• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Computerkonto wird nicht gefunden

Z

zum

Newbie
Seit gut einer Woche kämpfe ich mit einem folgendem Phänomen:
Ich habe einen LDAP/Samba-Server als PDC aufgesetzt. Nun kann ich mich an einem Linux-Client anmelden. Genauso problemlos kann ich via Samba einen Share anhängen (Linux und Windows) und einen Windows-Client an der Domäne anhängen. Will ich mich aber an dem Windows-Client an der Domäne anmelden, funktioniert dies nur sehr selten. Meisst funktioniert dies nicht und ich erhalte die Meldung, dass das Computerkonto nicht gefunden werden konnte.
Selbst die beigezogene Hilfe eines externen Linux-Spezialisten hat bis jetzt nichts gebracht.
Wir verwenden SLES 9 SP2, inkl. der neuesten Updates und die smbldap-tools.

/etc/samba/smb.conf
Code: 
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2005-05-23
[global]
        netbios name = THU-LWTPDC
        workgroup = WT-THU-LABOR
        server string =
        os level = 255
        domain master = yes
        prefered master = yes
        security = user
        domain logons = yes
        log level = 1
        log file = /var/log/samba/%m.log
        encrypt passwords = yes
        logon drive = M:
        logon home = \\%N\%U\Documents
        logon path =
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        printer admin = @ntadmin, root, administrator
        map to guest = Bad User

        passdb backend = ldapsam:ldap://localhost
        idmap backend = ldap:ldap://localhost
        ldap passwd sync = yes
        ldap admin dn = cn=samba,ou=Admins,dc=wt-thu-labor
        ldap suffix = dc=wt-thu-labor
        ldap machine suffix = ou=Computers
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap ssl = start_tls
        ldap idmap suffix = ou=Computers
        ldap delete dn = yes

        add user script = /opt/IDEALX/sbin/smbldap-useradd -m "%u"
        delete user script = /opt/IDEALX/sbin/smbldap-userdel -r "%u"
        add machine script = /opt/IDEALX/sbin/smbldap-useradd -w "%u"
        add group script = /opt/IDEALX/sbin/smbldap-groupadd -a "%g"
        delete group script = /opt/IDEALX/sbin/smbldap-groupdel "%g"
        add user to group script = /opt/IDEALX/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /opt/IDEALX/sbin/smbldap-groupmod -x "%u" "%g"
        set primary group script = /opt/IDEALX/sbin/smbldap-usermod -g "%u" "%g"
[netlogon]
        comment = Samba Network Logon Service
        path = /etc/samba/netlogon
        public = no
        read only = yes
        writable = no
        browsable = no
[homes]
        comment = Home Directories
        valid users = %S
        browseable = No
        read only = No
        inherit acls = Yes
        guest ok = no
        writable = yes
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @ntadmin root
        force group = ntadmin
        create mask = 0664
        directory mask = 0775

/etc/openldap/slapd.conf
Code: 
#
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/rfc2307bis.schema
include         /etc/openldap/schema/samba3.schema

schemacheck     off

pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

TLSCertificateFile /etc/openldap/ldapcert.pem
TLSCertificateKeyFile /etc/openldap/ldapkey.pem
TLSCACertificateFile /etc/openldap/demoCA/cacert.pem
TLSCiperSuite HIGH:MEDIUM:+SSLv2
TLSVerifyClient try

modulepath      /usr/lib/openldap/modules

## Yast2 samba hack ACL
## allow the "ldap admin dn" access, but deny everyone else
#access to attrs=SambaLMPassword,SambaNTPassword
#       by dn="cn=samba,ou=Admins,dc=wt-thu-labor" write
#       by * none
## Yast2 samba hack ACL done
access to attr=userPassword,sambaLMPassword,sambaNTPassword,shadowLastChange
        by dn.children="ou=Admins,dc=wt-thu-labor" write
        by self write
        by anonymous auth
        by * none

access to *
        by dn.children="ou=Admins,dc=wt-thu-labor" write
        by * read
        by self write
        by users read

#######################################################################
# BDB database definitions
#######################################################################

database        bdb
checkpoint      1024    5
cachesize       10000
loglevel        5
suffix          "dc=wt-thu-labor"
rootdn          "cn=Manager,dc=wt-thu-labor"
rootpw          {SSHA}p6A+PmRIaMMlkqgds6g5k/rKYq7nu6Gp
password-hash   {SSHA}
directory       /var/lib/ldap

index   objectClass                                     eq,pres
index   uidNumber,gidNumber,loginShell                  eq,pres
index   uid,memberUID                                   eq,pres
index   sambaSID,sambaPrimaryGroupSID,sambaDomainName   eq

/etc/openldap/ldap.conf
Code: 
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
TLS_REQCERT     allow
host    10.165.101.40
base    dc=wt-thu-labor

/etc/ldap.conf
Code: 
#
# This is the configuration file for the LDAP nameservice
# switch library, the LDAP PAM module and the shadow package.
#

# Your LDAP server. Must be resolvable without using LDAP.
host    127.0.0.1

# The distinguished name of the search base.
base    dc=wt-thu-labor

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version    3

# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
#binddn cn=Manager,dc=example,dc=com

# The credentials to bind with.
# Optional: default is no credential.
#bindpw secret

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
#rootbinddn cn=Manager,dc=example,dc=com

# The port.
# Optional: default is 389.
#port 389

# The search scope.
#scope sub
#scope one
#scope base

# Search timelimit
#timelimit 30

# Bind timelimit
#bind_timelimit 30

# Idle timelimit; client will close connections
# (nss_ldap only) if the server has not been contacted
# for the number of seconds specified below.
#idle_timelimit 3600

# Filter to AND with uid=%s
#pam_filter objectclass=account

# The user ID attribute (defaults to uid)
#pam_login_attribute uid

# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes

# Check the 'host' attribute for access control
# Default is no; if set to yes, and user has no
# value for the host attribute, and pam_ldap is
# configured for account management (authorization)
# then the user will not be allowed to login.
#pam_check_host_attr yes

# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com

# Group member attribute
#pam_member_attribute uniquemember

# Specify a minium or maximum UID number allowed
#pam_min_uid 0
#pam_max_uid 0

# Template login attribute, default template user
# (can be overriden by value of former attribute
# in user's entry)
#pam_login_attribute userPrincipalName
#pam_template_login_attribute uid
#pam_template_login nobody

# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
#pam_password clear

# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
pam_password    crypt

# Remove old password first, then update in
# cleartext. Necessary for use with Novell
# Directory Services (NDS)
#pam_password nds

# Update Active Directory password, by
# creating Unicode password and updating
# unicodePwd attribute.
#pam_password ad

# Use the OpenLDAP password change
# extended operation to update the password.
#pam_password exop

# Redirect users to a URL or somesuch on password
# changes.
#pam_password_prohibit_message Please visit http://internal to change your password.

# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX          base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd       ou=People,
# to append the default base DN but this
# may incur a small performance impact.
#nss_base_passwd        ou=People,dc=padl,dc=com?one
#nss_base_shadow        ou=People,dc=padl,dc=com?one
#nss_base_group         ou=Group,dc=padl,dc=com?one
#nss_base_hosts         ou=Hosts,dc=padl,dc=com?one
#nss_base_services      ou=Services,dc=padl,dc=com?one
#nss_base_networks      ou=Networks,dc=padl,dc=com?one
#nss_base_protocols     ou=Protocols,dc=padl,dc=com?one
#nss_base_rpc           ou=Rpc,dc=padl,dc=com?one
#nss_base_ethers        ou=Ethers,dc=padl,dc=com?one
#nss_base_netmasks      ou=Networks,dc=padl,dc=com?ne
#nss_base_bootparams    ou=Ethers,dc=padl,dc=com?one
#nss_base_aliases       ou=Aliases,dc=padl,dc=com?one
#nss_base_netgroup      ou=Netgroup,dc=padl,dc=com?one

# attribute/objectclass mapping
# Syntax:
#nss_map_attribute      rfc2307attribute        mapped_attribute
#nss_map_objectclass    rfc2307objectclass      mapped_objectclass

# configure --enable-nds is no longer supported.
# For NDS now do:
#nss_map_attribute uniqueMember member

# configure --enable-mssfu-schema is no longer supported.
# For MSSFU now do:
#nss_map_objectclass posixAccount User
#nss_map_attribute uid msSFUName
#nss_map_attribute uniqueMember posixMember
#nss_map_attribute userPassword msSFUPassword
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_objectclass posixGroup Group
#pam_login_attribute msSFUName
#pam_filter objectclass=User
#pam_password ad

# configure --enable-authpassword is no longer supported
# For authPassword support, now do:
#nss_map_attribute userPassword authPassword
#pam_password nds

# For IBM SecureWay support, do:
#nss_map_objectclass posixAccount aixAccount
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
#pam_password clear

# Netscape SDK LDAPS
#ssl on

# Netscape SDK SSL options
#sslpath /etc/ssl/certs/cert7.db

# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
ssl     start_tls
nss_map_attribute       uniqueMember member
pam_filter      objectclass=posixAccount
nss_base_passwd ou=Users,dc=wt-thu-labor
nss_base_passwd ou=Computers,dc=wt-thu-labor
nss_base_shadow ou=Users,dc=wt-thu-labor
nss_base_group  ou=Groups,dc=wt-thu-labor
#ssl on

# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is "no"
#tls_checkpeer yes

# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
#tls_cacertfile /etc/ssl/ca.cert
#tls_cacertdir /etc/ssl/certs

# SSL cipher suite
# See man ciphers for syntax
#tls_ciphers TLSv1

# Client certificate and key
# Use these, if your server requires client authentication.
#tls_cert
#tls_key

/etc/nsswitch
Code: 
# passwd: files nis
# shadow: files nis
# group:  files nis

passwd:	compat
group:	compat

hosts:	files dns
networks:	files dns

services:	files
protocols:	files
rpc:	files
ethers:	files
netmasks:	files
netgroup:	files
publickey:	files

bootparams:	files
automount:	files nis
aliases:	files
passwd_compat:	ldap
group_compat:	ldap

Wer kann mir helfen und erklären was ich falsch mache?

Viele Grüsse

Markus
 
A

Anonymous

Gast
Hallo zum,

das Problem das du beschreibst kann eigentlich nicht an den Konfigurationsdateien liegen, denn dann würde es wahrscheinlich überhaupt nicht funktionieren, und das tut es ja, wenigstens ab und zu, wie du berichtest.

Ein üblicher Verdächtiger in dieser Konstellation ist immer der "nscd" (Name Services Caching Daemon). Kannst ja mal googlen was der so macht, und was für Probleme der bereitet.

Wenn er bei euch läuft, würde ich ihn zunächst mal abschalten, und sehen was passiert.
 
OP
Z

zum

Newbie
newedition schrieb:
Ein üblicher Verdächtiger in dieser Konstellation ist immer der "nscd" (Name Services Caching Daemon). Kannst ja mal googlen was der so macht, und was für Probleme der bereitet.

Wenn er bei euch läuft, würde ich ihn zunächst mal abschalten, und sehen was passiert.
Zum Vergrößern anklicken....


Werde die Sache mit dem "nscd" heute gegen Abend mal ausprobieren. Kann das Ganze evtl. auch vom DHCP/DNC-Server (SuSE 9.1 Pro) beeinflusst werden?


Gruss Markus
 
zero0109

zero0109

Hacker
Will ich mich aber an dem Windows-Client an der Domäne anmelden, funktioniert dies nur sehr selten. Meisst funktioniert dies nicht und ich erhalte die Meldung, dass das Computerkonto nicht gefunden werden konnte.
Zum Vergrößern anklicken....
Das Problem ist mir bekannt und trat bei uns dann auf, wenn man bei der Aufnahme des Rechners in die Domäne nicht sämtliche von Microsoft vorgeschriebenen Reboots durchgeführt hatte.

D.h. in diesem Fall, falls der Rechner gerade in einer Domäne ist, den Rechner kurz in eine Arbeitsgruppe -> Neusart, dann wieder in die Domäne -> Neustart und dann sollte es gehen.

Natürlich kann das vermutlich auch noch an allen möglichen anderen Sachen liegen, bei uns hier verhält sich die Sache aber immer so.
 
OP
Z

zum

Newbie
Sitze gerade im Büro und habe erst mal den "nscd" abgeschaltet: Ergebnis: keine Veränderung :cry: , auch nicht nach einem Reboot des Servers und des Clients.
Wir booten die Windows-Clients immer, wenn Windows uns dazu auffordert (Wir hatten bei Nichtbefolgen eben auch schon das eine oder andere Problem). Trotzdem habe ich einen Client in eine Arbeitsgruppe -> Neustart und dann wieder an die Domäne angemeldet -> Neustart. Ergebnis: keine Veränderung :cry: . Kann mich zur Zeit auf keinem der 3 Clients anmelden immer die gleiche Meldung:

Es kann keine Verbindung mit der Domäne hergestellt werden, da der Domänencontroller nicht verfügbar ist bzw. das Computerkonto nicht gefunden wurde. wiederholen sie den Vorgang später. Wende sie sich an den Computeradministrator, wenn diese Meldung wieder erscheint.
Zum Vergrößern anklicken....


Gruss

Ein nachdenklicher Markus...
 
A

Anonymous

Gast
Hallo zum, was für Firewalls kommen bei euch zum Einsatz? Schalte die Firewalls (Server und Client) bitte mal testweise aus, und versuche das Ganze nochmal.
 
OP
Z

zum

Newbie
Firewall habe ich soeben am Server ausgeschaltet. Bei den Clients haben nur die Notebooks eine Firwall. Konnte bisher deswegen kein Unterschied im verhalten bei der Anmeldung feststellen. Funktioniert bei beiden nicht :cry:


Gruss Markus
 
OP
Z

zum

Newbie
Die Konfiguration funktioniert jetzt. Aber erst, seit wir unser Netz vom restlichen Netz der Firma, bis auf Internet und DNS-Forwarding zu gemacht haben. Nun gilt es, rauszufinden welcher Dienst des anderen Netzes bei uns reinschreit.


Gruss Markus
 
OP
Z

zum

Newbie
smb schrieb:
Lief vorher mehr als ein DHCP-Server?
Zum Vergrößern anklicken....

Im Prinzip ja, aber in einem anderen VLAN. Unser DHCP hat eigentlich sehr gut funktioniert. Was eher Probleme gemacht hat, ist der DNS, aber der wird gerade entsprechend untersucht.


Gruss Markus
 
A

Anonymous

Gast
Ich will jetzt nicht näher darauf eingehen wie ihr euer VLAN gebaut habt, aber kann es sein das die Clients vielleicht "falsche" IP's von einem anderen DHCP bezogen haben, und deswegen kein Domaincontroller gefunden wurde?

Wie du ja sagtest, hat es ab und zu mal geklappt. Das würde von der Beschreibung her ganz gut zu der Theorie passen.
 
Y

Yehudi

Guru
Das ist eine verflucht gute Idee, wir hatten hier neulich schon mal jemanden, der mit dhcp ein Problem nach einem Update hatte, und dann lief das ganze nicht mehr, es lag dort def. am dhcp. Ich muss mal den Artikel suchen. Damit will ich nicht sagen, dass es jetzt daran liegt, aber es wäre eine Möglichkeit, die wahrscheinlich schon fast zu einfach klingt.
 
OP
Z

zum

Newbie
Meine Clients haben immer vom richtigen DHCP-Server ihre Adresse bekommen. Das habe ich zuerst kontrolliert. Mittlerweile haben ich unseren DNS soweit hinbekommen, dass er nun auch von dem Namen die Adresse auflösen kann. Heute Abend haben wir dann das Netz wieder aufgemacht und siehe da, es funktioniert alles :D . Wenn morgen den ganzen Tag durch alles funktioniert, gehe ich davon aus, dass unser nicht ganz gut konfigurierter DNS unser wirkliches Problem war. Warum der dabei aber eine Rolle spielt, habe ich noch nicht begriffen (wie auch bei MS?)...


Viele Grüsse

Markus
 
A

Anonymous

Gast
zum schrieb:
Wenn morgen den ganzen Tag durch alles funktioniert, gehe ich davon aus, dass unser nicht ganz gut konfigurierter DNS unser wirkliches Problem war. Warum der dabei aber eine Rolle spielt, habe ich noch nicht begriffen (wie auch bei MS?)...
Zum Vergrößern anklicken....

Wenn es denn wirklich daran gelegen haben sollte, ihr also nicht in der Lage wart den DNS vernünftig zu konfigurieren, warum sollte dann jetzt plötzlich bei "MS" das Verständnisproblem liegen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben