goscho
Goto Top

Samba Freigabe - kein Zugriff von Windows 2008 R2

Hallo Leute,

ich habe einen HP Microserver (N54L) mit Debian 7.
Dieser soll einzig als Backup-Ziel für mehrere Windows-Server dienen.
Samba 3.6.6 ist installiert und ich verwalte es mit Webmin 1.690.
Das Gerät ist in der Domäne.

Leider bekomme ich vom W2K8R2 keinen Zugriff auf die erstellte Freigabe.

Wenn ich den Unix-Gastzugriff der Freigabe aktiviere, wird der Zugriff verweigert, wenn ich diesen deaktiviere, bekomme ich die Eingabemaske für Credentials.
Aber egal, welche ich dort wie nutze, ich bekomme den Prompt wieder.

Hat jemand eine Tipp für mich?

Content-ID: 241710

Url: https://administrator.de/forum/samba-freigabe-kein-zugriff-von-windows-2008-r2-241710.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

aqui
aqui 24.06.2014 aktualisiert um 14:36:48 Uhr
Goto Top
Gersen
Gersen 24.06.2014 um 14:35:27 Uhr
Goto Top
Hallo,

ohne die Einzelheiten der smb.conf zu kennen - ein paar Schüsse ins Blaue:

- Samba-Nutzer angelegt?
- wins support = yes?
- Stimmen die Zugriffsrechte auf das freigegebene Verzeichnis?

Gruß,
Gersen
goscho
goscho 24.06.2014 um 14:43:23 Uhr
Goto Top
Zitat von @Gersen:

Hallo,
Hi
ohne die Einzelheiten der smb.conf zu kennen - ein paar Schüsse ins Blaue:

- Samba-Nutzer angelegt?
Ja, "backup-user"
- wins support = yes?
Nein
- Stimmen die Zugriffsrechte auf das freigegebene Verzeichnis?
Ich denke schon.
Wo stehen die?

Es wird wohl eher das SMBv2-Problem sein. Das kann ich aber erst heute Abend testen, wenn ich den Server neustarten kann
Gersen
Gersen 24.06.2014 aktualisiert um 15:37:02 Uhr
Goto Top
- Stimmen die Zugriffsrechte auf das freigegebene Verzeichnis?
Ich denke schon.
Wo stehen die?

Die Erwähnung des gescheiterten Gast-Zugangs gab mir zu denken.

"Oft wird vergessen, dass die Zugriffsrechte in der Freigabe und im lokalen Dateisystem stimmen müssen. Erlaubt man z.B. den Zugriff von Gästen auf ein Verzeichnis, so muss der Benutzer nobody bzw. die Gruppe nogroup auch die entsprechenden lokalen Lese-/Schreibrechte in dem Verzeichnis haben." (http://wiki.ubuntuusers.de/Samba_Server/smb.conf)

Denke aber auch, dass es eher das andere Problem ist. "max protocol = SMB2" ist gesetzt (http://www.golem.de/1108/85603.html)

Gruß,
Gersen
Chonta
Chonta 24.06.2014 aktualisiert um 15:22:02 Uhr
Goto Top
Hallo,

smb ports = 445
max protocol = SMB2
client use spnego = yes
encrypt passwords = true
server signing = auto
client signing = auto


müssen im globalen teil der Konfg vorhanden sein.

Kann der Linuxserver auch mit wbinfo -t das Ticket bestätigen und mit wbinfo -i nutzer auflösen?
Und geht es andersrum genauso, kann Linux die Windowsbenutzer für Dateizugriffe verwenden?


Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und winbind der Domäne beigetreten bist!

bind interfaces only = yes
interfaces = IP/24
workgroup = DOMÄNE
realm = domäne.tdl
security = ADS
winbind refresh tickets = Yes
#winbind separator = \
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0


Gruß

Chonta
goscho
goscho 24.06.2014 um 16:11:37 Uhr
Goto Top
Zitat von @Chonta:

Hallo,
Hi
smb ports = 445
max protocol = SMB2
client use spnego = yes
Habe ich eingetragen
encrypt passwords = true
bei mir steht
<encrypt passwords = yes>
ist das das selbe?
server signing = auto
client signing = auto
standen auch nicht drinnen.

Kann der Linuxserver auch mit wbinfo -t das Ticket bestätigen und mit wbinfo -i nutzer auflösen?

Kommt folgender Fehler:

error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
checking the trust secret for domain NAME_DER_DOMAIN via RPC calls failed
Und geht es andersrum genauso, kann Linux die Windowsbenutzer für Dateizugriffe verwenden?
Nein, kann keine Windows-Benutzer auswählen.
Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und winbind der
Domäne beigetreten bist!
Ja, allerdings nutze ich dazu die GUI
Chonta
Chonta 24.06.2014 aktualisiert um 16:29:50 Uhr
Goto Top
Zitat von @goscho:

> Zitat von @Chonta:
>
> Hallo,
Hi
> smb ports = 445
> max protocol = SMB2
> client use spnego = yes
Habe ich eingetragen
Gut.
> encrypt passwords = true
bei mir steht
<encrypt passwords = yes>
ist das das selbe?
Kann ich nicht sagen, meins funktioniert im Zusammenspiel mit einem 2012R2
Wobei ich noch einen 2003 DC im einsatz habe.

> server signing = auto
> client signing = auto
standen auch nicht drinnen.

Aber jetzt ja?

> Kann der Linuxserver auch mit wbinfo -t das Ticket bestätigen und mit wbinfo -i nutzer auflösen?

Kommt folgender Fehler:

error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
checking the trust secret for domain NAME_DER_DOMAIN via RPC calls failed
Hast Du den DC in der /etc/hosts mit NAME und FQDN eingegeben?

> Und geht es andersrum genauso, kann Linux die Windowsbenutzer für Dateizugriffe verwenden?
Nein, kann keine Windows-Benutzer auswählen.
> Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und
winbind der
> Domäne beigetreten bist!
Bist Du nicht, bzw noch nicht in Echt sonst würde wbinfo gehen.
Nach den änderungen die ich angegeben habe musst Du die Dienste Neu starten (am besten sambe und windbind stopen und dann samba und winbind starten (in dieser reihenfolge)
Danach musst Du der Domäne neu beitreten (vorher das Computerkonto, wenn es denn existiert zurücksetzen)
In der /etc/nsswitch.conf sthet hoffentlich auch
passwd: compat winbind
group: compat winbind


Ja, allerdings nutze ich dazu die GUI
Gui? Pfui face-smile auf der Shell mit den Befehlen beitreten. (Kenne die Gui in keinster Weise, aber die Shell gibt Rückmeldungen)
Evtl muss der Name des DC beim Beitritt expleziet mit angegeben werden.

Solange winbind -t und -i nicht funktionieren geht der Rest auch nicht.
Wenn Du mit der Überlegung spielst, Dateien von Windows 1:1 auf den Linuxrechner zu schieben, muss das Dateisystem von Linux noch mit ACLs laufen (also Nachinstallieren und die Mountoptionen anpassen - bei btrfs ist das schon mit drinnen)

Gruß

Chonta
goscho
goscho 24.06.2014 um 21:23:09 Uhr
Goto Top
Zitat von @Chonta:
> > Wenn Du sagst das Gerät ist in der Domäne, gehe ich davon aus das Du mit dem Linuxserver über Samba und
> winbind der
> > Domäne beigetreten bist!
Bist Du nicht, bzw noch nicht in Echt sonst würde wbinfo gehen.
wbinfo -t ist erfolgreich
wbinfo -u zeigt mir alle AD-Konten

> Ja, allerdings nutze ich dazu die GUI
Gui? Pfui face-smile auf der Shell mit den Befehlen beitreten. (Kenne die Gui in keinster Weise, aber die Shell gibt Rückmeldungen)
Evtl muss der Name des DC beim Beitritt expleziet mit angegeben werden.



Wie kann ich jetzt für diese Freigabe einem AD-User Berechtigungen geben?

Am liebsten wäre es über die GUI von Webmin. face-wink
Chonta
Chonta 25.06.2014 um 09:34:18 Uhr
Goto Top
Hallo,

vergiss webmin face-wink spätestens für die Dateisystemrechte musst Du auf die Shell.

Wenn nocht nicht vorhanden diese beiden Optionen noch im globalteil der smb.conf

winbind nested groups = Yes
winbind expand groups = 10


Wenn du die globalen Einstellungen so gemacht hast wie ich geschrieben habe und wbinfo funktionier, dann folgenes versuchen.


Nehmen wir an, deine Sambafreigabe liegt unter /data/samba/servername

chown -R administrator:domänen-admins /data/samba/servername

Wenn das nicht geht, dann kennt Linux die Domänenbenutzer noch nicht!
Wenn das klappt ist alles in Ordnung.

So würde dann eine Freigabe in etwa aussehen.

[servername$]
        path = /data/backup/servername
        browseable = yes
        writable = yes
        nt acl support = yes
        inherit permissions = yes
        inherit acls = yes
        valid users = @"FLF\Domänen-Admins" #Nur Member der Gruppe Domänen-Admins haben Zugriff  
        force group = Domänen-Admins #was in dort angelegt wird bekommt diese Gruppe gesetzt
        force user = administrator #was dort angelegt wird, wird als Administrator angelegt (bei meinem ID Mapping ist root=administrator)
        store dos attributes = Yes
        guest ok = no
        admin users = FLF\administrator

denk drann für tiefergehende Dateirechte wie in Windows muss auf dem Linuxdateisystem ACl aktiv sein.

Gruß

Chonta
goscho
goscho 25.06.2014 um 14:27:53 Uhr
Goto Top
Zitat von @Chonta:
Nehmen wir an, deine Sambafreigabe liegt unter /data/samba/servername

chown -R administrator:domänen-admins /data/samba/servername

Wenn das nicht geht, dann kennt Linux die Domänenbenutzer noch nicht!
Das geht leider nicht.
<invalid user> bekomme ich als Antwort

Was kann ich denn machen, dass Linux Bekanntschaft mit den AD-Usern macht?
Chonta
Chonta 25.06.2014 um 14:42:10 Uhr
Goto Top
[global]

bind interfaces only = yes
interfaces = IP/24
workgroup = DOMAIN
realm = domain.local
security = ADS
winbind refresh tickets = Yes
#winbind separator = \
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0

template shell = /bin/bash
winbind use default domain = Yes
#winbind enum users = Yes #Die Zeile bei Dir mal vorne auskommentieren
#winbind enum groups = Yes #Die Zeile bei Dir mal vorne auskommentieren
winbind nested groups = Yes
winbind expand groups = 10
client use spnego = yes
encrypt passwords = true
nt acl support = yes
follow symlinks = yes
wide links = yes
unix extensions = no
smb ports = 445
max protocol = SMB2
   server signing = auto
   client signing = auto
Samba und Winbind müssen Version 3.6.6 sein.
Evtl. braucht der Server auch einen kompletten Neustart

Wenn enum users kein # mehr vor hat, muss ein getent passwd auch die Windowsbenutzer auflisten.
Wenn Du schon UID oder GID größer gleich 100000 hast, dann musst Du den Bereich des Mappings anpassen.

Geht ein chown einer Datei auch für keinen anderen Windowsbenutzer?

Gruß

Chonta
goscho
goscho 25.06.2014 aktualisiert um 16:23:50 Uhr
Goto Top
Hi Chonta,

ich werd' hier noch verrückt.
Nachdem ich die Windows-User per windbind auflösen konnte, dachte ich, ich hätte es.
Doch dumm gelaufen, die Windosen können immer noch nicht auf die Freigabe zugreifen.

chown habe ich für den neuen User 'goscho' auf die Freigabe angewendet.
Dieser ist mit dem gleichnamigen AD-User verbunden.

Hilft alles nichts, ich bekomme keinerlei Zugriff auf die Freigabe.

Auch habe ich deinen Vorschlag umgesetzt und

winbind enum users sowie
winbind enum groups

in die smb.conf eingetragen.

Jetzt bekomme ich auch wieder Fehler bei der Ausgabe von wbinfo.
<failed to call wbcListGroups: WBC_ERR_WINBIND_NOT_AVAILABLE
Error looking up domain groups>

Rückgängig machen hilft nicht
Keine Ahnung, was ich jetzt noch tun kann.

Eigentlich habe ich keine Lust mehr, mich mit diesem Samba-Schrott auseinanderzusetzen.

Zwischendurch habe ich auf dem Microserver Windows 7 installiert.
Das dauerte keine 20. min, bis alles Stand und der Backup-PC in der Domäne war.
Leider fiel mir erst hinterher ein, dass dort ein Software-RAID 5 eingerichtet werden muss und dass erlaubt MS ja erst bei den Servern.

So habe ich nochmal Debian mit Samba installiert, aber wozu eigentlich?

Ich habe jetzt also die Wahl:

Entweder ich ärgere mich weiter tagelang für lau mit Linux und Samba rum oder
ich installiere Windows 7 erneut und richte ein "übergreifendes Volume" an Stelle eines RAID 5 ein.

PS: Ich habe das oben geschriebene an einem identischen Gerät in meiner Domäne angewendet. Am Gerät meines Kunden habe ich zwischenzeitlich Windows 7 und erneut Debian 7 installiert (wobei die Windows-Installation weniger als die Hälfte der Zeit brauchte, wie die Debian-Installation).
Chonta
Chonta 25.06.2014 um 16:30:27 Uhr
Goto Top
Hallo,

samba ist Lizenzkostenfrei. einmal eingerichtet und es läuft und das auch stabiel.
Das ein Windows Rechner sofort mit Windowsfreigaben klar kommt, sollte klar sein.

Meine globale konfig funktioniert, jedenfalls wenn ein DC mit 2003 vorhanden ist. Es kann sein, dass die Konfig für reinen 2008++ noch erweitert werden muss.
wbinfo muss als root ausgeführt werden, sonst passiert da nix. (andere User bekommen murks angezeigt, gleiches gilt für getent)
Ich werde morgen testen ob es auch ohne Verbindung zu einem 2003er DC klappt.

Ich würde Dir empfehlen, ein ubuntu 14.04 zu verwenden und dann samba4 (vor installation von samba4 /etc/samba/smb.conf angelegt haben mit meinen globalen Einstellungen und die bei der nachfrage ob die verwendet werden soll auch verwenden.)

Samba und Linux dauert etwas, aber unterm Strich lohnt es sich.

Gruß

Chonta
goscho
goscho 25.06.2014 aktualisiert um 17:12:54 Uhr
Goto Top
Zitat von @Chonta:
samba ist Lizenzkostenfrei.
Das stimmt, aber meine Arbeitszeit ist mir viel mehr wert als die paar Kröten für eine Windows Lizenz.
Ich versuche jetzt seit 2 Tagen Samba an diese Windows-Domäne zu binden.
Wo bleibt da die Verhältnismäßigkeit?

Das betroffene Gerät ist ein HPN54L Microserver, welches als Backup-Ziel bei einem Kunden mit 2 Windows-Servern genutzt wird, gesichert wird mit Symantec Backup Exec.

Ursprünglich war Open Media Vault auf einem USB-Stick installiert und das RAID 5 per ISCSI am Windows-Server eingerichtet. Das lief so ein Jahr lang stabil und zuverlässig.

Jetzt sind mir aber fast zeitgleich zwei Dinge aufgefallen:

1. iscsi-Laufwerke auf einem zu sichernden Server sind suboptimal, denn wenn der Server mit der BE-Installation weg ist, kann ich auch auf die Backups nicht mehr zugreifen (es gibt zwar noch externe Backups, aber keine täglich frischen)

2. Der USB-Stick mit dem OMV hatte plötzlich keine Lust mehr, seinen Dienst zu verrichten und so durfte ich mangels Sicherung der Konfiguration ein neues System nstallieren.

einmal eingerichtet und es läuft und das auch stabil.
Ja, da gebe ich dir teilweise Recht.
Ich setze einige Linux-Kisten bei mir und Kunden ein.
Diese Samba-Probleme hatte ich aber schon früher.
Bei manchen läufts, aber je aktueller das Domänenlevel, desto seltener bekomme ich Samba angebunden.

Das ein Windows Rechner sofort mit Windowsfreigaben klar kommt, sollte klar sein.
Was soll ich denn machen, wenn nur Windosen zu sichern sind?
Meine globale konfig funktioniert, jedenfalls wenn ein DC mit 2003 vorhanden ist. Es kann sein, dass die Konfig für reinen
2008++ noch erweitert werden muss.
Ich habe bei mir auch noch einen 2003DC, als DC aber den 2008er in Samba angegeben.

wbinfo muss als root ausgeführt werden, sonst passiert da nix. (andere User bekommen murks angezeigt, gleiches gilt für
getent)
Ich bin per webmin mit den Kisten verbunden, immer als root.
Ich werde morgen testen ob es auch ohne Verbindung zu einem 2003er DC klappt.
Ich habe aufgegeben, hier weiter nach Fehlern zu suchen.

Ich würde Dir empfehlen, ein ubuntu 14.04 zu verwenden und dann samba4 (vor installation von samba4 /etc/samba/smb.conf
angelegt haben mit meinen globalen Einstellungen und die bei der nachfrage ob die verwendet werden soll auch verwenden.)
Meine Erfahrungen mit Debian waren eigentlich immer sehr positiv, speziell bei schwachbrüstiger Hardware.

Samba und Linux dauert etwas, aber unterm Strich lohnt es sich.
Linux lohnt sich für viele Bereiche wirklich, Samba zähle ich nicht mehr dazu.

Aber die hier gemachten Erfahrungen zeigen mir erneut, dass ich zu wenig Energie in die Vertiefung meiner Linuxkenntnisse stecke.
Das kann auch damit zu tun haben, dass ich die GUIs bevorzuge.
Chonta
Chonta 25.06.2014 um 17:30:55 Uhr
Goto Top
Hallo,

auf der Shell gehts schneller face-smile
Ubuntu deswegen, weil da neuere Pakete dabei sind, die meist mit den neueren Serverversionen besser klar kommen.
Ich hatte das Problem, dass mein wichtiger Samba auf Debian6 nach dem ich einen 2012R2 DC hatte nicht mehr wollte.

Der Ubuntuserver den ich habe mit 3.6.6 lief. Also paketquellen für ein 3.6.6 auf Debian 6 rausgesucht und dann gings los.
Da 2 DC musste ich in der /etc/hosts auch beide DC eintragen (zumindest bei .local ghets nichtmit dns) und dann gings endlich.
Hatte 45 Minuten gedauert, zum glück bin ich immer vor den meisten Usern da face-smile

Was bei mit glaube ich noch das Problem war ein joinen der Domäne war erst möglich, als ich den DC mit angegeben hatte.
Ich befürchte, wenn der 2003er aus gemacht wird habe ich ein ähnliches Problem.... face-smile

Gruß

Chonta
goscho
goscho 25.06.2014 aktualisiert um 18:03:01 Uhr
Goto Top
Hi

jetzt wird's noch ekliger:

Es klappt bei mir jetzt der Zugriff auf die Samba-Shares, die ich für mich freigegeben habe und ich habe keinerlei Ahnung, warum es auf einmal klappt

Allerdings habe ich jetzt ein anderes gravierenderes Problem mit diesem Gerät:

Dort ist ebenso Debian 7 installiert. Das Teil wird bei mir als ISCSI-Target verwendet, verbunden mit einem W2012.
Dort werden alle Sicherungen abgespeichert.

Heute habe ich vor der Installation von Samba sehr viele Updates installieren lassen.
Dann habe ich Samba installiert, den DC als Zeitserver angegeben und den in meinen Domäne gebracht.

Dieses iscsi-Laufwerk kann ich jetzt nicht mehr benutzen. Im Windows wird es mir als zu initialisierendes Laufwerk angezegit, welches sich nicht initialisieren lässt.

Hat jemand eine Idee, was ich hier machen kann, um wieder an die Backups auf dem iscsi-Laufwerk zu kommen?

Wenn nichts hilft, wie mache ich die heute automatisch per apt-get update installierten Updates rückgängig?
goscho
goscho 25.06.2014 um 19:10:20 Uhr
Goto Top
Kommando zurück, iscsi geht wieder.

Da waren noch 2 Packages (libssl und noch eins), die nicht aktualisiert waren.
Jetzt komme ich wieder an die Daten auf dem iscsi-target.

Dafür kann ich vom Windows-PC nicht mehr auf die Samba-Freigaben.
Diese werden zwar angezeigt, aber ich bekomme immer den Anmeldeprompt, der alle Eingaben ignoriert.
Das ist für mich nicht mehr nachvollziehbar

wbinfo löst alle AD-User auf, in der Domäne ist der PC auch.
Chonta
Chonta 26.06.2014 um 08:17:30 Uhr
Goto Top
Hallo,

hast Du den Server nach dem alles aktualisiert wurde neu gestartet?

Wie sind die Dateisystemrechte auf dem Ordner den Du freigibst?
Wenn die Rechte dort nicht so sind, das Du die Verbinden kannst, dann passiert das.

Kann sich ein evtl vorhandener XP Rechner mit der Freigabe verbinden?
Kann das Linuxdateisystem auch die Windowsuser verwenden?
wbinfo ist die halbe miete, das zeigt nur, dass samba und winbind das AD gefunden haben und ein Maping der UserIDs funktioniert.
wenn im Dateisystem nicht die Rechte an einer Datei an einen Windowsbenutzer übertragen werden können, dann sind die Freigaben zwar sichtbar, aber Linux blockt alle Zugriffe weil der Benutzer nicht stimmt.

Wenn von einem XP Rechner Problemlos verbunden werden kann, muss ggf auf dem Server dafür gesorgt werden, das NTLM akzeptiert wird.
Oder man muss Samba 4.1 verwenden.

Gruß

Chonta
goscho
goscho 26.06.2014 aktualisiert um 09:40:50 Uhr
Goto Top
Moin,

ich hatte genau das gemacht, was du geschrieben hattest. face-wink

die Kurzform:
  • vorhanden ist ein HP N54L mit Debian 7 per iscsi mit W2012R2 als Sicherungsziel verbunden
  • Zur Verwaltung nutze ich webmin und putty, da das Gerät unzugänglich aufgestellt ist
  • Samba-Installation -> vorher noch unzählige Pakete aktualisiert (2 Pakete haben sich nicht aktualisiert)
  • Zeitdienst installiert und als Zeitserver meinen DC angegeben
  • Samba in meine Domäne gebracht (Level 2003, ein 2008 R2 und ein 2003 DC) als DC habe ich in der smb.conf den 2008er angegeben
  • Samba-Freigabe erstellt, Benutzer goscho angelegt und mit dem gleichnamigen Benutzer aus dem AD verknüpft
  • per chown die Dateiberechtigungen dem Benutzer goscho gegeben
  • erstmal kein Zugriff auf die Freigabe von Windows möglich
  • ca. 1h später, ohne weitere Änderungen vorzunehmen konnte ich auf die Freigabe zugreifen
  • allerdings war das iscsi-Laufwerk im W2012 nicht mehr eingebunden (Initialisierungsfehler)
  • habe mich lokal an dem Debian angemeldet (mit GUI installiert) und dort konnten die 2 fehlenden Pakete (libssl und noch eines) aktualisiert werden.
  • nach Neustart war das iscsi-Laufwerk wieder verbunden -> das war mir hier das wichtigste, denn dort sind 5-6 TB an Sicherungen abgelegt
  • Zugriff auf die Samba-Freigabe bekomme ich jetzt jedoch nicht mehr

Wie soll ich das Ganze jetzt verstehen?

Ich habe aktuell leider auch keine Zeit, mich mit diesem Samba-Problem zu beschäftigen. (Neben der Arbeit ist ja auch gerade noch WM und ich mag kein Spiel verpassen wollen)

Bei meinem Kunden habe ich folgendes gemacht:

  • Installation Windows 7 Pro mit allen Updates (dank wsusoffline geht das zügig)
  • Erstellen eines Stripevolume (4x2 TB)
  • Join in die Domäne und Einrichten des Remotezugriffs
  • Einrichten einer Freigabe
  • Anpassung des Backup-Jobs (BackupExec Speicher anlegen)

Das Ganze hat weniger als 1h gedauert (inkl. der Windows-Updates).
Vorher habe ich 2 Tage lang versucht, eine einzige Samba-Freigabe vom Windows Server zu erreichen.
Chonta
Chonta 26.06.2014 um 12:16:00 Uhr
Goto Top
Zitat von @goscho:

Moin,

ich hatte genau das gemacht, was du geschrieben hattest. face-wink

die Kurzform:
  • vorhanden ist ein HP N54L mit Debian 7 per iscsi mit W2012R2 als Sicherungsziel verbunden
  • Zur Verwaltung nutze ich webmin und putty, da das Gerät unzugänglich aufgestellt ist
  • Samba-Installation -> vorher noch unzählige Pakete aktualisiert (2 Pakete haben sich nicht aktualisiert)
  • Zeitdienst installiert und als Zeitserver meinen DC angegeben
Ok
* Samba in meine Domäne gebracht (Level 2003, ein 2008 R2 und ein 2003 DC) als DC habe ich in der smb.conf den 2008er
angegeben
Beim joinen mal versuchen den DC mit anzugeben wenn man joint. (Wenn neu gejoint wird immer das AD Konto zurücksetzen)
* Samba-Freigabe erstellt, Benutzer goscho angelegt und mit dem gleichnamigen Benutzer aus dem AD verknüpft
Du hast einen Linuxuser angelegt und einen gleichnamigen Benutzer im AD??
Das ist ein NO-GO. Wenn der Linuxrechner der Domäne beigetreten ist dann kommen neue Benutzer aus der Domäne und wenn ein Lokaler Benutzer gebraucht wird muss darauf geachtet werden dass dieser nicht den gleichen namen wie ein ADNutzer hat und vor allem nicht dieselbe ID die einem AD Nutzer über winbind gemapt wird.
Ich habe auch nie gesagt leg einen neuen Benutzer auf Linux an..

* per chown die Dateiberechtigungen dem Benutzer goscho gegeben
Zonk welchem gosho Linux oder dem AD Nutzer??
Ich gehe mal stark davon aus das der Linuxbenutzer genommen wurde..... Dann kanns Du versuchen auf die Freigabe zuzugreifen und kommst nicht weiter, wie auch hast ja als AD Benutzer keine Rechte.
das chown muss mit jedem xbelibigen AD Benutzer klappen und kein AD benutzer darf auf Linux als Linuxbenutzer angelegt worden sein.
Wenn doch dann musst du eim chown die uid nehmen diebei wbinfo -i gosho (bzw. Benutzername) angegeben wird.
Kann aber gut sein das da nur murks aufgelöst wird, also lösch den Linuxuser gosho.

Wenn ein wbinfo -i benutzername geht aber ein chown benutzername:root z.B. nicht dann stimmt das Maping noch nicht, ein Neustart des ganzen Servers kann schon abhilfe schaffen, offt gnug samba winbind und co neu gestartet nix ging wie eingestellt, Server neu gestartet und sofort ging alles.


* erstmal kein Zugriff auf die Freigabe von Windows möglich
  • ca. 1h später, ohne weitere Änderungen vorzunehmen konnte ich auf die Freigabe zugreifen
  • allerdings war das iscsi-Laufwerk im W2012 nicht mehr eingebunden (Initialisierungsfehler)
  • habe mich lokal an dem Debian angemeldet (mit GUI installiert) und dort konnten die 2 fehlenden Pakete (libssl und noch eines)
aktualisiert werden.
  • nach Neustart war das iscsi-Laufwerk wieder verbunden -> das war mir hier das wichtigste, denn dort sind 5-6 TB an
Sicherungen abgelegt
  • Zugriff auf die Samba-Freigabe bekomme ich jetzt jedoch nicht mehr

Wie soll ich das Ganze jetzt verstehen?
Liegt die Sambafreigabe irgendwie innerhalb des Pfades fon dem Laufwerk/VErzeichniss das über iscsi freigegeben wird?
Wenn Du iscsi stopst und samba und winbind (immer erst samba) neu startest geht die freigabe dann wieder?
Was sagt /var/log/syslog?
Was sagen die samba logfiles?
Was sagen die Sicherheits Logs auf den DCs zum Zeitpukt des versuchten Zugriffs?
Was sagen die Logfiles von dem Server der auf die Freigabe rauf will?


Ich habe aktuell leider auch keine Zeit, mich mit diesem Samba-Problem zu beschäftigen. (Neben der Arbeit ist ja auch gerade
noch WM und ich mag kein Spiel verpassen wollen)

König Füßball ist ja auch wichtiger als arbeit face-wink
Bei meinem Kunden habe ich folgendes gemacht:

  • Installation Windows 7 Pro mit allen Updates (dank wsusoffline geht das zügig)
  • Erstellen eines Stripevolume (4x2 TB)
  • Join in die Domäne und Einrichten des Remotezugriffs
  • Einrichten einer Freigabe
  • Anpassung des Backup-Jobs (BackupExec Speicher anlegen)

Das Ganze hat weniger als 1h gedauert (inkl. der Windows-Updates).
Vorher habe ich 2 Tage lang versucht, eine einzige Samba-Freigabe vom Windows Server zu erreichen.
Das freigeben eines Linuxverzeihnisses über NFS für einen anderen Linuxserver geht auch super schnell, sogar schneller, aber versuch mal die NFS Freigabe in Windows zu mounten face-wink
Darüber das ein Windowsrechner eine Windowsfreigabe bereitstellen kann brauch man an dieser Stelle nicht zu reden, das ist selbstverständlich.

Gruß

Chonta
goscho
goscho 02.10.2014 um 14:27:21 Uhr
Goto Top
Hi Leute,

Zitat von @Chonta:
> Ich habe aktuell leider auch keine Zeit, mich mit diesem Samba-Problem zu beschäftigen. (Neben der Arbeit ist ja auch
gerade
> noch WM und ich mag kein Spiel verpassen wollen)
>
König Füßball ist ja auch wichtiger als arbeit face-wink
So, jetzt nach knapp 3-monatigigem WM-Hip-Hipp-Hurra-Dauer-Delirium (ich könnte das Tor von Götze den ganzen Tag sehen) kann ich endlich wieder arbeiten.

Jetzt habe ich das selbe Problem wieder gehabt.
Bei einem anderen Kunden war auch ein Microserver als Backupziel mit OMV auf USB-Stick installiert, die HDDs waren als JBOD eingebunden.
Leider hat sich der USB-Stick auch verabschiedet. face-sad Wenn ich vorher das gelesen hätte, hätte ich wohl weniger Stress gehabt.
2 GiB HDD/DOM/CF/USB Thumb Drive used as OpenMediaVault system drive. Flash Drives without static wear leveling are not recommended, without it they will have a very short lifetime!
Wenn also jemand dieses vorhaben sollte, dann keinen USB-Stick für OMV verwenden.

Habe also eine HDD eingebaut und Debian installiert.
Die HDDs mit dem RAID konnten erfolgreich eingebunden werden.
Anschließend habe ich Samba installiert und so eingerichtet, wie Chonta es mir empfohlen hat (keine GUIs verwendet).
Das hat dann auch so geklappt, wie ich mir das vorstelle.
Vielen Dank für deine Bemühungen.

Nur zur Kontrolle der Funktionalität und zum Anlegen von Samba-Freigaben und deren Berechtigungen nutze ich lieber eine GUI. Das klappt jetzt auch alles sehr gut.

Ein kleines Problem ist bei diesem Debian jetzt auch da:

Wenn das Gerät gestartet wird, startet der Samba nicht automatisch, obwohl er als Autostartdienst eingerichtet wurde. Nach einem manuellen Start klappt dann alles, wie es soll.
Wo kann ich sehen, warum Samba nicht automatisch startet?
Chonta
Chonta 02.10.2014 um 14:32:27 Uhr
Goto Top
Hallo,

autostardienst??
update-rc.d samba defaults und dann sollte das System alle Links setzen.
In den Logfiles vom SAMBA und Syslog sollte auch einiges stehen.
Evtl war ein Dienst noch nicht bereit der hätte gestartet werden müssen, damit SAMBA läuft.

Kann einige Ursachen haben falsch konfiguriertes Initscript z.B. abe rohne mehr Angaben schwer was zu sagen.

Gruß

Chonta
goscho
goscho 02.10.2014 aktualisiert um 16:59:18 Uhr
Goto Top
Hi Chonta,

du hast mir bisher schon so gut geholfen, da wird der Rest für uns beide ein Klacks. face-wink

Bin halt eher ein Linux-Novize, gerade mal mit Grundkenntnissen ausgestattet.

Das sylog habe ich mir geholt (der Microserver steht bei einem Kunden).
Die Einträge werde ich mir bald vornehmen (nicht dieses Wochenende, weil anderweitig beschäftigt)

Leider kann ich kein Samba-Log finden, möglicherweise, weil das Logging gar nicht aktiviert ist?

Ich sichere erst mal die smb.conf und werde das Logging dann einrichten.
aqui
aqui 02.10.2014 um 17:11:30 Uhr
Goto Top
Vielleicht hilt die das RasPi Tutorial etwas dort sind die grundlegenden Schritte beschrieben für eine iSCSI Einbindung auch auch für die Windows Domänenkonfig:
Netzwerk Management Server mit Raspberry Pi
Das Samba Log ist in der Regel unter /var/log/samba und sollte eigentlich per default aktiv sein.