Kein Zugriff auf sysvol vom Backup DC

t.haehnel · May 11, 2020, 10:31am

Hallo,

wir haben einen Master DC und einen Backup DC mit UCS4.4 im Netz.
Auf beiden Systemen ist “Active Directory-kompatibler Domänencontroller” installiert.
Das Problem hat sich folgendermaßen bemerkbar gemacht: Je nach dem welcher der beiden Server als Logon-Server von Windows Clients benutzt wird, gibt es Probleme beim Abrufen der GPOs. Das Abrufen der Computerrichtlinien funktioniert, beim Abrufen der Benutzerrichtlinie kommt es zu Problemen, wenn der Logon-Server der Backup DC ist.
Beim Master DC funktioniert alles reibungslos, wenn man unter Windows im Dateiexplorer auf “\\master.domain.intern” zugreift hat man problemlos Zugriff auf die sysvol-Freigabe, beim “\\backup.domain.intern” kommt allerdings die Fehlermeldung “Der Benutzername bzw. das Kennwort ist falsch”.
Auf beiden Systemen gibt es bei der Systemdiagnose in der Management Console keine Fehlermeldungen.
Ein “samba-tool ntacl sysvolcheck” und “samba-tool ntacl sysvolreset” konnte das Problem auch nicht lösen.
Beim “getfacl /var/lib/samba/sysvol/” schein auch alles auf normalen Parametern zu stehen:

# file: var/lib/samba/sysvol/
# owner: Administrator
# group: Administrators
user::rwx
user:Administrator:rwx
user:5012:r-x
user:5037:rwx
group::rwx
group:Authenticated\040Users:r-x
group:System:rwx
group:Administrators:rwx
group:Server\040Operators:r-x
mask::rwx
other::---
default:user::rwx
default:user:Administrator:rwx
default:user:5012:r-x
default:user:5037:rwx
default:group::---
default:group:Authenticated\040Users:r-x
default:group:System:rwx
default:group:Administrators:rwx
default:group:Server\040Operators:r-x
default:mask::rwx
default:other::---

Hat jemand eine Lösung dafür? Das Durchstöbern vorhandener Topics hat mir auch keinen Lösungsansatz gebracht.

Grüße
T. Hähnel

t.haehnel · May 28, 2020, 12:56pm

Kann mir wirklich keiner weiterhelfen?
Ich wollte gerne das Neuaufsetzen des Backup DC vermeiden, da dieser schon passend eingerichtet ist.
Das Problem scheint ja nicht unbedingt selten zu sein, da mir dies in einer früheren Testumgebung schon einmal aufgefallen ist, ich es aber ignoriert habe, da das Produktivsystem neu aufgesetzt wurde. Nun ist es im Produktivsystem wieder aufgetreten.

t.haehnel · May 28, 2020, 1:04pm

Beim Master ergibt sich beim getfacl übrigens genau die selbe Ausgabe, also da gibt es schon keine Unterschiede.
Auch die Systemdienste samba4 und univention-s4-connector sind auf dem Backup DC gestartet.

SirTux · May 28, 2020, 3:57pm

Hi,

betrifft das nur sysvol oder auch andere Shares, z.B. netlogon (ggf. auch mal ein anderes An legen)? Funktioniert die Replikation? Was sagt denn die Systemdiagnose?

Viele Grüße,
SirTux

t.haehnel · June 2, 2020, 4:59am

Hi SirTux,

dies betrifft anscheinend alle Shares. Auch auf eine neu erstellte Samba-Freigabe auf dem Backup DC kann man nicht zugreifen. Wenn man im Datei-Explorer “\\backup.domain.intern” eingibt, kommt generell die Fehlermeldung “Der Benutzername bzw. das Kennwort ist falsch”, was aber nicht sein kann, da ich korrekt an Windows angemeldet bin und beim Master alles problemlos funktioniert.

Die Replikation funktioniert, habe diese auch schon mehrmals manuell angestoßen.
Auf beiden Systemen, sowohl am Master, als auch am Backup, bringt die Systemdiagnose keine Fehlermeldungen.
Die Dienste laufen laut UMC -> Systemdienste, habe diese auch schon neugestartet.

Beste Grüße
T. Hähnel

SirTux · June 2, 2020, 10:25am

Hi, hast du am Client auch ein Kerberos-Ticket? Ist der Client in der Domain?

t.haehnel · June 3, 2020, 5:43am

Ja, alles vorhanden.
Ich melde mich am Client ja auch mit meinem Domain-Benutzername an, am Backup kann ich mich auch an der UMC anmelden. Der Zugriff auf Sysvol und sämtliche Samba-Freigaben auf dem Master funktioniert ja auch, nur auf dem Backup DC nicht.
Ich sehe schon, das Problem kennt anscheinend keiner, ich denke, ich werde den DC Backup wohl neu aufsetzen müssen.

t.haehnel · June 10, 2020, 7:37am

Nur die Neuinstallation des DC-Backups hat geholfen.