marsmars
Goto Top

SAMBA 4 Probleme

Hallo zusammen!
Ich habe in zwei Subnets, welche mit VPN verbunden sind, jeweils ein Raspberry PI als SAMBA 4 AD DC stehen, welche z.B. der Domäne intern.example.com angehören. (Privates Umfeld, 4 Windows Clients, 3 Linux Clients, 2 NAS, diverse PIs (d.Z. nicht alle in der Domäne). Allerdings ist einer der beiden DCs (pi2.intern.example.com) mal wegen einer defekten SD-Karte ausgefallen. (Mail-Server auf dem PI ist keine gute Idee, ohne externen Speicher.) Gemäß SAMBA Howto habe ich diesen wieder neu aufgesetzt und wieder als DC unter gleichen Namen aufgenommen in die Domäne und zum DC hochgestuft. Dabei hatte ich aber wegen diverser Fehler so meine Schwierigkeiten.... Das ist schon recht lange her, ca. ein halbes Jahr oder länger. Daher keine genaue Fehlerbeschreibung.

Aktuell:
Im Moment kann ich leider kein Domain-Beitritt machen. Ich habe ein neues NAS was ich dringend in die Domäne aufnehmen muss für Backups usw. Es ist zwar ein privates Umfeld, aber trotzdem möchte ich es richten ... Langsam nervt es. Die DC sind nicht im sync... usw.

Ich hoffe ihr könnt mir Tipps geben, wo ich noch suchen soll.
Vielen Dank für eure Hinweise.

Konfigurationen:

PI1
pi@PI1:~ $ /usr/local/samba/bin/samba-tool -V
4.9.0pre1-GIT-e7425bd
pi@PI1:~ $ cat /usr/local/samba/etc/smb.conf
# Global parameters
[global]
#	bind interfaces only = Yes
#	interfaces = lo eth0 tun0
	netbios name = RASPBERRYELTERN
	realm = INTERN.EXAMPLE.COM
	workgroup = INTERN
	server role = active directory domain controller
#	server services = +smb -s3fs
#	dcerpc endpoint servers = +winreg +srvsvc
	comment = 
	
	dns forwarder = 192.168.10.11 192.168.190.1 85.214.20.141
	idmap_ldb:use rfc2307 = yes
	template shell = /bin/bash
	winbind use default domain = true
	winbind offline logon = yes
	winbind nss info = rfc2307
	winbind enum users = yes
	winbind enum groups = yes

[netlogon]
	path = /usr/local/samba/var/locks/sysvol/intern.hembrock-net.de/scripts
	read only = No

[sysvol]
	path = /usr/local/samba/var/locks/sysvol
	read only = No

PI2
pi@PI2:~ $ /usr/local/samba/bin/samba-tool -V
4.9.0pre1-GIT-e7425bd
pi@PI2:~ $ cat /usr/local/samba/etc/smb.conf
# Global parameters
[global]
#	bind interfaces only = Yes
#	interfaces = lo eth0 tun0
	netbios name = PI2
	realm = INTERN.EXAMPLE.COM
	server role = active directory domain controller
#        server services = +smb -s3fs
#        dcerpc endpoint servers = +winreg +srvsvc
	workgroup = INTERN
        comment =
        dns forwarder = 192.168.190.1 192.168.10.11 85.214.20.141
        idmap_ldb:use rfc2307 = yes
        template shell = /bin/bash
        winbind use default domain = true
        winbind offline logon = yes
        winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes

[netlogon]
	path = /usr/local/samba/var/locks/sysvol/intern.hembrock-net.de/scripts
	read only = No

[sysvol]
	path = /usr/local/samba/var/locks/sysvol
	read only = No

Windows 10 Client mit RAST
Für PI1
Dateiinhalt c:\dcdiag1.txt:

Verzeichnisserverdiagnose

Anfangssetup wird ausgefhrt:
   * Die Verbindung mit dem Verzeichnisdienst auf Server PI1 wird
   hergestellt.
   Auf dem Server raspberryeltern ist bei der Attributsuche der
   LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
Die Ausgabe wundert mich grade einwenig. Da hatte ich schon mal was ausführliches ....

Für PI2
Verzeichnisserverdiagnose

Anfangssetup wird ausgefhrt:
        • Die Verbindung mit dem Verzeichnisdienst auf Server raspberryeltern wird
        hergestellt.
        Auf dem Server raspberryeltern ist bei der Attributsuche der
        LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
        dcdiag /e /c /v /s:raspberrybuero /f:c:\dcdiag2.txt
        Dateiinhalt c:\dcdiag2.txt:
        Verzeichnisserverdiagnose
        
        Anfangssetup wird ausgefhrt:
           * Die Verbindung mit dem Verzeichnisdienst auf Server raspberrybuero wird
           hergestellt.
           * Identifizierte AD-Gesamtstruktur. 
           Collecting AD specific global data 
           * Standortinformationen werden gesammelt.
           Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
           The previous call succeeded 
           Iterating through the sites 
           Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
           Getting ISTG and options for the site
           * Alle Server werden identifiziert.
           Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
           The previous call succeeded....
           The previous call succeeded
           Iterating through the list of servers 
           Getting information for the server CN=NTDS Settings,CN=PI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com 
           objectGuid obtained
           InvocationID obtained
           dnsHostname obtained
           site info obtained
           All the info for the server collected
           Getting information for the server CN=NTDS Settings,CN=PI2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com 
           objectGuid obtained
           InvocationID obtained
           dnsHostname obtained
           site info obtained
           All the info for the server collected
           * Alle Querverweise des Namenskontexts werden identifiziert.
           Auf dem Server PI1 ist bei der Attributsuche der
           LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
           Fehler beim šberprfen des Dom„nencontrollers auf Verwendung von FRS oder
           DFSR. Fehler: Win32 Error 81 Die Tests "VerifyReferences", "FrsEvent" und  
           "DfsrEvent" k”nnen aufgrund dieses Fehlers m”glicherweise nicht ausgefhrt  
           werden. 
           * 2 Dom„nencontroller gefunden. 2 davon werden getestet.
           Sammeln der Ausgangsinformationen abgeschlossen.
        
        Erforderliche Anfangstests werden ausgefhrt.
           
           Server wird getestet: Default-First-Site-Name\PI1
              Starting test: Connectivity
                 * Active Directory LDAP Services Check
                 Der Host
                 c2586b49-b5ba-450d-851a-8debc362e943._msdcs.intern.example.com
                 konnte nicht zu einer IP-Adresse aufgel”st werden. šberprfen Sie
                 DNS-Server, DHCP, Servername, usw.
                 Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
                 die Firewalleinstellungen.
                 ......................... Der Test Connectivity fr PI1
                 ist fehlgeschlagen.
           
           Server wird getestet: Default-First-Site-Name\PI2
              Starting test: Connectivity
                 * Active Directory LDAP Services Check
                 Determining IP4 connectivity 
                 * Active Directory RPC Services Check
                 ......................... PI2 hat den Test Connectivity
                 bestanden.
        
        Prim„rtests werden ausgefhrt.
           
           Server wird getestet: Default-First-Site-Name\PI1
              Alle Tests werden bersprungen, da der Server PI1 nicht auf
              Anforderungen des Verzeichnisdiensts reagiert.
              Test durch Benutzeranforderung ausgelassen: Advertising
              Test durch Benutzeranforderung ausgelassen: CheckSecurityError
              Test durch Benutzeranforderung ausgelassen: CutoffServers
              Test durch Benutzeranforderung ausgelassen: FrsEvent
              Test durch Benutzeranforderung ausgelassen: DFSREvent
              Test durch Benutzeranforderung ausgelassen: SysVolCheck
              Test durch Benutzeranforderung ausgelassen: KccEvent
              Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
              Test durch Benutzeranforderung ausgelassen: MachineAccount
              Test durch Benutzeranforderung ausgelassen: NCSecDesc
              Test durch Benutzeranforderung ausgelassen: NetLogons
              Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
              Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
              Test durch Benutzeranforderung ausgelassen: Replications
              Test durch Benutzeranforderung ausgelassen: RidManager
              Test durch Benutzeranforderung ausgelassen: Services
              Test durch Benutzeranforderung ausgelassen: SystemLog
              Test durch Benutzeranforderung ausgelassen: Topology
              Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
              Test durch Benutzeranforderung ausgelassen: VerifyReferences
              Test durch Benutzeranforderung ausgelassen: VerifyReplicas
           
           Server wird getestet: Default-First-Site-Name\PI2
              Starting test: Advertising
                 The DC PI2 is advertising itself as a DC and having a DS.
                 The DC PI2 is advertising as an LDAP server
                 The DC PI2 is advertising as having a writeable directory
                 The DC PI2 is advertising as a Key Distribution Center
                 The DC PI2 is advertising as a time server
                 The DS PI2 is advertising as a GC.
                 ......................... PI2 hat den Test Advertising
                 bestanden.
              Starting test: CheckSecurityError
                 * Dr Auth:  Beginning security errors check!
                 Found KDC PI2 for domain intern.example.com in site Default-First-Site-Name
                 Checking machine account for DC PI2 on DC PI2.
                 * SPN found :LDAP/raspberrybuero.intern.example.com/intern.example.com
                 * SPN found :LDAP/raspberrybuero.intern.example.com
                 * SPN found :LDAP/PI2
                 * SPN found :LDAP/raspberrybuero.intern.example.com/INTERN
                 * SPN found :LDAP/860448db-b0e7-45bf-b096-7fe768bf88b3._msdcs.intern.example.com
                 * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/860448db-b0e7-45bf-b096-7fe768bf88b3/intern.example.com
                 * SPN found :HOST/raspberrybuero.intern.example.com/intern.example.com
                 * SPN found :HOST/raspberrybuero.intern.example.com
                 * SPN found :HOST/PI2
                 * SPN found :HOST/raspberrybuero.intern.example.com/INTERN
                 * SPN found :GC/raspberrybuero.intern.example.com/intern.example.com
                    [PI2] Fehler bei
                    DsReplicaGetInfo(KCC_DS_CONNECT_FAILURES): 50,
                    Die Anforderung wird nicht untersttzt..
                    [PI2] Die Liste mit den Verbindungsfehlern der
                    Konsistenzprfung kann nicht abgefragt werden. Der Vorgang wird
                    fortgesetzt...
                 [PI2] Auf dem Dom„nencontroller wurden keine
                 sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den
                 folgenden Befehl, um die Verbindung an einen bestimmten
                 Quelldom„nencontroller zu richten: /ReplSource:<Dom„nencontroller>.
                 ......................... PI2 hat den Test
                 CheckSecurityError bestanden.
              Starting test: CutoffServers
                 * Configuration Topology Aliveness Check
                 * Analyzing the alive system replication topology for CN=Configuration,DC=intern,DC=example,DC=com.
                 * Performing upstream (of target) analysis.
                 * Performing downstream (of target) analysis.
                 * Analyzing the alive system replication topology for DC=intern,DC=example,DC=com.
                 * Performing upstream (of target) analysis.
                 * Performing downstream (of target) analysis.
                 * Analyzing the alive system replication topology for CN=Schema,CN=Configuration,DC=intern,DC=example,DC=com.
                 * Performing upstream (of target) analysis.
                 * Performing downstream (of target) analysis.
                 * Analyzing the alive system replication topology for DC=ForestDnsZones,DC=intern,DC=example,DC=com.
                 * Performing upstream (of target) analysis.
                 * Performing downstream (of target) analysis.
                 * Analyzing the alive system replication topology for DC=Doma
        Verzeichnisserverdiagnose
        
        Anfangssetup wird ausgefhrt:
           * Die Verbindung mit dem Verzeichnisdienst auf Server raspberrybuero wird
           hergestellt.
           Determining IP4 connectivity 
           [raspberrybuero] Verzeichnisbindungsfehler 1722:
           Der RPC-Server ist nicht verfgbar.
           Dadurch werden m”glicherweise einige der ausfhrbaren Tests beschr„nkt.
           * Identifizierte AD-Gesamtstruktur. 
           Collecting AD specific global data 
           * Standortinformationen werden gesammelt.
           Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
           The previous call succeeded 
           Iterating through the sites 
           Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com
           Getting ISTG and options for the site
           * Alle Server werden identifiziert.
           Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
           The previous call succeeded....
           The previous call succeeded
           Iterating through the list of servers 
           Getting information for the server CN=NTDS Settings,CN=PI1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com 
           objectGuid obtained
           InvocationID obtained
           dnsHostname obtained
           site info obtained
           All the info for the server collected
           Getting information for the server CN=NTDS Settings,CN=PI2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intern,DC=example,DC=com 
           objectGuid obtained
           InvocationID obtained
           dnsHostname obtained
           site info obtained
           All the info for the server collected
           * Alle Querverweise des Namenskontexts werden identifiziert.
           Auf dem Server PI1 ist bei der Attributsuche der
           LDAP-Suchfunktion ein Fehler aufgetreten. Rckgabewert = 81
           Fehler beim šberprfen des Dom„nencontrollers auf Verwendung von FRS oder
           DFSR. Fehler: Win32 Error 81 Die Tests "VerifyReferences", "FrsEvent" und  
           "DfsrEvent" k”nnen aufgrund dieses Fehlers m”glicherweise nicht ausgefhrt  
           werden. 
           * 2 Dom„nencontroller gefunden. 2 davon werden getestet.
           Sammeln der Ausgangsinformationen abgeschlossen.
        
        Erforderliche Anfangstests werden ausgefhrt.
           
           Server wird getestet: Default-First-Site-Name\PI1
              Starting test: Connectivity
                 * Active Directory LDAP Services Check
                 Der Host
                 c2586b49-b5ba-450d-851a-8debc362e943._msdcs.intern.example.com
                 konnte nicht zu einer IP-Adresse aufgel”st werden. šberprfen Sie
                 DNS-Server, DHCP, Servername, usw.
                 Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
                 die Firewalleinstellungen.
                 ......................... Der Test Connectivity fr PI1
                 ist fehlgeschlagen.
           
           Server wird getestet: Default-First-Site-Name\PI2
              Starting test: Connectivity
                 * Active Directory LDAP Services Check
                 Determining IP4 connectivity 
                 * Active Directory RPC Services Check
                 [PI2] DsBindWithSpnEx()-Fehler 1722,
                 Der RPC-Server ist nicht verfgbar..
                 Keine erweiterten RPC-Fehlerinformationen verfgbar. Verwenden Sie auf
                 dem lokalen Computer die Gruppenrichtlinie unter
                 "Computerkonfiguration/Administrative  
                 Vorlagen/System/Remoteprozeduraufruf", um sie zu aktivieren.  
                 Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
                 die Firewalleinstellungen.
                 ......................... Der Test Connectivity fr PI2 ist
                 fehlgeschlagen.
        
        Prim„rtests werden ausgefhrt.
           
           Server wird getestet: Default-First-Site-Name\PI1
              Alle Tests werden bersprungen, da der Server PI1 nicht auf
              Anforderungen des Verzeichnisdiensts reagiert.
              Test durch Benutzeranforderung ausgelassen: Advertising
              Test durch Benutzeranforderung ausgelassen: CheckSecurityError
              Test durch Benutzeranforderung ausgelassen: CutoffServers
              Test durch Benutzeranforderung ausgelassen: FrsEvent
              Test durch Benutzeranforderung ausgelassen: DFSREvent
              Test durch Benutzeranforderung ausgelassen: SysVolCheck
              Test durch Benutzeranforderung ausgelassen: KccEvent
              Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
              Test durch Benutzeranforderung ausgelassen: MachineAccount
              Test durch Benutzeranforderung ausgelassen: NCSecDesc
              Test durch Benutzeranforderung ausgelassen: NetLogons
              Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
              Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
              Test durch Benutzeranforderung ausgelassen: Replications
              Test durch Benutzeranforderung ausgelassen: RidManager
              Test durch Benutzeranforderung ausgelassen: Services
              Test durch Benutzeranforderung ausgelassen: SystemLog
              Test durch Benutzeranforderung ausgelassen: Topology
              Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
              Test durch Benutzeranforderung ausgelassen: VerifyReferences
              Test durch Benutzeranforderung ausgelassen: VerifyReplicas
           
           Server wird getestet: Default-First-Site-Name\PI2
              Alle Tests werden bersprungen, da der Server PI2 nicht auf
              Anforderungen des Verzeichnisdiensts reagiert.
              Test durch Benutzeranforderung ausgelassen: Advertising
              Test durch Benutzeranforderung ausgelassen: CheckSecurityError
              Test durch Benutzeranforderung ausgelassen: CutoffServers
              Test durch Benutzeranforderung ausgelassen: FrsEvent
              Test durch Benutzeranforderung ausgelassen: DFSREvent
              Test durch Benutzeranforderung ausgelassen: SysVolCheck
              Test durch Benutzeranforderung ausgelassen: KccEvent
              Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
              Test durch Benutzeranforderung ausgelassen: MachineAccount
              Test durch Benutzeranforderung ausgelassen: NCSecDesc
              Test durch Benutzeranforderung ausgelassen: NetLogons
              Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
              Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
              Test durch Benutzeranforderung ausgelassen: Replications
              Test durch Benutzeranforderung ausgelassen: RidManager
              Test durch Benutzeranforderung ausgelassen: Services
              Test durch Benutzeranforderung ausgelassen: SystemLog
              Test durch Benutzeranforderung ausgelassen: Topology
              Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
              Test durch Benutzeranforderung ausgelassen: VerifyReferences
              Test durch Benutzeranforderung ausgelassen: VerifyReplicas
           
              Starting test: DNS
                    
                       Starting test: DNS
                          
                          DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige
                          Minuten...
                          See DNS test in enterprise tests section for results
                          ......................... Der Test DNS fr PI2 ist
                          fehlgeschlagen.
                 See DNS test in enterprise tests section for results
                 ......................... Der Test DNS fr PI1 ist
                 fehlgeschlagen.
           
           Partitionstests werden ausgefhrt auf: Configuration
              Starting test: CheckSDRefDom
                 ......................... Configuration hat den Test CheckSDRefDom
                 bestanden.
              Starting test: CrossRefValidation
                    Beim Abrufen der Informationen des Querverweises
                    (CN=Enterprise Configuration,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition
                    (CN=Configuration,DC=intern,DC=example,DC=com) der folgende
                    Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CrossRefValidation fr
                 Configuration ist fehlgeschlagen.
           
           Partitionstests werden ausgefhrt auf: intern
              Starting test: CheckSDRefDom
                 ......................... intern hat den Test CheckSDRefDom bestanden.
              Starting test: CrossRefValidation
                    Beim Abrufen der Informationen des Querverweises
                    (CN=INTERN,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition (DC=intern,DC=example,DC=com) der
                    folgende Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CrossRefValidation fr intern ist
                 fehlgeschlagen.
           
           Partitionstests werden ausgefhrt auf: Schema
              Starting test: CheckSDRefDom
                 ......................... Schema hat den Test CheckSDRefDom bestanden.
              Starting test: CrossRefValidation
                    Beim Abrufen der Informationen des Querverweises
                    (CN=Enterprise Schema,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition
                    (CN=Schema,CN=Configuration,DC=intern,DC=example,DC=com) der
                    folgende Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CrossRefValidation fr Schema ist
                 fehlgeschlagen.
           
           Partitionstests werden ausgefhrt auf: ForestDnsZones
              Starting test: CheckSDRefDom
                    Beim Abrufen der Informationen des Querverweises
                    (CN=5fabef2a-6fe7-4dd1-8676-8185a1032c3b,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition
                    (DC=ForestDnsZones,DC=intern,DC=example,DC=com) der folgende
                    Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CheckSDRefDom fr ForestDnsZones
                 ist fehlgeschlagen.
              Starting test: CrossRefValidation
                    Beim Abrufen der Informationen des Querverweises
                    (CN=5fabef2a-6fe7-4dd1-8676-8185a1032c3b,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition
                    (DC=ForestDnsZones,DC=intern,DC=example,DC=com) der folgende
                    Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CrossRefValidation fr
                 ForestDnsZones ist fehlgeschlagen.
           
           Partitionstests werden ausgefhrt auf: DomainDnsZones
              Starting test: CheckSDRefDom
                    Beim Abrufen der Informationen des Querverweises
                    (CN=fa861905-c780-4ad9-b867-863dd3e77f58,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition
                    (DC=DomainDnsZones,DC=intern,DC=example,DC=com) der folgende
                    Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CheckSDRefDom fr DomainDnsZones
                 ist fehlgeschlagen.
              Starting test: CrossRefValidation
                    Beim Abrufen der Informationen des Querverweises
                    (CN=fa861905-c780-4ad9-b867-863dd3e77f58,CN=Partitions,CN=Configuration,DC=intern,DC=example,DC=com)
                     wurde fr die Partition
                    (DC=DomainDnsZones,DC=intern,DC=example,DC=com) der folgende
                    Fehler festgestellt: 
                       LDAP-Fehler 0x50 (80). 
                 ......................... Der Test CrossRefValidation fr
                 DomainDnsZones ist fehlgeschlagen.
           
           Unternehmenstests werden ausgefhrt auf: intern.example.com
              Starting test: DNS
                 Testergebnisse fr Dom„nencontroller:
                    
                    Dom„nencontroller: raspberrybuero.intern.example.com
                    Dom„ne: intern.example.com
                    
                          
                       TEST: Authentication (Auth)
                          Authentifizierungstest: Erfolgreich abgeschlossen
                          
                       TEST: Basic (Basc)
                          Fehler: Keine Verzeichnisdienst-RPC-Konnektivit„t
                          Error: No WMI connectivity
                          [Error details: 0x800706ba (Type: HRESULT - Facility: Win32, Description: Der RPC-Server ist nicht verfgbar.) - Connection to WMI server failed]
                          Fr diesen Dom„nencontroller wurden keine Hosteintr„ge (A
                          oder AAAA) gefunden.
                 
                    
                    Dom„nencontroller: PI1.intern.example.com
                    Dom„ne: intern.example.com
                    
                          
                       TEST: Authentication (Auth)
                          Error: Authentication failed with specified credentials
                          [Error details: 53 (Type: Win32 - Description: Der Netzwerkpfad wurde nicht gefunden.) - Add connection failed]
                          
                       TEST: Basic (Basc)
                          Fehler: Keine LDAP-Konnektivit„t
                          Error: No WMI connectivity
                          [Error details: 0x800706ba (Type: HRESULT - Facility: Win32, Description: Der RPC-Server ist nicht verfgbar.) - Connection to WMI server failed]
                          Fr diesen Dom„nencontroller wurden keine Hosteintr„ge (A
                          oder AAAA) gefunden.
                 
                 Zusammenfassung der DNS-Testergebnisse:
                 
                                                    Auth. Bas. Weiterl. Entf.  Dyn.
                    RReg. Erw.
                    _________________________________________________________________
                    Dom„ne: intern.example.com
                       raspberrybuero               PASS FAIL n/a  n/a  n/a  n/a  n/a  
                       PI1              FAIL FAIL n/a  n/a  n/a  n/a  n/a  
                 
                 ......................... Der Test DNS fr intern.example.com ist
                 fehlgeschlagen.
              Starting test: LocatorCheck
                 Achtung: Fehler beim Aufrufen von DcGetDcName(GC_SERVER_REQUIRED):
                 1722
                 Es konnte kein Server fr globale Kataloge gefunden werden; kein
                 globaler Katalog verfgbar.
                 Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1722
                 Es wurde kein prim„rer Dom„nencontroller gefunden.
                 Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
                 verfgbar.
                 Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1722
                 Es wurde kein Zeitserver gefunden.
                 Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
                 verfgbar.
                 Achtung: Fehler beim Aufrufen von
                 DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1722
                 Es wurde kein geeigneter Zeitserver gefunden.
                 Achtung: Fehler beim Aufrufen von DcGetDcName(KDC_REQUIRED): 1722
                 Kein KDC gefunden; es ist kein KDC verfgbar.
                 ......................... Der Test LocatorCheck fr
                 intern.example.com ist fehlgeschlagen.
              Starting test: FsmoCheck
                 Achtung: Fehler beim Aufrufen von DcGetDcName(GC_SERVER_REQUIRED):
                 1722
                 Es konnte kein Server fr globale Kataloge gefunden werden; kein
                 globaler Katalog verfgbar.
                 Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1722
                 Es wurde kein prim„rer Dom„nencontroller gefunden.
                 Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
                 verfgbar.
                 Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1722
                 Es wurde kein Zeitserver gefunden.
                 Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
                 verfgbar.
                 Achtung: Fehler beim Aufrufen von
                 DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1722
                 Es wurde kein geeigneter Zeitserver gefunden.
                 Achtung: Fehler beim Aufrufen von DcGetDcName(KDC_REQUIRED): 1722
                 Kein KDC gefunden; es ist kein KDC verfgbar.
                 ......................... Der Test FsmoCheck fr
                 intern.example.com ist fehlgeschlagen.
              Starting test: Intersite
                 Der Standort Default-First-Site-Name wird bersprungen. Der Standort
                 liegt auáerhalb des Bereichs, der mithilfe der Befehlszeilenargumente
                 angegeben wurde. 
                 ......................... intern.example.com hat den Test
                 Intersite bestanden.

        Linux Client (Debian, eigentlich bereits Domänenmitglied mit SSSD, da ich aber mal die BIOS-Batterie tauschen musste ... War die Zeit weg und damit war das Client-Konto oder das Client-Kerberos-Token dann wohl abgelaufen)
        cat /etc/krb5.conf
        [logging]
         default = FILE:/var/log/krb5libs.log
        
        [libdefaults]
         default_realm = INTERN.EXAMPLE.COM
        # dns_lookup_realm = true
        # dns_lookup_kdc = true
         kdc = 192.168.10.177
         admin_server = 192.168.10.177
         ticket_lifetime = 24h
         renew_lifetime = 7d
         forwardable = true
         rdns = false
        
        # You may also want either of:
        # allow_weak_crypto = true
        # default_tkt_enctypes = arcfour-hmac
        
        [realms]
        # Define only if DNS lookups are not working
        # AD.EXAMPLE.COM = {
        #  kdc = server.ad.example.com
        #  master_kdc = server.ad.example.com
        #  admin_server = server.ad.example.com
        # }
        
        [domain_realm]
        # Define only if DNS lookups are not working
        # .ad.example.com = AD.EXAMPLE.COM
        # ad.example.com = AD.EXAMPLE.COM
        
        cat /etc/samba/smb.conf
        [global]
        	security = ads
        	encrypt passwords = yes
        	realm = INTERN.EXAMPLE.COM
        	workgroup = INTERN
        	log file = /var/log/samba/%m.log
        	#kerberos method = system secrets keytab
        	kerberos method = dedicated keytab
        	dedicated keytab file = /etc/krb5.keytab
        	client signing = yes
        	client use spnego = yes
        
        sudo kinit Administrator
        [sudo] Passwort für localadmin: 
        Passwort for Administrator@INTERN.EXAMPLE.COM: 
        
        sudo klist
        Ticketzwischenspeicher: FILE:/tmp/krb5cc_0
        Standard-Principal: Administrator@INTERN.EXAMPLE.COM
        
        Valid starting       Expires              Service principal
        20.04.2018 10:57:20  20.04.2018 20:57:20  krbtgt/INTERN.EXAMPLE.COM@INTERN.EXAMPLE.COM
        	erneuern bis 27.04.2018 10:57:
        	
        sudo net ads join -k
        Failed to join domain: User specified does not have administrator privileges
        
        sudo net ads join -k -U Administrator
        Enter Administrator's password:  
        Failed to join domain: User specified does not have administrator privileges

Content-ID: 371765

Url: https://administrator.de/forum/samba-4-probleme-371765.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr