joe2017
Goto Top

Debian Samba DC function level von 2008R2 zu 2012R2

Hallo zusammen,

ich habe einen Debian Samba DC Standardinstallation.

Samba Version = 4.9.5-Debian
Forest Function Level = 2008 R2
Domain Function Level = 2008 R2
Lowest Function Level = 2008 R2


Wie kann ich den Samba DC auf 2012 R2 anheben?

Folgendes hat nicht funktioniert.
samba-tool domain level raise --domain-level=2012_R2
ERROR: Domain funktion level can´t be higher than the lowest funktion level of a DC!

Kann man den Lowest Function Level anheben?

Vielen Dank

Content-Key: 564813

Url: https://administrator.de/contentid/564813

Printed on: March 1, 2024 at 01:03 o'clock

Member: Kraemer
Kraemer Apr 14, 2020 updated at 13:53:05 (UTC)
Goto Top
Zitat von @joe2017:
samba-tool domain level raise --domain-level 2012_R2

https://wiki.samba.org/index.php/Raising_the_Functional_Levels#Using_sam ...
samba-tool domain level raise --domain-level=2012_R2
Member: joe2017
joe2017 Apr 14, 2020 updated at 14:45:18 (UTC)
Goto Top
Hallo Kraemer,

danke für den Hinweis. Hier hab ich beim abtippen leider das "=" vergessen.
Aber das ist nicht das Problem. Die Fehlermeldung erscheint immer noch.

Kann man den function level evtl. schon beim Setup des Samba DC angeben. Standardmäßig wird immer 2008_R2 verwendet.
Member: em-pie
em-pie Apr 14, 2020 at 14:51:52 (UTC)
Goto Top
Moin,

mal per RSAT via Windows versucht?
Oder (zur Sicherheit) die Samba-Version hochgezogen?

Gruß
em-pie
Member: joe2017
joe2017 Apr 14, 2020 at 14:54:39 (UTC)
Goto Top
RSAT wird leider nicht unterstützt von Samba.
Die Samba Version ist leider die Neuste in der Debian Repository.
Member: tomolpi
tomolpi Apr 14, 2020 updated at 20:47:11 (UTC)
Goto Top
Hi,
Zitat von @joe2017:

RSAT wird leider nicht unterstützt von Samba.
Natürlich werden sie das: https://wiki.samba.org/index.php/Installing_RSAT und https://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/

LG

tomolpi
Member: it-fraggle
it-fraggle Apr 14, 2020 updated at 21:31:26 (UTC)
Goto Top
Kann Samba als DC denn schon 2012R2? Mein letzter Stand war, dass Samba 2008R2 kann, aber 2012R2 eben nicht Funktion Level.

Member: Kraemer
Kraemer Apr 15, 2020 at 07:08:36 (UTC)
Goto Top
Zitat von @tomolpi:
RSAT wird leider nicht unterstützt von Samba.
Natürlich werden sie das: https://wiki.samba.org/index.php/Installing_RSAT und https://www.tecmint.com/manage-samba4-ad-from-windows-via-rsat/
siehe Link von mir:
Raising the domain functional level using the Active Directory Domains and Trusts utility is currently not supported.
For details, see https://bugzilla.samba.org/show_bug.cgi?id=10360
aktuell scheint es tatsächlich nicht zu funktionieren
Member: Kraemer
Kraemer Apr 15, 2020 at 07:09:56 (UTC)
Goto Top
Zitat von @it-fraggle:

Kann Samba als DC denn schon 2012R2? Mein letzter Stand war, dass Samba 2008R2 kann, aber 2012R2 eben nicht Funktion Level.

siehe Link von mir:

Supported Functional Levels
You can set the following functional levels in Active Directory (AD) via samba-tool.

Functional Level Included in Samba Version
2012_R2 4.4 and later*
2012 4.4 and later*
2008_R2 4.0 and later
2008 4.0 and later
2003 4.0 and later
Member: joe2017
joe2017 Apr 15, 2020 updated at 09:11:28 (UTC)
Goto Top
Schönen guten Morgen.

@Kraemer:
Samba unterstützt die RSAT Tools. Aber leider nicht vollständig. Und genau für diese Funktion können die Tools nicht verwendet werden. Ebenso wie einige DNS Einstellungen. Das hast du somit richtig gepostet.
Auch die unterstützten Functional Level habe ich so gefunden. Aber ich habe auch gelesen, dass die Samba Version 4.9.5 Standardmäßig das Level 2008_R2 wählt. Erst ab der Version 4.11 wird anscheinend Standardmäßig das Level 2012_R2 gewählt.
Hierzu habe ich gerade folgendes gelesen:
Funktional Level Support
Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.

Samba Functional level
Hier steht auch, dass ein function level raise nicht sicher wäre.

Leider ist die Version 4.9.5 die aktuelle Version in der Debian Repo.

Ich habe schon versucht, eine andere Repo als Test einzubinden.
wget -O - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | apt-key add -
deb http://apt.van-belle.nl/debian buster-samba411 main contrib non-free

Leider ohne Erfolg!
GPG-Fehler: http://apt.van-belle.nl/debian buster-samba412 InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY FF620912DC8D81F8
E: Das Depot »http://apt.van-belle.nl/debian buster-samba412 InRelease« ist nicht signiert.
Auch folgendes Setup schlägt fehl.
sudo wget https://download.samba.org/pub/samba/samba-samba-4.11.7.tar.gz
sudo tar -zxvf samba-samba-4.11.7.tar.gz
cd samba-4.11.7
sudo ./configure

Ich würde eigentlich auch lieber mit der Debian Repo Version arbeiten.
Gibt es hier vielleicht eine Möglichkeit das Level bei der Installation des DC (samba-tool domain provision) anzugeben? Hierzu habe ich nichts gefunden.
Member: em-pie
em-pie Apr 15, 2020 at 10:42:58 (UTC)
Goto Top
Moin,

Welche Debian Version läuft denn bei dir?
'Ne 10er?
Member: joe2017
joe2017 Apr 15, 2020 updated at 10:47:31 (UTC)
Goto Top
Die aktuelle: 10.3.0
Member: it-fraggle
it-fraggle Apr 15, 2020 at 11:14:40 (UTC)
Goto Top
2012_R2 4.4 and later*
Da ist ein Sternchen hinter.

  • Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.

Für mich heißt das, dass 2012 R2 nicht geht. Was liest du daraus?
Member: joe2017
joe2017 Apr 15, 2020 at 11:20:09 (UTC)
Goto Top
Das habe ich weiter oben auch geschrieben.

Jedoch habe ich auch gelesen, dass bei der Samba Version 4.9.5 standardmäßig das Level 2008_R2 und ab der Version 4.11 das Level 2012_R2 gewählt wird. Deshalb wollte ich die neue Version installieren und prüfen ob das so richtig ist. Aber das funktioniert ja leider nicht.
Member: godlie
godlie Apr 17, 2020 at 05:11:18 (UTC)
Goto Top
Hallo,

eines was mir auffält, hast du deinen wget mit dem apt-key add als root ausgeführt? dann sollte ma ende eine Ausgabe OK erscheinen,
wenn nicht, dann musst du noch einen sudo vor das apt-key add setzen.

Ich habe das gerade auf einer frischen maschine versucht und hab keinen GPG Fehler erhalten
Member: joe2017
joe2017 Apr 17, 2020 at 07:15:55 (UTC)
Goto Top
Guten morgen godlie,

also bei mir kommt immer noch der Fehler. Ich habe folgendes durchgeführt:

sudo -i
wget -O - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | sudo apt-key add -


sudo nano /etc/apt/sources.list.d/van-belle.list
# AptVanBelle repo for samba
deb http://apt.van-belle.nl/debian buster-samba411 main contrib non-free

sudo apt update
GPG-Fehler: http://apt.van-belle.nl/debian buster-samba411 InRelease: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY FF620912DC8D81F8
E: Das Depot »http://apt.van-belle.nl/debian buster-samba411 InRelease« ist nicht signiert.
N: Eine Aktualisierung von solch einem Depot kann nicht auf eine sichere Art durchgeführt werden, daher ist es standardmäßig deaktiviert.
N: Weitere Details zur Erzeugung von Paketdepots sowie zu deren Benutzerkonfiguration finden Sie in der Handbuchseite apt-secure(8).
Member: godlie
godlie Apr 17, 2020 at 07:53:43 (UTC)
Goto Top
Hallo, der befehl sollte eigentlich so aussehen:

wget -qO - http://apt.van-belle.nl/louis-van-belle.gpg-key.asc | sudo apt-key add -

Wichtig sind hier die Parameter -qO - beim wget.

Du solltest nach diesem Befehl ein OK in der shell sehen, wenn das nicht der Fall ist, dann hat er den Key nicht hinzugefügt, dadurch geht dann nichts weiteres
Member: joe2017
joe2017 Apr 17, 2020 at 08:05:12 (UTC)
Goto Top
Mit dem Befehl mit -q erhalte ich folgende Meldung:
--2020-04-17 10:03:39--  http://apt.van-belle.nl/louis-van-belle.gpg-key.asc
Auflösen des Hostnamens apt.van-belle.nl (apt.van-belle.nl)… 149.210.206.148, 2a01:7c8:aab6:5ab:5054:ff:feff:ae66
Verbindungsaufbau zu apt.van-belle.nl (apt.van-belle.nl)|149.210.206.148|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 8684 (8,5K) [text/plain]
Wird in »STDOUT« gespeichert.

-                        100%[==================================>]   8,48K  --.-KB/s    in 0,001s

2020-04-17 10:03:39 (9,60 MB/s) - auf die Standardausgabe geschrieben [8684/8684]

E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation

mit dem Befehl mit -qO erhalte ich folgende Meldung:
E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation
Member: it-fraggle
it-fraggle Apr 17, 2020 at 11:07:59 (UTC)
Goto Top
Zitat von @joe2017:
mit dem Befehl mit -qO erhalte ich folgende Meldung:
> E: gnupg, gnupg2 and gnupg1 do not seem to be installed, but one of them is required for this operation
> 
Tante Google hat gleich im ersten Treffer die Antwort, wenn du als Suchbegriff einfach die Meldung eingibst. Das hätte übrigens auch mit der Meldung davor schon geklappt.
Member: joe2017
joe2017 Apr 17, 2020 at 12:56:41 (UTC)
Goto Top
Hi it-fraggle,

da hätte ich natürlich auch drauf kommen können. *lach*

Ich habe jetzt die Samba Version 4.11.7 und 4.12 installiert. Nach meinem domain provision habe ich in beiden Versionen den functional level 2008 R2. Also hat sich das nicht verändert.

Hat jemand noch eine Idee wie ich den function level auf 2012 R2 bekomme?
Member: it-fraggle
it-fraggle Apr 17, 2020 at 13:38:08 (UTC)
Goto Top
Ich bin immer noch der Meinung, dass das nicht geht.
Functional level is included for use against Windows, but not supported in Samba. Kerberos improvements from Windows Server 2012 and 2012 R2 are not implemented in Samba.
Member: joe2017
joe2017 Apr 20, 2020 at 08:17:47 (UTC)
Goto Top
Ich habe jetzt mein Windows DC auf 2008R2 Domain/Forest Functional Level eingestellt.
Wenn ich den Trust aufbaue, erhalte ich auf meiner Debian Seite eine Fehlermeldung.
Mein Windows AD hat den Trust Validate erfolgreich durchgeführt.
Wenn ich die Validierung auf dem Debian Samba starte erhalte ich die folgende Meldung:
Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisastion verbunden ist...

Meine DNS Auflösung funktioniert von beiden Seiten.
Ich kann jeweils die IPs, die Domains, und die DC-Namen anpingen.

Hat von euch mal jemand ein Forest Trust zwischen Windows AD-DC und Debian Samba DC aufgebaut?
Gibt es hierbei noch etwas zu beachten was ich vielleicht vergessen habe?
Member: joe2017
joe2017 Apr 23, 2020 at 09:51:29 (UTC)
Goto Top
Ich habe jetzt noch mal einen cleanen Windows Server 2016 (DC mit functional level 2008 R2) und einen Debian Samba DC installiert.
Ich habe auf beiden seiten ein DNS Forwarding eingerichtet und das funktioniert auch alles. Jedoch wird mein Forest Trust nicht validiert.

Hat von euch schon jemand einen Forest Trust zwischen Windows DC und Debian Samba DC hergestellt. Muss man hier noch etwas zusätzlich beachten?
Member: semaphor34
semaphor34 Sep 17, 2020 at 15:24:29 (UTC)
Goto Top
Hi Joe,

nein. Das geht noch nicht. Das was du daraus liest, ist die Windows Server 2012 Compatibility fürs Joinen in Samba-Umgebung. Aber nicht eben anders herum.
Windows Server 2012 R2 ist für Domain-Function-Level noch nicht unterstützt.

steht alles hier.
https://wiki.samba.org/index.php/Windows_2012_Server_compatibility#Intro ...

Viele Grüße