Bei mir ist eine Frage aufgetaucht, welche mir hier sicher jemand beantworten kann.
Ich bin derzeit dabei eine Paralellstruktur zu einer vorhandenen Win- AD-Domäne aufzubauen. Langfristig sollte hier ein fließender Übergang auf eine UCS-Domäne stattfinden.
Status quo ist Folgendes:
Derzeit ist ein UCS-Domaincontroller installiert, welcher seine Daten mittels AD-Connector vom vorhandene AD erhält. (Im AD ist dieser Server normaler Meberserver)
Nun habe ich einen weiteren UCS als Fileserver in Betrieb genommen und gejoint (an den UCS-DC). Dort ist Samba installiert und auch schon Freigaben erstellt, welche testweise mal einigen Domänen Benutzer freigegeben wurden. Das mit der Authentifizierung funktioniert aber noch nicht richtig. Jetzt habe ich festgestellt, dass beim “Domain Join” auch der Schritt “26univention-samba” fehlschlägt.
Weitere Recherchen und Analysen bringen mit zu dem Verdacht, dass Samba nur dann voll funktionstüchtig ist, auf dem UCS-DC erst noch die APP “AD-kompatibler DC” in Betrieb genommen werden muss.
–> ist das korrekt?
Daraus ergibt sich noch eine weitere Unklarheit: Hat es für meine vorhandene produktive Win-AD-Umgebung irgendeine (negative) Auswirkung, wenn ich diese App auf dem UCS-DC instaliere?
Ziel ist es dass sich die Benutzer auf diesem Fileserver authentifizeren können. - Derzeit noch mit Ihren Windows-AD Daten, und später nach dem Takeover mit den UCS-Domain Daten.
Eine Nachfrage. Welchen der beiden Modi haben Sie denn genau gewählt? Was ich meine: in der Admin-Doku zur AD-Verbindung werden zwei verschiedene Betriebsmodi erläutert. Der erste Screenshot in Abschnitt 9.3.2 zeigt auch den Dialog, bei dem der Modus während der Einrichtung der AD-Verbindung gewählt werden musste.
Aha, dann sollten wir zuerst mal herausfinden, warum das nicht klappt. Führen Sie bitte auf dem Fileserver »univention-run-join-scripts« als root aus. Hängen Sie anschließend die »/var/log/univention/join.log« hier an, damit wir nach dem tatsächlichen Fehler suchen können.
Das halte ich für inkorrekt. Die App »AD-kompatibler DC« ist dafür da, wenn man unter Linux einen AD-DC betreiben möchte. Das ist allerdings das (ferne) Ziel des kompletten AD-Takeover-Prozesses und im jetzigen Stadium kontraproduktiv: Univention unterstützt schlicht das parallele Betreiben von UCS-basierten und Windows-basierten AD DCs in derselben Domäne nicht.
Was verwirrend ist, ist die Tatsache, dass sämtliche Windows-Dienste (also »DC für ein AD« oder »nur File- und Druckserver im AD«) von ein und derselben Software (Samba 4) bereitgestellt werden. Aber die sollte aufgrund des AD-Connectors bei Ihnen eigentlich schon drauf sein. Posten Sie doch bitte mal von beiden Servern die Ausgabe von »dpkg -l | grep samba«.
Wie oben gesagt wird der gleichzeitige Betrieb nicht unterstützt. Oder anders ausgedrückt:
[ul][li]Anfangs laufen noch die Windows-AD-DCs. Hier fungiert UCS mit Samba nur als AD-Memberserver ohne AD-DC-Funktionalität.[/li]
[li]Irgendwann starten Sie den AD-Takeover-Prozess. Während des Prozesses werden die Windows-AD-DCs heruntergefahren, und erst direkt im Anschluss werden UCS-seitig Samba mit AD-DC-Funktionalität gestartet.[/li][/ul]
Zu bedenken gebe ich, dass ich ein Takeover bisher noch nicht auf einem System gemacht habe, das vorher mittels Connector befüllt war. Es kann gut sein, dass das nicht funktionieren wird, und Foren-Threads scheinen das auch zu bestätigen. Evtl. könnte man dann zum Zeitpunkt des Takeovers den UCS DC Master wegwerfen, einen neuen (leeren) aufsetzen, Takeover durchführen und anschließend den Fileserver neu in den soeben übernommenen UCS DC Master joinen. Aber keinerlei Garantie, dass so etwas funktionieren wird!
Auch das habe ich selber noch nicht gemacht, aber die Admin-Doku spricht u.A. davon, dass »…weitere UCS-Systeme schon Teil waren… müssen diese der Domäne neu beitreten«. Sprich es sollte funktionieren.
Ein nicht funktionierendes Join-Script muss aber immer erst analysiert und behoben werden. Ansonsten können sich alle weiteren Probleme schlicht um Folgefehler handeln.
Erst mal vielen Dank für die Inputs und gleich mal sorry, dass es etwas länger gedauert hat, aber ich war letzte Woche unterwegs.
Der erste UCS-Server, welcher den AD-Connector installiert hat, wurde als Domänencontroller Master aufgesetzt. Der Fileserver als Memberserver.
der UCS-Master hat außerdem die UCR-Variablen “samba/role” auf “memberserver” und in einem zweiten “samba/role”-Eintrag “domaincontroller_master” gesetzt
der UCS-FS1 hat beide “samba/role”-Einträge auf “memberserver” gesetzt.[/quote]
Anbei das log File wie gewünscht. Es ist der Auszug von “26univention-samba.inst”. Der reale Domänen-Name wurde aus Datenschutzgründen durch ersetzt.
Scheinbar möchte hier Winbind immer auf den den UCS-Master und nicht auf den “richtigen” AD-Controller verbinden…
RUNNING 26univention-samba.inst
2016-10-10 10:37:28.614263439+02:00 (in joinscript_init)
Not updating samba/role
Setting samba/domain/security
Multifile: /etc/samba/smb.conf
Setting samba/autostart
Multifile: /etc/samba/smb.conf
Not updating samba/autostart
Stopping the Winbind daemon: winbind.
Setting samba/user
Not updating samba/user/pwdfile
Multifile: /etc/samba/smb.conf
Setting stored password for "cn=ucs-fs1,cn=memberserver,cn=computers,dc=buero,dc=<DOMAIN>,dc=com" in secrets.tdb
setting idmap secret for '*' from /etc/machine.secret
Secret stored
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
Object modified: cn=ucs-fs1,cn=memberserver,cn=computers,dc=buero,dc=<DOMAIN>,dc=com
Failed to join domain: Invalid configuration ("realm" set to '', should be 'buero.<DOMAIN>.com') and configuration modification was not requested
Failed to join domain: Invalid configuration ("workgroup" set to '<DOMAIN>', should be 'UCS-MASTER'"realm" set to '', should be '(null)') and configuration modification was not requested
Failed to join domain: Invalid configuration ("workgroup" set to '<DOMAIN>', should be 'UCS-FS1'"realm" set to '', should be '(null)') and configuration modification was not requested
ERROR: Failed to join via net rpc join. Please check your Samba DCs and your DNS and WINS configuration.
EXITCODE=1
[quote]Das halte ich für inkorrekt. Die App »AD-kompatibler DC« ist dafür da, wenn man unter Linux einen AD-DC betreiben möchte. Das ist allerdings das (ferne) Ziel des kompletten AD-Takeover-Prozesses und im jetzigen Stadium kontraproduktiv: Univention unterstützt schlicht das parallele Betreiben von UCS-basierten und Windows-basierten AD DCs in derselben Domäne nicht.
Was verwirrend ist, ist die Tatsache, dass sämtliche Windows-Dienste (also »DC für ein AD« oder »nur File- und Druckserver im AD«) von ein und derselben Software (Samba 4) bereitgestellt werden. Aber die sollte aufgrund des AD-Connectors bei Ihnen eigentlich schon drauf sein. Posten Sie doch bitte mal von beiden Servern die Ausgabe von »dpkg -l | grep samba«.
[/quote]
UCS-Master:
ii python-samba 2:4.2.3-1.795.201510081809 amd64 Python bindings for Samba
ii samba 2:4.2.3-1.795.201510081809 amd64 SMB/CIFS file, print, and login server for Unix
ii samba-common 2:4.2.3-1.795.201510081809 all common files used by both the Samba server and client
ii samba-common-bin 2:4.2.3-1.795.201510081809 amd64 Samba common files used by both the server and the client
ii samba-dsdb-modules 2:4.2.3-1.795.201510081809 amd64 Samba Directory Services Database
ii samba-libs:amd64 2:4.2.3-1.795.201510081809 amd64 Samba core libraries
ii samba-vfs-modules 2:4.2.3-1.795.201510081809 amd64 Samba Virtual FileSystem plugins
ii univention-newsid 6.0.0-1.27.201407151012 amd64 UCS - generate a new samba sid
ii univention-samba 9.0.5-6.497.201506021757 all UCS - Samba domain controller
ii univention-samba-local-config 9.0.5-6.497.201506021757 all UCS - UCR Extensions for configuration of local shares
UCS-FS1:
ii python-samba 2:4.2.3-1.758.201507271307 amd64 Python bindings for Samba
ii samba 2:4.2.3-1.758.201507271307 amd64 SMB/CIFS file, print, and login server for Unix
ii samba-common 2:4.2.3-1.758.201507271307 all common files used by both the Samba server and client
ii samba-common-bin 2:4.2.3-1.758.201507271307 amd64 Samba common files used by both the server and the client
ii samba-dsdb-modules 2:4.2.3-1.758.201507271307 amd64 Samba Directory Services Database
ii samba-libs:amd64 2:4.2.3-1.758.201507271307 amd64 Samba core libraries
ii samba-vfs-modules 2:4.2.3-1.758.201507271307 amd64 Samba Virtual FileSystem plugins
ii univention-samba 9.0.5-6.497.201506021757 all UCS - Samba domain controller
ii univention-samba-local-config 9.0.5-6.497.201506021757 all UCS - UCR Extensions for configuration of local shares
Ich hoffe die Informationen helfen weiter, und würde mich über weitere Tipps sehr freuen.
für mich sieht das sehr danach aus, dass diese Art von Mischbetrieb schlicht und ergreifend nicht unterstützt wird. Bei UCS-Rolle Memberserver geht Samba davon aus, dass der UCS-DC-Master auch ein AD-DC ist, was natürlich nicht der Fall ist, wenn der UCS-DC-Master nur ein AD-Memberserver ist. Ich denke, Sie werden sich hier einen anderen Plan zur Herangehensweise machen müssen. Vielleicht den UCS DC Master erst mal die Fileserverpflichten übernehmen lassen und bei Domänenübernahme dann die Daten auf einen zweiten UCS-Server migrieren oder so.