wir haben die Ferien genutzt um von 6.2 auf die Version 7 zu migrieren.
LDAP, DHCP, Radius, Firewall, nextcloud, moodle, usw. funktionieren.
Leider hakt es bei der Einbindung der Linuxclients.
Egal ob wir die vorgefertigten cloops nehmen oder from scratch, beim Aufruf von
linuxmuster-cloop-turnkey erscheint folgende Meldung:
#### Joining domain BEISENKAMP. #### Note that you have to input the password of the global-admin.
kinit: für Realm »BEISENKAMP.LOCAL« kann nicht KDC kontaktiert werden bei Anfängliche Anmeldedaten werden geholt. Failed to join domain: failed to lookup DC info for domain ‚BEISENKAMP‘ over rpc: An internal error occurred.
Installing server certificate … mount error(2): No such file or directory Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) cp: Aufruf von stat für ‚/var/lib/samba/sysvol/beisenkamp.local/tls/cacert.pem‘ nicht möglich: Datei oder Verzeichnis nicht gefunden umount: /var/lib/samba/sysvol: nicht eingehängt.
Nachdem wir in der krb5.conf die IP des kdc eingetragen haben, läuft das Skript zwar weiter und das Passwort vom global-admin wird angefordert, allerdings erfolgt kein Domänenbeitritt!
Failed to join domain: failed to lookup DC info for domain ‚BEISENKAMP‘ over rpc: {Operation Failed} The requested operation was unsuccessful.
Es sieht so aus, dass es Probleme mit der Namensauflösung gibt. Bisher haben wir den Fehler auf der Clientseite gesucht. Wahrscheinlich hat der Server aber ein Problem und liefert bestimmte Informationen per DNS nicht. Bei der Altdatemigration gab es Probleme mit dem ISC-Server. Er konnte nicht alle Workstations übernehmen und brach den Importvorgang ab. Das Problem mit den Workstations konnten wir lösen, sodass der ISC-Server jetzt arbeitet.
Wie DNS bei Linuxmuster 7 funktioniert, habe ich noch nicht durchschaut.
Gleiches Problem bei uns, ich hab jetzt 20 Jahre gebraucht um den BIND wirklich zu verstehen und jetzt muss ich mich mit dem Nameserver von Samba 4 rumaergern, gehe zurueck auf LOS.
Ein Windows Domain Controller hegt und pflegt seine Clients ja auch in einem eigenen Nameserver und Windows hat sich ja irgendwann mal entschlossen DNS als Protokoll für die Namensaufloesung zu nutzen (auch wenn WIN/NBNS auch auf aktuellen Servern immer noch im Hintergrund als failover laeuft).
Samba 4 bringt das alles selbst mit, LDAP braucht man nicht mehr durch OpenLDAP nachzuruesten und DNS nicht durch BIND.
Ich fuerchte das landet alles in /var/lib/samba, der Ordner hat mit Unterordnern > 130MByte,
In /var/lib/samba/private und Unterordner liegen wohl die Datenbanken, vermute da sollte man nicht drinrumeditieren.
Unser 7er-Server laeuft noch parallel zum produktiven 6er und ist noch nicht fertig, funktioniert nicht, hab einen Thread dazu offen.
server services-Eintrag habe ich keinen in der smb.conf
Ich habe den Server jetzt mit der Domäne beisenkamp.lan neu aufgesetzt.
linuxmuster-cloop-turnkey läuft jetzt durch. Bei der Imageerstellung wird auch die macct-Datei angelegt, aber jetzt scheitere ich mit der Benutzeranmeldung am Client.
Der smbd.service startet zwar, aber folgender Fehler wird angezeigt: kerberos_kinit_password BASIS-PC01$@BEISENKAMP.LAN failed: Preauthentication failed
Der Kerberos-Fehler lag an einer zu optimistischen Eintragung meinerseits in der Schulkonsole.
Im Laufe der Fehlersuche hatte ich einen neuen Rechner zur Installation genommen und unter demselben
Rechnernamen, ohne den alten vorher zu löschen, hinterlegt. Damit blieb wohl trotz des Domänenbeitritts des neuen Rechners in der Kerberosdatenbank der bisherige Rechner. Somit gab es natürlich Probleme mit Kerberos.
Weiterhin sollten alle, die ein System selber aufsetzen darauf achten, dass der lokale Rechnername des Master-PCs identisch mit dem Namen in der Schulkonsole ist. Sonst wird der Rechner zwar in der Domäne aufgenommen, allerdings wird bei der Linbo-Synchronisation keine macct-Datein angelegt.
Wer jetzt glaubt, dass es funktioniert, hat sich geirrt. Meine nächsten Probleme poste ich, wenn ich Zeit
habe. Beim Hochfahren erscheinen Fehler mit CIFS.MOUNT. Die Anmeldung klappt noch nicht.