Samba als PDC - Windows-Benutzeranmeldung Fehler

Hallo zusammen,
ich habe auf RedHat 7.2 den Samba Server 2.2.3a als PDC für Windows-Clients laufen.
Die Aufnahme eines WindowsXP-Clients in die Domäne hat auch wunderbar funktioniert, nur leider können sich nun keine Benutzer anmelden.

Ich habe mit …

groupadd smbuser
adduser -g smbuser [benutzername]
smbpasswd -a [benutzername]

… den Benutzer in die Domäne aufgenommen und jeweils das gleiche Passwort vergeben. Der Benutzername ist klein geschrieben und hat eine Länge von 4 Zeichen.

Wenn ich nun versuche, micht an dem Windows-Client in der Domäne anzumelden, erscheint die Meldung

„Es kann keine Verbindung mit der Domäne hergestellt werde, da der Domänencontroller nicht verfügbar ist, bzw. das Computerkonto nicht gefunden wurde…“

Kurz vorher (vor dem Neustart) gelang aber doch die Aufnahme des Clients in die Domäne, d.h. den „Domänencontroller“ sollte er wohl finden (beim Blick auf die Netzwerk-LEDs ist dies wohl auch so). Ich vermute also, dass mit den Benutzeraccounts was falsch ist.

Auch als „Administrator“ oder „root“ kann ich mich nicht anmelden.

Ich habe mit …

groupadd smbuser
adduser -g smbuser [benutzername]
smbpasswd -a [benutzername]

Nice, aber nicht genug.

„Es kann keine Verbindung mit der Domäne hergestellt werde, da
der Domänencontroller nicht verfügbar ist, bzw. das
Computerkonto nicht gefunden wurde…“

Und da stehts auch schon: „bzw. das Computerkonto nicht gefunden wurde“. Jede NT-Workstation in einem WindowsNT-Netz mit PDC braucht einen Account auf dem NT-Server. Das ist auch unter Samba nicht anders. Du musst also noch für den Rechner ein Konto anlegen (hier am Beispiel der Workstation mit dem Namen SOWHAT)

# groupadd machines
# useradd -c "Windows NT Workstation" -d /dev/null -g machines -p "\*" -s /bin/false SOWHAT$
# smbpasswd -a -m SOWHAT

Gruppenname „machines“ und Gecos-Feld „Windows NT Workstation“ sind natürlich Deiner Phantasie überlassen. Bitte aufpassen: Der Unix-User, der mit useradd angelegt wird, hat in der Tat ein Dollarzeichen hinter dem Namen (SOWHAT$), der Samba-User, der mit smbpasswd angelegt wird, nicht (SOWHAT).

Danach die NT-Workstation in der Domain anmelden und auf gehts.

Hoffe, das hilft.
Stefan

useradd -c „Windows NT Workstation“ -d /dev/null -g machines

-p „*“ -s /bin/false SOWHAT$

  • Ist das -p „*“ optional oder muss das so sein?

Der Unix-User, der mit useradd angelegt wird, hat in der Tat
ein Dollarzeichen hinter dem Namen (SOWHAT$), der Samba-User,
der mit smbpasswd angelegt wird, nicht (SOWHAT).

  • Aber nur bei Maschinen-Namen, oder?

Das habe ich ja alles gemacht (bis auf das -p „*“ )… der Client wurde ja auch in die Domäne übernommen. Nach dem Neustart kann ich mich jedoch nicht als Benutzer anmelden :frowning:

  • Ist das -p „*“ optional oder muss das so sein?

Mit -p gebe ich dem Unix-User ein Passwort, und zwar das Passwort *. Natürlich ist das optional, aber dann hast Du Accounts auf Deiner Schüssel, die kein Passwort haben, und ich neige dazu, das für extrem sicherheitskritisch halten.

  • Aber nur bei Maschinen-Namen, oder?

Yep.

Das habe ich ja alles gemacht (bis auf das -p „*“ )…
der Client wurde ja auch in die Domäne übernommen. Nach dem
Neustart kann ich mich jedoch nicht als Benutzer anmelden :frowning:

Am nicht vorhandenen Passwort für die Maschine kanns nicht liegen, das Weglassen von -p ist also ziemlich egal. Ist die Meldung immer noch die gleiche, oder passiert nun etwas anderes?

Ich habe noch nie XP-Maschinen in eine Domain auf einem Samba-Server aufgenommen. 2000er waren bislang das Höchste der Gefühle. Aber ich nehme mal an, dass das letztendlich doch sehr ähnlich sein sollte.

Mit den 2000ern habe ich immer das Problem gehabt, dass ich sie nicht in der Domain anmelden konnte (über Arbeitsplatz - Eigenschaften - Netzwerkidentifikation). Ich habe keinen blassen Schimmer, wie das auf XP funktioniert… Für die 2000er musste ich in smb.conf folgende Zeile hinzufügen, damit der Anmeldevorgang einer Workstation in eine NT-Domain (siehe mein erstes posting) automatisch funktioniert:

add user script = /usr/sbin/useradd -d /dev/null -g 120 -s /bin/false -M %u

wobei „-g 120“ für meine „machines“-Gruppe steht und „-M“ für irgendwas, das ich vergessen habe (man useradd).

So sieht meine smb.conf aus (läuft mit Win98, NT4, 2000)

# Global parameters
[global]
 passwd program = /usr/bin/passwd %u
 domain master = True
 add user script = /usr/sbin/useradd -d /dev/null -g 120 -s /bin/false -M %u
 printing = cups
 dns proxy = No
 hide files = /DesktopFolderDB/Network Trash Folder/resource.frk/TheFindByContentFolder/TheVolumeSettingsFolder/.Trashes/.\_.Trashes/.Apple\*/
 logon path = \\%N\profiles\%U
 encrypt passwords = yes
 time server = Yes
 min passwd length = 4
 keepalive = 30
 wins support = Yes
 printcap name = lpstat
 passwd chat debug = Yes
 preferred master = True
 logon script = WinNTStandard.cmd
 passwd chat = \*password\* %n\n \*password\* %n\n \*changed\*
 veto files = /.forward/.vacation.db/.vacation.msg/
 map to guest = Bad User
 domain admin group = @ntadmin
 domain logons = Yes
 unix password sync = Yes
 server string = Seals File Server
 workgroup = SEALSNET
 netbios name = DEVNULL
 os level = 64
 logon drive = K:

[Netlogon]
 comment = Windows NT Server system files
 path = /etc/samba/netlogon
 write list = @ntadmin
 force group = ntadmin
 browseable = No
 locking = No
[homes]
 comment = My own files
 read only = No
 create mask = 0600
 force create mode = 0600
 directory mask = 0700
 force directory mode = 0700
 browseable = No
 volume = Home

da steht jetzt auch eine Menge Zeugs drin, mit dem Du möglicherweise wenig anfangen kannst, was ich aber für meinen Mac brauche (z.B. „hide files“).

Hoffe, das hilf mehr.
Stefan

useradd -c „Windows NT Workstation“ -d /dev/null -g machines

-p „*“ -s /bin/false SOWHAT$

Diese Frage hat sich schon mal erledigt. Ich habe mal einen neuen Client mit diesen Parametern aufgenommen und angemeldet - funktioniert ebenfalls.

Nur als Benutzer anmelden kann ich mich immer noch nicht.

LÖSUNG !!!
Danke!

Das Problem liegt woanders. Bei XP muss ein Registry-Key geändert werden und es funktioniert.

„Hkey_Local_Machine\System\ CurrentControlSet\Services\Netlogon\Parameters\requiresignorseal“ muss von 1 auf 0 gesetzt werden. Vorher (NT4 oder Win2000) war er wohl auch auf 0.

Jetzt funktioniert´s wunderbar!