Samba Freigabe - kein Zugriff von Windows 2008 R2
Hallo Leute,
ich habe einen HP Microserver (N54L) mit Debian 7.
Dieser soll einzig als Backup-Ziel für mehrere Windows-Server dienen.
Samba 3.6.6 ist installiert und ich verwalte es mit Webmin 1.690.
Das Gerät ist in der Domäne.
Leider bekomme ich vom W2K8R2 keinen Zugriff auf die erstellte Freigabe.
Wenn ich den Unix-Gastzugriff der Freigabe aktiviere, wird der Zugriff verweigert, wenn ich diesen deaktiviere, bekomme ich die Eingabemaske für Credentials.
Aber egal, welche ich dort wie nutze, ich bekomme den Prompt wieder.
Hat jemand eine Tipp für mich?
ich habe einen HP Microserver (N54L) mit Debian 7.
Dieser soll einzig als Backup-Ziel für mehrere Windows-Server dienen.
Samba 3.6.6 ist installiert und ich verwalte es mit Webmin 1.690.
Das Gerät ist in der Domäne.
Leider bekomme ich vom W2K8R2 keinen Zugriff auf die erstellte Freigabe.
Wenn ich den Unix-Gastzugriff der Freigabe aktiviere, wird der Zugriff verweigert, wenn ich diesen deaktiviere, bekomme ich die Eingabemaske für Credentials.
Aber egal, welche ich dort wie nutze, ich bekomme den Prompt wieder.
Hat jemand eine Tipp für mich?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 241710
Url: https://administrator.de/forum/samba-freigabe-kein-zugriff-von-windows-2008-r2-241710.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
24 Kommentare
Neuester Kommentar
Evtl. SMBv1 zu SMBv2 Protokoll Problem ?:
http://support.microsoft.com/kb/2696547
http://pic.dhe.ibm.com/infocenter/idm/v2r2/index.jsp?topic=%2Fcom.ibm.d ...
http://support.microsoft.com/kb/2696547
http://pic.dhe.ibm.com/infocenter/idm/v2r2/index.jsp?topic=%2Fcom.ibm.d ...
- Stimmen die Zugriffsrechte auf das freigegebene Verzeichnis?
Ich denke schon.Wo stehen die?
Die Erwähnung des gescheiterten Gast-Zugangs gab mir zu denken.
"Oft wird vergessen, dass die Zugriffsrechte in der Freigabe und im lokalen Dateisystem stimmen müssen. Erlaubt man z.B. den Zugriff von Gästen auf ein Verzeichnis, so muss der Benutzer nobody bzw. die Gruppe nogroup auch die entsprechenden lokalen Lese-/Schreibrechte in dem Verzeichnis haben." (http://wiki.ubuntuusers.de/Samba_Server/smb.conf)
Denke aber auch, dass es eher das andere Problem ist. "max protocol = SMB2" ist gesetzt (http://www.golem.de/1108/85603.html)
Gruß,
Gersen
Hallo,
smb ports = 445
max protocol = SMB2
client use spnego = yes
encrypt passwords = true
server signing = auto
client signing = auto
müssen im globalen teil der Konfg vorhanden sein.
Kann der Linuxserver auch mit wbinfo -t das Ticket bestätigen und mit wbinfo -i nutzer auflösen?
Und geht es andersrum genauso, kann Linux die Windowsbenutzer für Dateizugriffe verwenden?
Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und winbind der Domäne beigetreten bist!
bind interfaces only = yes
interfaces = IP/24
workgroup = DOMÄNE
realm = domäne.tdl
security = ADS
winbind refresh tickets = Yes
#winbind separator = \
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0
Gruß
Chonta
smb ports = 445
max protocol = SMB2
client use spnego = yes
encrypt passwords = true
server signing = auto
client signing = auto
müssen im globalen teil der Konfg vorhanden sein.
Kann der Linuxserver auch mit wbinfo -t das Ticket bestätigen und mit wbinfo -i nutzer auflösen?
Und geht es andersrum genauso, kann Linux die Windowsbenutzer für Dateizugriffe verwenden?
Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und winbind der Domäne beigetreten bist!
bind interfaces only = yes
interfaces = IP/24
workgroup = DOMÄNE
realm = domäne.tdl
security = ADS
winbind refresh tickets = Yes
#winbind separator = \
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0
Gruß
Chonta
Zitat von @goscho:
> Zitat von @Chonta:
>
> Hallo,
Hi
> smb ports = 445
> max protocol = SMB2
> client use spnego = yes
Habe ich eingetragen
Gut.> Zitat von @Chonta:
>
> Hallo,
Hi
> smb ports = 445
> max protocol = SMB2
> client use spnego = yes
Habe ich eingetragen
> encrypt passwords = true
bei mir steht
<encrypt passwords = yes>
ist das das selbe?
Kann ich nicht sagen, meins funktioniert im Zusammenspiel mit einem 2012R2bei mir steht
<encrypt passwords = yes>
ist das das selbe?
Wobei ich noch einen 2003 DC im einsatz habe.
> server signing = auto
> client signing = auto
standen auch nicht drinnen.
Aber jetzt ja?> client signing = auto
standen auch nicht drinnen.
> Kann der Linuxserver auch mit wbinfo -t das Ticket bestätigen und mit wbinfo -i nutzer auflösen?
Kommt folgender Fehler:
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
checking the trust secret for domain NAME_DER_DOMAIN via RPC calls failed
Hast Du den DC in der /etc/hosts mit NAME und FQDN eingegeben?Kommt folgender Fehler:
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
checking the trust secret for domain NAME_DER_DOMAIN via RPC calls failed
> Und geht es andersrum genauso, kann Linux die Windowsbenutzer für Dateizugriffe verwenden?
Nein, kann keine Windows-Benutzer auswählen.
> Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und
winbind der
> Domäne beigetreten bist!
Bist Du nicht, bzw noch nicht in Echt sonst würde wbinfo gehen.Nein, kann keine Windows-Benutzer auswählen.
> Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und
winbind der
> Domäne beigetreten bist!
Nach den änderungen die ich angegeben habe musst Du die Dienste Neu starten (am besten sambe und windbind stopen und dann samba und winbind starten (in dieser reihenfolge)
Danach musst Du der Domäne neu beitreten (vorher das Computerkonto, wenn es denn existiert zurücksetzen)
In der /etc/nsswitch.conf sthet hoffentlich auch
passwd: compat winbind
group: compat winbind
Ja, allerdings nutze ich dazu die GUI
Gui? Pfui auf der Shell mit den Befehlen beitreten. (Kenne die Gui in keinster Weise, aber die Shell gibt Rückmeldungen)Evtl muss der Name des DC beim Beitritt expleziet mit angegeben werden.
Solange winbind -t und -i nicht funktionieren geht der Rest auch nicht.
Wenn Du mit der Überlegung spielst, Dateien von Windows 1:1 auf den Linuxrechner zu schieben, muss das Dateisystem von Linux noch mit ACLs laufen (also Nachinstallieren und die Mountoptionen anpassen - bei btrfs ist das schon mit drinnen)
Gruß
Chonta
Hallo,
vergiss webmin spätestens für die Dateisystemrechte musst Du auf die Shell.
Wenn nocht nicht vorhanden diese beiden Optionen noch im globalteil der smb.conf
winbind nested groups = Yes
winbind expand groups = 10
Wenn du die globalen Einstellungen so gemacht hast wie ich geschrieben habe und wbinfo funktionier, dann folgenes versuchen.
Nehmen wir an, deine Sambafreigabe liegt unter /data/samba/servername
chown -R administrator:domänen-admins /data/samba/servername
Wenn das nicht geht, dann kennt Linux die Domänenbenutzer noch nicht!
Wenn das klappt ist alles in Ordnung.
So würde dann eine Freigabe in etwa aussehen.
denk drann für tiefergehende Dateirechte wie in Windows muss auf dem Linuxdateisystem ACl aktiv sein.
Gruß
Chonta
vergiss webmin spätestens für die Dateisystemrechte musst Du auf die Shell.
Wenn nocht nicht vorhanden diese beiden Optionen noch im globalteil der smb.conf
winbind nested groups = Yes
winbind expand groups = 10
Wenn du die globalen Einstellungen so gemacht hast wie ich geschrieben habe und wbinfo funktionier, dann folgenes versuchen.
Nehmen wir an, deine Sambafreigabe liegt unter /data/samba/servername
chown -R administrator:domänen-admins /data/samba/servername
Wenn das nicht geht, dann kennt Linux die Domänenbenutzer noch nicht!
Wenn das klappt ist alles in Ordnung.
So würde dann eine Freigabe in etwa aussehen.
[servername$]
path = /data/backup/servername
browseable = yes
writable = yes
nt acl support = yes
inherit permissions = yes
inherit acls = yes
valid users = @"FLF\Domänen-Admins" #Nur Member der Gruppe Domänen-Admins haben Zugriff
force group = Domänen-Admins #was in dort angelegt wird bekommt diese Gruppe gesetzt
force user = administrator #was dort angelegt wird, wird als Administrator angelegt (bei meinem ID Mapping ist root=administrator)
store dos attributes = Yes
guest ok = no
admin users = FLF\administrator
denk drann für tiefergehende Dateirechte wie in Windows muss auf dem Linuxdateisystem ACl aktiv sein.
Gruß
Chonta
[global]
bind interfaces only = yes
interfaces = IP/24
workgroup = DOMAIN
realm = domain.local
security = ADS
winbind refresh tickets = Yes
#winbind separator = \
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0
template shell = /bin/bash
winbind use default domain = Yes
#winbind enum users = Yes #Die Zeile bei Dir mal vorne auskommentieren
#winbind enum groups = Yes #Die Zeile bei Dir mal vorne auskommentieren
winbind nested groups = Yes
winbind expand groups = 10
client use spnego = yes
encrypt passwords = true
nt acl support = yes
follow symlinks = yes
wide links = yes
unix extensions = no
smb ports = 445
max protocol = SMB2
server signing = auto
client signing = auto
Evtl. braucht der Server auch einen kompletten Neustart
Wenn enum users kein # mehr vor hat, muss ein getent passwd auch die Windowsbenutzer auflisten.
Wenn Du schon UID oder GID größer gleich 100000 hast, dann musst Du den Bereich des Mappings anpassen.
Geht ein chown einer Datei auch für keinen anderen Windowsbenutzer?
Gruß
Chonta
Hallo,
samba ist Lizenzkostenfrei. einmal eingerichtet und es läuft und das auch stabiel.
Das ein Windows Rechner sofort mit Windowsfreigaben klar kommt, sollte klar sein.
Meine globale konfig funktioniert, jedenfalls wenn ein DC mit 2003 vorhanden ist. Es kann sein, dass die Konfig für reinen 2008++ noch erweitert werden muss.
wbinfo muss als root ausgeführt werden, sonst passiert da nix. (andere User bekommen murks angezeigt, gleiches gilt für getent)
Ich werde morgen testen ob es auch ohne Verbindung zu einem 2003er DC klappt.
Ich würde Dir empfehlen, ein ubuntu 14.04 zu verwenden und dann samba4 (vor installation von samba4 /etc/samba/smb.conf angelegt haben mit meinen globalen Einstellungen und die bei der nachfrage ob die verwendet werden soll auch verwenden.)
Samba und Linux dauert etwas, aber unterm Strich lohnt es sich.
Gruß
Chonta
samba ist Lizenzkostenfrei. einmal eingerichtet und es läuft und das auch stabiel.
Das ein Windows Rechner sofort mit Windowsfreigaben klar kommt, sollte klar sein.
Meine globale konfig funktioniert, jedenfalls wenn ein DC mit 2003 vorhanden ist. Es kann sein, dass die Konfig für reinen 2008++ noch erweitert werden muss.
wbinfo muss als root ausgeführt werden, sonst passiert da nix. (andere User bekommen murks angezeigt, gleiches gilt für getent)
Ich werde morgen testen ob es auch ohne Verbindung zu einem 2003er DC klappt.
Ich würde Dir empfehlen, ein ubuntu 14.04 zu verwenden und dann samba4 (vor installation von samba4 /etc/samba/smb.conf angelegt haben mit meinen globalen Einstellungen und die bei der nachfrage ob die verwendet werden soll auch verwenden.)
Samba und Linux dauert etwas, aber unterm Strich lohnt es sich.
Gruß
Chonta
Hallo,
auf der Shell gehts schneller
Ubuntu deswegen, weil da neuere Pakete dabei sind, die meist mit den neueren Serverversionen besser klar kommen.
Ich hatte das Problem, dass mein wichtiger Samba auf Debian6 nach dem ich einen 2012R2 DC hatte nicht mehr wollte.
Der Ubuntuserver den ich habe mit 3.6.6 lief. Also paketquellen für ein 3.6.6 auf Debian 6 rausgesucht und dann gings los.
Da 2 DC musste ich in der /etc/hosts auch beide DC eintragen (zumindest bei .local ghets nichtmit dns) und dann gings endlich.
Hatte 45 Minuten gedauert, zum glück bin ich immer vor den meisten Usern da
Was bei mit glaube ich noch das Problem war ein joinen der Domäne war erst möglich, als ich den DC mit angegeben hatte.
Ich befürchte, wenn der 2003er aus gemacht wird habe ich ein ähnliches Problem....
Gruß
Chonta
auf der Shell gehts schneller
Ubuntu deswegen, weil da neuere Pakete dabei sind, die meist mit den neueren Serverversionen besser klar kommen.
Ich hatte das Problem, dass mein wichtiger Samba auf Debian6 nach dem ich einen 2012R2 DC hatte nicht mehr wollte.
Der Ubuntuserver den ich habe mit 3.6.6 lief. Also paketquellen für ein 3.6.6 auf Debian 6 rausgesucht und dann gings los.
Da 2 DC musste ich in der /etc/hosts auch beide DC eintragen (zumindest bei .local ghets nichtmit dns) und dann gings endlich.
Hatte 45 Minuten gedauert, zum glück bin ich immer vor den meisten Usern da
Was bei mit glaube ich noch das Problem war ein joinen der Domäne war erst möglich, als ich den DC mit angegeben hatte.
Ich befürchte, wenn der 2003er aus gemacht wird habe ich ein ähnliches Problem....
Gruß
Chonta
Hallo,
hast Du den Server nach dem alles aktualisiert wurde neu gestartet?
Wie sind die Dateisystemrechte auf dem Ordner den Du freigibst?
Wenn die Rechte dort nicht so sind, das Du die Verbinden kannst, dann passiert das.
Kann sich ein evtl vorhandener XP Rechner mit der Freigabe verbinden?
Kann das Linuxdateisystem auch die Windowsuser verwenden?
wbinfo ist die halbe miete, das zeigt nur, dass samba und winbind das AD gefunden haben und ein Maping der UserIDs funktioniert.
wenn im Dateisystem nicht die Rechte an einer Datei an einen Windowsbenutzer übertragen werden können, dann sind die Freigaben zwar sichtbar, aber Linux blockt alle Zugriffe weil der Benutzer nicht stimmt.
Wenn von einem XP Rechner Problemlos verbunden werden kann, muss ggf auf dem Server dafür gesorgt werden, das NTLM akzeptiert wird.
Oder man muss Samba 4.1 verwenden.
Gruß
Chonta
hast Du den Server nach dem alles aktualisiert wurde neu gestartet?
Wie sind die Dateisystemrechte auf dem Ordner den Du freigibst?
Wenn die Rechte dort nicht so sind, das Du die Verbinden kannst, dann passiert das.
Kann sich ein evtl vorhandener XP Rechner mit der Freigabe verbinden?
Kann das Linuxdateisystem auch die Windowsuser verwenden?
wbinfo ist die halbe miete, das zeigt nur, dass samba und winbind das AD gefunden haben und ein Maping der UserIDs funktioniert.
wenn im Dateisystem nicht die Rechte an einer Datei an einen Windowsbenutzer übertragen werden können, dann sind die Freigaben zwar sichtbar, aber Linux blockt alle Zugriffe weil der Benutzer nicht stimmt.
Wenn von einem XP Rechner Problemlos verbunden werden kann, muss ggf auf dem Server dafür gesorgt werden, das NTLM akzeptiert wird.
Oder man muss Samba 4.1 verwenden.
Gruß
Chonta
Zitat von @goscho:
Moin,
ich hatte genau das gemacht, was du geschrieben hattest.
die Kurzform:
OkMoin,
ich hatte genau das gemacht, was du geschrieben hattest.
die Kurzform:
- vorhanden ist ein HP N54L mit Debian 7 per iscsi mit W2012R2 als Sicherungsziel verbunden
- Zur Verwaltung nutze ich webmin und putty, da das Gerät unzugänglich aufgestellt ist
- Samba-Installation -> vorher noch unzählige Pakete aktualisiert (2 Pakete haben sich nicht aktualisiert)
- Zeitdienst installiert und als Zeitserver meinen DC angegeben
* Samba in meine Domäne gebracht (Level 2003, ein 2008 R2 und ein 2003 DC) als DC habe ich in der smb.conf den 2008er
angegeben
Beim joinen mal versuchen den DC mit anzugeben wenn man joint. (Wenn neu gejoint wird immer das AD Konto zurücksetzen)angegeben
* Samba-Freigabe erstellt, Benutzer goscho angelegt und mit dem gleichnamigen Benutzer aus dem AD verknüpft
Du hast einen Linuxuser angelegt und einen gleichnamigen Benutzer im AD??Das ist ein NO-GO. Wenn der Linuxrechner der Domäne beigetreten ist dann kommen neue Benutzer aus der Domäne und wenn ein Lokaler Benutzer gebraucht wird muss darauf geachtet werden dass dieser nicht den gleichen namen wie ein ADNutzer hat und vor allem nicht dieselbe ID die einem AD Nutzer über winbind gemapt wird.
Ich habe auch nie gesagt leg einen neuen Benutzer auf Linux an..
* per chown die Dateiberechtigungen dem Benutzer goscho gegeben
Zonk welchem gosho Linux oder dem AD Nutzer??Ich gehe mal stark davon aus das der Linuxbenutzer genommen wurde..... Dann kanns Du versuchen auf die Freigabe zuzugreifen und kommst nicht weiter, wie auch hast ja als AD Benutzer keine Rechte.
das chown muss mit jedem xbelibigen AD Benutzer klappen und kein AD benutzer darf auf Linux als Linuxbenutzer angelegt worden sein.
Wenn doch dann musst du eim chown die uid nehmen diebei wbinfo -i gosho (bzw. Benutzername) angegeben wird.
Kann aber gut sein das da nur murks aufgelöst wird, also lösch den Linuxuser gosho.
Wenn ein wbinfo -i benutzername geht aber ein chown benutzername:root z.B. nicht dann stimmt das Maping noch nicht, ein Neustart des ganzen Servers kann schon abhilfe schaffen, offt gnug samba winbind und co neu gestartet nix ging wie eingestellt, Server neu gestartet und sofort ging alles.
* erstmal kein Zugriff auf die Freigabe von Windows möglich
Wie soll ich das Ganze jetzt verstehen?
Liegt die Sambafreigabe irgendwie innerhalb des Pfades fon dem Laufwerk/VErzeichniss das über iscsi freigegeben wird?- ca. 1h später, ohne weitere Änderungen vorzunehmen konnte ich auf die Freigabe zugreifen
- allerdings war das iscsi-Laufwerk im W2012 nicht mehr eingebunden (Initialisierungsfehler)
- habe mich lokal an dem Debian angemeldet (mit GUI installiert) und dort konnten die 2 fehlenden Pakete (libssl und noch eines)
- nach Neustart war das iscsi-Laufwerk wieder verbunden -> das war mir hier das wichtigste, denn dort sind 5-6 TB an
- Zugriff auf die Samba-Freigabe bekomme ich jetzt jedoch nicht mehr
Wie soll ich das Ganze jetzt verstehen?
Wenn Du iscsi stopst und samba und winbind (immer erst samba) neu startest geht die freigabe dann wieder?
Was sagt /var/log/syslog?
Was sagen die samba logfiles?
Was sagen die Sicherheits Logs auf den DCs zum Zeitpukt des versuchten Zugriffs?
Was sagen die Logfiles von dem Server der auf die Freigabe rauf will?
Ich habe aktuell leider auch keine Zeit, mich mit diesem Samba-Problem zu beschäftigen. (Neben der Arbeit ist ja auch gerade
noch WM und ich mag kein Spiel verpassen wollen)
Bei meinem Kunden habe ich folgendes gemacht:
Das Ganze hat weniger als 1h gedauert (inkl. der Windows-Updates).
Vorher habe ich 2 Tage lang versucht, eine einzige Samba-Freigabe vom Windows Server zu erreichen.
Das freigeben eines Linuxverzeihnisses über NFS für einen anderen Linuxserver geht auch super schnell, sogar schneller, aber versuch mal die NFS Freigabe in Windows zu mounten - Installation Windows 7 Pro mit allen Updates (dank wsusoffline geht das zügig)
- Erstellen eines Stripevolume (4x2 TB)
- Join in die Domäne und Einrichten des Remotezugriffs
- Einrichten einer Freigabe
- Anpassung des Backup-Jobs (BackupExec Speicher anlegen)
Das Ganze hat weniger als 1h gedauert (inkl. der Windows-Updates).
Vorher habe ich 2 Tage lang versucht, eine einzige Samba-Freigabe vom Windows Server zu erreichen.
Darüber das ein Windowsrechner eine Windowsfreigabe bereitstellen kann brauch man an dieser Stelle nicht zu reden, das ist selbstverständlich.
Gruß
Chonta
Hallo,
autostardienst??
update-rc.d samba defaults und dann sollte das System alle Links setzen.
In den Logfiles vom SAMBA und Syslog sollte auch einiges stehen.
Evtl war ein Dienst noch nicht bereit der hätte gestartet werden müssen, damit SAMBA läuft.
Kann einige Ursachen haben falsch konfiguriertes Initscript z.B. abe rohne mehr Angaben schwer was zu sagen.
Gruß
Chonta
autostardienst??
update-rc.d samba defaults und dann sollte das System alle Links setzen.
In den Logfiles vom SAMBA und Syslog sollte auch einiges stehen.
Evtl war ein Dienst noch nicht bereit der hätte gestartet werden müssen, damit SAMBA läuft.
Kann einige Ursachen haben falsch konfiguriertes Initscript z.B. abe rohne mehr Angaben schwer was zu sagen.
Gruß
Chonta
Vielleicht hilt die das RasPi Tutorial etwas dort sind die grundlegenden Schritte beschrieben für eine iSCSI Einbindung auch auch für die Windows Domänenkonfig:
Netzwerk Management Server mit Raspberry Pi
Das Samba Log ist in der Regel unter /var/log/samba und sollte eigentlich per default aktiv sein.
Netzwerk Management Server mit Raspberry Pi
Das Samba Log ist in der Regel unter /var/log/samba und sollte eigentlich per default aktiv sein.