[gelöst] Kein Domänenbeitritt mehr möglich

Ich habe nach einem Update von Samba auf Version 3.4.3-1 folgendes Problem:

Zwei Virtuelle Maschienen (Windows-XP) fanden den Domänen-Controller nicht mehr.
War schon öfter, also wie gehabt - raus aus der Domäne, wier hin (funktionierte bisher immer)
Nun bekomme ich folgende Fehlermeldung beim Versuch der Dom beizutreten:

Der Mitgliedschaftsvorgang ist fehlgeschlagen. Mögliche Ursache
hierfür könnte sein, dass ein vorhandenes Computerkonto namens
"Win-PC-Test07" zuvor mit anderen Anmeldeinformationen erstellt
wurde. Verwenden Sie einen anderen Computernamen, oder wenden
Sie sich an den Administrator, um sämtliche veralteten in Konflikt
stehenden Konten zu entfernen. Fehler: Zugriff verweigert

Egal wie ich das System benenne - den Namen gibts angeblich schon.
Systeme die schon in der Dom sind (XP, Vista, Win7) funktionieren perfekt!
nur sobald ich einen Rechner aus der Domäne nehme, kriege ich ihn nicht mehr
rein.

hier meine smb.conf:

[global]
workgroup = ARB_GRP
server string = PDC
map to guest = Bad User
printcap name = cups
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon script = netlogon.bat
logon path = \\%N\profiles\.msprofile
logon home = \\%N\%U\.9xprofile
logon drive = P:
domain logons = Yes
profile acls = yes
os level = 64
preferred master = Yes
domain master = Yes
# idmap uid = 10000-20000
# idmap gid = 10000-20000
cups options = raw
include = /etc/samba/dhcp.conf
create mask = 0744
force create mode = 0666
security mask = 0777
force security mode = 00
directory mask = 0755
force directory mode = 0777
directory security mask = 0777
force directory security mode = 00
usershare allow guests = No
security = user



[homes]
comment = Home Directories
# valid users = %S, %D%w%S
read only = No
inherit acls = Yes
browseable = Yes

[profiles]
comment = Network Profiles Service
path = %H
read only = No
create mask = 0600
directory mask = 0700
store dos attributes = Yes
profile acls = yes

[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
create mask = 0664
printable = Yes
writable = Yes
browseable = Yes
use client driver = Yes

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = users
force group = users
create mask = 0664
directory mask = 0775

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = root

[data1]
comment = Daten_eins
path = /data/data1
read only = No
guest ok = No
case sensitive = No
force group = users

Was sagen die Logfiles des Samba?

sry, ganz vergessen /var/log/samba:

sagt mir aber nix

[2012/01/04 19:06:30, 1] smbd/service.c:1062(make_connection_snum)
Win-PC-Test07 :ffff:192.168.0.7) connect to service install initially as user nobody (uid=65534, gid=100) (pid 27595)
[2012/01/04 19:07:42, 0] rpc_server/srv_netlog_nt.c:561(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: no challenge sent to client Win-PC-Test07

[2012/01/04 19:08:03, 0] rpc_server/srv_netlog_nt.c:603(_netr_ServerAuthenticate3)

Welche Samba-Version hattest du vorher? Hast du das Maschinenkonto mal gelöscht und neu erzeugt?

hmmm, ich hab kein SAMBA Update "aus der Reihe" gemacht, war immer die Version, die vom SUSE-Linux kam.
Das Maschinenkonte hab ich schon in der smbpasswd gelöscht, aber zwischenzeitlich einen neuen Windows-PC-Namen vergeben
der Fehler trat vorher schon auf (vor dem Löschen)

Hat denn niemand eine Lösung?

Ich habe mittlerweile den nächsten neuen PC, der kann auch der Domäne nicht beitreten, nur die bestehenden PCs funktionieren.
Der Google gibt nix her, bin ich der einzige der dieses Problem hat?

Google gibt sehr wohl einiges her. Suchbegriff: "Samba keine Domänenbeitritt mehr möglich"

http://www.tlug.de/archiv/2011-February/009927.html

Vielen Dank, der Link hat mich einen Schritt weitergebracht, aber ich weiss nicht woran es liegt.

pdbedit -L liefert:
params.carameter() - Ignoring badly formed line in configuration file: [global]
build_sam_account: smbpasswd database is corrupt! username NBMatthias with uid 1118 is not in unix passwd database!

Sucht SAMBA da in einer falschen Datei? der Benutzer kann sich unter Linux und auch am PC über SAMBA anmelden, funktioniert also.
Nur ist dieser Benutzer vor den ganzen Problemen angelegt worden, alle Versuche seit dem Update einen neuen PC und Benutzer anzulegen
scheitern.

KalOr schrieb:

pdbedit -L liefert:
params.carameter() - Ignoring badly formed line in configuration file: [global]
build_sam_account: smbpasswd database is corrupt! username NBMatthias with uid 1118 is not in unix passwd database!

Zum Vergrößern anklicken....

Welche UID hat der Benutzer unter Linux? Ist die Schreibweise evtl. unterschiiedlcih?

KalOr schrieb:

Sucht SAMBA da in einer falschen Datei? der Benutzer kann sich unter Linux und auch am PC über SAMBA anmelden, funktioniert also.
Nur ist dieser Benutzer vor den ganzen Problemen angelegt worden, alle Versuche seit dem Update einen neuen PC und Benutzer anzulegen
scheitern.

Zum Vergrößern anklicken....

Nein, Samba such nicht in einer falschen Datei. Die Bentuzer des Linux-Rechners werden in die smbpasswd eingetragen aber nicht regelmäßgi abgeglichren. Wen du jetzt einen Benutzer aus Linux entfernst, dann ist er immer noch in der smbpasswd vorhanden und werden von Samba als gültig angesehen.
Du müsstest mal den Benutzer manuell in der smpasswd eintragen.

also in der /etc/passwd ist er mit der gleichen UID eingetragen
NBMatthias:x:1118:100:Matthias am Notebook,CAD, Notebook:/home/NBMatthias:/bin/false
nur pdbedit bringt da die Fehlermeldung

Sorry, war im Urlaub - deswegen jetzt erst die Antwort

also: grep -i nbmathias /etc passwd liefert:
NBMatthias:x:1118:100:Matthias am Notebook,CAD, Notebook:/home/NBMatthias:/bin/false

der Fehler bei pdbedit -L:
params.carameter() - Ignoring badly formed line in configuration file: [global]
build_sam_account: smbpasswd database is corrupt! username NBMatthias with uid 1118 is not in unix passwd database!

macht mich stutzig, also die erste Zeile:
params.carameter() - Ignoring badly formed line in configuration file: [global]

ich finde da keinen Fehler in der smb.conf, habe aber inzwischen viel dran rumgebastelt, deswegen die smb.conf nochmal neu:


global]
workgroup = ARB_GRP
server string = PDC
map to guest = Bad User
printcap name = cups
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon script = netlogon.bat
logon path = \\%N\profiles\.msprofile
logon home = \\%N\%U\.9xprofile
logon drive = P:
domain logons = yes
profile acls = yes
os level = 255
preferred master = Yes
local master = yes
domain master = yes
## idmap uid = 10000-20000
## idmap gid = 10000-20000
cups options = raw
## include = /etc/samba/dhcp.conf
create mask = 0744
force create mode = 0666
security mask = 0777
force security mode = 00
directory mask = 0755
force directory mode = 0777
directory security mask = 0777
# force directory security mode = 00
usershare allow guests = no
security = user
encrypt passwords = yes
client ntlmv2 auth = yes
dns proxy = yes
unix password sync = no
pam password change = no
smb passwd file = /etc/samba/smbpasswd
passdb backend = smbpasswd
smb ports = 139

[homes]
comment = Home Directories
# valid users = %S, %D%w%S
read only = No
inherit acls = Yes
browseable = Yes

[profiles]
comment = Network Profiles Service
path = %H
read only = No
create mask = 0600
directory mask = 0700
store dos attributes = Yes
profile acls = yes


usw. die einzelnen Freigaben habe ich weggelassen, da ja der Fehler lautet "in global"


jetzt gibt's noch ein lustiges Phänomen: der Rechner, an dem ich sitze (und mit vnc immer "rcsmb restart" eintippe) bringt beim Anmeldeversuch:
"Die Vertrauensstellung mit....." den Fehler krieg ich nicht weg! Was hilft ist: Netzwerkkabel raus - PC einschalten - Anmelden - und unmittelbar nach der
Passworteingabe das Netzwerkkabel rein - Loginskript wird ausgeführt, Freigaben sind alle da usw.
Nur bei der Passworteingabe darf kein Netzwerkkabel drin sein.

Sorry, aber jetzt blick' ich überhaupt nicht mehr durch

Noch ein Nachtrag:
warum liefert eigentlich "ps -ef | grep smbd" vier ergebnisse:
root 2842 1 0 16:44 ? 00:00:00 /usr sbin/smbd -D -s /etc/samba/smb.conf
root 2844 2842 0 16:44 ? 00:00:00 /usr sbin/smbd -D -s /etc/samba/smb.conf
root 3154 2842 0 16:44 ? 00:00:00 /usr sbin/smbd -D -s /etc/samba/smb.conf
root 3566 3521 0 17:03 pts/0 00:00:00 grep smbd

Stoppe den smbd mal und überprüfe, ob danach trotzdem noch smbd Prozesse laufen. Wenn ja kannst du sie mit abschießen und den Samba danach neustarten.

nach rcsmb stop lief nur noch der ......grep smbd, also nix mehr
nach rcsmb start liefen unmittelbar danach nur zwei Prozesse, nach ca. 30 Sekunden wieder drei
was hat das denn zu bedeuten?

nach 5 Minuten hab ich jetzt noch einen Benutzer 1174 (Das ist ein Maschinenkonto von einem PC)
der auch als Eigentümer den Prozess laufen hat neu dazubekommen

Was sagen die Logs vom Samba und vom Winbind?
Während du den smb Dienst stopst und danach prüfst, ob noch weitere Prozesse laufen, darf sich kein anderer Rechner mit dem Samba verbinden.

Sorry für die verspätete Antwort, aber da der Server ja so halbwegs noch funktioniert, kann ich erst nach Feierabend loslegen.
Also ich hab alle Rechener aus, den Server neu gestartet - dann lief smbd noch zweimal:
root 3506 1 0 18:20 ? 00:00:00 /usr/sbin/smbd -D -s /etc/samba/smb.conf
root 3507 3506 0 18:20 ? 00:00:00 /usr/sbin/smbd -D -s /etc/samba/smb.conf
root 3510 3479 0 18:20 pts/0 00:00:00 grep smbd

Ein Logfile-Eintrag nach Starten eines nicht mehr funktionierenden PCs ist:
[2012/04/16 18:45:18, 0] rpc_server/srv_netlog_nt.c:603(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client CAMARERO-XP2 machine account CAMARERO-XP2$


Ein typischer Eintrag in der log.smbd nach dem Einschalten eines PCs ist:
[2012/04/16 18:40:16, 0] smbd/service.c:845(make_connection_snum)
make_connection: connection to programme denied due to security descriptor.
das war jetzt für die Freigabe "programme" das bekomme ich für jede Freigabe.

2012/04/16 11:33:09, 0] rpc_server/srv_netlog_nt.c:603(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client LDT18 machine account LDT18$
Ist die Medung des PCs, der nur während der Anmeldung nicht am Netz sein darf.

Verwende mal die

OK, werde beim nächsten mal aufpassen,

Ich trau' mich nur keinen von den funktionierenden Clients aus der Domäne nehmen, weil ich sie nicht mehr reinkrieg.

Ich hab grad versucht einen neuen Benutzer anzulegen -> ebenfalls die Meldung "gibts schon"

Wenn ich mir sicher sein könnte das ich die Windows-Profile erhalten kann, würde ich die Domäne neu aufsetzen.
Ich glaube das wäre das beste.
Nur wie kriege ich das alte Samba rückstandsfrei platt - und die Profile erhalten?
Das Neuanlegen der fünf PCs und sieben Benutzer im Samba ist eigentlich kein Problem, nur wenn am Windows-Profil
etwas schiefgeht - dann wirds aufwendig.

KalOr schrieb:

OK, werde beim nächsten mal aufpassen,

Ich trau' mich nur keinen von den funktionierenden Clients aus der Domäne nehmen, weil ich sie nicht mehr reinkrieg.

Ich hab grad versucht einen neuen Benutzer anzulegen -> ebenfalls die Meldung "gibts schon"

Zum Vergrößern anklicken....

i

Beim anlegen der Machine Acccounts musst du selbst Hand anlegen. D.h. wenn per Samba ein Machine Account angelegt wird, dann existiert er in der /etc/passwd, aber nicht in der smbpasswd und du musst den Account "synchronisieren". Dann sollte sich der Client auch anmelden können.

Nimm dir mal einen der Clients, verbinde dich mit dem Samba und danach führst du smbpasswd aus.
Funktioniert das?