Error when loading applicable GPOs! Shares and printers will not work

Guten Tag,

wie bereits hier berichtet, habe ich nach meinem Linbo 4.2.16-Problem nun ein Problem mit der Vertrauensstellung zwischen meinen Clients (die eigentlich seit über einem Jahr sauber liefen) und dem Server.

Zunächst ging es los, dass linuxmuster-linuxclient7 status sagte, dass der Domain Join „FAILED“ wäre. Eine Anmeldung mit Domain-Usern ging entsprechend nicht. Was ich dann gemacht habe: linuxmuster-linuxclient7 setup ausgeführt. Läuft mit Erfolg durch. Anschließend unmittelbar

  • Neustart
  • Image erstellt und hochgeladen
  • Neustart
  • Image synchronisiert und Linux Mint gestartet

Anschließend sagt linuxmuster-linuxclient7 status folgendes:

root@213pc02:~# linuxmuster-linuxclient7 status
[INFO] #### linuxmuster-linuxclient7 status ####
[INFO] Linuxmuster-linuxclient7 is setup!
[INFO] Testing if domain is joined...
[INFO] Checking joined domains

[INFO] Joined domains:
[INFO] * lmn7.meine-schule.de

[INFO] Testing if the domain join actually works
[INFO] * Checking if the group "domain users" exists
[INFO] * Trying to get a kerberos ticket for the Computer Account
[INFO] The domain join is working!

[INFO] #### linuxmuster-linuxclient7 is fully setup and working! ####

So weit, so gut. Leider funktioniert die Anmeldung an der Mint GUI dann noch immer nicht. Versuche ich mich mit einem Domänen-Nutzer am Cinnamon-Desktop anzumelden, bekomme ich folgende Fehlermeldung:

Vorweg: die Zeit auf Client und Server ist identisch incl. Zeitzone. Der Client bekommt die Zeit per systemd-timesyncd (timedatectl).

Ich habe nun schon diverse alte Threads zu diesem und ähnlichen Themen durch und finde bisher die Lösung nicht. Wie gesagt: bis zu meinem linbo 4.2.16-Problem liefen dieselben Clients (seit dem nur mal ein apt update && apt dist-upgrade gemacht, aber auch das alte Image läuft nicht mehr) seit über einem Jahr problemlos.

Weitere Infos: systemctl status sssd gibt Fehler aus:

root@213pc02:~# systemctl status sssd
● sssd.service - System Security Services Daemon
     Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/sssd.service.d
             └─override.conf
     Active: active (running) since Mon 2025-06-30 17:57:48 CEST; 17min ago
   Main PID: 1364 (sssd)
      Tasks: 5 (limit: 18644)
     Memory: 74.4M (peak: 79.3M)
        CPU: 1.346s
     CGroup: /system.slice/sssd.service
             ├─1364 /usr/sbin/sssd -i --logger=files
             ├─1365 /usr/libexec/sssd/sssd_be --domain lmn7.meine-schule.de --uid 0 --gid 0 --logger=files
             ├─1366 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
             ├─1367 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
             └─1368 /usr/libexec/sssd/sssd_pac --uid 0 --gid 0 --logger=files

Jun 30 17:58:45 213pc02 sssd[2129]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2129]: update failed: SERVFAIL
Jun 30 17:58:45 213pc02 sssd[2129]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2129]: update failed: SERVFAIL
Jun 30 17:58:45 213pc02 sssd[2134]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2134]: update failed: SERVFAIL
Jun 30 17:58:45 213pc02 sssd[2134]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:45 213pc02 sssd[2134]: update failed: SERVFAIL
Jun 30 17:58:46 213pc02 sssd[2139]: ; TSIG error with server: tsig verify failure
Jun 30 17:58:46 213pc02 sssd[2139]: update failed: SERVFAIL

Auch linuxmuster-linuxclient7 print-logs ist unglücklich:

2025-06-30T17:58:31.773397+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ====== onLogin started ======
2025-06-30T17:58:31.790390+02:00 213pc02 linuxmuster-linuxclient7: [INFO] Cleaning linuxadmin gtk bookmarks
2025-06-30T17:58:31.852788+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:31.856414+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:31.860014+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:31.863381+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:31.867119+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:31.938341+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:31.941948+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:31.945698+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:31.948699+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:31.952255+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:31.956702+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Calculating mountpoint of //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:31.974549+02:00 213pc02 systemd[1]: sssd-pam-priv.socket: Start request repeated too quickly.
2025-06-30T17:58:31.974699+02:00 213pc02 systemd[1]: sssd-pam-priv.socket: Failed with result 'exit-code'.
2025-06-30T17:58:31.974773+02:00 213pc02 systemd[1]: Failed to listen on sssd-pam-priv.socket - SSSD PAM Service responder private socket.
2025-06-30T17:58:31.974866+02:00 213pc02 systemd[1]: Dependency failed for sssd-pam.socket - SSSD PAM Service responder socket.
2025-06-30T17:58:31.974940+02:00 213pc02 systemd[1]: sssd-pam.socket: Job sssd-pam.socket/start failed with result 'dependency'.
2025-06-30T17:58:31.992419+02:00 213pc02 systemd[1]: Starting sssd-sudo.service - SSSD Sudo Service responder...
2025-06-30T17:58:31.996961+02:00 213pc02 systemd[1]: Started sssd-sudo.service - SSSD Sudo Service responder.
2025-06-30T17:58:32.032954+02:00 213pc02 sssd_sudo[1997]: Starting up
2025-06-30T17:58:32.137763+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Calculating mountpoint of //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:32.139905+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Trying to mount //server.lmn7.meine-schule.de/sysvol to /srv/samba/jhe/sysvol
2025-06-30T17:58:32.141142+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Creating directory...
2025-06-30T17:58:32.142515+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Executing /usr/sbin/mount.cifs -o file_mode=0700,dir_mode=0700,sec=krb5,nodev,nosuid,mfsymlinks,nobrl,vers=3.0,user=jhe,domain=LMN7.meine-schule.de,gid=692600513,uid=692601178,cruid=692601178 //server.lmn7.meine-schule.de/sysvol /srv/samba/jhe/sysvol
2025-06-30T17:58:32.143641+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Trying to mount...
2025-06-30T17:58:32.153846+02:00 213pc02 kernel: CIFS: enabling forceuid mount option implicitly because uid= option is specified
2025-06-30T17:58:32.153854+02:00 213pc02 kernel: CIFS: enabling forcegid mount option implicitly because gid= option is specified
2025-06-30T17:58:32.153855+02:00 213pc02 kernel: CIFS: Attempting to mount //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:32.155245+02:00 213pc02 cifs.upcall: key description: cifs.spnego;0;0;39010000;ver=0x2;host=server.lmn7.meine-schule.de;ip4=10.32.1.1;sec=krb5;uid=0x2948415a;creduid=0x2948415a;user=jhe;pid=0x7d4;upcall_target=app
2025-06-30T17:58:32.155333+02:00 213pc02 cifs.upcall: ver=2
2025-06-30T17:58:32.155351+02:00 213pc02 cifs.upcall: host=server.lmn7.meine-schule.de
2025-06-30T17:58:32.155363+02:00 213pc02 cifs.upcall: ip=10.32.1.1
2025-06-30T17:58:32.155374+02:00 213pc02 cifs.upcall: sec=1
2025-06-30T17:58:32.155385+02:00 213pc02 cifs.upcall: uid=692601178
2025-06-30T17:58:32.155398+02:00 213pc02 cifs.upcall: creduid=692601178
2025-06-30T17:58:32.155416+02:00 213pc02 cifs.upcall: user=jhe
2025-06-30T17:58:32.155429+02:00 213pc02 cifs.upcall: pid=2004
2025-06-30T17:58:32.155442+02:00 213pc02 cifs.upcall: upcall_target=app
2025-06-30T17:58:32.155468+02:00 213pc02 cifs.upcall: upcall_target=app, switching namespaces to application thread
2025-06-30T17:58:32.156187+02:00 213pc02 cifs.upcall: get_cachename_from_process_env: pathname=/proc/2004/environ
2025-06-30T17:58:32.156204+02:00 213pc02 cifs.upcall: get_cachename_from_process_env: cachename = FILE:/tmp/krb5cc_692601178_78l8Ol
2025-06-30T17:58:32.156252+02:00 213pc02 cifs.upcall: get_existing_cc: default ccache is FILE:/tmp/krb5cc_692601178_78l8Ol
2025-06-30T17:58:32.156270+02:00 213pc02 cifs.upcall: handle_krb5_mech: getting service ticket for server.lmn7.meine-schule.de
2025-06-30T17:58:32.156282+02:00 213pc02 cifs.upcall: handle_krb5_mech: using native krb5
2025-06-30T17:58:32.177711+02:00 213pc02 cifs.upcall: handle_krb5_mech: obtained service ticket
2025-06-30T17:58:32.177818+02:00 213pc02 cifs.upcall: Exit status 0
2025-06-30T17:58:32.227982+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] * Success!
2025-06-30T17:58:32.256905+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Calculating mountpoint of //server.lmn7.meine-schule.de/sysvol
2025-06-30T17:58:32.258365+02:00 213pc02 linuxmuster-linuxclient7: [DEBUG] Saving export SYSVOL=/srv/samba/jhe/sysvol to tmp file
2025-06-30T17:58:32.352227+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.355985+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.359533+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.363383+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.366402+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.370217+02:00 213pc02 linuxmuster-linuxclient7: [FATAL] * Error when loading applicable GPOs! Shares and printers will not work.
2025-06-30T17:58:32.373653+02:00 213pc02 linuxmuster-linuxclient7: [INFO] === Running local hook onLogin ===
2025-06-30T17:58:32.456144+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.459615+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.463147+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.466625+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.470153+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.520681+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.524350+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.527256+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.530311+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.533760+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.539337+02:00 213pc02 linuxmuster-linuxclient7: [INFO] == Executing script /etc/linuxmuster-linuxclient7/onLogin.d/00_example.sh ==
2025-06-30T17:58:32.553753+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ==> Script /etc/linuxmuster-linuxclient7/onLogin.d/00_example.sh finished with exit code 0 ==
2025-06-30T17:58:32.557237+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ===> Finished running local hook onLogin ===
2025-06-30T17:58:32.560549+02:00 213pc02 linuxmuster-linuxclient7: [INFO] === Running remote hook onLogin ===
2025-06-30T17:58:32.634639+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cloud not bind to ldap!
2025-06-30T17:58:32.637914+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === An exception occurred ===
2025-06-30T17:58:32.641422+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] {result: -2, desc: Local error, ctrls: [], info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)}
2025-06-30T17:58:32.645069+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] === end exception ===
2025-06-30T17:58:32.648383+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Cannot talk to LDAP
2025-06-30T17:58:32.651879+02:00 213pc02 linuxmuster-linuxclient7: [ERROR] Could not execute server hooks because the user config could not be read
2025-06-30T17:58:32.655337+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ===> Finished running remote hook onLogin ===
2025-06-30T17:58:32.658267+02:00 213pc02 linuxmuster-linuxclient7: [INFO] ======> onLogin end ======

klist -k gibt folgendes aus:

root@213pc02:~# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 213PC02$@LMN7.MEINE-SCHULE.DE
   3 213PC02$@LMN7.MEINE-SCHULE.DE
   3 213PC02$@LMN7.MEINE-SCHULE.DE
   3 213PC02$@LMN7.MEINE-SCHULE.DE
   3 host/213PC02@LMN7.MEINE-SCHULE.DE
   3 host/213PC02@LMN7.MEINE-SCHULE.DE
   3 host/213PC02@LMN7.MEINE-SCHULE.DE
   3 host/213PC02@LMN7.MEINE-SCHULE.DE
   3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE
   3 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE

(Echte Domain gegen MEINE-SCHULE.DE getauscht.)

Weitere Infos:

  • Ein kinit global-admin funktioniert.
  • In der /etc/resolv.conf steht nur der LMN-Server mit der richtigen Search-Domain (lmn7.meine-schule.de) drin.
  • Was ich auch schon ausprobiert habe: alle Recher des Computerraums aus der devices.csv auskommentiert > linuxmuster-import-devices > LDAP mit Apache Directory Studio angesehen (alle PC’s weg) > Clients wieder einkommentiert > linuxmuster-import-devices > Domain join neu > Image erstellen > Upload > Sync > Start. Ohne Erfolg
  • Hangele ich mich auf dem Mint Client in der Gui über den Datei-Browser Netzwerk > Server > … durch, kann ich mich mit demselben Nutzer wie bei der Desktop-Anmeldung anmelden und sehe auch alle Server-Verzeichnisse.

Mein Problem könnte dasselbe sein, dass @Cosmicos vor einem halben Jahr hier berichtete.

Hat jemand eine Lösungsidee? Das SSO mit dem Proxy auf der OpnSense funktioniert so nämlich natürlich auch nicht. :frowning:

Besten Dank!
Jens

Hallo Jens,
ich kann nicht beschwören, ob Dein Problem mit dem hier zusammenhängt, aber vielleicht ist es einen Versuch wert, die default-GPOs neu erstellen zu lassen?
Der Beitrag ist schon älter und geht auch in eine etwas andere Richtung … aber wer weiß?

Hallo Jens,

ihr verwendet eine „echte“ Domain als interne Domain im Schulnetzt? (auf die Idee komme ich, wegen des .de in der Daimain: oder kam das von der „Ersetzung“ zu meine-schule.de ?).

Bitte kontrollier an einem gestarteten Client mal, welche IP er hat: ist das die, die er laut devices.csv haben sollte?
Dann kontrollier mal, welche IP er für server bzw. für server.meine-schule.de vorschlägt.
Da sollte ping reichen.
Also am Client
ping server
bzw.
ping server.meine-schule.de
absetzen.
Kommt da die lokale IP deines Servers raus?
Also 10.16.1.1 oder 10.0.0.1 oder sowas?

LG
Holger

Hallo,

@Michael Danke für den Link und Vorschlag. Das hat aber leider nichts gebracht. Hab ich mir durch die neue GPO auf dem Server jetzt noch was anderes „eingetreten“? Backup vom Zustand „vorher“ hab ich gemacht.

Holger,

  • Der Client hat die richtige IP (und die ändert sich auch, wenn ich sie in der devices.csv ändere).
  • Der Client löst die richtige Server-IP (bei mir 10.32.1.1) bei einem ping server.meine-schule.de auf. Genau genommen ist es bei uns server.lmn7.meine-schule.de, damit es eine eigene Domain ist. Lief das letzte Jahr problemlos. Auch ein dig server löst die richtige IP auf.

Danke,
Jens

Hallo,

hat noch jemand Tipps für mich, wie ich mein Problem weiter eingrenzen kann?

Danke,
Jens

Kann das evtl ein Problem mit MINT sein? Hast Du mal einen andere Distribution ausprobiert? Ich hatte kürzlich mal einem Client ZorinOS verpasst – damit lief es ootb.

Hallo Jens,

Probier mal bitte einen Ldapsearch aus dem Client auszuführen:

kinit DEINLOGIN
ldapsearch -H ldap://10.32.1.1 -L "sAMAccountName=DEINLOGIN" -Y GSSAPI -b 'DC=...DEINDOMAIN...' cn

Vielleicht können wir damit herausfinden, warum der Client Ldap nicht erreichen kann.

Gruß

Arnaud

Hallo Arnaud,

vielen Dank für Deinen Tipp. Hier die Ausgabe:

root@213pc02:~# kinit jhe
Passwort für jhe@LMN7.MEINE-SCHULE.DE: 
root@213pc02:~# ldapsearch -H ldap://10.32.1.1 -L "sAMAccountName=jhe" -Y GSSAPI -b 'DC=lmn7,DC=meine-schule,DC=de' cn
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind: Local error (-2)
	additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)

Hier schon mal das klist dazu:

root@213pc02:~# klist -kde
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   4 213PC02$@LMN7.MEINE-SCHULE.DE (DEPRECATED:arcfour-hmac) 
   4 213PC02$@LMN7.MEINE-SCHULE.DE (aes128-cts-hmac-sha1-96) 
   4 213PC02$@LMN7.MEINE-SCHULE.DE (aes256-cts-hmac-sha1-96) 
   4 host/213PC02@LMN7.MEINE-SCHULE.DE (DEPRECATED:arcfour-hmac) 
   4 host/213PC02@LMN7.MEINE-SCHULE.DE (aes128-cts-hmac-sha1-96) 
   4 host/213PC02@LMN7.MEINE-SCHULE.DE (aes256-cts-hmac-sha1-96) 
   4 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE (DEPRECATED:arcfour-hmac) 
   4 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE (aes128-cts-hmac-sha1-96) 
   4 host/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE (aes256-cts-hmac-sha1-96) 
   4 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE (DEPRECATED:arcfour-hmac) 
   4 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE (aes128-cts-hmac-sha1-96) 
   4 RestrictedKrbHost/213PC02@LMN7.MEINE-SCHULE.DE (aes256-cts-hmac-sha1-96) 
   4 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE (DEPRECATED:arcfour-hmac) 
   4 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE (aes128-cts-hmac-sha1-96) 
   4 RestrictedKrbHost/213pc02.lmn7.MEINE-SCHULE.de@LMN7.MEINE-SCHULE.DE (aes256-cts-hmac-sha1-96) 

Im Logfile waren mir noch diese Zeilen aufgefallen:

Jul 06 16:49:16 213pc02 sssd[3215]: ; TSIG error with server: tsig verify failure
Jul 06 16:49:16 213pc02 sssd[3215]: update failed: SERVFAIL
Jul 06 16:49:16 213pc02 sssd[3215]: ; TSIG error with server: tsig verify failure
Jul 06 16:49:16 213pc02 sssd[3215]: update failed: SERVFAIL
Jul 06 16:49:17 213pc02 sssd[3220]: ; TSIG error with server: tsig verify failure
Jul 06 16:49:17 213pc02 sssd[3220]: update failed: SERVFAIL
Jul 06 16:49:17 213pc02 sssd[3220]: ; TSIG error with server: tsig verify failure
Jul 06 16:49:17 213pc02 sssd[3220]: update failed: SERVFAIL
Jul 06 16:49:17 213pc02 sssd[3225]: ; TSIG error with server: tsig verify failure
Jul 06 16:49:17 213pc02 sssd[3225]: update failed: SERVFAIL
Jul 06 16:49:36 213pc02 PackageKit[3001]: daemon quit
Jul 06 16:49:36 213pc02 systemd[1]: packagekit.service: Deactivated successfully.
Jul 06 17:00:01 213pc02 CRON[3240]: pam_unix(cron:session): session opened for user root(uid=0) by root(uid=0)
Jul 06 17:00:01 213pc02 CRON[3241]: (root) CMD (timeshift --check --scripted)
Jul 06 17:00:01 213pc02 CRON[3240]: pam_unix(cron:session): session closed for user root
Jul 06 17:05:24 213pc02 systemd-resolved[853]: Grace period over, resuming full feature set (UDP+EDNS0) for DNS serve>
Jul 06 17:05:24 213pc02 systemd-resolved[853]: Using degraded feature set UDP instead of UDP+EDNS0 for DNS server 10.>

Ist das normal?

@Michael Der Client lief ja schon mal ein ganzes Jahr lang problemlos. Das Image ist noch das, was mal funktioniert hat, nur auf dem Server sind die normalen Paketquellen aktualisiert worden (ist aber noch 7.2, nicht die 7.3 beta!).

Danke,
Jens

Hi Jens,

Für mich sieht es wirklich aus, als ob einen DNS-Fehler irgendwo liegt. Falls es wirklich der Fall ist, verstehe ich nicht ganz, warum der Setup funktioniert hat.

Ich würde folgende dazu überprüfen:

  1. auf dem Client:
  • sind alle Einträge in /etc/hosts in Ordnung ?
  • ist der Inhalt von /etc/resolv.conf auch ok ?
  • funktioniert einen RDNS ? (dig +x 10.32.1.1)
  1. auf dem Server:

Gruß

Arnaud

Hallo Arnaud,

danke für Deine Ideen und Einschätzung. Für mich sieht das alles gut aus:

Auf dem Client:

root@213pc02:~# cat /etc/hosts
127.0.0.1	localhost
127.0.1.1	r213pc11

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

root@213pc02:~# cat /etc/resolv.conf 
nameserver 10.32.1.1
search lmn7.meine-schule.de

root@213pc02:~# dig -x 10.32.1.1

; <<>> DiG 9.18.30-0ubuntu0.24.04.2-Ubuntu <<>> -x 10.32.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 44412
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.1.32.10.in-addr.arpa.		IN	PTR

;; AUTHORITY SECTION:
1.32.10.in-addr.arpa.	3600	IN	SOA	server.lmn7.meine-schule.de. hostmaster.lmn7.meine-schule.de. 29 900 600 86400 3600

;; Query time: 2 msec
;; SERVER: 10.32.1.1#53(10.32.1.1) (UDP)
;; WHEN: Mon Jul 07 09:18:03 CEST 2025
;; MSG SIZE  rcvd: 118

Auf dem Server:

root@server:~# ping 213pc02
PING 213pc02.lmn7.meine-schule.de (10.32.213.102) 56(84) bytes of data.
root@server:~# ping 213pc02.lmn7.meine-schule.de
PING 213pc02.lmn7.meine-schule.de (10.32.213.102) 56(84) bytes of data.

Passt.
Jens

Hi Jens,

Ich habe jetzt leider keine Zeit zum Testen, ich kann nur sagen, dass ich nicht weiß, ob ein SOA als Antwort ausreichen ist. Ich dachte, dass ein PTR dafür notwendig wäre, aber ich kann auch falsch liegen.

Ich probiere mal später wieder es anzuschauen.

Gruß

Arnaud

Hallo,

mag mir mal jemand den Inhalt seiner `/etc/krb5.conf’-Dateien auf Linux-Client (bei dem der Domain-Join funktioniert und Server hier (anonymisiert) posten?

Danke,
Jens

Hi Jens,

$ klist -kde
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   8 CLIENT1$@lmn.lan (DEPRECATED:arcfour-hmac) 
   8 CLIENT1$@lmn.lan (aes128-cts-hmac-sha1-96) 
   8 CLIENT1$@lmn.lan (aes256-cts-hmac-sha1-96) 
   8 host/CLIENT1@lmn.lan (DEPRECATED:arcfour-hmac) 
   8 host/CLIENT1@lmn.lan (aes128-cts-hmac-sha1-96) 
   8 host/CLIENT1@lmn.lan (aes256-cts-hmac-sha1-96) 
   8 host/client1.lmn.lan@lmn.lan (DEPRECATED:arcfour-hmac) 
   8 host/client1.lmn.lan@lmn.lan (aes128-cts-hmac-sha1-96) 
   8 host/client1.lmn.lan@lmn.lan (aes256-cts-hmac-sha1-96) 
   8 RestrictedKrbHost/CLIENT1@lmn.lan (DEPRECATED:arcfour-hmac) 
   8 RestrictedKrbHost/CLIENT1@lmn.lan (aes128-cts-hmac-sha1-96) 
   8 RestrictedKrbHost/CLIENT1@lmn.lan (aes256-cts-hmac-sha1-96) 
   8 RestrictedKrbHost/client1.lmn.lan@lmn.lan (DEPRECATED:arcfour-hmac) 
   8 RestrictedKrbHost/client1.lmn.lan@lmn.lan (aes128-cts-hmac-sha1-96) 
   8 RestrictedKrbHost/client1.lmn.lan@lmn.lan (aes256-cts-hmac-sha1-96)
$ cat /etc/krb5.conf

#
# WARNING! All changes to this file will be overwritten by linuxmuster-linuxclient7 setup and upgrade!
#

[libdefaults]
default_realm = LMN.LAN
        ticket_lifetime = 24h
        renew_lifetime = 7d
udp_preference_limit = 0

Gruß

Arnaud

Guten Tag,

für alle, die das Problem auch mal bekommen sollten (weshalb auch immer), hier die Lösung bei mir nach mehreren Stunden Suche (und der Neuinbetriebnahme meines Test-Systems zum Vergleich, das sofort wieder funktionierte):

Das Problem war oben im Screenshot schon zu sehen, war mir aber nicht aufgefallen:

root@213pc02:~# dig -x 10.32.1.1

; <<>> DiG 9.18.30-0ubuntu0.24.04.2-Ubuntu <<>> -x 10.32.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 44412
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;1.1.32.10.in-addr.arpa.		IN	PTR

;; AUTHORITY SECTION:
1.32.10.in-addr.arpa.	3600	IN	SOA	server.lmn7.meine-schule.de. hostmaster.lmn7.meine-schule.de. 29 900 600 86400 3600

;; Query time: 2 msec
;; SERVER: 10.32.1.1#53(10.32.1.1) (UDP)
;; WHEN: Mon Jul 07 09:18:03 CEST 2025
;; MSG SIZE  rcvd: 118

status: NXDOMAIN heißt, dass es zum angefragten Eintrag 10.32.1.1 keine Antwort gab! In meinem Testsystem stand da (gut versteckt) status: NOERROR. Das hat mich auf die richtige Fährte gebracht. Eine Abfrage der DNS Zone auf dem Server zeigte das Problem:

root@server:~# samba-tool dns query localhost 1.32.10.in-addr.arpa @ PTR -U global-admin
Password for [LMN7\global-admin]:
  Name=, Records=0, Children=0
  Name=10, Records=1, Children=0
    PTR: tgsdocker.lmn7.meine-schule.de (flags=f0, serial=27, ttl=900)
  Name=12, Records=1, Children=0
    PTR: tgswiki.lmn7.meine-schule.de (flags=f0, serial=29, ttl=900)
  Name=16, Records=1, Children=0
    PTR: tgspmg.lmn7.meine-schule.de (flags=f0, serial=28, ttl=900)
  Name=2, Records=1, Children=0
    PTR: server.lmn7.meine-schule.de (flags=f0, serial=3, ttl=900)
  Name=254, Records=1, Children=0
    PTR: firewall.lmn7.meine-schule.de (flags=f0, serial=2, ttl=900)

Der Server war im reverse lookup als 10.32.1.2 hinterlegt, nicht 10.32.1.1. Das ist war dann schnell korrigiert:

samba-tool dns delete localhost 1.32.10.in-addr.arpa 2 PTR server.lmn7.meine-schule.de
samba-tool dns add localhost 1.32.10.in-addr.arpa 1 PTR server.lmn7.meine-schule.de

Und schon war der Spuk vorbei. Was ich aber noch nicht verstanden habe: wie kam es zu dem Eintrag? Ich habe den ganz sicher nicht selbst angelegt. Die server-Zeile in der devices.csv stimmt auch (10.32.1.1). Ich will nicht ausschließen, dass da auch mal zu Testzwecken irgendwann eine 10.32.1.2 gestanden hat. Ist aber sichergestellt, dass sophomorix das richtig handled, wenn das mal geändert wurde?

Beste Grüße,
Jens

1 „Gefällt mir“

Hallo Jens,

Danke für die Rückmeldung, das wird andere Benutzer helfen !

Gruß

Arnaud