Hi @tjordan
Das scheint zu klappen, einfach
apt install sambasamba-tool domain join linuxmuster.lan DC -U"LINUXMUSTER\global-admin"
Und das wars 
Die Frage ist nur: mach ich damit irgendwas kaputt?
VG, Dorian
Hallo Dorian,
wir betreiben ein Setup mit einem zusätzlichen DC für LDAPS-Loadbalancing und nutzen dafür den HA-Proxy auf der opnSense. Das hat bislang gut funktioniert.
Viele Grüße
Thomas
Hi,
Hat hier noch jemand dran Intresse? Ich habe es jetzt soweit, dass ich einen Docker container dafür bauen könnte, wenn es Bedarf gibt.
VG, Dorian
Absolut!
Ich hätte das gerne wieder!
Von mir ein dickes Daumen hoch!
Liebe Grüße Jesko
Bin leider doch noch nicht so weit wie ich dachte. Ich scheiter nach erfolgreichem Join hieran:
$ samba-tool drs showrepl
ERROR(runtime): DsReplicaGetInfo of type 0 failed - (8453, 'WERR_DS_DRA_ACCESS_DENIED')
Hat jemand eine Idee?
VG, Dorian
Hallo Dorian,
wenn das ein RODC ist, muss man einen Benutzer aus der Domain Admins Gruppe mit dem Parameter -U (z.B. samba-tool drs showrpl -U global-admin) mitgeben.
Viele Grüße
Thomas
Hi Thomas,
Ahaa, danke, das war es! Jetzt sieht es so aus:
/ # samba-tool drs showrepl -Uglobal-admin
Password for [LINUXMUSTER\global-admin]:
Default-First-Site-Name\SERVER-EXTERN
DSA Options: 0x00000025
DSA object GUID: 2483446f-534f-4038-a959-7b562f0f63e7
DSA invocationId: cbf51d8d-a191-4cda-8ba1-1b13de3c019c
==== INBOUND NEIGHBORS ====
==== OUTBOUND NEIGHBORS ====
==== KCC CONNECTION OBJECTS ====
Connection --
Connection name: RODC Connection (FRS)
Enabled : TRUE
Server DNS name : server.linuxmuster.lan
Server DN name : CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=linuxmuster,DC=lan
TransportType: RPC
options: 0x00000041
Warning: No NC replicated for Connection!
Passt das?
VG, Dorian
Ich habe aber immernoch ein Problem:
Ich kann mich mit ldapserch nicht am ldap des RODC anmelden:
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 47, v1db1
Derselbe ldapsearch Befehl funktioniert aber am Schulserver. Woran könnte das liegen?
BG, Dorian
Hallo Dorian,
der Fehler lautet Invalid credentials…gib auch dem ldapsearch mal einen binduser mit.
Gruß
Thomas
Hi,
Ich habe es schon mit dem binduser und mit dem global-admin probiert:
ldapsearch -LLL -D 'CN=global-admin,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan' '(samaccountname=testnutzer)' -H ldaps://10.9.0.2 -W -b 'DC=linuxmuster,DC=lan'
VG, Dorian
Hallo Dorian,
kommt bei wbinfo -u und wbinfo -g was Gescheites raus?
Wie sieht die Ausgabe von ldbsearch --url=/var/lib/samba/private/sam.ldb aus?
Gruß
Thomas
Hi Thomas,
Bei den wbinfo Befehlen werden alle Benutzernamen ausgegeben. Bei ldbsearch alle objejte mit allen Attributen (soweit ich das beurteilen kann)
ldbsearch --url=/var/lib/samba/private/sam.ldb '(samaccountname=testnutzer)'
Gibt meinen Testnutzer aus, also das passt würde ich sagen.
VG, Dorian
Hallo zusammen,
wir hätten auch Interesse!
Wie genau setzt Ihr das „extern“ um? Das ist doch auch ein enormes Sicherheitsdingen, wenn ich einfach eine AD-Replika irgendwo „auf die Wiese“ stelle!? Wo betreibt Ihr / wie schützt Ihr die?
Danke und Gruß,
Jochen
Hi Jochen,
Wir haben das zweite AD auf einem Server, der mit Wireguard an unser internes Netz angeschlossen ist. Sämtlicher Verkehr läuft also über den Wireguard Tunnel.
VG, Dorian
Per Site-to-Site VPN
Hallo Thomas und Dorian,
merci! Makes (OPN)sense! 
Viele Grüße,
Jochen
Hallo Dorian,
ja…die AD-Replizierung funktioniert. Wieso jetzt aber ldapsearch nicht klappt, kann ich dir auch nicht sagen…Fehler 49 heißt eigentlich immer „falscher Benutzer und/oder Kennwort“…da müsste man jetzt weiter schauen…
Gruß
Thomas
Hi Thomas,
Hmm komisch. Könnte das mit dem RODC zusammenhängen, ich hab gelesen, dass die Passwörter da nicht repliziert werden…?
VG, Dorian
Hallo Dorian,
ich habe mit einem RODC noch keine praktischen Erfahrungen gemacht. Wir betreiben den zweiten DC auch als ADDC…
Viele Grüße
Thomas
Hallo Dorian,
Kannst du mit kinit auf dem RODC ein Kerberos-Ticket erstellen?
Funktioniert die LDAP-Abfrage unverschlüsselt?
Gruß
Thomas