net(t)forum
net(t)work(s) - fli4l - eisfair

Startseite » eisfair » spline.eisfair » Samba als PDC, was ist möglich?
Samba als PDC, was ist möglich? [Beitrag #83303] Wed, 13 January 2021 22:49 Zum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
Hi,

versuche mich gerade an Samba und der Domänenkontrollerfunktion. Leider
kann ich eine Testworkstation Win10 pro nicht der Domäne hinzufügen. Was
kann das Samba-Paket in dieser Hinsicht? Mein Ziel wäre ein
userspezifisches Logon-Skript und Serverseitig abgelegte Profile. Hab
einiges gelesen, aber dies so in Windows nicht vorgefunden.
Es haben sicher einige Samba zur Vewaltung ihrer Windows-Umgebung laufen!?

Viele Grüße
Alex
Re: Samba als PDC, was ist möglich? [Beitrag #83304 ist eine Antwort auf Beitrag #83303] Thu, 14 January 2021 00:27 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
K.M. ist gerade offline  K.M.
Beiträge: 217
Registriert: January 2018
Senior Member
Am 13.01.21 um 22:49 schrieb Alex Busam:

> versuche mich gerade an Samba und der Domänenkontrollerfunktion. Leider
> kann ich eine Testworkstation Win10 pro nicht der Domäne hinzufügen. Was
> kann das Samba-Paket in dieser Hinsicht? Mein Ziel wäre ein

Hmm, Zentrales Logon am DC um an member-servern ebenfalls eingeloggt zu
sein geht glaube ich - irgendwie. Wenn man memberserver (also DC plus
Einen) hat! User und Gruppen für Freigaben kann man dann wohl auch vom
DC beziehen. Wenn man am WinClient etwas frei geben wollte, was ja eher
peernetwork ist und damit das gegenteilige Konzept.

> userspezifisches Logon-Skript und Serverseitig abgelegte Profile. Hab
> einiges gelesen, aber dies so in Windows nicht vorgefunden.

Du brauchst wohl als erstes mal ein Netlogon share und die nötigen
Einstellungen (Logon Drive o.a.) dazu. Für die roaming profiles braucht
es auch ein eigenes share. Und zuallererst brauchst du die richtige
Windows Version. Die Domain-funktionen sind in den kleineren Editionen
m.W. kastriert oder entfernt. So ist das aber schon seit XP. XP Home
konnte keiner domäne beitreten, XP Pro schon. Win 7 Home Premium konnte
es IMHO nicht, die Höheren (Pro oder Ultimate) dann wieder schon.

logon script sollte eine CMD Datei sein. Die sollte man von Windows aus
bearbeiten weil man sonst evtl. ein problem mit den CR-LF am Zeilenende
bekommt.

> Es haben sicher einige Samba zur Vewaltung ihrer Windows-Umgebung laufen!?

Jain. Ich hab zwar Samba auf dem Fileserver aber keine Windows-Clients
mehr dran weil kein Win 10 im Einsatz. Und die Linux PCs sollte ich mal
auf nfs umstellen da network-browsing hier seit SMB3 eh nicht mehr
funktioniert. Meine Libreelec nutzen es schon so.

Ich setze mir grade ein Abgeschottetes RetroNetz auf. Mit einem Echten
Windows 2000 Server (VM) in dem ich alte Win Clients mit alter Software
auf alter HW laufen lassen will. Only the Real Things! ;-)



Kay

--
Posted via leafnode
Re: Samba als PDC, was ist möglich? [Beitrag #83305 ist eine Antwort auf Beitrag #83304] Thu, 14 January 2021 10:42 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
Danke Kay!
D.h. Du weißt auch nicht genau welche Features die Eisfair-Schicht
abbildet.
Ich lese z.B. hier
https://keipke.de/wiki/display/HOWTO/Konfiguration+samba+als+active+dire ctory+domain+controller
Welche Voraussetzungen und welche Konfigurationen notwendig sein.
Vermutlich ist das nicht oder nur teilweise umgesetzt.


Gruß
Alex
Re: Samba als PDC, was ist möglich? [Beitrag #83306 ist eine Antwort auf Beitrag #83303] Thu, 14 January 2021 12:40 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 13.01.2021 um 22:49 schrieb Alex Busam:

> versuche mich gerade an Samba und der Domänenkontrollerfunktion. Leider
> kann ich eine Testworkstation Win10 pro nicht der Domäne hinzufügen. Was

Mit welcher Fehlermeldung?

Auszug aus der Dokumentation:
Damit die verschiedenen Windows-Client-Versionen erfolgreich in die
Domäne integriert werden können, müssen je nach Version Registry-
Patches auf den Clients angewendet werden. Diese Registry-Patches finden
sich nach der Installation des Samba-Paketes unter
/usr/share/doc/samba/regpatches.

/usr/share/doc/samba/regpatches/windows10_join_enable.reg

Auf dem entsprechenden Client einfach per Doppelklick in die Registry
importieren.

> kann das Samba-Paket in dieser Hinsicht? Mein Ziel wäre ein
> userspezifisches Logon-Skript und Serverseitig abgelegte Profile. Hab

Hier verweise ich auch auf die Dokumentation, siehe SAMBA_PDC,
SAMBA_PDC_PROFILES und SAMBA_PDC_LOGONSCRIPT.

--
der tom


--
der tom
[eisfair-team]
Re: Samba als PDC, was ist möglich? [Beitrag #83307 ist eine Antwort auf Beitrag #83305] Thu, 14 January 2021 12:43 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 14.01.2021 um 10:42 schrieb Alex Busam:

> D.h. Du weißt auch nicht genau welche Features die Eisfair-Schicht
> abbildet.

Das weiß die Dokumentation.

> Ich lese z.B. hier
> https://keipke.de/wiki/display/HOWTO/Konfiguration+samba+als+active+dire ctory+domain+controller

Kein Active directory, nur PDC und BDC.

Auszug:

SAMBA_PDC
Wenn diese Variable auf 'yes' gesetzt ist, stellt Samba die Funktionen
eines Primary Domain Controllers (PDC), vergleichbar zu einem
Windows-NT-4.0-Server-PDC, für Windows-9x-, Windows-2000-,
Windows-XP-Professional-, Windows-7-, und Windows-8- und und
Windows-10-Clients zur Verfügung. Die Home-Versionen der
Microsoft-Betreibs-Systeme werden dabei nicht unterstützt, da sie von
Microsoft künstlich beschnitten wurden! Die Active-Directory-Funktionen
der Windows-Server werden von meinem Samba-Paket bisher nicht unterstützt!

--
der tom


--
der tom
[eisfair-team]
Re: Samba als PDC: was ist möglich? [Beitrag #83308 ist eine Antwort auf Beitrag #83307] Thu, 14 January 2021 13:06 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 15197
Registriert: August 2010
Senior Member
Hallo Thomas,

Thomas Bork wrote:

> Kein Active directory, nur PDC und BDC.
>
> Die Active-Directory-Funktionen
> der Windows-Server werden von meinem Samba-Paket bisher nicht unterstützt!

Und ich beabsichtige auch nicht, da irgendetwas zu ändern, dazu fehlt mir es
sowohl Zeit als auch Erfahrung.

--
Gruß Marcus
[eisfair-Team]


Gruß Marcus
Re: Samba als PDC, was ist möglich? [Beitrag #83309 ist eine Antwort auf Beitrag #83304] Thu, 14 January 2021 13:25 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 14.01.2021 um 00:27 schrieb Kay Martinen:

> Hmm, Zentrales Logon am DC um an member-servern ebenfalls eingeloggt zu
> sein geht glaube ich - irgendwie. Wenn man memberserver (also DC plus
> Einen) hat! User und Gruppen für Freigaben kann man dann wohl auch vom
> DC beziehen. Wenn man am WinClient etwas frei geben wollte, was ja eher
> peernetwork ist und damit das gegenteilige Konzept.

eisfair-Samba macht kein Active Directory und damit keinen DC.

Begriffsklärung:
Unter Active Directory sind alle DCs (Domänen-Controller). Im
Windows-4.0-Domänenmodell gibt es PDCs (Primäre-Domänen-Controller) und
BDCs (Backup-Domänen-Controller). BDCs gibt es in eisfair-Samba nicht,
es gibt nur eine Benutzerdatenbank auf dem PDC. Aber es gibt in
eisfair-Samba Member-Server, die Benutzer und Gruppen vom PDC beziehen.

Es geht nicht um Freigaben auf Windows-Clients, sondern darum zu regeln,
worauf User in der Domäne zugreifen dürfen. Die entsprechenden ACLs auf
dem Member-Server und den Clients können auch mit den Benutzern und
Gruppen des PDCs arbeiten. Das hat mit Freigaben erst mal gar nichts zu tun.

> Du brauchst wohl als erstes mal ein Netlogon share und die nötigen
> Einstellungen (Logon Drive o.a.) dazu. Für die roaming profiles braucht
> es auch ein eigenes share. Und zuallererst brauchst du die richtige

Die Netlogon-Freigabe wird automatisch erstellt, wenn eisfair-Samba als
PDC arbeitet. Eine Beispiel-Datei logon.bat wird dort ausserdem
hinterlegt. logon drive ist x:.
Die Profile liegen im Home-Verzeichnis des entsprechenden Users.

--
der tom


--
der tom
[eisfair-team]
Re: Samba als PDC, was ist möglich? [Beitrag #83333 ist eine Antwort auf Beitrag #83306] Fri, 15 January 2021 18:30 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
>
> Mit welcher Fehlermeldung?
>
"Ändern des Computernamens bzw. der Domäne", dann "Mitglied von Domäne",
dann erhalte ich "Es konnte keine Verbindung mit dem Active Directory
Domänencontroller für die Domäne "____" hergestellt werden.

Samba kann PDC sein, aber kein Active Directory verwalten. Oder nur die
Basis bilden für "Arbeitsgruppe"? D.h. im o.g. Dialog nicht Domäne
wählen, sondern Arbeitsgruppe? Ich bin irritiert, da in der
Fehlermeldung Active Directory auftaucht.

Muss beim Domänenbeitritt am Win-PC ein Benutzer angemeldet sein, der in
der Samba-Config auf "root" per USERMAP läuft?

Hab hier noch gelesen:
https://wiki.fkn-systems.de/wiki/samba/win10_domain_enter
Dass folgende Gruppen vorhanden sein müssten.

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d
net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d
Re: Samba als PDC, was ist möglich? [Beitrag #83334 ist eine Antwort auf Beitrag #83306] Fri, 15 January 2021 18:50 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
>
> Mit welcher Fehlermeldung?
>
"Ändern des Computernamens bzw. der Domäne", dann "Mitglied von Domäne",
dann erhalte ich "Es konnte keine Verbindung mit dem Active Directory
Domänencontroller für die Domäne "____" hergestellt werden.

Samba kann PDC sein, aber kein Active Directory verwalten. Oder nur die
Basis bilden für "Arbeitsgruppe"? D.h. im o.g. Dialog nicht Domäne
wählen, sondern Arbeitsgruppe? Ich bin irritiert, da in der
Fehlermeldung Active Directory auftaucht.

Muss beim Domänenbeitritt am Win-PC ein Benutzer angemeldet sein, der in
der Samba-Config auf "root" per USERMAP läuft?
In der /etc/user.map ist mein Benutzer auf root gemapt.

Das Umbenennen der Arbeitsgruppe im ersten Schritt habe ich auch
entsprechend der Doku beachtet

Hab hier noch gelesen:
https://wiki.fkn-systems.de/wiki/samba/win10_domain_enter
Dass folgende Gruppen vorhanden sein müssten.

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d
net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d
Re: Samba als PDC, was ist möglich? [Beitrag #83335 ist eine Antwort auf Beitrag #83334] Fri, 15 January 2021 20:57 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
Einen Schritt bin ich weiter. JEtzt werden ich beim Versuch mich zur
Domäne hinzuzufügen, nach Benutzer Kannwort gefragt, doch dann "die
angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung
hergestellt werden"



Gruß
Alex
Re: Samba als PDC, was ist möglich? DNS, NTP, wsdd [Beitrag #83342 ist eine Antwort auf Beitrag #83335] Sat, 16 January 2021 11:41 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
Hallo,

in meiner Testumgebung läuft eine Fritzbox, die den Standard-Gateway
darstellt.
Ein PDC muss DNS laufen haben? Also BIND9 muss laufen? An den Clients
muss der DNS-Server dann der PDC sein?
Muss WINSSERVER dann auf no stehen? MASTERBROWSER auf yes?
Muss wsdd laufen?
FÜr meine Tests hab ich PDC-LOGONSCRIPT=user und im Home meines
testusers ein Verzeichnis netlogon und ein skript logon.bat

Der user ist auch als root gemapt und in der user.map vorhanden.
Zeit? max 5 sek Differenz dürften ja auch nichts machen.

Leider komm ich nicht weiter. Eisfair wird dafür wohl selten angewendet.

Viele GRÜße
Alex
Re: Samba als PDC, was ist möglich? DNS, NTP, wsdd [Beitrag #83344 ist eine Antwort auf Beitrag #83342] Sat, 16 January 2021 13:07 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Detlef Paschke ist gerade offline  Detlef Paschke
Beiträge: 1319
Registriert: August 2010
Senior Member
Am 16.01.2021 um 11:41 schrieb Alex Busam:
> Hallo,

Hallo Alex,

> Leider komm ich nicht weiter. Eisfair wird dafür wohl selten angewendet.

schaue mal, ob Dir das weiter hilft. Aus meiner Zeit mit PDC und den
anfänglichen Problemen beim Umstieg auf Windows 10.

https://web.nettworks.org/wiki/pages/viewpage.action?pageId=27623481

> Viele GRÜße
> Alex

Viele Grüße
Detlef Paschke

PS.: wsdd brauchst Du, damit der Eisfair in der Windows Netzwerkumgebung
zu sehen ist, wenn du smb1 deaktiviert hast.

--
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.dynip.online
Meine "Merkzettel"
http://www.helpdesk.dynip.online
Re: Samba als PDC, was ist möglich? [Beitrag #83346 ist eine Antwort auf Beitrag #83333] Sat, 16 January 2021 14:12 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 15.01.2021 um 18:30 schrieb Alex Busam:

> "Ändern des Computernamens bzw. der Domäne", dann "Mitglied von Domäne",
> dann erhalte ich "Es konnte keine Verbindung mit dem Active Directory
> Domänencontroller für die Domäne "____" hergestellt werden.

Dann hast Du eventuell den Fehler gemacht, im Namen der Domäne in
SAMBA_WORKGROUP einen Punkt und dahinter weitere Zeichen zu verwenden.
In diesem Fall und wenn Du diesen Domänen-Namen auf dem Client so
einträgst, geht der Client von einer Active-Directory-Domäne aus.

Verwende also einfache Domänen-Nmane ohne Punkt.

> Muss beim Domänenbeitritt am Win-PC ein Benutzer angemeldet sein, der in
> der Samba-Config auf "root" per USERMAP läuft?
> Hab hier noch gelesen:
> https://wiki.fkn-systems.de/wiki/samba/win10_domain_enter
> Dass folgende Gruppen vorhanden sein müssten.
>
> net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin rid=512 type=d
> net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d
> net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d


Was ist an dem Teil der Dokumentation unklar?:


SAMBA_PDC
Soll SAMBA als Primary Domain Controller arbeiten: 'yes' oder
'no'

Wenn diese Variable auf 'yes' gesetzt ist, stellt Samba die
Funktionen eines Primary Domain Controllers (PDC), vergleichbar
zu einem Windows-NT-4.0-Server-PDC, für Windows-9x-,
Windows-2000-, Windows-XP-Professional-, Windows-7-, und
Windows-8- und und Windows-10-Clients zur Verfügung. Die
Home-Versionen der Microsoft-Betreibs-Systeme werden dabei nicht
unterstützt, da sie von Microsoft künstlich beschnitten wurden!
Die Active-Directory-Funktionen der Windows-Server werden von
meinem Samba-Paket bisher nicht unterstützt!

Will man Samba als PDC nutzen, ist folgende Vorgehensweise
notwendig:

1. Der Benutzer "root" wurde als Samba-Benutzer angelegt. Davon
kann man sich im Samba-Service-Menü mittels
Samba User Handling
List Samba User

überzeugen. Hier die Ausgabe von meinem eisfair-Rechner:
List Samba Users

User Uid Password Active
root 0 set yes
tb 2001 set yes
test 2003 set yes

Press ENTER to continue

2. In der Datei /etc/user.map wird der Benutzer "Administrator"
der Workstation auf den Benutzer "root" gemappt. Wenn nicht
gegen einen externen Passwortserver authentifiziert wird,
sieht das so aus:

root = "Administrator"

Wenn gegen einen externen Passwortserver authentifiziert wird,
muss die Domäne vor dem Windows-Usernamen angegeben werden:

root = "DOM\Administrator"

Die Datei /etc/user.map wird aus der Samba-Konfiguration
heraus erzeugt. Wenn in der /etc/user.map der obige Eintrag
fehlt, habt Ihr etwas falsch gemacht. Siehe auch
SAMBA_USERMAP_N.
3. Samba läuft noch im Arbeitsgruppen-Modus (SAMBA_PDC='no').
4. Damit die verschiedenen Windows-Client-Versionen erfolgreich
in die Domäne integriert werden können, müssen je nach Version
Registry- Patches auf den Clients angewendet werden. Diese
Registry-Patches finden sich nach der Installation des
Samba-Paketes unter /usr/share/doc/samba/regpatches.
5. Jetzt benennt man als "Administrator" temporär die
Arbeitsgruppe auf den Clients um (z.B. in TESTGROUP), weil es
zu Schwierigkeiten kommt, wenn der Name der Arbeitsgruppe, in
der man sich befindet und der Name der Domäne, in die man
wechseln möchte, identisch sind. Dabei wird man aufgefordert,
den Client neu zu starten, was auch unbedingt erforderlich
ist.
6. Jetzt erst setzt man SAMBA_PDC='yes' und hinterlegt in der
Variable SAMBA_WORKGROUP den gewünschten Domänen-Namen,
z.B. SAMBA_WORKGROUP='DOMAIN'.
7. Nachdem die neue Konfiguration aktiviert wurde, muss folgende
Meldung in /var/log/log.nmbd auftauchen:

Samba server XXX is now a domain master browser for workgroup
YYY on subnet ZZZ.

Dabei stehen XXX, YYY und ZZZ für Eure individuelle
Konfiguration.
8. Jetzt trennt man alle eventuell geöffneten Freigaben und
gemappten Laufwerke, da diese eine erfolgreiche Integration in
die Domäne verhindern. Dazu öffnet man eine DOS-Box, indem man
unter Start/Ausfuehren

command

eingibt und dort folgenden Befehl ausführt:

net use * /delete
9. Man kann nun als Benutzer "Administrator" unter Windows die
Workstation zur Domäne hinzufügen:
Per Rechtsklick auf
Arbeitsplatz/Eigenschaften/Netzwerkidentifikation/Eigenschaften
(Beispiel Windows 2000) oder
Arbeitsplatz/Eigenschaften/Computername/Ändern (Beispiel
Windows XP Professional) definiert man, dass diese Workstation
ein Mitglied der Domäne YYY (siehe oben, jetzige Einstellung
von SAMBA_WORKGROUP) sein soll.
Bei der Abfrage

Geben Sie Namen und Kennwort eines Kontos mit der Berechtigung
dieser Domaene beizutreten ein.

gibt man einfach "Administrator" und das entsprechende
Passwort von "root" an (da in der Datei /etc/user.map der
Benutzer "Administrator" auf "root" umgesetzt wird, wenn Ihr
Euch an die Beschreibung gehalten habt) und erhält, wenn man
alles richtig gemacht hat, die nette Bestätigung:
"Willkommen in der Domäne YYY." (siehe oben)
10. Es wurde von Samba automatisch ein Maschinenkonto für die
Workstation erzeugt, wovon man sich im Samba-Service-Menü
überzeugen kann:

Samba Domain Handling
Samba PDC Workstation Configuration (NT, 2000, XP)
List Samba Workstations

11. Aus der Ereignisanzeige/System des Windows-Clients:

Dieser Computer wurde erfolgreich "domain" hinzugefügt: "YYY".

YYY steht für Euren Domänen-Namen.
12. Nach einem Neustart kann man sich als angelegter
Samba-Benutzer an der Domäne anmelden und gibt dabei bei
"Anmelden an" nicht den lokalen Rechner an, sondern die
Domäne. Windows-Benutzer, die in der Datei /etc/user.map auf
andere Samba-Benutzer umgesetzt werden, müssen dabei das
Passwort des Benutzers eingeben, auf den sie umgesetzt werden!
Siehe auch SAMBA_USERMAP_N.
13. Startet Samba das erste Mal als PDC, so wird eine eindeutige
SID (Security ID) für diesen PDC erzeugt. Diese SID
identifiziert die Domäne eindeutig. Bei Integration von
Clients in die Domäne wird diesen die SID zugeordnet. Daraus
ergibt sich, dass es nicht ausreicht, einen Client als
Domänenmitglied einfach identisch zu benennen, um wieder in
die Domäne zu kommen, da der Client diese SID nicht kennt. Das
ist aus Sicherheitsgründen absolut sinnvoll!
Setzt man bei irgendwelchen Tests später einmal SAMBA_PDC='no'
und danach wieder SAMBA_PDC='yes', kann es passieren, dass
wiederum eine eindeutige SID generiert wird, welche von der
vorigen abweicht. Das Ergebnis ist verheerend: Kein Client
kommt mehr in die Domäne, da die Clients ihren PDC mit einer
anderen SID assoziieren. Es ist in diesem Fall notwendig, alle
Clients wieder neu in die Domäne zu integrieren. Das gleiche
Problem ergibt sich auch bei einer Namensänderung des PDC,
also genau dann, wenn man den Hostnamen des eisfair-Rechners
ändert! Man kann das Problem umgehen, indem man vor Änderung
von SAMBA_PDC='yes' auf SAMBA_PDC='no' und vor einer
Namensänderung die SID abspeichert und nach Änderung von
SAMBA_PDC='no' auf SAMBA_PDC='yes' oder Änderung des Namens
wieder in Samba einliest. Siehe dazu

Save Samba SID to /root/MACHINE.SID

und

Restore Samba SID from /root/MACHINE.SID

Wenn Samba als PDC läuft, werden statische Group-Mappings
eingerichtet (dynamische Mappings werden von mir noch nicht
unterstützt). Die Namen der Windows-Gruppen sind dabei von den
Spracheinstellungen des Samba-Paketes abhängig. Bei

SAMBA_LOCALIZATION='ISO8859-15'

oder

SAMBA_LOCALIZATION='ISO8859-1'

oder

SAMBA_LOCALIZATION='UTF-8'

werden folgende Namen verwendet:

Windows-Gruppe eisfair-Gruppe GID
Domänen-Administratoren root 0
Domänen-Gäste nogroup 65534
Domänen-Hauptbenutzer sys 3
Domänen-Benutzer users 100
Domänen-Computer machines 777
Bei allen anderen Spracheinstellungen:

Windows-Gruppe eisfair-Gruppe GID
Domain-Administrators root 0
Domain-Guests nogroup 65534
Domain-Power-Users sys 3
Domain-Users users 100
Domain-Computers machines 777

Das Mapping kann mittels

net groupmap list

auf der Konsole oder über die Samba-Startmeldungen überprüft
werden. Die globale Windows-Gruppe der Domänen-Administratoren
wird bei Integration der Workstation in die Domäne automatisch
der lokalen Gruppe der Administratoren hinzugefügt, sodass bei
Anmeldung an der Domäne lokale Administratoren Rechte zur
Domänen-Administration besitzen.

Standardeinstellung: SAMBA_PDC='no'


--
der tom


--
der tom
[eisfair-team]
Re: Samba als PDC, was ist möglich? DNS, NTP, wsdd [Beitrag #83347 ist eine Antwort auf Beitrag #83342] Sat, 16 January 2021 14:25 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 16.01.2021 um 11:41 schrieb Alex Busam:

> Ein PDC muss DNS laufen haben? Also BIND9 muss laufen? An den Clients
> muss der DNS-Server dann der PDC sein?

Muss nicht.

> Muss WINSSERVER dann auf no stehen? MASTERBROWSER auf yes?

Du kannst SAMBA_WINSSERVER verwenden, musst es aber nicht. Wenn Du es
verwendest, musst Du jeden einzelnen Client passend konfigurieren, siehe
Dokumentation.

SAMBA_MASTERBROWSER ist automatisch yes, wenn Samba als PDC läuft. Damit
ist der PDC sowohl Masterbrowser als auch Domänen-Masterbrowser.

> Muss wsdd laufen?

Wenn Du den PDC in der Netzwerkumgebung ohne SMB1 sehen möchtest - ja.

> FÜr meine Tests hab ich PDC-LOGONSCRIPT=user und im Home meines
> testusers ein Verzeichnis netlogon und ein skript logon.bat

Es gibt nur eine Freigabe und nur ein Verzeichnis netlogon, der Pfad ist
/netlogon.

--
der tom


--
der tom
[eisfair-team]
Re: Samba als PDC, was ist möglich? [Beitrag #83351 ist eine Antwort auf Beitrag #83346] Sat, 16 January 2021 15:27 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Alex Busam ist gerade offline  Alex Busam
Beiträge: 316
Registriert: July 2010
Senior Member
Hi,

hab es hinbekommen! Vielen Dank für die Hilfe!!!

Woran es lag? Keine Ahnung. Einen Punkt hab ich nicht verwendet.

Laut https://web.nettworks.org/wiki/pages/viewpage.action?pageId=27623481
_______________________
Anschließend auf "Erweitert" gehen und im sich öffnenden Fenster das
Register "DNS" auswählen.

Hier wählen wir den zweiten Bereich "Diese DNS-Suffixe anhängen (in
Reihenfolge)" aus und fügen den ersten Teil unseres Domainnamen ein.
Sprich in unserem Beispiel "example" ohne Anführungszeichen.

Im darunter liegenden Bereich "DNS-Suffix für diese Verbindung" tragen
wir den zweiten Teil unserer Domain ein. Hier also "lan" ohne
Anführungszeichen.
_______________________

würde auch ein Domänenname mit Punkt gehen.

Die Frage nach einem klugen Domänenname lässt sich wohl auch nicht so
einfach beantworten.
Lieber netz.local o.ä. oder doch eine externe Domain?
https://www.mcseboard.de/topic/204027-ad-dom%C3%A4nen-name-best-practice /
Hier wird beispielsweise von .local abgeraten.

https://blog.ppedv.de/post/wie-ein-guter-domnen-name-aussieht-und-wie-ni cht
Aber ob dies auch für PDC ohne Active Directory sinnvoll ist?


>> Hab hier noch gelesen:
>> https://wiki.fkn-systems.de/wiki/samba/win10_domain_enter
>> Dass folgende Gruppen vorhanden sein müssten.
>>
>> net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin rid=512 type=d
> Was ist an dem Teil der Dokumentation unklar?:
>
>             werden folgende Namen verwendet:
>
>             Windows-Gruppe          eisfair-Gruppe GID
>             Domänen-Administratoren root           0

hier war glaub ein Denkfehler. Ich dachte es müsse auf dem System eine
group "ntadmin" geben. Aber das Samba-Paket berechtigt einen User sobald
er in der Gruppe root ist. Korrekt?

Viele Grüße
Alex
Re: Samba als PDC, was ist möglich? [Beitrag #83353 ist eine Antwort auf Beitrag #83351] Sat, 16 January 2021 15:49 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 16.01.2021 um 15:27 schrieb Alex Busam:

> würde auch ein Domänenname mit Punkt gehen.

Wozu die Verrenkungen?

> Die Frage nach einem klugen Domänenname lässt sich wohl auch nicht so
> einfach beantworten.
> Lieber netz.local o.ä. oder doch eine externe Domain?
> https://www.mcseboard.de/topic/204027-ad-dom%C3%A4nen-name-best-practice /
> Hier wird beispielsweise von .local abgeraten.

Nichts mit Punkt. Dann kann es genau passieren, dass neuere
Windows-Clients davon ausgehen, dass es sich um eine Active Directory
Domäne handelt oder aber auch einen Domänen-Namen plus NetBIOS-Bereichs-ID.

https://docs.microsoft.com/de-de/troubleshoot/windows-server/identity/na ming-conventions-for-computer-domain-site-ou

Sonderzeichen: Period (.).

Ein Punkt Zeichen trennt den Namen in eine NetBIOS-Bereichs-ID und den
Computernamen. Der NetBIOS-Bereichsbezeichner ist eine optionale
Zeichenfolge, die logische NetBIOS-Netzwerke identifiziert, die im
gleichen physikalischen TCP/IP-Netzwerk ausgeführt werden. Damit NetBIOS
zwischen Computern funktioniert, müssen die Computer über dieselbe
NetBIOS-Bereichs-ID und eindeutige Computernamen verfügen.

>> Was ist an dem Teil der Dokumentation unklar?:
>>
>>              werden folgende Namen verwendet:
>>
>>              Windows-Gruppe          eisfair-Gruppe GID
>>              Domänen-Administratoren root           0
>
> hier war glaub ein Denkfehler. Ich dachte es müsse auf dem System eine
> group "ntadmin" geben. Aber das Samba-Paket berechtigt einen User sobald
> er in der Gruppe root ist. Korrekt?

Korrekt.

--
der tom


--
der tom
[eisfair-team]
Re: Samba als PDC, was ist möglich? [Beitrag #83366 ist eine Antwort auf Beitrag #83353] Sat, 16 January 2021 23:05 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
K.M. ist gerade offline  K.M.
Beiträge: 217
Registriert: January 2018
Senior Member
Am 16.01.21 um 15:49 schrieb Thomas Bork:
> Am 16.01.2021 um 15:27 schrieb Alex Busam:
>

>> Lieber netz.local o.ä. oder doch eine externe Domain?
>> https://www.mcseboard.de/topic/204027-ad-dom%C3%A4nen-name-best-practice /
>> Hier wird beispielsweise von .local abgeraten.

Weil .local auch von mdns/zeroconf/avahi verwendet wird und das zu
interferenzen führen kann.

> Nichts mit Punkt. Dann kann es genau passieren, dass neuere
> Windows-Clients davon ausgehen, dass es sich um eine Active Directory
> Domäne handelt oder aber auch einen Domänen-Namen plus NetBIOS-Bereichs-ID.
>
> Sonderzeichen: Period (.).
>
> Ein Punkt Zeichen trennt den Namen in eine NetBIOS-Bereichs-ID und den
> Computernamen. Der NetBIOS-Bereichsbezeichner ist eine optionale
> Zeichenfolge, die logische NetBIOS-Netzwerke identifiziert, die im
> gleichen physikalischen TCP/IP-Netzwerk ausgeführt werden. Damit NetBIOS
> zwischen Computern funktioniert, müssen die Computer über dieselbe
> NetBIOS-Bereichs-ID und eindeutige Computernamen verfügen.

Hat sich das seit Active Directory verändert?

Ich kenne von Früher (NETBEUI, nicht TCPBEUI) das UNC Namensschema mit
Schrägstrichen als Trennzeichen. Wobei ich jetzt nicht mehr erinnere ob
es Schrägstrich oder Backslash war. Aber zu Peer Networking Zeiten wäre
(Beispielsweise)

\\\WORKGROUP\\COMPUTER1\SHARE1

und

\\\ARBEITSGRUPPE\\COMPUTER1\SHARE1

Zwei verschiedene Ressourcen. Wobei das m.E. nur für den NBNS
(Netbios-NameServer) gelten dürfte denn der Hostname muß ja pro
Broadcast-domain eindeutig sein und das ginge nur mit mindestens 2
Netzbereichen. Und eine Verbindung dazwischen war eh nicht möglich da
NETBEUI nicht routbar ist.

Ansonsten gilt ja weiterhin das man den namen vorher ändern sollte denn
ein host der in WORKGROUP ist kann nicht direkt in eine domäne WORKGROUP
wechseln.

Das etwa seit Windows 2000 mit DNS und AD die Host-IP übersetzung nicht
mehr auf die Netbios-Namen gestützt ist bringt m.W. eben die Problematik
das man WORKGROUP nicht im DNS hinterlegen kann, man also eine DNS
domain als Basis braucht. Ergo: Punkt im namen.

Aber ne Andere Frage hätte ich noch.

Wo von hängt die Funktion von wsdd eigentlich genau ab? Ich las hier
heute was von "nicht SMB1" und frage mich jetzt ob wsdd hier keinen
effekt entwickelt (kein host in der Netzwerk-umgebung, nirgends) weil
ich bei meinen libreelec und den Linux PC überall SMB1 als niedrigstes
Protokoll einstellte.

Kurz: Stellt wsdd den dienst ein wenn SMB1 Anfragen auf dem SAMBA Server
an kommen? Oder hängt es nur davon ab ob auf dem SAMBA selbst (evtl. hab
ich das so) SMB1 auch als niedrigstes Protokoll eingestellt ist
(Samba-expert...)?


Kay

--
Posted via leafnode
Re: Samba als PDC, was ist möglich? [Beitrag #83380 ist eine Antwort auf Beitrag #83366] Sun, 17 January 2021 15:08 Zum vorherigen Beitrag gehen
Thomas Bork ist gerade offline  Thomas Bork
Beiträge: 3020
Registriert: July 2010
Senior Member
Am 16.01.2021 um 23:05 schrieb Kay Martinen:

>> Sonderzeichen: Period (.).
>>
>> Ein Punkt Zeichen trennt den Namen in eine NetBIOS-Bereichs-ID und den
>> Computernamen. Der NetBIOS-Bereichsbezeichner ist eine optionale
>> Zeichenfolge, die logische NetBIOS-Netzwerke identifiziert, die im
>> gleichen physikalischen TCP/IP-Netzwerk ausgeführt werden. Damit NetBIOS
>> zwischen Computern funktioniert, müssen die Computer über dieselbe
>> NetBIOS-Bereichs-ID und eindeutige Computernamen verfügen.
>
> Hat sich das seit Active Directory verändert?

Ja, steht in dem von mir geposteten Link.

> Wo von hängt die Funktion von wsdd eigentlich genau ab? Ich las hier
> heute was von "nicht SMB1" und frage mich jetzt ob wsdd hier keinen
> effekt entwickelt (kein host in der Netzwerk-umgebung, nirgends) weil
> ich bei meinen libreelec und den Linux PC überall SMB1 als niedrigstes
> Protokoll einstellte.
> Kurz: Stellt wsdd den dienst ein wenn SMB1 Anfragen auf dem SAMBA Server
> an kommen? Oder hängt es nur davon ab ob auf dem SAMBA selbst (evtl. hab
> ich das so) SMB1 auch als niedrigstes Protokoll eingestellt ist
> (Samba-expert...)?

wsdd announciert an Rechner, die einen wsd-Dienst zu laufen haben.
Welche Protokolle Samba spricht, dürfte dabei egal sein. Es dürfen nur
nicht wiederkehrende und widersprüchliche Messages bei dem Client
ankommen, dann wird wsdd ignoriert. Siehe z.B.

https://github.com/christgau/wsdd
https://linux-blog.anracom.com/2020/05/24/samba-4-shares-wsdd-and-window s-10-how-to-list-linux-samba-servers-in-the-win-10-explorer/

[..]
Tunnel/Bridge Interface

If tunnel/bridge interfaces like those created by OpenVPN or Docker
exist, they may interfere with wsdd if executed without providing an
interface that it should bind to (so it binds to all). In such cases,
the wsdd hosts appears after wsdd has been started but it disappears
when an update of the Network view in Windows Explorer is forced, either
by refreshing the view or by a reboot of the Windows machine. To solve
this issue, the interface that is connected to the network on which the
host should be announced needs to be specified with the -i/--interface
option. This prevents the usage of the tunnel/bridge interfaces.

Background: Tunnel/bridge interfaces may cause Resolve requests from
Windows hosts to be delivered to wsdd multiple times,´i.e. duplicates of
such request are created. If wsdd receives such a request first from a
tunnel/bridge it uses the transport address (IP address) of that
interface and sends the response via unicast. Further duplicates are not
processed due to the duplicate message detection which is based on
message UUIDs. The Windows host which receives the response appears to
detect a mismatch between the transport address in the ResolveMatch
message (which is the tunnel/bridge address) and the IP of the sending
host/interface (LAN IP, e.g.). Subsequently, the wsdd host is ignored by
Windows.
[...]

[...]
So far, so good. However, when I refreshed the list in the Win 10
Explorer my SAMBA server disappeared again. 🙁
What you should do: Take special care about the network interface which
WSDD should be attached to

It took me a while to find out that the origin of the last problem had
to do with the fact that my virtualized server and my Win 10 client have
(multiple) network interfaces on virtualized bridges (without loops in
the network). It seems, however, that multiple broadcasts arrive at the
server via the KVM bridge and are answered - and thus multiple return
messages appear at the Win 10 client during a refresh - which Win 10
does not like (see the discussion in the following link.
https://github.com/christgau/wsdd/issues/8

When I restricted the answer of the server to exactly one bridged
interface via the "/etc/sysconfig/wsdd"-configuration file with the
parameter "WSDD_INTERFACES" everything went fine. Refreshes now lead to
an immediate update including the Samba server.

So, be a little careful, when you have some complicated bridge
structures associated with your virtualized VMware or KVM guests. The
WSDD service should be limited to exactly one interface of the server.


Lies Dir mal die Informationen in beiden Links komplett durch...

--
der tom


--
der tom
[eisfair-team]
Vorheriges Thema: [e1] reboot-Problem wegen xinetd
Gehe zum Forum:
  


aktuelle Zeit: Tue Jan 19 13:59:33 CET 2021

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.02097 Sekunden