nonickatall
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Hallo, ich bin neu bei Ubuntu, und nachdem ich beschlossen habe meinen permanenten Windows Frust endlich mal ordentlich zu bekämpfen, bin ich gerade dabei meinen alten Windows Active Domain Controller zu einem Ubuntu/Samba Server zu machen. Hier stehe ich aber momentan an einem Problem, wo ich gerade nicht weiter komme, und mal einen Tipp brauche. Vorgeschichte:
Ich habe den Ubuntu Server 16.04.6 lts ohne Desktop installiert und eingerichtet. Ich habe keinen Network Manager installiert. Vermutlich weil ich zunächst einen Ubuntu Server 14.04.6 installieren musste, da die Maschine auf der ich Ubuntu installierte, kein bootbares DVD Laufwerk hatte und sich auch beharrlich weigerte vom USB Stick zu booten. Deswegen brauchte ich eine Ubuntu Version, die auf eine CD passt. Das war die 14.04.6 lts. Danach habe ich ein Upgrade auf die besagte 16er Version gemacht. Das Netz habe ich über /etc/network/interfaces eingerichtet, habe dort eine statische IP hinterlegt und einen Name Server hinterlegt, um überhaupt Upgrades/Updates und Pakete installieren zu können.
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
gateway 192.168.0.4
dns-nameservers 9.9.9.9
# This is an autoconfigured IPv6 interface
iface eth0 inet6 auto
Dann habe ich Samba 4.3.11 installiert und nach der Ubuntu Wiki //wiki.ubuntuusers.de/Archiv/Howto/Samba4-Server_als_Active-Directory_Domain-Controller/: als Active Directory Domain Controller eingerichtet. Ich bin die Anleitung durchgegangen, habe NTP eingerichtet, Kerberos installiert, die richtigen Einstellungen in der fstab gemacht und den dnsmasq deinstalliert, damit dieser den Samba DNS nicht stört.
Danach habe ich den Samba Server gestartet und konfiguriert. Alle Funktionstests liefern das richtige Ergebnis, die Shares sind vorhanden, die Authentifizierung sowohl am Server als auch im Client funktioniert, aber am DNS Test scheitere ich. das ist die smb.conf
# Global parameters
[global]
workgroup = DIV
realm = DIV.DOM
netbios name = SERVER01
server role = active directory domain controller
dns forwarder = 192.168.0.1
idmap_ldb:use rfc2307 = yes
# ntlm auth = yes
# wins support = yes
# local master = yes
# prefered master = yes
[netlogon]
path = /var/lib/samba/sysvol/idv.example.com/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
Wenn ich meinen realm pinge bekomme ich "unknown host". Dazu steht in der Anleitung ab dem Punkt DNS testen, dass man vorher im Network Manager in der grafischen Oberfläche des Rechners den Name Server 127.0.0.1 einstellen soll. Da ich ja weder einen Network Manager noch eine grafische Oberfläche habe, habe ich bei Interfaces den DNS Name Server auf localhost also 127.0.0.1 geändert. Dann schlägt aber sowohl die folgende Prüfung des Samba DNS fehl und ich kann auch im Internet nichts mehr pingen. Was mache ich falsch? Muss ich doch den Network Manager installieren? Oder habe ich da einen grundlegenden Denkfehler? Vielen Dank im Vorraus für die Hilfe. Ralf
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Habe nun den NetworkManager installiert und eth0 konfiguriert. Habe dnsmasq das lauschen auf Port 53 abgewöhnt, nun lauscht Samba
root@server01:~# netstat -tlpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:3268 0.0.0.0:* LISTEN 0 15356 1092/samba
tcp 0 0 0.0.0.0:3269 0.0.0.0:* LISTEN 0 15357 1092/samba
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 0 15354 1092/samba
tcp 0 0 0.0.0.0:135 0.0.0.0:* LISTEN 0 15676 1088/samba
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 16304 1089/smbd
tcp 0 0 0.0.0.0:464 0.0.0.0:* LISTEN 0 15651 1094/samba
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 0 15196 1101/samba
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 13745 802/sshd
tcp 0 0 0.0.0.0:88 0.0.0.0:* LISTEN 0 15649 1094/samba
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 0 15355 1092/samba
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 0 16303 1089/smbd
tcp 0 0 0.0.0.0:1024 0.0.0.0:* LISTEN 0 15672 1088/samba
tcp6 0 0 :::3268 :::* LISTEN 0 15352 1092/samba
tcp6 0 0 :::3269 :::* LISTEN 0 15353 1092/samba
tcp6 0 0 :::389 :::* LISTEN 0 15350 1092/samba
tcp6 0 0 :::135 :::* LISTEN 0 15675 1088/samba
tcp6 0 0 :::139 :::* LISTEN 0 16302 1089/smbd
tcp6 0 0 :::464 :::* LISTEN 0 15647 1094/samba
tcp6 0 0 :::53 :::* LISTEN 0 15194 1101/samba
tcp6 0 0 :::22 :::* LISTEN 0 13747 802/sshd
tcp6 0 0 :::88 :::* LISTEN 0 15645 1094/samba
tcp6 0 0 :::636 :::* LISTEN 0 15351 1092/samba
tcp6 0 0 :::445 :::* LISTEN 0 16301 1089/smbd
tcp6 0 0 :::1024 :::* LISTEN 0 15671 1088/samba
Wie bekommt man hier eigentlich eine gescheite Ansicht von so einer Tabelle hin? Im Edit Modus sieht das gut aus, als Zitat fehlen alle Zeilenumbrüche.. ?! Wie auch immer, habe in der smb.conf
dns forwarder = 8.8.8.8
gesetzt und im NetworkManager den DNS auf 127.0.0.1. Ich kann Google.com pingen, aber meinen realm nicht. Jemand einen Tipp?
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Ist schon etwas länger her, das ich mal einen AD erstellt hatte. Damals hatte ich noch in /etc/hosts einen Eintrag auf den Server gesetzt. Sinngemäß
192.168.1.1 hostname.deine.domäne Siehe auch:
hostname -f Normalerweise ist dein DC auch der DNS. Codeblock kannst du mit 3 geschweiften Klammer einfügen.
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Vielen Dank, bin jetzt auch schon mal ein Stück weiter. Habe das Ganze nochmal neu installiert und mich entschieden das Ding erst mal nur zum DC zu machen, weil ich die AD Dienste eigentlich nicht brauche. Hatte bei Windows in letzter Zeit halt immer ADC's Bin nun so weit, dass ich den Server bei Windows sehe, zumindest kann ihn "pingen", die Netbios Namensauflösung funktioniert leider nicht, aber das scheint ein Windows 7 Problem zu sein, denn im cmd kann ich den Netbios Namen "pingen". Ich konnte mich auch auf eine eingerichtete Freigabe per IP verbinden, die im Explorer auch auftaucht. Da habe ich zwar noch keine Rechte, aber damit muss ich mich separat beschäftigen. Allerdings kann ich den Windows Rechner nicht in die Domäne aufnehmen. Er findet den Domänencontroller, was man am auftauchenden Dialog zur Eingabe von Benutzername und Kennwort auch sehen kann, aber am Ende kommt eine Fehlermeldung (Siehe Anhang) das er den DNS Namen des Domänencontrollers nicht auflösen kann. Irgendwo hatte ich beim googeln was gelesen, das Windows7 da irgendwelche Probleme mit Samba hat. Finde das aber nicht mehr. Jemand dazu ein Idee, wie man das löst?
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Wieder gefunden... Man muss in der Registry von Windoof unter[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] folgende neuen Werte als DWORD eintragen: DomainCompatibilityMode = 1
DNSNameResolutionRequired = 0 Mann, mir geht Windows so auf den Zeiger... 😠
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
So, nachdem ich mit dem Samba DNS nicht klar gekommen bin und das zunächst die Fritzbox erledigen lies, habe ich nach längerem Hin- und Her DNSmasq installiert und eingerichtet. Das war auch irgendwie tricky, irgendwie komme ich mit den Beschreibungen bei Ubuntu nicht so gut klar. Da steht immer sinngemäß: Es gibt 50 Einstellungen, die 1. geht so, da gibt es aber abhängig von installierten Paketen 14 Versionen und die 2. ist nur dann zu wählen, wenn die 3. auf default steht usw. Da kapiert man, wenn man neu ist, erst mal nix. 😲 Schade, dass da nicht erst mal ein Überblick steht, auch über Konstellationen. (Mit Network Manager, ohne resolvconf oder wie auch immer) oder zumindest wie eine oder mehrere sinnvolle Konstellationen aussehen. Da wird alles dann erstmal zum riesen Recherche Aufwand. Andererseits ist das aber auch gut, denn man wird gezwungen es sich alles anzulesen, bis man es versteht, um es dann sauber einzurichten. 😉 Bei Windoof: Klick, klick, geht. Aber ob das sinnvoll ist, oder nur in bestimmten Konstellationen geht, weiß keiner, bis zum nächsten Update. 😳 Wie auch immer, habe jetzt den Ubuntu Server unter Samba als AC laufen, mit DNSmasq, ohne Network Manager, ohne resolvconf und er läuft performant und stabil. Wie ich es erwartet hatte. Als nächstes werde ich mich mit Datensicherung und Sicherheit beschäftigen müssen..
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Hallo, nach endlosem Kampf habe ich auf aktuelles Ubuntu aufgerüstet und Samba 4.7 installiert. Ferner habe ich den DNSMasq rausgeworfen und Bind9 installiert und als DHCP den isc-dhcp-server installiert und eingerichtet. Habe Bind9 und isc DHCP via dynamischem Update verbunden. Bind9 und isc-dhcp-server funktionieren, zumindest lt. syslog, einwandfrei und auch die dynamischen Updates scheinen zu funktionieren. "dig" (forward und reverce) geht und der DHCP vergibt "leases" wie er soll. Samba allerdings scheint noch immer ein Problem beim Starten mit dem DNS zu haben. Im Syslog steht: Aug 22 13:20:28 server01 samba[1870]: [2019/08/22 13:20:28.564708, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
Aug 22 13:20:28 server01 samba[1870]: /usr/sbin/samba_dnsupdate: ERROR(runtime): uncaught exception - (9711, 'WERR_DNS_ERROR_RECORD_ALREADY_EXISTS')
Aug 22 13:20:28 server01 samba[1870]: [2019/08/22 13:20:28.566281, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
Aug 22 13:20:28 server01 samba[1870]: /usr/sbin/samba_dnsupdate: File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
Aug 22 13:20:28 server01 samba[1870]: [2019/08/22 13:20:28.566383, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
Aug 22 13:20:28 server01 samba[1870]: /usr/sbin/samba_dnsupdate: return self.run(*args, **kwargs)
Aug 22 13:20:28 server01 samba[1870]: [2019/08/22 13:20:28.566443, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
Aug 22 13:20:28 server01 samba[1870]: /usr/sbin/samba_dnsupdate: File "/usr/lib/python2.7/dist-packages/samba/netcmd/dns.py", line 940, in run
Aug 22 13:20:28 server01 samba[1870]: [2019/08/22 13:20:28.566547, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
Aug 22 13:20:28 server01 samba[1870]: /usr/sbin/samba_dnsupdate: raise e
Das wiederholt sich einige Male und am Ende steht dann noch:
Aug 22 14:02:10 server01 samba[2985]: ../source4/dsdb/dns/dns_update.c:290: Failed DNS update - with error code 34
samba_upgradedns --dns-backend=BIND9_DLZ
Führt zu den selben Fehlern. Bin gerade mal wieder an einem Punkt, wo ich nicht weiter komme, trotz intensiven recherchierens.
Es scheint ja so zu sein, dass Bind und Samba irgenwie noch ein Problem miteinander haben.
Jemand eine Idee, wo mein Problem herkommen könnte? hier die Samba conf # Global parameters
[global]
workgroup = EINE_WORKGROUP
wins server = 192.168.0.1
netbios name = SERVER01
realm = EINE_WORKGROUP.DE
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
winbind use default domain = false
winbind offline logon = false
winbind separator = +
[netlogon]
path = /var/lib/samba/sysvol/idv-portal.local/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[Lan_t]
comment = Lan_t
path = /mnt/Lan_t
read only = No
inherit permissions = Yes
inherit acls = Yes
Liefere gerne weitere "Conf" Inhalte oder "Logs", wollte jetzt aber den threat nicht zumüllen. Vielen Dank im Vorraus
|
Bournless
Anmeldungsdatum: 4. Mai 2019
Beiträge: 915
|
Bitte nur als gut gemeinten Tipp verstehen! Ein REALM besteht IMHO aus max. 15 bzw. 16 Zeichen - [A-Z][a-z][0-9]#@{|}~!$%&'()*+-,/:;⇐>?[\]^_. Dein REALM EINE_WORKGROUP.DE hat wie viele Zeichen? Bedenke, dass abschließend noch ein unsichtbares "." nach dem REALM kommt.
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Danke das weiß ich und meine Workgroup ist natürlich kürzer, habe das aus Gründen der Sicherheit (meine Workgroup ist auch meinen Domain im Internet) im Beitrag maskiert... 😉 Ein Punkt nach dem Realm in der smb.conf, bist Du sicher? Beim DNS in den Conf. Dateien ja, aber hier? LG
Ralf
|
Bournless
Anmeldungsdatum: 4. Mai 2019
Beiträge: 915
|
Nein, darum ging es mir nicht. Ich wollte dich einfach nur auf die max. Anzahl der Zeichen für einen REALM (15 in der smb.conf) hinweisen, da Du ja wohl das Ganze mit einer .de TLD realisieren möchtest. Woher sollte ich wissen, dass EINE_WORKGROUP.DE nur ein Stellvertreter ist? 😉
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Ja, hätte ich schreiben können.. 😉 Ich wollte das nicht explizit mit einer TLD realisieren. Habe mich da halt an viele Beispiele gehalten und dann meinen reale TLD verwendet. Aber daran kann der Fehler IMHO nicht liegen. Hast Du denn einen Idee zu dem DNS Update Fehler? Bin halt Linux Neuling und habe bisher bei syslog und mit dem Status des Daemon nach meinen Fehlern geschaut. Vielleicht gibt es noch bessere Tools um dem Fehler auf die Spur zu kommen? Vorschläge? Vielen Dank im Vorraus. LG
Ralf
|
Bournless
Anmeldungsdatum: 4. Mai 2019
Beiträge: 915
|
Hast Du denn einen Idee zu dem DNS Update Fehler?
Nein, und ehrlich gesagt auch keine Lust und Zeit auf eine langwierige Fehlersuche.
Bin halt Linux Neuling...
Ich auch.
Vorschläge?
Aber klar. 😉 Immer wenn ich genötigt werde, ein AD via Linux/Samba zu erstellen, nutze ich die kostenfreie Core Edition von UCS. PS: Soll jetzt wirkich keine Werbung sein! Aber die Software ist IMHO halt die einzig vernüftige Alternative zu den MS-Produkten oder Samba on scratch, ohne gleich ein Informatikstudium absolvieren zu müssen.
|
Bournless
Anmeldungsdatum: 4. Mai 2019
Beiträge: 915
|
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Bournless schrieb: hier geht es weiter oder auch hier als Crossposting
Ja, in der Hoffnung mal eine qualifizierte Antwort zu erhalten. 👍
|
nonickatall
(Themenstarter)
Anmeldungsdatum: 17. Juni 2019
Beiträge: 28
|
Danke für die umfangreiche Hilfe, habe es selbst gelöst.. Thread kann geschlossen werden. Für Leute die das selbe Problem haben und sich hier vor Hilfangeboten auch nicht retten können. Ab der Version 9.4.1 hat sich das allow query Verhalten beim Bind9 geändert. https://kb.isc.org/docs/aa-00269 Vorher war erlaubt was nicht explizit verboten ist, darauf beziehen sich die ganzen Beispiele im Netz. Nun muss man Querys explizit erlauben. Daran bin ich gescheitert.
|