports sind offen (139,445) - Ports von Gentoo box auf win2003 server erreichbar
- Namensauflösung ok auf beiden Seiten forward/reverse
- Kerberos auf Gentoo-box:

gentoo-box ~#kinit Administrator
Password for Administrator@RICHTIGER-DOMAIN-NAME-HIER.LOCAL: ....
gentoo-box ~#echo $?

Also sieht das für mich so aus, als wäre die Authentifizierung ok.

Ich kann nicht:
- der Domäne joinen.

gentoo-box ~# net ads join -U Administrator
Administrator's password:  
[2008/04/28 14:24:08, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers

Ich habe keine Idee mehr, wo der Fehler liegt und bin um jede Hilfe/Denkanstoß dankbar

Grüße,
Amorphis

ANHANG:
Systemdetails:

Windows PDC: Win2003 SBS mit SP2, neu aufgesetzt, ca. 10 User, 10 ClientPCs, ~8 CAL's frei
Fileserver : Gentoo linux, aktueller emerge

Samba build:

gentoo-box ~# equery uses samba
[ Found these USE variables for net-fs/samba-3.0.28 ]
U I
 + + acl   
 + + ads 
 - - async
 - - automount
 - - caps
 + + cups
 - - doc 
 - - examples 
 - - fam   
 + + ipv6
 + + kernel_linux
 + + ldap
 - - linguas_ja
 - - linguas_pl
 + + pam 
 + + python
 - - quotas
 + + readline 
 - - selinux
 - - swat 
 - - syslog
 + + winbind 
 

/etc/samba/smb.conf (der relevante Teil):

[global]
        netbios name = gentoo-box
        server string = gentoo-box (SAMBA %v)

        socket options =TCP_NODELAY SO_SNDBUF=16384 SO_RCVBUF=16384
        idmap uid = 10000 - 20000
        idmap gid = 10000 - 20000
        winbind enum users = yes
        winbind enum groups = yes
        winbind uid = 10000 - 20000
        winbind gid = 10000 - 20000
        winbind use default domain = yes
        template shell = /bin/bash
        template homedir = /home/%U
        workgroup = RICHTIGER-DOMAIN-NAME-HIER.LOCAL
        os level = 10
        winbind enum groups = yes
        password server = ADC.RICHTIGER-DOMAIN-NAME-HIER.LOCAL
        preferred master = no
        winbind separator = +
        encrypt passwords = yes
        dns proxy = no
        realm = RICHTIGER-DOMAIN-NAME-HIER.LOCAL
        security = ads
        username map = /etc/samba/smbusers
        password server = ADC.RICHTIGER-DOMAIN-NAME-HIER.LOCAL
        local master = no
        log level = 2
        wins server = <ip von ADC.RICHTIGER-DOMAIN-NAME-HIER.LOCAL>
        wins proxy = no

        max log size = 50
        log file = /var/log/samba/log.%m
        log level = 1
        syslog = 0

        map to guest = bad user

/etc/krb5.conf:

[libdefaults]
        default_realm = RICHTIGER-DOMAIN-NAME-HIER.LOCAL
        krb4_config = /usr/kerberos/lib/krb.conf
        krb4_realms = /usr/kerberos/lib/krb.realms

[realms]
        RICHTIGER-DOMAIN-NAME-HIER.LOCAL = {
                admin_server = ADC.RICHTIGER-DOMAIN-NAME-HIER.LOCAL
                kpasswd_server = 192.168.20.253
                kdc = ADC.RICHTIGER-DOMAIN-NAME-HIER.LOCAL
                default_domain = RICHTIGER-DOMAIN-NAME-HIER.LOCAL
        }

[domain_realm]
        .RICHTIGER-DOMAIN-NAME-HIER.LOCAL = RICHTIGER-DOMAIN-NAME-HIER.LOCAL

[logging]
  kdc = CONSOLE

Please also mark the comments that contributed to the solution of the article

Content-Key: 86567

Url: https://administrator.de/contentid/86567

Printed on: April 18, 2024 at 13:04 o'clock

4 Comments

Latest comment

Hallo Amorphis,

hast du das Paket-Signing auf dem Win2003 angepasst?

Grüße, Steffen

hallo Steffen, danke für deine Antwort...
nein, ich habe kein Packet-Signing angepasst (bin normal nicht so der win2003 - Experte) kannst du mir nen Tipp geben, wo ich das finde (nehme an als Option der Group Policy) und was das genau macht ? ;)

grüße,
Amorphis

Hallo Amorphis,

kurz vorweg, ich finde Rechtschreibung (Groß- und Kleinschreibung) sowie annährend richtige Interpunktion sehr hilfreich beim Lesen.

Du mußt die Policy für die Domaincontroller anpassen:

-> Computer Configuration
-> Windows Settings
-> Security Settings
-> Local Policies
-> Security Options
--> Microsoft network client: Digitally sign communications (always) - Disabled
--> Microsoft network server: Digitally sign communications (always) - Disabled

Grüße, Steffen

Hallo Steffen,
nochmals Danke für deine Hilfe und verzeih die etwas schludrige Art meines letzten Posts, ich war gestern Abend ziemlich in Eile - ich hoffe, ich kann mich bessern...

Also, ich habe die Gruppenrichtlinien entsprechend deiner Angaben geändert und per gpupdate /force durchgesetzt, trotzdem bekomme ich beim Versuch, der Domaine mit der Gentoo-Box beizutreten, immer noch genau den selben Fehler...

gentoo-box # net ads join -U Administrator
Administrator's password:  
[2008/04/29 15:58:07, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers
gentoo-box #

Der Aufruf mit etwas erhöhtem Debug-Level zeigt folgendes:

gentoo-box # net ads join -U Administrator -d3
[2008/04/29 16:03:07, 3] param/loadparm.c:lp_load(5031)
  lp_load: refreshing parameters
[2008/04/29 16:03:07, 3] param/loadparm.c:init_globals(1430)
  Initialising global parameters
[2008/04/29 16:03:07, 3] param/params.c:pm_process(572)
  params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"  
[2008/04/29 16:03:07, 3] param/loadparm.c:do_section(3770)
  Processing section "[global]"  
[2008/04/29 16:03:07, 2] lib/interface.c:add_interface(81)
  added interface ip=192.168.20.254 bcast=192.168.20.255 nmask=255.255.255.0
[2008/04/29 16:03:07, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: ", adc.richtiger-domain-name-hier.local"  
[2008/04/29 16:03:07, 3] libsmb/namequery.c:resolve_lmhosts(966)
  resolve_lmhosts: Attempting lmhosts lookup for name adc.richtiger-domain-name-hier.local<0x20>
[2008/04/29 16:03:07, 3] libsmb/namequery.c:resolve_wins(863)
  resolve_wins: Attempting wins lookup for name adc.richtiger-domain-name-hier.local<0x20>
[2008/04/29 16:03:07, 3] libsmb/namequery.c:resolve_wins(902)
  resolve_wins: using WINS server 192.168.20.253 and tag '*'  
[2008/04/29 16:03:07, 3] libsmb/namequery.c:name_query(554)
  Negative name query response, rcode 0x03: The name requested does not exist.
[2008/04/29 16:03:07, 3] libsmb/namequery.c:resolve_hosts(1029)
  resolve_hosts: Attempting host lookup for name adc.richtiger-domain-name-hier.local<0x20>
[2008/04/29 16:03:07, 2] libads/cldap.c:send_cldap_netlogon(162)
  failed to send cldap query (Operation not permitted)
[2008/04/29 16:03:07, 3] libads/ldap.c:ads_try_connect(189)
  ads_try_connect: CLDAP request 192.168.20.253 failed.
[2008/04/29 16:03:07, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: ", adc.richtiger-domain-name-hier.local"  
[2008/04/29 16:03:07, 3] libsmb/namequery_dc.c:rpc_dc_name(162)
  Could not look up dc's for domain RICHTIGER-DOMAIN-NAME-HIER.LOCAL  
root's password:  
[2008/04/29 16:03:29, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: ", adc.richtiger-domain-name-hier.local"  
[2008/04/29 16:03:29, 3] libsmb/namequery.c:get_dc_list(1489)
  get_dc_list: preferred server list: ", adc.richtiger-domain-name-hier.local"  
[2008/04/29 16:03:29, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
[2008/04/29 16:03:29, 1] utils/net_ads.c:net_ads_join(1470)
  error on ads_startup: No logon servers
Failed to join domain: No logon servers
[2008/04/29 16:03:29, 2] utils/net.c:main(1036)
  return code = -1

Hier ist 192.168.20.254 die IP der Gentoo-Box und 192.168.20.253 der Win 2003 SBS DC.
Es sieht für mich so aus, als könnte er den dns des DC's nicht auflösen - da scheint der Fehler in einem meiner Config-Scripts zu stecken... Vielleicht hast du ja noch eine Idee ?

Danke auf jeden Fall und Grüße,
Amorphis

German Question Samba Linux

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment