Domänenanmeldung funktioniert manchmal nicht

jlandsiedel · February 17, 2009, 10:22am

Wir haben einen Univention (Univention Corporate Server 2.1-1-0) PDC und einen BDC.
Teilweise können sich Windows Clients (XP Pro) nicht an der Domäne anmelden (Domäne nicht verfügbar).

in /var/log/samba/log.smbd auf dem BDC findet sich

[2009/02/17 07:55:08, 0] rpc_server/srv_netlog_nt.c:_net_auth_2(478)
_net_auth2: creds_server_check failed. Rejecting auth request from client <***rechnername> machine account <***rechnername>

Dort soll sich der Rechner ja auch nicht anmelden.
Liegt es vielleicht am Eintrag ’ preferred master = yes’ in der smb.conf des BDC?
—Auszug —
; domain
security = user
domain logons = yes
domain master = no
preferred master = yes
local master = yes
—Auszug —
Wäre es korrekt den preferred master hier auf no zu setzen.

Eine Abhilfe scheint auch den WINS Server auf den PDC zu setzen. Dies war hier bei Rechnern ohne DHCP nicht der Fall.

odabas · February 18, 2009, 3:21pm

Hallo,

der Samba Parameter “preferred master” auf dem BDC kann in diesem Fall so belassen werden, so dass beide Server der PDC und der BDC als Master Browser fungieren können. Bitte prüfen Sie ob die betroffenen XP Clients auch im selben Subnetz stehen und in die Domäne gejoint sind. Es ist auch immer zu empfehlen einen WINS Server an den Clients zu setzen.

Eventuell können diese Probleme auch durch eine fehlerhafte LDAP-Replikation zwischen den PDC und dem BDC hervorgerufen werden. In diesem Fall können Sie prüfen ob die Transaktions-IDs aus /var/lib/univention-ldap/notify/transaction auf dem BDC und /var/lib/univention-directory-listener/notifier_id auf dem PDC synchron sind.

Mit freundlichen Grüßen
Murat Odabas

jlandsiedel · February 18, 2009, 4:48pm

[quote=“odabas”]Hallo,

der Samba Parameter “preferred master” auf dem BDC kann in diesem Fall so belassen werden, so dass beide Server der PDC und der BDC als Master Browser fungieren können. Bitte prüfen Sie ob die betroffenen XP Clients auch im selben Subnetz stehen und in die Domäne gejoint sind. Es ist auch immer zu empfehlen einen WINS Server an den Clients zu setzen.

Eventuell können diese Probleme auch durch eine fehlerhafte LDAP-Replikation zwischen den PDC und dem BDC hervorgerufen werden. In diesem Fall können Sie prüfen ob die Transaktions-IDs aus /var/lib/univention-ldap/notify/transaction auf dem BDC und /var/lib/univention-directory-listener/notifier_id auf dem PDC synchron sind. [/quote]

Danke für die Rückmeldung.
In /var/lib/univention-ldap/notify/transaction ist der höchste Wert 8584
in /var/lib/univention-directory-listener/notifier_id steht der Wert 8880

Die Rechner, die sich nicht anmelden konnten haben Werte um 7500 und müssten somit auch auf dem BDC bekannt sein, wenn ich das richtig verstehe.
Es scheint aber trotzdem etwas nicht korrekt oder synchron zu sein?

mfg
J. Landsiedel

odabas · February 19, 2009, 2:36pm

Hallo,

Sie schrieben:

Hierbei handelt es sich um den Listener/Notifier-Mechanismus. Dieser ist für die LDAP-Replikation zwischen UCS Master- , Backup- und Slave-Server zuständig. In diesem Fall ist zu erkennen das die Replikation nicht mehr Synchron ist (die Transaktions-IDs sind nicht identisch). Wie die Replikation wieder hergestellt werden kann, ist in der folgenden Dokumentation UCS Domänenkonzept: Listener/Notifier-Mechanismus ab Kapitel 4 Fehleranalyse detailliert beschrieben:
http://www.univention.de/fileadmin/download/dokumentation/listener-notifier_070411.pdf

Mit freundlichen Grüßen
Murat Odabas

jlandsiedel · February 20, 2009, 9:07am

Der Log Datei des Listeners konnte ich entnehmen, dass zwei Skripte nicht ausgeführt werden.
Es handelt sich um compilierte Python Skripte, die er anscheined versucht zu interpretieren (cups-printers.pyc, pkgdb.pyc).
Diese Dateien existeren aber auch als nicht kompilierte .py Skripte. Ich habe die .pyc Skripte entfernt und warte den nächsten automatischen Sync ab, da ich in der Version 2.1 den in der Dokumentation erwähnten univention-ldap-listener-ctrl nicht mehr finde.

mfg
J. Landsiedel

odabas · February 20, 2009, 3:19pm

Hallo,

die Phython *.pyc Dateien im Verzeichnis /usr/lib/univention-directory-listener/system/ werden zwar vom Python Interpreter eingelesen, haben aber sonst keine Bedeutung, so dass diese Dateien ignoriert werden. Des Weiteren wird der Listener von den *.pyc Dateien nicht beeinträchtigt, es werden lediglich die entsprechenden Meldungen in der Log-Datei /var/log/univention/listener.log ausgegeben.

Der Name des Befehls zur Reinitialisierung von Listener-Modulen wurde ab der UCS Version 2.0-0 geändert und lautet univention-directory-listener-ctrl
Mit freundlichen Grüßen
Murat Odabas