joe2017

Debian Samba DC function level von 2008R2 zu 2012R2

Hallo zusammen,

ich habe einen Debian Samba DC Standardinstallation.

Samba Version = 4.9.5-Debian
Forest Function Level = 2008 R2
Domain Function Level = 2008 R2
Lowest Function Level = 2008 R2


Wie kann ich den Samba DC auf 2012 R2 anheben?

Folgendes hat nicht funktioniert.
samba-tool domain level raise --domain-level=2012_R2
ERROR: Domain funktion level can´t be higher than the lowest funktion level of a DC!

Kann man den Lowest Function Level anheben?

Vielen Dank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 564813

Url: https://administrator.de/forum/debian-samba-dc-function-level-von-2008r2-zu-2012r2-564813.html

Ausgedruckt am: 01.06.2025 um 19:06 Uhr

Kraemer
Kraemer 14.04.2020 aktualisiert um 15:53:05 Uhr
Goto Top
Zitat von @joe2017:
samba-tool domain level raise --domain-level 2012_R2

https://wiki.samba.org/index.php/Raising_the_Functional_Levels#Using_sam ...
samba-tool domain level raise --domain-level=2012_R2
joe2017
joe2017 14.04.2020 aktualisiert um 16:45:18 Uhr
Goto Top
Hallo Kraemer,

danke für den Hinweis. Hier hab ich beim abtippen leider das "=" vergessen.
Aber das ist nicht das Problem. Die Fehlermeldung erscheint immer noch.

Kann man den function level evtl. schon beim Setup des Samba DC angeben. Standardmäßig wird immer 2008_R2 verwendet.
em-pie
em-pie 14.04.2020 um 16:51:52 Uhr
Goto Top
Moin,

mal per RSAT via Windows versucht?
Oder (zur Sicherheit) die Samba-Version hochgezogen?

Gruß
em-pie
joe2017
joe2017 14.04.2020 um 16:54:39 Uhr
Goto Top
RSAT wird leider nicht unterstützt von Samba.
Die Samba Version ist leider die Neuste in der Debian Repository.
tomolpi
tomolpi 14.04.2020 aktualisiert um 22:47:11 Uhr
Goto Top
Hi,
Zitat von @joe2017:

RSAT wird leider nicht unterstützt von Samba.
Natürlich werden sie das: https://wiki.samba.org/index.php/Installing_RSAT und https://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/

LG

tomolpi
it-fraggle
it-fraggle 14.04.2020 aktualisiert um 23:31:26 Uhr
Goto Top
Kann Samba als DC denn schon 2012R2? Mein letzter Stand war, dass Samba 2008R2 kann, aber 2012R2 eben nicht Funktion Level.

Kraemer
Kraemer 15.04.2020 um 09:08:36 Uhr
Goto Top
Zitat von @tomolpi:
RSAT wird leider nicht unterstützt von Samba.
Natürlich werden sie das: https://wiki.samba.org/index.php/Installing_RSAT und https://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/
siehe Link von mir:
Raising the domain functional level using the Active Directory Domains and Trusts utility is currently not supported.
For details, see https://bugzilla.samba.org/show_bug.cgi?id=10360
aktuell scheint es tatsächlich nicht zu funktionieren
Kraemer
Kraemer 15.04.2020 um 09:09:56 Uhr
Goto Top
Zitat von @it-fraggle:

Kann Samba als DC denn schon 2012R2? Mein letzter Stand war, dass Samba 2008R2 kann, aber 2012R2 eben nicht Funktion Level.

siehe Link von mir:

Supported Functional Levels
You can set the following functional levels in Active Directory (AD) via samba-tool.

Functional Level Included in Samba Version
2012_R2 4.4 and later*
2012 4.4 and later*
2008_R2 4.0 and later
2008 4.0 and later
2003 4.0 and later
joe2017
joe2017 15.04.2020 aktualisiert um 11:11:28 Uhr
Goto Top
Schönen guten Morgen.

@Kraemer:
Samba unterstützt die RSAT Tools. Aber leider nicht vollständig. Und genau für diese Funktion können die Tools nicht verwendet werden. Ebenso wie einige DNS Einstellungen. Das hast du somit richtig gepostet.
Auch die unterstützten Functional Level habe ich so gefunden. Aber ich habe auch gelesen, dass die Samba Version 4.9.5 Standardmäßig das Level 2008_R2 wählt. Erst ab der Version 4.11 wird anscheinend Standardmäßig das Level 2012_R2 gewählt.
Hierzu habe ich gerade folgendes gelesen:
Funktional Level Support
Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.

Samba Functional level
Hier steht auch, dass ein function level raise nicht sicher wäre.

Leider ist die Version 4.9.5 die aktuelle Version in der Debian Repo.

Ich habe schon versucht, eine andere Repo als Test einzubinden.
wget -O - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | apt-key add -
deb http://apt.van-belle.nl/debian buster-samba411 main contrib non-free

Leider ohne Erfolg!
GPG-Fehler: http://apt.van-belle.nl/debian buster-samba412 InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY FF620912DC8D81F8
E: Das Depot »http://apt.van-belle.nl/debian buster-samba412 InRelease« ist nicht signiert.
Auch folgendes Setup schlägt fehl.
sudo wget https://download.samba.org/pub/samba/samba-samba-4.11.7.tar.gz
sudo tar -zxvf samba-samba-4.11.7.tar.gz
cd samba-4.11.7
sudo ./configure

Ich würde eigentlich auch lieber mit der Debian Repo Version arbeiten.
Gibt es hier vielleicht eine Möglichkeit das Level bei der Installation des DC (samba-tool domain provision) anzugeben? Hierzu habe ich nichts gefunden.
em-pie
em-pie 15.04.2020 um 12:42:58 Uhr
Goto Top
Moin,

Welche Debian Version läuft denn bei dir?
'Ne 10er?
joe2017
joe2017 15.04.2020 aktualisiert um 12:47:31 Uhr
Goto Top
Die aktuelle: 10.3.0
it-fraggle
it-fraggle 15.04.2020 um 13:14:40 Uhr
Goto Top
2012_R2 4.4 and later*
Da ist ein Sternchen hinter.

  • Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.

Für mich heißt das, dass 2012 R2 nicht geht. Was liest du daraus?
joe2017
joe2017 15.04.2020 um 13:20:09 Uhr
Goto Top
Das habe ich weiter oben auch geschrieben.

Jedoch habe ich auch gelesen, dass bei der Samba Version 4.9.5 standardmäßig das Level 2008_R2 und ab der Version 4.11 das Level 2012_R2 gewählt wird. Deshalb wollte ich die neue Version installieren und prüfen ob das so richtig ist. Aber das funktioniert ja leider nicht.
godlie
godlie 17.04.2020 um 07:11:18 Uhr
Goto Top
Hallo,

eines was mir auffält, hast du deinen wget mit dem apt-key add als root ausgeführt? dann sollte ma ende eine Ausgabe OK erscheinen,
wenn nicht, dann musst du noch einen sudo vor das apt-key add setzen.

Ich habe das gerade auf einer frischen maschine versucht und hab keinen GPG Fehler erhalten
joe2017
joe2017 17.04.2020 um 09:15:55 Uhr
Goto Top
Guten morgen godlie,

also bei mir kommt immer noch der Fehler. Ich habe folgendes durchgeführt:

sudo -i
wget -O - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | sudo apt-key add -


sudo nano /etc/apt/sources.list.d/van-belle.list
# AptVanBelle repo for samba
deb http://apt.van-belle.nl/debian buster-samba411 main contrib non-free

sudo apt update
GPG-Fehler: http://apt.van-belle.nl/debian buster-samba411 InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY FF620912DC8D81F8
E: Das Depot »http://apt.van-belle.nl/debian buster-samba411 InRelease« ist nicht signiert.
N: Eine Aktualisierung von solch einem Depot kann nicht auf eine sichere Art durchgeführt werden, daher ist es standardmäßig deaktiviert.
N: Weitere Details zur Erzeugung von Paketdepots sowie zu deren Benutzerkonfiguration finden Sie in der Handbuchseite apt-secure(8).
godlie
godlie 17.04.2020 um 09:53:43 Uhr
Goto Top
Hallo, der befehl sollte eigentlich so aussehen:

wget -qO - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | sudo apt-key add -

Wichtig sind hier die Parameter -qO - beim wget.

Du solltest nach diesem Befehl ein OK in der shell sehen, wenn das nicht der Fall ist, dann hat er den Key nicht hinzugefügt, dadurch geht dann nichts weiteres
joe2017
joe2017 17.04.2020 um 10:05:12 Uhr
Goto Top
Mit dem Befehl mit -q erhalte ich folgende Meldung:
--2020-04-17 10:03:39--  http://apt.van-belle.nl/louis-van-belle.gpg-key.asc
Auflösen des Hostnamens apt.van-belle.nl (apt.van-belle.nl)… 149.210.206.148, 2a01:7c8:aab6:5ab:5054:ff:feff:ae66
Verbindungsaufbau zu apt.van-belle.nl (apt.van-belle.nl)|149.210.206.148|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 8684 (8,5K) [text/plain]
Wird in »STDOUT« gespeichert.

-                        100%[==================================>]   8,48K  --.-KB/s    in 0,001s

2020-04-17 10:03:39 (9,60 MB/s) - auf die Standardausgabe geschrieben [8684/8684]

E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation

mit dem Befehl mit -qO erhalte ich folgende Meldung:
E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation
it-fraggle
it-fraggle 17.04.2020 um 13:07:59 Uhr
Goto Top
Zitat von @joe2017:
mit dem Befehl mit -qO erhalte ich folgende Meldung:
> E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation
> 
Tante Google hat gleich im ersten Treffer die Antwort, wenn du als Suchbegriff einfach die Meldung eingibst. Das hätte übrigens auch mit der Meldung davor schon geklappt.
joe2017
joe2017 17.04.2020 um 14:56:41 Uhr
Goto Top
Hi it-fraggle,

da hätte ich natürlich auch drauf kommen können. *lach*

Ich habe jetzt die Samba Version 4.11.7 und 4.12 installiert. Nach meinem domain provision habe ich in beiden Versionen den functional level 2008 R2. Also hat sich das nicht verändert.

Hat jemand noch eine Idee wie ich den function level auf 2012 R2 bekomme?
it-fraggle
it-fraggle 17.04.2020 um 15:38:08 Uhr
Goto Top
Ich bin immer noch der Meinung, dass das nicht geht.
Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.
joe2017
joe2017 20.04.2020 um 10:17:47 Uhr
Goto Top
Ich habe jetzt mein Windows DC auf 2008R2 Domain/Forest Functional Level eingestellt.
Wenn ich den Trust aufbaue, erhalte ich auf meiner Debian Seite eine Fehlermeldung.
Mein Windows AD hat den Trust Validate erfolgreich durchgeführt.
Wenn ich die Validierung auf dem Debian Samba starte erhalte ich die folgende Meldung:
Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisastion verbunden ist...

Meine DNS Auflösung funktioniert von beiden Seiten.
Ich kann jeweils die IPs, die Domains, und die DC-Namen anpingen.

Hat von euch mal jemand ein Forest Trust zwischen Windows AD-DC und Debian Samba DC aufgebaut?
Gibt es hierbei noch etwas zu beachten was ich vielleicht vergessen habe?
joe2017
joe2017 23.04.2020 um 11:51:29 Uhr
Goto Top
Ich habe jetzt noch mal einen cleanen Windows Server 2016 (DC mit functional level 2008 R2) und einen Debian Samba DC installiert.
Ich habe auf beiden seiten ein DNS Forwarding eingerichtet und das funktioniert auch alles. Jedoch wird mein Forest Trust nicht validiert.

Hat von euch schon jemand einen Forest Trust zwischen Windows DC und Debian Samba DC hergestellt. Muss man hier noch etwas zusätzlich beachten?
semaphor34
semaphor34 17.09.2020 um 17:24:29 Uhr
Goto Top
Hi Joe,

nein. Das geht noch nicht. Das was du daraus liest, ist die Windows Server 2012 Compatibility fürs Joinen in Samba-Umgebung. Aber nicht eben anders herum.
Windows Server 2012 R2 ist für Domain-Function-Level noch nicht unterstützt.

steht alles hier.
https://wiki.samba.org/index.php/Windows_2012_Server_compatibility#Intro ...

Viele Grüße