Setzen Sie die Domänenvertrauensstellung mit Arbeitsstationen vom Samba 3.x-Server zurück

Ich habe Probleme in einem Netzwerk, das ich mit einem Samba 3-Server als Domänencontroller geerbt habe, und vielen, aber nicht allen Windows 7 Pro-PCs. Die hier und hier beschriebenen Probleme lösen mein Problem nicht.

Beim Booten wird auf einigen PCs die Fehlermeldung angezeigt, dass die Vertrauensstellung zwischen dieser Workstation und dem Domänencontroller fehlgeschlagen ist . In meinen Google-Suchanfragen wird erläutert, wie der Computer aus der Domain entfernt oder erneut hinzugefügt wird. Dies erfordert manuelle Eingriffe und funktioniert manchmal nicht. Was ich getan habe, da dies selbst bei Systemen, die sich derzeit in Ordnung anmelden, nur sporadisch erfolgt, ist, den folgenden Befehl über eine erhöhte Eingabeaufforderung auf jedem PC auszuführen : echo 192.168.0.3 smb > c:\windows\system32\drivers\etc\lmhosts. Ich starte dann neu und der Fehler bleibt dann weg.

Das Seltsame ist, dass hin und wieder davon ausgegangen wird, dass sich mein Server unter einer anderen IP-Adresse befindet. Die Computer denken manchmal, dass der SMB-Server 192.168.0.1statt ist 192.168.0.3. Ich kann dies überprüfen, denn wenn ich es tue net use \\smb, bekomme ich eine Network name not found, aber ich kann sie anpingen und die richtige Adresse erhalten. Wenn ich a mache new view \\smb, geht es auf den alten Server (der jetzt 192.168.0.1 ist, hatte aber nie diesen Namen). Wenn Sie a net view \\192.168.0.3ausführen, wird der richtige Server angezeigt. Lassen Sie mich dann nur einmal bei Windows anmelden, bis der Computer neu gestartet wird.

Mein Problem ist, dass ich herausfinden muss, warum dies geschieht, damit ich nicht jeden PC berühren muss. Es ist eine schnelle Lösung, sobald alles geladen ist, aber nicht ideal. Unten ist die Ausgabe meines testparmBefehls auf dem primären Domänencontroller:

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[homes]"
Processing section "[Programs]"
Processing section "[Login]"
Processing section "[Windsor]"
Processing section "[Office]"
Processing section "[Admin]"
Processing section "[Student_Share]"
Processing section "[Tech_Tips]"
Processing section "[Tech_Apps]"
Processing section "[DropBox]"
Processing section "[SSS]"
Processing section "[JMC]"
Processing section "[DRC]"
Processing section "[FASD]"
Processing section "[CLA]"
Processing section "[YAPS]"
Processing section "[IMAGES]"
Processing section "[Printer_Drivers]"
Processing section "[Self_Serve]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_PDC

Alle Aktien sind in Ordnung. Die Zeit auf jeder Workstation wird mit dem Domänencontroller ( NET TIME \\SMB /SET /Yim Startskript) abgeglichen , und ich kann mich nur als lokaler Administrator anmelden. Worauf kann ich auf meinem Samba-Server achten, um diese seltsame Problemumgehung nicht zu benötigen?

Gibt es einen Backup-Samba-Server im Netzwerk, der auch der DNS-Server ist? Hat es versucht, sich die ganze Zeit für WINS zu wählen? Ändern Sie die Betriebssystemstufe 240so , dass der Haupt-WINS-Server gewinnt (255). Versuchen Sie, den Backup-Samba-Server zu deaktivieren. Stellen die Maschinen nach dem Deaktivieren und Warten von etwa 24 Stunden eine ordnungsgemäße Verbindung her?

Tools, mit denen Sie dies herausfinden können: Hauptsächlich nur das in Debian enthaltene smbfind-Tool

Zum Teil treten wahrscheinlich Probleme auf, weil der Samba 3 DC nicht wirklich die Version von Active Directory spricht, für die Windows 7 Pro von Grund auf entwickelt wurde. Samba 3 verfügt nicht über die Microsoft-spezifische Kerberos- oder DNS-Funktionsfähigkeit, von der moderne AD-Umgebungen abhängen. Aus diesem Grund würde ich empfehlen , Ihre Domain von Samba 3 auf Samba4 zu aktualisieren (Link ist für ein direktes Upgrade), um die aktualisierte AD-Kompatibilität zu nutzen, einschließlich Kerberos- und DNS-Funktionen, mit denen Ihre Win7-Systeme wahrscheinlich viel besser funktionieren Stellen Sie auch Dinge wie Gruppenrichtlinien bereit, mit denen Sie nicht jede einzelne Workstation wiederholt berühren müssen, um Konfigurationsänderungen vorzunehmen.

Abgesehen davon frage ich mich in Ihrem aktuellen Setup, warum Sie die LMHOSTS-Datei immer wieder ändern müssen. Wird es zwischen dem Ausführen dieses Befehls irgendwie geändert? Haben Sie den Inhalt vorher überprüft? Wenn Sie die Namensauflösung auf jeder Workstation manuell konfigurieren müssen, überprüfen Sie die HOSTS-Datei im selben Verzeichnis wie LMHOSTS und stellen Sie sicher, dass keine Einträge vorhanden sind, die weiterhin auf den Server 192.168.0.1 verweisen. Welche Adressen sollen Ihre Win7-Systeme für primäres / sekundäres DNS verwenden? Zeigen sie nur auf DNS-Server im Internet (z. B. die Server Ihres Internetdienstanbieters oder von Google), oder gibt es interne Adressen?

Selbst wenn Sie sich für ein Upgrade von Samba entscheiden, beachten Sie, dass alle manuellen Änderungen an den HOSTS- oder LMHOSTS-Dateien auf Ihren Workstations verwendet werden, anstatt DNS nach diesen Einträgen abzufragen. Daher müssen Sie dies möglicherweise auf jeder Workstation bereinigen (stellen Sie sicher, dass nur HOSTS vorhanden ist) ein Eintrag für 127.0.0.1 localhost).