Hallo zusammen,
ich habe einen Samba-PDC unter Linux mit Windows-7-Clients. Alles läuft zunächst wunschgemäß; User können sich von den Maschinen aus einloggen, die serverbasierten Profile laufen, der Zugriff auf Netzfreigaben funktioniert u.s.w.
Leider melden nach einigen Wochen alle(!) Windows-Stationen, dass (sinngemäß) die Vertrauensstellung mit der Domäne plötzlich nicht stimmen würde. Den genauen Wortlaut kann ich jetzt leider nicht rekonstrieren.
Im Samba-Log sieht das dann so aus:
[2012/05/03 08:10:27.517915, 0] rpc\_server/netlogon/srv\_netlog\_nt.c:976(\_netr\_ServerAuthenticate3)
\_netr\_ServerAuthenticate3: netlogon\_creds\_server\_check failed. Rejecting auth request from client MEIN-PC-213 machine account MEIN-PC-213$
Bei der Recherche fand ich diese Felermeldung nur im Zusammenhang mit Arbeitsstationen, die sich niemals mit dem Samba verbinden konnten, nicht aber mit einem Problem ähnlich meinem - also erst funktionierts, nach einigen Wochen dann aber nicht mehr. Und bei mir hilft nur noch, die Windows-PCs aus der Domäne zu entfernen, die Maschinenaccounts in Samba zu erneuern und die Windows-PCs wieder zur Domäne hinzuzufügen. Anschließend klappt es wieder einige Wochen gut, und ab einem bestimmten Datum geht’s dann wieder nicht.
Ich kann leider nicht mehr nachvollziehen, welcher Zeitraum zwischen dem Erstellen der Maschinenkonten und dem Fehler liegt, habe aber den Verdacht, dass es hier um einen grob geschätzten 5-7 Wochen-Rhythmus geht, so als ob die Maschinenkonten nur eine begrenzte Gültigkeit hätten (nur eine Vermutung).
Ich habe:
-
Linux-PC (OpenSuse 12.1)
-
Linux-Text-only-Installation, keine grafische Oberfläche
-
Samba 3.6.1, konfiguriert als PDC
-
mehrere Win-7-Enterprise Arbeitsstationen
-
Verkabeltes LAN, feste IPs, kein DHCP
Die üblichen(?) Win-7-Client-Konfigurationen habe ich vorgenommen, also:
-
DomainCompatibilityMode (=1)
-
DNSNameResolutionRequired (=0)
-
LAN-Manager-Authentifizierung auf „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)“ gestellt
Es funktioniert ja auch einige Wochen lang ganz prima.
Vielleicht liegt’s an der Art, wie ich die Computerkonten erstelle? Das mache ich mit diesem Skript (aus einem älteren Samba, damals mit WindowsXP-Clients):
clear
echo -n "Computername (ohne $): "
read b
useradd -g samba -G users -s /bin/false $b$
smbpasswd -a -m $b
Und falls es wichtig ist, hier noch die globalen Einstellungen der smb.conf:
[global]
workgroup = MEINS-001
interfaces = eth0
security = user
encrypt passwords = Yes
passdb backend = tdbsam
unix password sync = No
passwd program = /usr/bin/passwd %u
passwd chat = \*Enter\snew\sUNIX\spassword:\* %n\n \*Retype\snew\sUNIX\spassword:\* %n\n .
local master = Yes
preferred master = Yes
os level = 200
domain master = Yes
domain logons = Yes
logon path = \\%L\profiles\%U
logon drive = P:
logon script = LogonScript.bat
hide files = /desktop.ini/ntuser.ini/NTUSER.\*/Thumbs.db/
wins support = No
usershare allow guests = No
# Tipps aus Forum von www.drwindows.de
ntlm auth = Yes
lanman auth = Yes
client ntlmv2 auth = Yes
Danke für eure Tipps und Anregungen.
Anja
