Samba 4 / Samba 3

german

#1

Hallo.
Ich habe zur Zeit einen AD Server UCS 4.1-3 errata239.
Den hatte ich in 02-2016 installiert und eine Domainmigration von einem Zentyal gemacht.
Das hat alles wunderbar geklappt.
Nun wollte ich einen neuen Client (Win7 und auch Win10 getestet) in die Domain bringen und bekomme Fehlermeldung (siehe Anlage):
a) Bild17 > Wilkommen…
b) Bild18 > Fehler beim Ändern des DNS-Namens…

Nun hatte ich erst das Netzwerk, DNS-Server, usw. in Verdacht. Aber ich denke das ist es nicht.
Denn dann habe ich die Registry-Einträge für Samba 3 gemacht. Und siehe da. Es geht.

Ich vermute… ich habe in 02-2016, ohne drauf zu achten, den UCS mit Samba 3 installiert.
Dann Updates ausgeführt und irgendetwas vergessen um die Umstellung auf Samba 4 korrekt abzuschließen.
Kann das sein? Oder kann mir jemand sagen wo mein Fehler liegt?!?

Wie gesagt: mit den Reg-Einträgen geht es plötzlich und die weiteren Windows-Geräte kamen aus der Migration.

Vielen Dank, Quickly





#2

Nachtrag:
Ich habe gerade noch ein wenig gestöbert und etwas über Scripte gefunden. Kannte ich noch gar nicht.
Aber wie dem auch sei…

Unter Domäne > Domänenbeitritt > Join-Status > steht bei allen Scripts = Status: erfolgreich
Und im Log findet sich unter anderem…

Fr 3. Jun 18:41:38 CEST 2016
RUNNING 96univention-samba4.inst
EXITCODE=already_executed

RUNNING 98univention-samba4-dns.inst
EXITCODE=already_executed

Und eine weitere Info: Der Server läuft als VM. Ich kann also problemlos ein Backup machen, evtl. ein Script erzwingen und dann testen. Nur mal so als Gedanke. Nur welches Script? :slight_smile:

THX, Quickly


#3

Hallo Quickly,

[quote=“Quickly”]
Ich vermute… ich habe in 02-2016, ohne drauf zu achten, den UCS mit Samba 3 installiert.
Dann Updates ausgeführt und irgendetwas vergessen um die Umstellung auf Samba 4 korrekt abzuschließen.
Kann das sein? Oder kann mir jemand sagen wo mein Fehler liegt?!?[/quote]

Hm, also ich war zwar nicht dabei, halte das aber für unwahrscheinlich. :slight_smile:
In UCS wird Samba nicht einfach so von Version 3 auf 4 aktualisiert, da ist eine manuelle Migration notwendig (s. wiki.univention.de/index.php?tit … to_Samba_4 )
War denn der Zentyal Server auch schon mit AD Funktionalität?

[quote=“Quickly”]
Wie gesagt: mit den Reg-Einträgen geht es plötzlich und die weiteren Windows-Geräte kamen aus der Migration.[/quote]

Also die Registry-Einträge sind ja diese beiden:

[code][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Enable NT-Domain compatibility mode
; Default:
; [value not present]
; “DomainCompatibilityMode”=-
“DomainCompatibilityMode”=dword:00000001

; Disable required DNS name resolution
; Default:
; [value not present]
; “DNSNameResolutionRequired”=-
“DNSNameResolutionRequired”=dword:00000000
[/code]

D.h. entweder hat dir das Anschalten des “NT-Domain compatibility mode” geholfen oder das Abschalten der Notwendigkeit einer funktionierenden DNS-Auflösung (evtl. auch die Kombination aus beiden, aber da mag ich noch nicht dran glauben).
Wenn du Zeit und Lust hast, kannst du auf einem Testsystem ja mal nur den einen oder den anderen Registry-Key setzen und testen, welcher von beiden zum Erfolg führt.

Die von dir genannten Join-Skripte sind allerdings recht eindeutige Beweise, dass dein UCS wirklich als Samba AD DC läuft. Den “NT-Domain compatibility mode” halte ich als Lösung daher für unwahrscheinlich. Bliebe dann doch wieder DNS als mögliches Problem.

Kannst du mal folgendes Script auf dem UCS ausführen, das alle notwendigen DNS Einträge für Samba AD prüft und die Ausgabe hier posten?

/usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh

Schönen Gruß,
Michael Grandjean


#4

Such keine Fehler die es überhaupt nicht gibt :wink:
Der in Bild 18 gezeigte Dialog kommt wenn es beim joinen der Domäne zulange dauert, den primären DNS Suffix auf dem Client zu setzen. Diese Meldung kommt auch in reinen Microsoft Umgebungen, dort aber fast nur auf Maschinen, die mit fester IP anstelle von DHCP konfiguriert sind.


#5

Noch ne Ergänzung.
Es hilft unter Umständen auch, den in den Domänennamen den Netbios Namen der Domäne rein zuschreiben, also in komplett Großbuchstaben.


#6

Also erst mal vielen Dank für die Antworten. THX!

[code]root@ucs01:~# /usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh
gc._msdcs.mydom.lan has address 192.168.0.3
_gc._tcp.mydom.lan has SRV record 0 100 3268 ucs01.mydom.lan.
_ldap._tcp.gc._msdcs.mydom.lan has SRV record 0 100 3268 ucs01.mydom.lan.
_ldap._tcp.mydom.lan has SRV record 0 100 389 ucs01.mydom.lan.
_ldap._tcp.dc._msdcs.mydom.lan has SRV record 0 100 389 ucs01.mydom.lan.
_ldap._tcp.pdc._msdcs.mydom.lan has SRV record 0 100 389 ucs01.mydom.lan.
_ldap._tcp.26952466-6eec-4fd5-86b8-3d20f2e8a03d.domains._msdcs.mydom.lan has SRV record 0 100 389 ucs01.mydom.lan.
_kerberos._tcp.dc._msdcs.mydom.lan has SRV record 0 100 88 ucs01.mydom.lan.
_kerberos._tcp.mydom.lan has SRV record 0 100 88 ucs01.mydom.lan.
_kerberos._udp.mydom.lan has SRV record 0 100 88 ucs01.mydom.lan.
_kpasswd._tcp.mydom.lan has SRV record 0 100 464 ucs01.mydom.lan.
_kpasswd._udp.mydom.lan has SRV record 0 100 464 ucs01.mydom.lan.
Located DC ‘ucs01’ in site ‘Default-First-Site-Name’
8978b8ef-735f-4e9f-82cb-7f5ad3c7dbf1._msdcs.mydom.lan is an alias for ucs01.mydom.lan.

Records for site Default-First-Site-Name:

_ldap._tcp.Default-First-Site-Name._sites.mydom.lan has SRV record 0 100 389 ucs01.mydom.lan.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.mydom.lan has SRV record 0 100 389 ucs01.mydom.lan.
_kerberos._tcp.Default-First-Site-Name._sites.mydom.lan has SRV record 0 100 88 ucs01.mydom.lan.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mydom.lan has SRV record 0 100 88 ucs01.mydom.lan.

Optional GC Records for site Default-First-Site-Name:

_gc._tcp.Default-First-Site-Name._sites.mydom.lan has SRV record 0 100 3268 ucs01.mydom.lan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.mydom.lan has SRV record 0 100 3268 ucs01.mydom.lan.
No _kerberos TXT record (ok)
root@ucs01:~#[/code]

Ok, das habe ich ausgeführt. Ich muss gestehen… ich kann lesen… ich lese… verstehe nur Bahnhof. :frowning:


#7

Das hatte ich versucht. Auch der Fehler.

[quote]Such keine Fehler die es überhaupt nicht gibt :wink:
Der in Bild 18 gezeigte Dialog kommt wenn es beim joinen der Domäne zulange dauert, den primären DNS Suffix auf dem Client zu setzen. Diese Meldung kommt auch in reinen Microsoft Umgebungen, dort aber fast nur auf Maschinen, die mit fester IP anstelle von DHCP konfiguriert sind.
[/quote]
Ja, es ist eine MS-Umgebung, feste IP´s habe ich auf allen Systemen.
Bei dem Test, ich hatte zich Versuche und Varianten, bin ich mir gerade nicht so sicher ob DHCP oder feste IP.
Ich habe dann allerdings noch einen Windows 2012R2 versucht. Leider auch der Fehler. Und der hatte DHCP, dann später feste IP.

Eine weitere Frage von mir die evtl. damit zusammen hängt = [url]DNS Server]

Wenn das “Ja” ist, und ich meine das auch so gesehen zu haben (wird halt dann in der UCS-GUI angezeigt), dann habe ich ein Problem. Denn dieser Eintrag wurde nicht angezeigt. Musste ich dann per Hand setzen.

Diese Frage stellt sich für mich weil… man wird nicht jünger. Beim Zentyal wurden die DNS nie erstellt. Musste ich immer per Hand machen. Beim UCS war/bin ich mir einfach nicht mehr sicher.

Für Hilfe oder Ansätze wäre ich echt dankbar.

Quickly


#8

Der “Fehler” ist kein Fehler, der auf dem UCS oder Windows Domain Controller stattfindet, sondern ein Fehler auf dem Client. Der Fehler besagt, das der Client nicht in der Lage ist, seinen vollständigen Namen von Clientname. auf Clientname.domain.tld. zu ändern. Das tritt vor allen dann auf, wenn der Client mit statischen IP Adressen betrieben wird. Wenn man nach dem Domänenbeitritt einmal gebootet hat ist dann komischerweise doch der richtige Name auf dem Client gesetzt.
Alles eine rein kosmetische Sache.