SAMBA 4 Probleme
Hallo zusammen!
Ich habe in zwei Subnets, welche mit VPN verbunden sind, jeweils ein Raspberry PI als SAMBA 4 AD DC stehen, welche z.B. der Domäne intern.example.com angehören. (Privates Umfeld, 4 Windows Clients, 3 Linux Clients, 2 NAS, diverse PIs (d.Z. nicht alle in der Domäne). Allerdings ist einer der beiden DCs (pi2.intern.example.com) mal wegen einer defekten SD-Karte ausgefallen. (Mail-Server auf dem PI ist keine gute Idee, ohne externen Speicher.) Gemäß SAMBA Howto habe ich diesen wieder neu aufgesetzt und wieder als DC unter gleichen Namen aufgenommen in die Domäne und zum DC hochgestuft. Dabei hatte ich aber wegen diverser Fehler so meine Schwierigkeiten.... Das ist schon recht lange her, ca. ein halbes Jahr oder länger. Daher keine genaue Fehlerbeschreibung.
Aktuell:
Im Moment kann ich leider kein Domain-Beitritt machen. Ich habe ein neues NAS was ich dringend in die Domäne aufnehmen muss für Backups usw. Es ist zwar ein privates Umfeld, aber trotzdem möchte ich es richten ... Langsam nervt es. Die DC sind nicht im sync... usw.
Ich hoffe ihr könnt mir Tipps geben, wo ich noch suchen soll.
Vielen Dank für eure Hinweise.
Konfigurationen:
PI1
PI2
Windows 10 Client mit RAST
Für PI1
Die Ausgabe wundert mich grade einwenig. Da hatte ich schon mal was ausführliches ....
Für PI2
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Ich habe in zwei Subnets, welche mit VPN verbunden sind, jeweils ein Raspberry PI als SAMBA 4 AD DC stehen, welche z.B. der Domäne intern.example.com angehören. (Privates Umfeld, 4 Windows Clients, 3 Linux Clients, 2 NAS, diverse PIs (d.Z. nicht alle in der Domäne). Allerdings ist einer der beiden DCs (pi2.intern.example.com) mal wegen einer defekten SD-Karte ausgefallen. (Mail-Server auf dem PI ist keine gute Idee, ohne externen Speicher.) Gemäß SAMBA Howto habe ich diesen wieder neu aufgesetzt und wieder als DC unter gleichen Namen aufgenommen in die Domäne und zum DC hochgestuft. Dabei hatte ich aber wegen diverser Fehler so meine Schwierigkeiten.... Das ist schon recht lange her, ca. ein halbes Jahr oder länger. Daher keine genaue Fehlerbeschreibung.
Aktuell:
Im Moment kann ich leider kein Domain-Beitritt machen. Ich habe ein neues NAS was ich dringend in die Domäne aufnehmen muss für Backups usw. Es ist zwar ein privates Umfeld, aber trotzdem möchte ich es richten ... Langsam nervt es. Die DC sind nicht im sync... usw.
Ich hoffe ihr könnt mir Tipps geben, wo ich noch suchen soll.
Vielen Dank für eure Hinweise.
Konfigurationen:
PI1
pi@PI1:~ $ /usr/local/samba/bin/samba-tool -V
4.9.0pre1-GIT-e7425bd
pi@PI1:~ $ cat /usr/local/samba/etc/smb.conf
# Global parameters
[global]
# bind interfaces only = Yes
# interfaces = lo eth0 tun0
netbios name = RASPBERRYELTERN
realm = INTERN.EXAMPLE.COM
workgroup = INTERN
server role = active directory domain controller
# server services = +smb -s3fs
# dcerpc endpoint servers = +winreg +srvsvc
comment =
dns forwarder = 192.168.10.11 192.168.190.1 85.214.20.141
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = yes
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
[netlogon]
path = /usr/local/samba/var/locks/sysvol/intern.hembrock-net.de/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
PI2
pi@PI2:~ $ /usr/local/samba/bin/samba-tool -V
4.9.0pre1-GIT-e7425bd
pi@PI2:~ $ cat /usr/local/samba/etc/smb.conf
# Global parameters
[global]
# bind interfaces only = Yes
# interfaces = lo eth0 tun0
netbios name = PI2
realm = INTERN.EXAMPLE.COM
server role = active directory domain controller
# server services = +smb -s3fs
# dcerpc endpoint servers = +winreg +srvsvc
workgroup = INTERN
comment =
dns forwarder = 192.168.190.1 192.168.10.11 85.214.20.141
idmap_ldb:use rfc2307 = yes
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = yes
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
[netlogon]
path = /usr/local/samba/var/locks/sysvol/intern.hembrock-net.de/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
Windows 10 Client mit RAST
Für PI1
Dateiinhalt c:\dcdiag1.txt:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
* Die Verbindung mit dem Verzeichnisdienst auf Server PI1 wird
hergestellt.
Auf dem Server raspberryeltern ist bei der Attributsuche der
LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
Für PI2
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
- Die Verbindung mit dem Verzeichnisdienst auf Server raspberryeltern wird
Auf dem Server raspberryeltern ist bei der Attributsuche der
LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
dcdiag /e /c /v /s:raspberrybuero /f:c:\dcdiag2.txt
Dateiinhalt c:\dcdiag2.txt:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
* Die Verbindung mit dem Verzeichnisdienst auf Server raspberrybuero wird
hergestellt.
* Identifizierte AD-Gesamtstruktur.
Collecting AD specific global data
* Standortinformationen werden gesammelt.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
Getting ISTG and options for the site
* Alle Server werden identifiziert.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=PI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=PI2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Alle Querverweise des Namenskontexts werden identifiziert.
Auf dem Server PI1 ist bei der Attributsuche der
LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
Fehler beim šberprfen des Dom„nencontrollers auf Verwendung von FRS oder
DFSR. Fehler: Win32 Error 81 Die Tests "VerifyReferences", "FrsEvent" und
"DfsrEvent" k”nnen aufgrund dieses Fehlers m”glicherweise nicht ausgefhrt
werden.
* 2 Dom„nencontroller gefunden. 2 davon werden getestet.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\PI1
Starting test: Connectivity
* Active Directory LDAP Services Check
Der Host
c2586b49-b5ba-450d-851a-8debc362e943._msdcs.intern.example.com
konnte nicht zu einer IP-Adresse aufgel”st werden. šberprfen Sie
DNS-Server, DHCP, Servername, usw.
Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
die Firewalleinstellungen.
......................... Der Test Connectivity fr PI1
ist fehlgeschlagen.
Server wird getestet: Default-First-Site-Name\PI2
Starting test: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... PI2 hat den Test Connectivity
bestanden.
Prim„rtests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\PI1
Alle Tests werden bersprungen, da der Server PI1 nicht auf
Anforderungen des Verzeichnisdiensts reagiert.
Test durch Benutzeranforderung ausgelassen: Advertising
Test durch Benutzeranforderung ausgelassen: CheckSecurityError
Test durch Benutzeranforderung ausgelassen: CutoffServers
Test durch Benutzeranforderung ausgelassen: FrsEvent
Test durch Benutzeranforderung ausgelassen: DFSREvent
Test durch Benutzeranforderung ausgelassen: SysVolCheck
Test durch Benutzeranforderung ausgelassen: KccEvent
Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
Test durch Benutzeranforderung ausgelassen: MachineAccount
Test durch Benutzeranforderung ausgelassen: NCSecDesc
Test durch Benutzeranforderung ausgelassen: NetLogons
Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
Test durch Benutzeranforderung ausgelassen: Replications
Test durch Benutzeranforderung ausgelassen: RidManager
Test durch Benutzeranforderung ausgelassen: Services
Test durch Benutzeranforderung ausgelassen: SystemLog
Test durch Benutzeranforderung ausgelassen: Topology
Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
Test durch Benutzeranforderung ausgelassen: VerifyReferences
Test durch Benutzeranforderung ausgelassen: VerifyReplicas
Server wird getestet: Default-First-Site-Name\PI2
Starting test: Advertising
The DC PI2 is advertising itself as a DC and having a DS.
The DC PI2 is advertising as an LDAP server
The DC PI2 is advertising as having a writeable directory
The DC PI2 is advertising as a Key Distribution Center
The DC PI2 is advertising as a time server
The DS PI2 is advertising as a GC.
......................... PI2 hat den Test Advertising
bestanden.
Starting test: CheckSecurityError
* Dr Auth: Beginning security errors check!
Found KDC PI2 for domain intern.example.com in site Default-First-Site-Name
Checking machine account for DC PI2 on DC PI2.
* SPN found :LDAP/raspberrybuero.intern.example.com/intern.example.com
* SPN found :LDAP/raspberrybuero.intern.example.com
* SPN found :LDAP/PI2
* SPN found :LDAP/raspberrybuero.intern.example.com/INTERN
* SPN found :LDAP/860448db-b0e7-45bf-b096-7fe768bf88b3._msdcs.intern.example.com
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/860448db-b0e7-45bf-b096-7fe768bf88b3/intern.example.com
* SPN found :HOST/raspberrybuero.intern.example.com/intern.example.com
* SPN found :HOST/raspberrybuero.intern.example.com
* SPN found :HOST/PI2
* SPN found :HOST/raspberrybuero.intern.example.com/INTERN
* SPN found :GC/raspberrybuero.intern.example.com/intern.example.com
[PI2] Fehler bei
DsReplicaGetInfo(KCC_DS_CONNECT_FAILURES): 50,
Die Anforderung wird nicht untersttzt..
[PI2] Die Liste mit den Verbindungsfehlern der
Konsistenzprfung kann nicht abgefragt werden. Der Vorgang wird
fortgesetzt...
[PI2] Auf dem Dom„nencontroller wurden keine
sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den
folgenden Befehl, um die Verbindung an einen bestimmten
Quelldom„nencontroller zu richten: /ReplSource:<Dom„nencontroller>.
......................... PI2 hat den Test
CheckSecurityError bestanden.
Starting test: CutoffServers
* Configuration Topology Aliveness Check
* Analyzing the alive system replication topology for CN=Configuration,DC=intern,DC=example,DC=com.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for DC=intern,DC=example,DC=com.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for CN=Schema,CN=Configuration,DC=intern,DC=example,DC=com.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for DC=ForestDnsZones,DC=intern,DC=example,DC=com.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for DC=Doma
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
* Die Verbindung mit dem Verzeichnisdienst auf Server raspberrybuero wird
hergestellt.
Determining IP4 connectivity
[raspberrybuero] Verzeichnisbindungsfehler 1722:
Der RPC-Server ist nicht verfgbar.
Dadurch werden m”glicherweise einige der ausfhrbaren Tests beschr„nkt.
* Identifizierte AD-Gesamtstruktur.
Collecting AD specific global data
* Standortinformationen werden gesammelt.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
Getting ISTG and options for the site
* Alle Server werden identifiziert.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=PI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=PI2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Alle Querverweise des Namenskontexts werden identifiziert.
Auf dem Server PI1 ist bei der Attributsuche der
LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
Fehler beim šberprfen des Dom„nencontrollers auf Verwendung von FRS oder
DFSR. Fehler: Win32 Error 81 Die Tests "VerifyReferences", "FrsEvent" und
"DfsrEvent" k”nnen aufgrund dieses Fehlers m”glicherweise nicht ausgefhrt
werden.
* 2 Dom„nencontroller gefunden. 2 davon werden getestet.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\PI1
Starting test: Connectivity
* Active Directory LDAP Services Check
Der Host
c2586b49-b5ba-450d-851a-8debc362e943._msdcs.intern.example.com
konnte nicht zu einer IP-Adresse aufgel”st werden. šberprfen Sie
DNS-Server, DHCP, Servername, usw.
Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
die Firewalleinstellungen.
......................... Der Test Connectivity fr PI1
ist fehlgeschlagen.
Server wird getestet: Default-First-Site-Name\PI2
Starting test: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
[PI2] DsBindWithSpnEx()-Fehler 1722,
Der RPC-Server ist nicht verfgbar..
Keine erweiterten RPC-Fehlerinformationen verfgbar. Verwenden Sie auf
dem lokalen Computer die Gruppenrichtlinie unter
"Computerkonfiguration/Administrative
Vorlagen/System/Remoteprozeduraufruf", um sie zu aktivieren.
Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
die Firewalleinstellungen.
......................... Der Test Connectivity fr PI2 ist
fehlgeschlagen.
Prim„rtests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\PI1
Alle Tests werden bersprungen, da der Server PI1 nicht auf
Anforderungen des Verzeichnisdiensts reagiert.
Test durch Benutzeranforderung ausgelassen: Advertising
Test durch Benutzeranforderung ausgelassen: CheckSecurityError
Test durch Benutzeranforderung ausgelassen: CutoffServers
Test durch Benutzeranforderung ausgelassen: FrsEvent
Test durch Benutzeranforderung ausgelassen: DFSREvent
Test durch Benutzeranforderung ausgelassen: SysVolCheck
Test durch Benutzeranforderung ausgelassen: KccEvent
Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
Test durch Benutzeranforderung ausgelassen: MachineAccount
Test durch Benutzeranforderung ausgelassen: NCSecDesc
Test durch Benutzeranforderung ausgelassen: NetLogons
Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
Test durch Benutzeranforderung ausgelassen: Replications
Test durch Benutzeranforderung ausgelassen: RidManager
Test durch Benutzeranforderung ausgelassen: Services
Test durch Benutzeranforderung ausgelassen: SystemLog
Test durch Benutzeranforderung ausgelassen: Topology
Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
Test durch Benutzeranforderung ausgelassen: VerifyReferences
Test durch Benutzeranforderung ausgelassen: VerifyReplicas
Server wird getestet: Default-First-Site-Name\PI2
Alle Tests werden bersprungen, da der Server PI2 nicht auf
Anforderungen des Verzeichnisdiensts reagiert.
Test durch Benutzeranforderung ausgelassen: Advertising
Test durch Benutzeranforderung ausgelassen: CheckSecurityError
Test durch Benutzeranforderung ausgelassen: CutoffServers
Test durch Benutzeranforderung ausgelassen: FrsEvent
Test durch Benutzeranforderung ausgelassen: DFSREvent
Test durch Benutzeranforderung ausgelassen: SysVolCheck
Test durch Benutzeranforderung ausgelassen: KccEvent
Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
Test durch Benutzeranforderung ausgelassen: MachineAccount
Test durch Benutzeranforderung ausgelassen: NCSecDesc
Test durch Benutzeranforderung ausgelassen: NetLogons
Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
Test durch Benutzeranforderung ausgelassen: Replications
Test durch Benutzeranforderung ausgelassen: RidManager
Test durch Benutzeranforderung ausgelassen: Services
Test durch Benutzeranforderung ausgelassen: SystemLog
Test durch Benutzeranforderung ausgelassen: Topology
Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
Test durch Benutzeranforderung ausgelassen: VerifyReferences
Test durch Benutzeranforderung ausgelassen: VerifyReplicas
Starting test: DNS
Starting test: DNS
DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige
Minuten...
See DNS test in enterprise tests section for results
......................... Der Test DNS fr PI2 ist
fehlgeschlagen.
See DNS test in enterprise tests section for results
......................... Der Test DNS fr PI1 ist
fehlgeschlagen.
Partitionstests werden ausgefhrt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
Beim Abrufen der Informationen des Querverweises
(CN=Enterprise Configuration,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition
(CN=Configuration,DC=intern,DC=example,DC=com) der folgende
Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CrossRefValidation fr
Configuration ist fehlgeschlagen.
Partitionstests werden ausgefhrt auf: intern
Starting test: CheckSDRefDom
......................... intern hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
Beim Abrufen der Informationen des Querverweises
(CN=INTERN,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition (DC=intern,DC=example,DC=com) der
folgende Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CrossRefValidation fr intern ist
fehlgeschlagen.
Partitionstests werden ausgefhrt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
Beim Abrufen der Informationen des Querverweises
(CN=Enterprise Schema,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition
(CN=Schema,CN=Configuration,DC=intern,DC=example,DC=com) der
folgende Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CrossRefValidation fr Schema ist
fehlgeschlagen.
Partitionstests werden ausgefhrt auf: ForestDnsZones
Starting test: CheckSDRefDom
Beim Abrufen der Informationen des Querverweises
(CN=5fabef2a-6fe7-4dd1-8676-8185a1032c3b,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition
(DC=ForestDnsZones,DC=intern,DC=example,DC=com) der folgende
Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CheckSDRefDom fr ForestDnsZones
ist fehlgeschlagen.
Starting test: CrossRefValidation
Beim Abrufen der Informationen des Querverweises
(CN=5fabef2a-6fe7-4dd1-8676-8185a1032c3b,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition
(DC=ForestDnsZones,DC=intern,DC=example,DC=com) der folgende
Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CrossRefValidation fr
ForestDnsZones ist fehlgeschlagen.
Partitionstests werden ausgefhrt auf: DomainDnsZones
Starting test: CheckSDRefDom
Beim Abrufen der Informationen des Querverweises
(CN=fa861905-c780-4ad9-b867-863dd3e77f58,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition
(DC=DomainDnsZones,DC=intern,DC=example,DC=com) der folgende
Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CheckSDRefDom fr DomainDnsZones
ist fehlgeschlagen.
Starting test: CrossRefValidation
Beim Abrufen der Informationen des Querverweises
(CN=fa861905-c780-4ad9-b867-863dd3e77f58,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
wurde fr die Partition
(DC=DomainDnsZones,DC=intern,DC=example,DC=com) der folgende
Fehler festgestellt:
LDAP-Fehler 0x50 (80).
......................... Der Test CrossRefValidation fr
DomainDnsZones ist fehlgeschlagen.
Unternehmenstests werden ausgefhrt auf: intern.example.com
Starting test: DNS
Testergebnisse fr Dom„nencontroller:
Dom„nencontroller: raspberrybuero.intern.example.com
Dom„ne: intern.example.com
TEST: Authentication (Auth)
Authentifizierungstest: Erfolgreich abgeschlossen
TEST: Basic (Basc)
Fehler: Keine Verzeichnisdienst-RPC-Konnektivit„t
Error: No WMI connectivity
[Error details: 0x800706ba (Type: HRESULT - Facility: Win32, Description: Der RPC-Server ist nicht verfgbar.) - Connection to WMI server failed]
Fr diesen Dom„nencontroller wurden keine Hosteintr„ge (A
oder AAAA) gefunden.
Dom„nencontroller: PI1.intern.example.com
Dom„ne: intern.example.com
TEST: Authentication (Auth)
Error: Authentication failed with specified credentials
[Error details: 53 (Type: Win32 - Description: Der Netzwerkpfad wurde nicht gefunden.) - Add connection failed]
TEST: Basic (Basc)
Fehler: Keine LDAP-Konnektivit„t
Error: No WMI connectivity
[Error details: 0x800706ba (Type: HRESULT - Facility: Win32, Description: Der RPC-Server ist nicht verfgbar.) - Connection to WMI server failed]
Fr diesen Dom„nencontroller wurden keine Hosteintr„ge (A
oder AAAA) gefunden.
Zusammenfassung der DNS-Testergebnisse:
Auth. Bas. Weiterl. Entf. Dyn.
RReg. Erw.
_________________________________________________________________
Dom„ne: intern.example.com
raspberrybuero PASS FAIL n/a n/a n/a n/a n/a
PI1 FAIL FAIL n/a n/a n/a n/a n/a
......................... Der Test DNS fr intern.example.com ist
fehlgeschlagen.
Starting test: LocatorCheck
Achtung: Fehler beim Aufrufen von DcGetDcName(GC_SERVER_REQUIRED):
1722
Es konnte kein Server fr globale Kataloge gefunden werden; kein
globaler Katalog verfgbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1722
Es wurde kein prim„rer Dom„nencontroller gefunden.
Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
verfgbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1722
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
verfgbar.
Achtung: Fehler beim Aufrufen von
DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1722
Es wurde kein geeigneter Zeitserver gefunden.
Achtung: Fehler beim Aufrufen von DcGetDcName(KDC_REQUIRED): 1722
Kein KDC gefunden; es ist kein KDC verfgbar.
......................... Der Test LocatorCheck fr
intern.example.com ist fehlgeschlagen.
Starting test: FsmoCheck
Achtung: Fehler beim Aufrufen von DcGetDcName(GC_SERVER_REQUIRED):
1722
Es konnte kein Server fr globale Kataloge gefunden werden; kein
globaler Katalog verfgbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1722
Es wurde kein prim„rer Dom„nencontroller gefunden.
Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
verfgbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1722
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
verfgbar.
Achtung: Fehler beim Aufrufen von
DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1722
Es wurde kein geeigneter Zeitserver gefunden.
Achtung: Fehler beim Aufrufen von DcGetDcName(KDC_REQUIRED): 1722
Kein KDC gefunden; es ist kein KDC verfgbar.
......................... Der Test FsmoCheck fr
intern.example.com ist fehlgeschlagen.
Starting test: Intersite
Der Standort Default-First-Site-Name wird bersprungen. Der Standort
liegt auáerhalb des Bereichs, der mithilfe der Befehlszeilenargumente
angegeben wurde.
......................... intern.example.com hat den Test
Intersite bestanden.
Linux Client (Debian, eigentlich bereits Domänenmitglied mit SSSD, da ich aber mal die BIOS-Batterie tauschen musste ... War die Zeit weg und damit war das Client-Konto oder das Client-Kerberos-Token dann wohl abgelaufen)
cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
[libdefaults]
default_realm = INTERN.EXAMPLE.COM
# dns_lookup_realm = true
# dns_lookup_kdc = true
kdc = 192.168.10.177
admin_server = 192.168.10.177
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# You may also want either of:
# allow_weak_crypto = true
# default_tkt_enctypes = arcfour-hmac
[realms]
# Define only if DNS lookups are not working
# AD.EXAMPLE.COM = {
# kdc = server.ad.example.com
# master_kdc = server.ad.example.com
# admin_server = server.ad.example.com
# }
[domain_realm]
# Define only if DNS lookups are not working
# .ad.example.com = AD.EXAMPLE.COM
# ad.example.com = AD.EXAMPLE.COM
cat /etc/samba/smb.conf
[global]
security = ads
encrypt passwords = yes
realm = INTERN.EXAMPLE.COM
workgroup = INTERN
log file = /var/log/samba/%m.log
#kerberos method = system secrets keytab
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
client signing = yes
client use spnego = yes
sudo kinit Administrator
[sudo] Passwort für localadmin:
Passwort for Administrator@INTERN.EXAMPLE.COM:
sudo klist
Ticketzwischenspeicher: FILE:/tmp/krb5cc_0
Standard-Principal: Administrator@INTERN.EXAMPLE.COM
Valid starting Expires Service principal
20.04.2018 10:57:20 20.04.2018 20:57:20 krbtgt/INTERN.EXAMPLE.COM@INTERN.EXAMPLE.COM
erneuern bis 27.04.2018 10:57:
sudo net ads join -k
Failed to join domain: User specified does not have administrator privileges
sudo net ads join -k -U Administrator
Enter Administrator's password:
Failed to join domain: User specified does not have administrator privileges
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371765
Url: https://administrator.de/forum/samba-4-probleme-371765.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr