Nmblookup zwischen Samba 4 DCM und Samba 3 Memberserver

UCS - Univention Corporate Server
#1

Hallo,

für einen Tipp bei folgendem Problem wäre ich dankbar:

Topologie:

Samba 3 UCS 3.0 Memberserver “file01” läuft als KVM Gast innerhalb des DCM (Interface bridged). Der DCM ist ebenfalls UCS 3.0 mit Samba 4 + LDAP für Identity-Management und Richtlinienverwaltung.

Der Join-Status von file01 sieht tadellos aus.

Auf dem DCM stehen die Variablen windows/wins-server= und windows/wins-support=yes,
auf file01 windows/wins-server=192.168.12.230 und windows/wins-support=.

Problem:

Ein Zugriff auf die Shares des Samba 3 Memberservers “file01” von einem XP-Client (auch mit Mac OS und Win7 getestet) ist nicht möglich. Ich teste erst einmal innerhalb eines Subnetzes (alle Server, alle Clients), um Firewallprobleme auszuschließen. Ein Join eines Win7 Pro Gastes in die Domäne verlief erfolgreich, aber auf die Shares ist leider kein Zugriff zu bekommen.

Eine Analyse der Logfiles hat mich nicht wirklich weitergebracht, denn Benutzer/Passwort passen. Am Windows-Client gebe ich MEINE_DOMAIN\Administrator an, und nach dem Ausfüllen des Anmeldepopups sind auth.log und smbd.log auf file01 und DCM sauber.

Aber ich habe folgendes festgestellt: Ich bekomme einen Timeout beim nmblookup auf dem Samba 3 Memberserver und einen “Lookup failed - NT_STATUS_OBJECT_NAME_NOT_FOUND” auf dem Samba 4 DCM.

Auf dem Memberserver file01 sieht das so aus:

root@file01:/var/log# nmblookup -R file01 -U 192.168.12.230 querying file01 on 192.168.12.230 192.168.12.232 file01<00> root@file01:/var/log# nmblookup -R projects -U 192.168.12.230 querying projects on 192.168.12.230 192.168.12.230 projects<00> root@file01:/var/log# Unable to find the Domain Master Browser nameRead from remote host file01.be-team.org: Operation timed out

Auf dem DCM sieht es so aus:

root@projects:~# nmblookup -R file01 -U 192.168.12.230 Lookup failed - NT_STATUS_OBJECT_NAME_NOT_FOUND root@projects:~# nmblookup -R projects -U 192.168.12.230 192.168.12.230 PROJECTS<00>

Die Artikel “nmblookup mit samba4wins” und “Einrichtung von WINS” habe ich gelesen und bin nun nicht sicher, ob ich die WINS Replikation benötige. Eigentlich sollten sich die beiden Maschinen wechselseitig problemlos erreichen können.

Im Moment weiß ich nicht, wo ich weiter graben muss - für einen Tipp wäre ich wie gesagt dankbar!

Beste Grüße
Matthias Köper

Anlegen neuer User: samba Home-Dir nicht erzeugt
Anlegen neuer User: samba Home-Dir nicht erzeugt
#2

Nachtrag:

Habe eben folgende netbios-Policy nachgetragen (es war keine default-Policy vorhanden):

Typ: Richtlinie: DHCP NetBIOS
Position: org.be-team:/policies
Name (*): netbios-be-tam
NetBIOS-Nameserver: 192.168.12.230
NetBIOS Scope:
NetBIOS Node Typ: 4 M-node: Mixed - broadcast, then WINS

Nun ist nbmlookup auf dem Memberserver erfolgreich:

root@file01:/var/log# nmblookup -R file01 -U 192.168.12.230 querying file01 on 192.168.12.230 192.168.12.232 file01<00> root@file01:/var/log# nmblookup -R projects -U 192.168.12.230 querying projects on 192.168.12.230 192.168.12.230 projects<00>

Auf dem DCM aber ist der Netbios-Name file01 noch unbekannt:

root@projects:~# nmblookup -R projects -U 192.168.12.230 192.168.12.230 PROJECTS<00> root@projects:~# nmblookup -R file01 -U 192.168.12.230 Lookup failed - NT_STATUS_OBJECT_NAME_NOT_FOUND

#3

Noch ein Nachtrag:

Jetzt sieht die log.smbd nach dem Versuch, den Share einzubinden, so aus:

root@file01:/var/log# tail $( find -mmin -2 ) ==> ./samba/log.smbd <== [2012/07/12 12:15:32.101559, 0] auth/auth_domain.c:188(connect_to_domain_password_server) connect_to_domain_password_server: unable to open the domain client session to machine PROJECTS. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO. [2012/07/12 12:15:32.156404, 0] rpc_client/cli_pipe.c:3940(get_schannel_session_key_common) get_schannel_session_key: could not fetch trust account password for domain 'BE-TEAM' [2012/07/12 12:15:32.156959, 0] rpc_client/cli_pipe.c:4163(cli_rpc_pipe_open_schannel) cli_rpc_pipe_open_schannel: failed to get schannel session key from server PROJECTS for domain BE-TEAM. [2012/07/12 12:15:32.156997, 0] auth/auth_domain.c:188(connect_to_domain_password_server) connect_to_domain_password_server: unable to open the domain client session to machine PROJECTS. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO. [2012/07/12 12:15:32.158288, 0] auth/auth_domain.c:289(domain_client_validate) domain_client_validate: Domain password server not available.

#4

Hallo,

inzwischen habe ich den Join von file01 in die Domäne BE-TEAM neu ausgeführt (keine Fehlermeldungen) und mich am Herstellen der Vertrauensstellung folgendermaßen versucht:

net rpc trustdom establish BE-TEAM Enter BE-TEAM$'s password: Could not connect to server PROJECTS The username or password was not correct. Couldn't verify trusting domain account. Error was NT_STATUS_LOGON_FAILURE

Auf dem DCM habe ich einen Rechner vom Typ “Domain Trust Account” angelegt:

Typ: Rechner: Domain Trust Account
Position: org.be-team:/computers
Name (*): be-team

Ich hatte den Namen auch schon in Großbuchstaben (BE-TEAM) angegeben - erfolglos :frowning:

==> ./samba/log.samba <== [2012/07/12 19:53:45.913617, 2, pid=6508] ../source4/auth/ntlm/auth.c:393(auth_check_password_recv) auth_check_password_recv: sam_ignoredomain authentication for user [BE-TEAM\BE-TEAM$] FAILED with error NT_STATUS_NO_SUCH_USER [2012/07/12 19:53:45.913807, 2, pid=6508] ../source4/auth/gensec/spnego.c:725(gensec_spnego_server_negTokenTarg) SPNEGO login failed: NT_STATUS_NO_SUCH_USER [2012/07/12 19:53:45.915354, 1, pid=6508] ../source3/smbd/process.c:463(receive_smb_talloc) read_smb_length_return_keepalive failed for client ipv4:192.168.12.232:43578 read error = NT_STATUS_END_OF_FILE.

Am nmblookup-Problem hat sich nichts geändert…

#5

Inzwischen geht es; ich führe das einerseits auf die NetBIOS-Policy und andererseits auf eine korrigierte DNS-Einstellung zurück: Auf dem file01 habe ich den DCM als alleinigen DNS-Server eingetragen (ich habe noch keinen sekundären DNS-Server, der auch die Service Records der Domäne hostet). Von dort bekommt er nun ganz ordentlich seine Service Records. Der Restart von Samba und Nameserver-Diensten hatte zunächst nicht zum Erfolg geführt, aber nachdem ich das Wochenende über die Finger vom Server gelassen habe, geht es nun.

Wirklich klar ist mir leider nicht, was den Erfolg gebracht hat - DNS, Domain Trust User, net rpc trustdom establish, DHCP NetBIOS Policy…?

Noch etwas ratlos, aber jetzt mit funktionierendem Share-Zugriff…
Matthias

#6

Hallo,

schön, dass nun bei Ihnen alles wie gewünscht funktioniert!

Generell sollte die von Ihnen beschriebene Konstellation allerdings out-of-the-box funktionieren und Ihre Anpassungen (NetBIOS-Policy, TRUST Account, etc.) nicht notwendig sein.
Ich würde daher vermuten, dass hier die ursprüngliche DNS-Konfiguration ursächlich für die beobachteten Probleme war.

Mit freundlichen Grüßen,
Tim Petersen

Mastodon