Jan 29, 2021

4243

Realmname in smb.conf

Hallo,

die konfiguration des Samba 4 AD DC hat problemlos geklappt. Alle Tests auf dem Server haben funktioniert. Als ich mit einem Windows-Client der Domäne family.meier.de beitreten wollte, sagte mir Windows, dass es diese Domäne nicht gibt. Mir kamen Zweifel, ob ich einen korrekten Realmnamen verwendet habe. Mein Realmname enthält zwei Punkte. Alle anderen Beispiele, die ich isher gesehen habe, enthielten nur einen Punkt.

Weißt du, ob das problematisch ist?

Hier ist noch meine smb.conf:

# Global parameters
[global]
	dns forwarder = 192.168.178.1
	netbios name = DOMAINCTRL
	realm = FAMILY.MEIER.DE
	server role = active directory domain controller
	server services = ldap, kdc, winbind, kcc, dnsupdate
	interfaces = 192.168.178.2
	bind interfaces only = yes
	workgroup = FAMILY
	server min protocol = NT1
	idmap_ldb:use rfc2307 = yes

[sysvol]
	path = /var/lib/samba/sysvol
	read only = No

[netlogon]
	path = /var/lib/samba/sysvol/family.meier.de/scripts
	read only = No

Please also mark the comments that contributed to the solution of the article

Content-Key: 646008

Url: https://administrator.de/contentid/646008

Printed on: April 16, 2024 at 07:04 o'clock

20 Comments

Latest comment

Nutzt der Client den Samba als DNS oder weiß der von dir verwendete DNS-Server von deiner Domäne und hat die notwendigen SRV-Einträge, die ein AD benötigt?

Höchstwahrscheinlich nutzt der Client den DNS der FritzBox, einfach mal den Primären DNS Server deines Clients auf die IP des Samba-Servers setzten.

Hallo,

Zitat von @Enrixk:
Weißt du, ob das problematisch ist?

Nein, das ist kein Problem.
Typisch ist aktuell z.B. ad.firma.de als Domänen namen.

Aber, wie die Anderen schon geschrieben haben, der Client muss den AD-Server auch als DNS-Server verwenden.
Sonst fragt er den Internetprovider nach FAMILY.MEIER.DE und der antwortet entweder mit einem "Kenne ich nicht" oder mit der IP-Adresse des Webservers.

Tipp: DHCP im Router ausschalten und im AD-Server einschalten.
Gateway = IP Router
DNS = IP AD-Server

Stefan

und der antwortet entweder mit einem "Kenne ich nicht"

Nope...kennt er ! 🤣
user@MacBook ~ % ping meier.de
PING meier.de (35.204.250.43): 56 data bytes
64 bytes from 35.204.250.43: icmp_seq=0 ttl=59 time=25.861 ms
64 bytes from 35.204.250.43: icmp_seq=1 ttl=59 time=26.473 ms
Sorry, aber heut' ist Freitag !

Aber "FAMILY.MEIER.DE" kennt er nicht
Ping-Anforderung konnte Host "FAMILY.MEIER.DE" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.

Den Host haben sie in Groningen leider wohl noch nicht im DNS... 😉

Man kann natürlich family.meier.de im DNS-Server auf 192.168.0.2 auflösen lassen.
Dann funktioniert auch die AD-Anmeldung mit dem DNS-Server des Internetanbieteters.

Ich verwende ähnliches bei kleinen Kunde.
kundemeier-nas01.skit.center -> 10.80.90.21

Damit kann ich ganz einfach ein richtiges WC-Zertifikat für den Zugriff verwenden.

Stefan

Den Clients hatte ich von Anfang als DNS die IP des Samba-Servers zugewiesen. Über die Windows-Clients kann ich auch problemlos ins Internet. Die Namensauflösung funktioniert auch überall.

Wenn ich aber nun der Domäne FAMILY beitreten möchte zeigt WIN 10 folgende Fehlermeldung an:

Der Domänenname "FAMILY" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.

Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Informationen bei der Behandlung von Problemen mit der DNS-Konfiguration behilflich sein:

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Active Directory-Domänencontrollers für die Domäne "FAMILY" verwendet wird:

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.FAMILY.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:

192.168.178.2

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

FAMILY
. (die Stammzone)

Tipp mal ipconfig /all in eine Konsole des Windows Clients ein und poste dies. Irgendwas klappt mit dem DNS nicht.

Ich schaue gleich selber mal in meine smb.conf - was ich dort so eingetragen habe.

Hallo,

Zitat von @Enrixk:
Fehler: "Der DNS-Name ist nicht vorhanden."

https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ
https://redmondmag.com/articles/2004/05/01/10-dns-errors-that-will-kill- ...

Gruß,
Peter

Ich habe mal ipconfig /all ausgeführt. Der Samba-Server ist dort als DNS-Server aufgeführt.

Drahtlos-LAN-Adapter WLAN:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Intel(R) Wi-Fi 6 AX200 160MHz
   Physische Adresse . . . . . . . . : AC-12-03-13-AD-E4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a02:560:42e3:7200:e5f8:254c:1de5:7c50(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a02:560:42e3:7200:cfe:20d2:8815:b80d(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::e5f8:254c:1de5:7c50%3(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.43(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Freitag, 29. Januar 2021 14:36:22
   Lease läuft ab. . . . . . . . . . : Montag, 8. Februar 2021 17:10:57
   Standardgateway . . . . . . . . . : fe80::eadf:70ff:fee5:686e%3
                                       192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 61608451
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-2C-CC-DF-00-6F-00-01-1A-23
   DNS-Server  . . . . . . . . . . . : fd00::eadf:70ff:fee5:686e
                                       192.168.178.2
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Deaktiviere mal Testweise IPv6 an deinem Client. Deine Fritzbox (erste Zeile) wird noch als DNS dort eingetragen. Danach einmal ein ipconfig renew /all und etwas warten.

IPv6 ist bei uns komplett deaktiviert, jedoch steht bei dir unter IPv6 (so rate ich einfach mal) die IP der Fritzbox, welche bevorzugt wird.

Ich danke euch erstmal sehr für eure Hilfsbereitschaft.

IPv6 habe ich deaktiviert, daraufhin war bei meinem Win 10-Client keine Namensauflösung mehr möglich, was deine Aussage bestätigt, dass die Namensauflösung doch über die Fritzbox lief und nicht über den Samba-Server.

Ich muss irgendwo in meiner Konfiguration etwas falsch gemacht haben. Ich poste hier mal was ich in hosts, resolf.conf und /etc/network/interfaces geschrieben habe. Vielleicht erkennt irgendwo jemand einen Fehler.

Kurz nochmal zur Umgebung: Der Samba-Server ist ein Ubuntu 20, das Standardgateway ist eine Fritzbox mit 192.168.178.1, beim Provisoning habe ich SAMBA_INTERNAL angegeben.

hosts:

127.0.0.1 localhost
192.168.178.2 domainctrl.family.maier.de domainctrl

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

resolv.conf:

#domain family.meier.de
nameserver 192.168.178.2
nameserver 192.168.178.1
search family.meier.de

interfaces:

iface ens33 inet static
	address 192.168.178.2
	netmask 255.255.255.0
	network 192.168.178.0
	broadcast 192.168.178.255
	gateway 192.168.178.1
	dns-nameservers 192.168.178.2 192.168.178.1
	dns-search family.meier.de

Meier oder Maier? Glaube da ist der Hase begraben.

Wäre schön, wenn es so wäre, doch leider dient Meier nur der Anonymisierung. Ich habe diesen Namen als Platzhalter verwendet. Trotzdem danke für deine schnelle Hilfe.

Hm. Jetzt fallen mir auch keine Ideen mehr ein. Deine Konfiguration ist bis auf ein paar Zeilen identisch mit meiner. Eventuell kommentierst du deine Zeile mit einem # davor einfach mal aus.

[global]
        dns forwarder = 172.16.0.254
        netbios name = SRV
        realm = NETZ.INTRANET
        server role = active directory domain controller
        workgroup = NETZ

Auch interessant wäre zu wissen, wenn du IPv6 am Client deaktiviert hast - Namensauflösung ist nicht möglich (mir bewusst durch deinen Post), oder du der Domäne beitreten kannst. Eventuell mal einen Ping auf den Samba-Server setzen ob er dir überhaupt antwortet (Stichwort Firewall).

Den Server hast du bestimmt schonmal neu gestartet oder?

Moinsen,

Ich gehe mal davon aus - 192.168.178.1 ist deine Fritzbox, die weiss nichts von einem Domänencontroller

mit welchem DNS-Backend wurde denn die Samba-Domäne provisioniert?
sind denn die DNS-Einträge für den AD-Controller auflösbar?

hier ist ein gutes HowTo
https://wiki.ubuntuusers.de/Archiv/Howto/Samba4-Server_als_Active-Direct ...

einfach mal den Abschnitt "DNS testen" durchgehen

noch was zum testen
deine smb.conf

was liefert denn ein "dig www.administrator.de @<ip-addresse-deines domain-controllers>"

wenn hier nicht geliefert wird-
kommentiere mal die zeile 9 aus

server services = ldap, kdc, winbind, kcc, dnsupdate

und starte samba neu

Hallo an alle und vielen Dank für die schnelle Hilfe.

Ich habe das Problem lösen können. Allerdings musste ich den Domainsontroller neu aufsetzen.

Ich habe diesmal ein paar Einträge aus der smb.conf weggelassen Meine aktuelle smb.conf sieht nun so aus:

# Global parameters
[global]
	dns forwarder = 192.168.178.1
	netbios name = DC
	realm = FAMILY.DE
	server role = active directory domain controller
	interfaces = 192.168.178.2/24 127.0.0.1
	workgroup = FAMILY
	idmap_ldb:use rfc2307 = yes

[sysvol]
	path = /var/lib/samba/sysvol
	read only = No

[netlogon]
	path = /var/lib/samba/sysvol/family.de/scripts
	read only = No

Wie du siehst, habe ich die Zeile

server services = ldap, kdc, winbind, kcc, dnsupdate

bind interfaces only = yes

und

server min protocol = NT1

rausgeworfen (Danke an dieser Stelle an linuxer1 und c0d3.r3d). Beachte aber auch, dass ich bei

interfaces

zusätzlich auch die lokale Adresse angegeben habe (

127.0.0.1

). Die hatte ich in meiner ersten smb.conf rausgeworfen. Vielleicht war das ein Fehler. Außerdem habe ich mich für einen kürzeren Domainnamen entschieden (Der Rat kam von Pjordorf).

Beim Neuaufsetzen habe ich außerdem explizit die Dienste smbd, nmbd und winbindd deaktiviert.

Den Inhalt meiner /etc/hostname, /etc/hosts, /etc/network/interfaces und /etc/resolv.conf füge ich der Vollständigkeit halber kommentarlos hinzu. Die Schnittstelle 192.168.178.1 ist die Fritzbox (Gateway)., 192.168.178.2 der Samba Domaincontroller. Außerdem verwedne ich für den DC Ubuntu 20.X

/etc/hostname

dc

/etc/hosts

1
27.0.0.1 localhost
#127.0.1.1 dc
192.168.178.2 dc.family.de dc
# The following lines are desirable for IPv6 capable hosts
#::1     ip6-localhost ip6-loopback
#fe00::0 ip6-localnet
#ff00::0 ip6-mcastprefix
#ff02::1 ip6-allnodes
#ff02::2 ip6-allrouters

/etc/network/interfaces

iface ens33 inet static
	address 192.168.178.2
	netmask 255.255.255.0
	network 192.168.178.0
	gateway 192.168.178.1
	dns-nameserver 192.168.178.2 192.168.178.1

/etc/resolv.conf

nameserver 192.168.178.2
nameserver 192.168.178.1
search family.de

Die Hosts Datei hat einen (Tipp)Fehler in Zeile 1 !
Man könnte dort der Vollständigkeit halber noch
192.168.178.1 router.family.de router
aufnehmen weil beide Geräte ja jeweils auf sich referenzieren DNS seitig.

German solved Question Network Management Networks