Win2000 und Samba 2.2.5
Hallo ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. Eine gute Anleitung hierzu fand ich auf der mandrakeuser.org - leider kann ich mich nicht in der angegebenen Domäne anmelden. Bei Auswahl der "Arbeitsgruppe" oder "Domäne" funktioniert nur die Auswahl mit Arbeitsgruppe. Den Rechner in eine Domäne einzubinden scheitert. Hier mal die Global-Section der SMB.CONF [global] workgroup = mydom os level = 33 unix extensions = yes encrypt passwords = no guest account = nobody # Write log files per machine. log file = /var/log/samba/%m # Set an alternate log level. Default is 2. log level = 3 security = user socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY interfaces = 192.168.2.56/255.255.255.0 domain logons = yes domain master = yes # For a specific logon script per user logon script = %U.bat add user script = /usr/sbin/useradd -d /dev/null -g machines -c "Machine Account" -s /bin/false -M%u .... Und hier noch der Ausschnitt der Error-Log während dem Zugriffsversuch auf die Domäne: [2002/07/25 10:26:33, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(480) process_name_query_request: Name query from 192.168.2.80 on subnet 192.168.2.56 for name MYDOM<1b> [2002/07/25 10:26:33, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(480) process_name_query_request: Name query from 192.168.2.80 on subnet 192.168.2.56 for name MYDOM<1b> -- SET THE CONTROLS FOR THE HEART OF THE SUN Jens
Hallo On Thursday 25 July 2002 10:27, J.Strohschnitter wrote:
Hallo
ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. Eine gute Anleitung hierzu fand ich auf der mandrakeuser.org - leider kann ich mich nicht in der angegebenen Domäne anmelden. Bei Auswahl der "Arbeitsgruppe" oder "Domäne" funktioniert nur die Auswahl mit Arbeitsgruppe. Den Rechner in eine Domäne einzubinden scheitert.
Hier mal die Global-Section der SMB.CONF
[global] workgroup = mydom os level = 33 unix extensions = yes
encrypt passwords = no ^^ Das geht so nicht. Stell mal "yes" ein.
guest account = nobody
# Write log files per machine. log file = /var/log/samba/%m # Set an alternate log level. Default is 2. log level = 3
security = user socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY interfaces = 192.168.2.56/255.255.255.0
domain logons = yes domain master = yes # For a specific logon script per user logon script = %U.bat add user script = /usr/sbin/useradd -d /dev/null -g machines -c "Machine Account" -s /bin/false -M%u
.... Und hier noch der Ausschnitt der Error-Log während dem Zugriffsversuch auf die Domäne:
[2002/07/25 10:26:33, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(480) process_name_query_request: Name query from 192.168.2.80 on subnet 192.168.2.56 for name MYDOM<1b> [2002/07/25 10:26:33, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(480) process_name_query_request: Name query from 192.168.2.80 on subnet 192.168.2.56 for name MYDOM<1b>
mfg Axel
Am Donnerstag, 25. Juli 2002 10:41 schrieb Axel Heinrici:
Hallo
On Thursday 25 July 2002 10:27, J.Strohschnitter wrote:
Hallo
ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. Eine gute Anleitung hierzu fand ich auf der mandrakeuser.org - leider kann ich mich nicht in der angegebenen Domäne anmelden. Bei Auswahl der "Arbeitsgruppe" oder "Domäne" funktioniert nur die Auswahl mit Arbeitsgruppe. Den Rechner in eine Domäne einzubinden scheitert.
Hier mal die Global-Section der SMB.CONF
encrypted password = yes os level = 65 regkey [...]
... brachte leider auch nichts - noch immer findet der PC die Arbeitsgruppe MYDOM aber nicht die Domäne MYDOM. In der log.smbd ist leider auch nichts zu erkennen, ausser dass der PC das Lan nach MYDOM durchsucht. -- SET THE CONTROLS FOR THE HEART OF THE SUN Jens
Hi,
* J. Strohschnitter
Am Donnerstag, 25. Juli 2002 10:41 schrieb Axel Heinrici:
Hallo
On Thursday 25 July 2002 10:27, J.Strohschnitter wrote:
Hallo
ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. Eine gute Anleitung hierzu fand ich auf der mandrakeuser.org - leider kann ich mich nicht in der angegebenen Domäne anmelden. Bei Auswahl der "Arbeitsgruppe" oder "Domäne" funktioniert nur die Auswahl mit Arbeitsgruppe. Den Rechner in eine Domäne einzubinden scheitert.
Hier mal die Global-Section der SMB.CONF
encrypted password = yes os level = 65 regkey [...]
... brachte leider auch nichts - noch immer findet der PC die Arbeitsgruppe MYDOM aber nicht die Domäne MYDOM. In der log.smbd ist leider auch nichts zu erkennen, ausser dass der PC das Lan nach MYDOM durchsucht.
wenn ich mich richtig erinnere, musst du einen Maschinenaccount anlegen, damit der Rechner in die Domäne aufgenommen wird. also: smbpasswd -j MYDOM -r NamedesPDCs dann wird der Rechner in die Domain aufgenommen und erst dann kann er sich anmelden! wichtig: es darf nur einen WINSserver im Netz sein! probiers mal aus ciao dieter -- registered linuxuser 199810 it's time to close windows
-----Original Message----- From: J.Strohschnitter [mailto:svebu@gmx.de] Sent: Thursday, July 25, 2002 11:04 AM To: Axel Heinrici; suse-linux@suse.com Subject: Re: Win2000 und Samba 2.2.5
encrypted password = yes os level = 65 regkey [...]
... brachte leider auch nichts - noch immer findet der PC die Arbeitsgruppe MYDOM aber nicht die Domäne MYDOM. In der log.smbd ist leider auch nichts zu erkennen, ausser dass der PC das Lan nach MYDOM durchsucht.
Hallo auch! Du hast ein Computerkonto auf deinem PDC angelegt? 'smbpasswd -ma MASCHINENNAME' vorher in der /etc/passwd den Rechner als User angelegt? 'MASCHINENNAME$:x:563:100::/dev/null:/dev/null' und dann unter Win2k der Domaene beigetreten, mit Hilfe eines privilegierten Users? Gruss, L@rs
Du hast ein Computerkonto auf deinem PDC angelegt? 'smbpasswd -ma MASCHINENNAME' vorher in der /etc/passwd den Rechner als User angelegt? 'MASCHINENNAME$:x:563:100::/dev/null:/dev/null'
OBACHT!!! die maschinenaccounts in /etc/passwd müssen EINDEUTIGE numerische UIDS haben! da bin ich grade auch drüber gestolpert... bye, MH
* On Thu, 25 Jul 2002 at 11:45 +0200, Lars Müller wrote:
vorher in der /etc/passwd den Rechner als User angelegt? 'MASCHINENNAME$:x:563:100::/dev/null:/dev/null' ^^^^^^^^^ ^^^^^^^^^ Ersteres ist kein gültiges Verzeichnis, zweiteres keine gültige Shell. Lege Dir für so etwas ein Verzeichnis /var/empty an und nimm /bin/false als Shell
-- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
* On Thu, 25 Jul 2002 at 11:45 +0200, Lars Müller wrote:
vorher in der /etc/passwd den Rechner als User angelegt? 'MASCHINENNAME$:x:563:100::/dev/null:/dev/null' ^^^^^^^^^ ^^^^^^^^^ Ersteres ist kein gültiges Verzeichnis, zweiteres keine gültige Shell. Lege Dir für so etwas ein Verzeichnis /var/empty an und nimm /bin/false als Shell
also zumindest /dev/null als home kann man da ruhig nehmen. bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
-----Original Message----- From: Adalbert Michelic [mailto:adalbert+list@lopez.at] Sent: Thursday, July 25, 2002 12:22 PM To: Suse-Linux@Suse. Com Subject: Re: Win2000 und Samba 2.2.5
* On Thu, 25 Jul 2002 at 11:45 +0200, Lars Müller wrote:
vorher in der /etc/passwd den Rechner als User angelegt? 'MASCHINENNAME$:x:563:100::/dev/null:/dev/null' ^^^^^^^^^ ^^^^^^^^^ Ersteres ist kein gültiges Verzeichnis, zweiteres keine gültige Shell. Lege Dir für so etwas ein Verzeichnis /var/empty an und nimm /bin/false als Shell
Warum? Welche Probleme sollte ich bekommen wenn ich home und loginshell nach /dev/null lege? Gruss, L@rs
On Thu, 25 Jul 2002, Lars MXller wrote: ~snip~
Ersteres ist kein gültiges Verzeichnis, zweiteres keine gültige Shell. Lege Dir für so etwas ein Verzeichnis /var/empty an und nimm /bin/false als Shell
Warum? Welche Probleme sollte ich bekommen wenn ich home und loginshell nach /dev/null lege?
gar keines. smbpasswd wertet den Eintrag in der passwd aus und generiert dann einen "machine trust account" im smbpasswd-file. Danacht koenntest Du theoretisch den Eintrag in /etc/passwd wieder loeschen, der wird von Samba nicht mehr benoetigt. Allerdings ist es besser, den drin zu lassen, damit Du leichter den Ueberblick behalten kannst.
Gruss, L@rs
cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de
Hallo
ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. Eine gute Anleitung hierzu fand ich auf der mandrakeuser.org - leider kann ich mich nicht in der angegebenen Domäne anmelden. Bei Auswahl der "Arbeitsgruppe" oder "Domäne" funktioniert nur die Auswahl mit Arbeitsgruppe. Den Rechner in eine Domäne einzubinden scheitert.
Hier mal die Global-Section der SMB.CONF
[global] workgroup = mydom os level = 33
os level = 65 ist da besser ausserdem brauchst du den 'requiresignorseal = 0' registry eintrag nicht nur bei winXP sondern auch bei Win2k ab SP2... da: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal = 0 dann gehts. bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
On Thu, 2002-07-25 at 10:45, Mathias Homann wrote:
ausserdem brauchst du den 'requiresignorseal = 0' registry eintrag nicht nur bei winXP sondern auch bei Win2k ab SP2... da: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal = 0
Hallo Mathias, Warum brauche ich den Eintrag bei Win2k SP2? Bei mir funktioniert bis jetzt _fast_ alles ohne. Habe im Netz nur Hinweise auf XP gefunden. Waere ueber einen belehrenden Link sehr gluecklich. Danke. -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
Warum brauche ich den Eintrag bei Win2k SP2?
gute frage... ich habs halt durch ausprobieren festgestellt dass ein W2k-SP2 auch nur MIT dem eintrag in die domain kann. der einzige link dazu wäre dann wohl mein post im archiv der samba mailingliste dazu... ;) bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
On Thu, 2002-07-25 at 11:43, Mathias Homann wrote:
Warum brauche ich den Eintrag bei Win2k SP2?
gute frage... ich habs halt durch ausprobieren festgestellt dass ein W2k-SP2 auch nur MIT dem eintrag in die domain kann. der einzige link dazu wäre dann wohl mein post im archiv der samba mailingliste dazu... ;)
Hmm, ich wiederspreche dir ja nur ungern, aber wir haben hier _einige_ Win2k SP2 Clients die alle in der Domain sind, _ohne_ reg-Eintrag. Bei Bedarf kann ich dir ja mal die smb.conf mailen. Das einzige Problem z.Zt. ist das, seit samba 2.2.5, das Logon-script nicht mehr automatisch ausgefuehrt wird. Keine Ahnung warum, hast du vielleicht eine? -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
On Thu, 2002-07-25 at 11:43, Mathias Homann wrote:
Warum brauche ich den Eintrag bei Win2k SP2?
gute frage... ich habs halt durch ausprobieren festgestellt dass ein W2k-SP2 auch nur MIT dem eintrag in die domain kann. der einzige link dazu wäre dann wohl mein post im archiv der samba mailingliste dazu... ;)
Hmm, ich wiederspreche dir ja nur ungern, aber wir haben hier _einige_ Win2k SP2 Clients die alle in der Domain sind, _ohne_ reg-Eintrag.
zeltzam zeltzam... ich hab jedenfalls auch ein w2kSP2 nur MIT dem eintrag in eine samba 2.2.3-domäne reinbekommen...
Das einzige Problem z.Zt. ist das, seit samba 2.2.5, das Logon-script nicht mehr automatisch ausgefuehrt wird. Keine Ahnung warum, hast du vielleicht eine?
k.a., frag mal die samba liste... bye, MH ps. hat mal wer rpms für samba 2.2.5 auf suse 8? -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und §823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt!
On Thu, 2002-07-25 at 12:24, Mathias Homann wrote:
ps. hat mal wer rpms für samba 2.2.5 auf suse 8?
Ja, SuSE. :) ftp.gwdg.de/pub/linux/suse/people/lmuelle/ README Lesen! -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server. Alles andere wurde ja bereits von anderen erwähnt. :-) mfg, Andreas. -- Andreas Scherer, LinguaSoftworks andreas.scherer@lingua.at http://www.lingua.at Registered Linux User: #157823 - http://counter.li.org/
hI,
* Andreas Scherer
Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server.
ich habe es aber so verstanden, dass der Rechner nicht als PDC fungieren soll, sondern sich an einem PDC anmelden soll. Daher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil) ciao dieteDaher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil) ciao dieter -- registered linuxuser 199810 it's time to close windows
Am Donnerstag, 25. Juli 2002 12:20 schrieb Dieter Franzke:
hI,
* Andreas Scherer
[020725 12:11]: Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server.
ich habe es aber so verstanden, dass der Rechner nicht als PDC fungieren soll, sondern sich an einem PDC anmelden soll. Daher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil)
Zitat aus original Posting: ----- schnipp ------ ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. ----- schnipp ----- Also kann man annehmen, dass der Win2k-Rechner sich an einem Samba-PDC anmelden soll. Deshalb -> security=server. mfg, Andreas. -- Andreas Scherer, LinguaSoftworks andreas.scherer@lingua.at http://www.lingua.at Registered Linux User: #157823 - http://counter.li.org/
Am Donnerstag, 25. Juli 2002 12:28 schrieb Andreas Scherer:
Am Donnerstag, 25. Juli 2002 12:20 schrieb Dieter Franzke:
hI,
* Andreas Scherer
[020725 12:11]: Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server.
ich habe es aber so verstanden, dass der Rechner nicht als PDC fungieren soll, sondern sich an einem PDC anmelden soll. Daher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil)
Zitat aus original Posting: ----- schnipp ------ ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. ----- schnipp ----- Also kann man annehmen, dass der Win2k-Rechner sich an einem Samba-PDC anmelden soll. Deshalb -> security=server.
mfg, Andreas. Alles Quatsch, ich bitte um Nachsicht. security=user stimmt natürlich für den PDC. :-)
mfg, Andreas. -- Andreas Scherer, LinguaSoftworks andreas.scherer@lingua.at http://www.lingua.at Registered Linux User: #157823 - http://counter.li.org/
Hi,
* Andreas Scherer
Am Donnerstag, 25. Juli 2002 12:28 schrieb Andreas Scherer:
Am Donnerstag, 25. Juli 2002 12:20 schrieb Dieter Franzke:
hI,
* Andreas Scherer
[020725 12:11]: Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server.
ich habe es aber so verstanden, dass der Rechner nicht als PDC fungieren soll, sondern sich an einem PDC anmelden soll. Daher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil)
Zitat aus original Posting: ----- schnipp ------ ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. ----- schnipp ----- Also kann man annehmen, dass der Win2k-Rechner sich an einem Samba-PDC anmelden soll. Deshalb -> security=server.
mfg, Andreas. Alles Quatsch, ich bitte um Nachsicht. security=user stimmt natürlich für den PDC. :-)
nochmal zur Klarstellung: security=server heißt, dass die Benutzerauthentifizierung über einen im Netz befindlichen PDC erfolgen soll. security=user ---> die Benutzerauthentifizierung erfolgt über smbpasswd, d.h. die Benutzer müssen auf dem Sambaserver angelegt werden. DA ein PDC schon vorhanden ist, muss natürlich erst einmal das Maschinenkonto auf dem PDC angelegt werden. Der Eintrag security = server macht aber schon Sinn, da sonst die Benutzerverwaltung doppelt erfolgen muss. Oder aber man macht Nägel mit Köppen und schmeißt den alten PDC raus und lässt gleich den Sambaserver als PDC laufen........ ciao dieter -- registered linuxuser 199810 it's time to close windows
Am Donnerstag, 25. Juli 2002 12:20 schrieb Dieter Franzke:
hI,
* Andreas Scherer
[020725 12:11]: Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server.
ich habe es aber so verstanden, dass der Rechner nicht als PDC fungieren soll, sondern sich an einem PDC anmelden soll. Daher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil)
Zitat aus original Posting: ----- schnipp ------ ich habe versucht einen Win2000 Rechner in unser Netz zu bekommen. ----- schnipp ----- Also kann man annehmen, dass der Win2k-Rechner sich an einem Samba-PDC anmelden soll. Deshalb -> security=server.
es sei denn wir reden hier grade von dem samba der der PDC ist! dann ist security = server schrott, weil das dem samba sagt 'hol dir die benutzerauthorisierung vom PDC' bye, MH
Betreff: Re: Win2000 und Samba 2.2.5 hI,
* Andreas Scherer
[020725 12:11]: Am Donnerstag, 25. Juli 2002 10:27 schrieb J.Strohschnitter:
security = user
Also wenn das Dein PDC sein soll, dann gehört hier security = server.
ich habe es aber so verstanden, dass der Rechner nicht als PDC fungieren soll, sondern sich an einem PDC anmelden soll. Daher denke ich, sollte da security ruhig auf user gestellt bleiben und ein Maschinenaccount auf dem PDC angelegt werden (siehe meine andere MAil) Nö!
Wenn security auf user steht ist ein Domainlogon möglich! Sollte security auf server stehen, wird ein anderer PDC zu Rate gezogen ... Nicht umgekehrt, komisch - aber wahr ;-) -- Mit freundlichen Grüßen Matthias Höpfner --- Computer-Netze für Büro und mehr ... Tel +49 (34609) 20788 - Fax +49 (34609) 21975 - www.webcom2000.de
participants (10)
-
Adalbert Michelic
-
Andreas Scherer
-
Axel Heinrici
-
Dieter Franzke
-
J.Strohschnitter
-
Lars M�ller
-
Marcel Schmedes
-
Mathias Homann
-
Matthias Höpfner
-
Peter Woelfel