Lmn 7.2 testing

garblixa · 7. August 2023 um 06:02

Hallo zusammen,

ich hole das nochmal hervor, da ich es mich viel Zeit gekostet hat und ich es als zu wichtig sehe, als daß es untergeht.

Das habe ich falsch beschriben. Autologin funktioniert schon, aber das mit rsync/dem differentiellen Image erstellte Benutzerprofil des Autologin Users wird von Windows 11 nicht anerkannt und ein neues erstellt.

Viele Grüße
Klaus

Till · 7. August 2023 um 07:20

Das ist insofern normal, da diese Daten abgeholt werden. Benötigt das bestimmen der Auslastung mittels Sophomorix bei dir 5 Minute, wartest du an dieser Stelle 5 Minuten

Till · 7. August 2023 um 07:20

Ich könnte mir vorstellen, dass es an fehlerhafte Dateiattributen liegen könnte. Kannst du das nochmal verifizieren?

graueralltag · 7. August 2023 um 10:44

Hi
gerade auf die 72 upgedatet… Passt fast alle, bis auf die Quotas:

Hier werden 0 MB angezeigt als Benutzer
Wo kann ich nachsehen?
Liebe Grüße Ralf

Arnaud · 7. August 2023 um 21:10

Hallo Ralf,

Hier gibt vielleicht eine Lösung :

Gruß

Arnaud

Michael · 8. August 2023 um 07:32

Hallo.
Ich habe gerade eine aktuelle students.csv bekommen, woraufhin ich am Server wie üblich den Befehl sophomorix-check und sophomorix-add verwendet habe.

Zunächst sieht alles gut aus, aber dann geschieht dies:

4) Line 10:  LINUX::$homedir_all_schools/@@SCHOOL@@/::root::root::0755::noacl:::
          chown root.root /srv/samba/schools/default-school
DONE with 4) Line 10:  LINUX::$homedir_all_schools/@@SCHOOL@@/::root::root::0755::noacl:: ---
------------------------------------------------------------
5) Line 12:  SMB::@@SCHOOL@@::root::root::0755::school.ntacl::ntaclonly:::
* NOT executed (ntaclonly): smbclient command
cli_full_connection failed! (NT_STATUS_IO_TIMEOUT)
ERROR: smbcacls-NTACL on //server/default-school /
     COMMAND:
        /usr/bin/smbcacls -U administrator%'******' //server/default-school / 
      --set "REVISION:1,OWNER:LINUX\Domain Admins,GROUP:S-1-22-2-0,ACL:LINUX\admins:ALLOWED/OI|CI|IO/FULL,ACL:LINUX\teachers:ALLOWED/0x0/READ,ACL:LINUX\students:ALLOWED/0x0/READ,ACL:LINUX\s_default-school:ALLOWED/0x0/READ,ACL:LINUX\Domain Admins:ALLOWED/OI|CI|I/FULL"
     RETURN VALUE: 256
     ERROR MESSAGE:

DONE with 5) Line 12:  SMB::@@SCHOOL@@::root::root::0755::school.ntacl::ntaclonly:: ---

Der Prozess dauert ziemlich lange und hängt offenbar immer wieder bei diesem Aufruf. Das liegt offenbar an der Meldung NT_STATUS_IO_TIMEOUT – woran könnte das liegen?
[Update]: Nach ein paar Minuten Wartezeit läuft es scheinbar normal weiter. Im Moment werden die neuen User angelegt.

Hier läuft:

linuxmuster.net packages:
     █████     █████         -Base...........: 7.2.0-rc11
      ███       ███          -Linbo..........: 4.1.34-0
  ███               ███      -WebUI..........: 7.2.22
 █████             █████     -Sophomorix.....: 3.90.10-2

Danke.
Michael

Till · 8. August 2023 um 07:53

Es gibt ein Problem beim setzen der ntacls. NT_STATUS_IO_TIMEOUT lässt darauf schließen dass die Kommunikation in einen Timeout läuft. Eventuell mal den Server neustarten?

Das kommando kannst du Testweise auch einmal ausführen, sophomorix printed es ja:

/usr/bin/smbcacls -U administrator%'******' //server/default-school / 
      --set "REVISION:1,OWNER:LINUX\Domain Admins,GROUP:S-1-22-2-0,ACL:LINUX\admins:ALLOWED/OI|CI|IO/FULL,ACL:LINUX\teachers:ALLOWED/0x0/READ,ACL:LINUX\students:ALLOWED/0x0/READ,ACL:LINUX\s_default-school:ALLOWED/0x0/READ,ACL:LINUX\Domain Admins:ALLOWED/OI|CI|I/FULL"

natürlich das Administrator Passwort statt der Sterne einsetzen

Eventuell bekommst du hier eine genauere Fehlermeldung.

Michael · 8. August 2023 um 08:12

Hallo Andreas (@Till).
Ich habe den Befehl gerade abgesetzt (das Passwort für den Login administrator habe ich unter /etc/linuxmuster/.secret/administrator gefunden)

Zuerst hatte ich den Zeilenumbruch nicht gesehen – wenn man aber alles in eine Zeile packt, erscheint nur:

Usage: smbcacls [-?txNPkV] [-?|--help] [--usage] [-D|--delete=ACL] [-M|--modify=ACL] [-a|--add=ACL] [-S|--set=ACLS]
        [-C|--chown=USERNAME] [-G|--chgrp=GROUPNAME] [-I|--inherit=STRING] [--propagate-inheritance] [--numeric] [--sddl]
        [--query-security-info=INT] [--set-security-info=INT] [-t|--test-args] [--domain-sid=SID] [-x|--maximum-access]
        [-d|--debuglevel=DEBUGLEVEL] [--debug-stdout] [-s|--configfile=CONFIGFILE] [--option=name=value] [-l|--log-basename=LOGFILEBASE]
        [--leak-report] [--leak-report-full] [-R|--name-resolve=NAME-RESOLVE-ORDER] [-O|--socket-options=SOCKETOPTIONS]
        [-m|--max-protocol=MAXPROTOCOL] [-n|--netbiosname=NETBIOSNAME] [--netbios-scope=SCOPE] [-W|--workgroup=WORKGROUP] [--realm=REALM]
        [-U|--user=[DOMAIN/]USERNAME[%PASSWORD]] [-N|--no-pass] [--password=STRING] [--pw-nt-hash] [-A|--authentication-file=FILE]
        [-P|--machine-pass] [--simple-bind-dn=DN] [--use-kerberos=desired|required|off] [--use-krb5-ccache=CCACHE] [--use-winbind-ccache]
        [--client-protection=sign|encrypt|off] [-k|--kerberos] [-V|--version]
        //server1/share1 filename
ACLs look like: 'ACL:user:[ALLOWED|DENIED]/flags/permissions'

Michael

Till · 8. August 2023 um 08:49

Müsste ich jetzt auch mal auf meinem Testsystem prüfen. Scheint jetzt aber erstmal ein Syntax Fehler zu sein…

Michael · 8. August 2023 um 09:52

Jetzt läuft sophomorix-upate – auch das läuft verdächtig langsam: Es rödelt jetzt seit mehr als 1,5 Stunden und ist erst bei User 247/1225
Mir scheint, dass es wieder an den ACLs liegt, denn hier dauert es immer sehr lange, bevor es weitergeht:

1) Line 4:  SMB::@@SCHOOL@@/$directory_students/@@ADMINCLASS@@/@@USER@@/::root::root::0755::student.home.ntacl:::
...
DONE with 1) Line 4:  SMB::@@SCHOOL@@/$directory_students/@@ADMINCLASS@@/@@USER@@/::root::root::0755::student.home.ntacl:: ---

und
2) Line 9:  SMB::@@SCHOOL@@/$directory_students/@@ADMINCLASS@@/@@USER@@/@@TRANSFER_DIR_HOME@@/::root::root::0755::student.transfer.ntacl:::
...
DONE with 2) Line 9:  SMB::@@SCHOOL@@/$directory_students/@@ADMINCLASS@@/@@USER@@/@@TRANSFER_DIR_HOME@@/::root::root::0755::student.transfer.ntacl:: ---

Till · 8. August 2023 um 09:55

Ich tippe auf ein DNS Problem. AUch die Befehle di ebi Sophomorix-update ablaufen kannst du ja nochmal gegenprüfen. ICh gehe davon aus, dass viele der Samba Befehle einfach nicht ausgeführt werden und in einen Timeout laufen. Daraus die langsame Geschwindigkeit.

Michael · 8. August 2023 um 09:58

Hm – dann dürfte es aber gar nicht gehen, oder? Der Prozess läuft ja … nur eben nicht sonderlich schnell. Am Ende wird jedenfalls immer „OK“ gemeldet…

[Update]: Die Versetzung ist jetzt durchgelaufen und sophomorix-update hat offenbar alle Schüler versetzt. Dennoch hat der Prozess mit V7.2 extrem lange gedauert. Ich habe das heute Mittag angeworfen und erst jetzt um kurz vor 5 ist es für alle 1225 User durch … kann nicht abschließend sagen, woran das lag. Bitte hier melden, wenn andere davon auch betroffen sind…

[Update 2]: Ich habe auch nochmal einen anderen Samba-Befehle manuell ausprobiert, bei dem es zwischendurch (aber nicht immer!) länger gedauert hat:

/usr/bin/smbclient -U administrator%super-geheimes-passwort //server/default-school -c 'mkdir "students/7d/schueler-login-aus-der-klasse/transfer"'

.... mehrere Sekunde vergehen und dann erscheint dies (weil es das Verzeichnis nun ja bereits gibt) ... 

NT_STATUS_OBJECT_NAME_COLLISION making remote directory \students\7d\<login des Schülers>\transfer

Es funktioniert also – dauert aber.

garblixa · 8. August 2023 um 15:15

Hallo Andreas, @Till

Ich habe das .qdiff Image jetzt mal gemountet und sehe den wahrscheinlichen Grund, warum das User Profil defekt ist. Hier gibt es Links, welche offenbar nicht gültig sind:

unsupported reparse tag 0xa000000c

root@server:/tmp/image/Users/schueler# ls -la
insgesamt 1872
drwxrwxrwx 1 root root   4096 Aug  8 15:06  .
drwxrwxrwx 1 root root   4096 Aug  8 15:06  ..
drwxrwxrwx 1 root root      0 Aug  8 15:06 '3D Objects'
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Anwendungsdaten -> 'unsupported reparse tag 0xa000000c'
drwxrwxrwx 1 root root      0 Aug  8 15:06  AppData
drwxrwxrwx 1 root root      0 Aug  8 15:06  Contacts
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Cookies -> 'unsupported reparse tag 0xa000000c'
drwxrwxrwx 1 root root      0 Aug  8 15:07  Desktop
drwxrwxrwx 1 root root      0 Aug  8 15:06  Documents
drwxrwxrwx 1 root root      0 Aug  8 15:06  Downloads
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Druckumgebung -> 'unsupported reparse tag 0xa000000c'
lrwxrwxrwx 1 root root     34 Aug  8 15:06 'Eigene Dateien' -> 'unsupported reparse tag 0xa000000c'
drwxrwxrwx 1 root root      0 Aug  8 15:06  Favorites
drwxrwxrwx 1 root root      0 Aug  8 15:06  Links
lrwxrwxrwx 1 root root     34 Aug  8 15:06 'Lokale Einstellungen' -> 'unsupported reparse tag 0xa000000c'
drwxrwxrwx 1 root root      0 Aug  8 15:06  Music
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Netzwerkumgebung -> 'unsupported reparse tag 0xa000000c'
-rwxrwxrwx 1 root root 786432 Aug  8 15:08  NTUSER.DAT
-rwxrwxrwx 1 root root  65536 Aug  8 15:08  NTUSER.DAT{53b39e88-18c4-11ea-a811-000d3aa4692b}.TM.blf
-rwxrwxrwx 1 root root 524288 Aug  8 15:06  NTUSER.DAT{53b39e88-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000001.regtrans-ms
-rwxrwxrwx 1 root root 524288 Aug  8 15:06  NTUSER.DAT{53b39e88-18c4-11ea-a811-000d3aa4692b}.TMContainer00000000000000000002.regtrans-ms
-rwxrwxrwx 1 root root      0 Aug  8 15:06  ntuser.dat.LOG1
-rwxrwxrwx 1 root root      0 Aug  8 15:06  ntuser.dat.LOG2
-rwxrwxrwx 1 root root     20 Aug  8 15:06  ntuser.ini
drwxrwxrwx 1 root root      0 Aug  8 15:06  Pictures
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Recent -> 'unsupported reparse tag 0xa000000c'
drwxrwxrwx 1 root root      0 Aug  8 15:06 'Saved Games'
drwxrwxrwx 1 root root   4096 Aug  8 15:07  Searches
lrwxrwxrwx 1 root root     34 Aug  8 15:06  SendTo -> 'unsupported reparse tag 0xa000000c'
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Startmenü -> 'unsupported reparse tag 0xa000000c'
drwxrwxrwx 1 root root      0 Aug  8 15:06  Videos
lrwxrwxrwx 1 root root     34 Aug  8 15:06  Vorlagen -> 'unsupported reparse tag 0xa000000c'

Irgendetwas wird also mit ntfs3/rsync nicht richtig synchronisiert.

Viele Grüße
Klaus

foer · 8. August 2023 um 20:01

Hallo Michael,

ich kann das Verhalten nicht bestätigen. Ich habe letzte Woche (durch Import einer neuen students.csv) in einem Durchlauf 127 SuS angelegt und 950 versetzt. Das ganze ist in unter einer Stunde durchgelaufen.
Also irgendwas passt da bei dir nicht. Hast du das auf einem Testserver gemacht? Hatte der genügend Power? Ich habe festgestellt, dass da einiges an Last erzeugt wird.
VG Dominik

Till · 9. August 2023 um 05:59

Interessant. Wie mountest du denn das Image gerade? Also mit ntfs-3g oder dem Kernel Treiber? Ich meine Linbo verwendet seit 7.2 den Kernel Treiber welcher ja auch den Gelbstart wieder gangbar macht (mit ntfs-3g hatten wir ja die gleichen Probleme mit symlinks).

Eventuell ist das jetzt auch nur der falsche Zugriff auf die Daten

Michael · 9. August 2023 um 06:00

Hallo Dominik,

nein, das war der Produktiv-Server. Der hat mNn mehr als genug Power und Platz.
Ich habe gestern nach der Versetzung auch noch den Befehl sophomorix-quota --set laufen lassen (nur zur Sicherheit, damit die Quota bei allen SuS ganz sicher richtig gesetzt sind). Auch der Befehl lief mehrere Stunden, bis der durchgelaufen war. Seltsam … bzw bin ich nun ratlos, wonach ich suchen soll, wenn das Problem nur hier auftritt
Viele Grüße,
Michael

Till · 9. August 2023 um 06:15

Nochmal, DNS Einstellungen prüfen. Die Samba Befehle laufen in einen Timeout. Die Kommunikation zwischen den Samba NTACL Tools und dem Samba Server.

Michael · 9. August 2023 um 06:22

Hallo Andreas (@Till).
Ok, nur was genau ist da zu prüfen? Mit einem einfachen hostoder nslookup ist das vermutlich nicht getan…?!

Im gesamten Netz reagiert der Server auf alle Anfragen wie z.B.

ping 10.16.1.1
ping server
ping server.unsere-domain.de

gleich und richtig.
In der Datei /etc/samba/smb.conf steht zudem: dns forwarder = 10.16.1.254 (OPNSense), was vermutlich alles richtig ist.
Daher: was ist als nächstes zu prüfen?

Update: Für den Fall, dass das jetzt hier fehl am Platz ist: Vielleicht kann einer der Admins den Thread teilen und ab hier in einen neuen Beitrag schieben?

Ich habe das hier gefunden:
https://wiki.samba.org/index.php/DNS_Administration#Importance_of_DNS_for_Active_Directory

und das hier ausprobiert:

 samba-tool dns zonelist server -U administrator
und
samba-tool dns zoneinfo server linux.meine-domain.de -U administrator

… ob die Ausgabe der Daten aber so passt oder nicht, kann ich nicht beurteilen. Diese Tests funktionieren auf dem Server alle richtig:
https://wiki.samba.org/index.php/Testing_the_DNS_Name_Resolution

Viele Grüße,
Michael

graueralltag · 9. August 2023 um 08:49

Hallo Arnaud,
der Commit das -mNT1 zu entfernen scheint fast zu klappen.
Doch kommt noch eine Fehlermeldung:

Ich habe -mNT1 in sophomorix-quota und sophomorix-cacls entfernt.

Wo ist das noch drin?

Update: nicht in sophomorix-quota, sondern in sophomorix-query natürlich
Update 2: dann habe ich sophomorix-quota --set aufgerufen
Update 3: Unten steht daber Erfolg, dass
700 users mailquota updated und
700 users smbcquota updated

Grüße Ralf

garblixa · 9. August 2023 um 10:08

Hallo Andreas,

mit dem vielen Rumprobieren, mal auf dem Server mal auf dem Client, habe ich übersehen, daß der Linbo Client einen viel aktuelleren Kernel als der Server hat. Meine Tests mit obigem Fehler

unsupported reparse tag 0xa000000c

gibt es tatsächlich nur, wenn ich das .qdiff auf dem Server mounte. Wenn ich das auf einem Client, der in Linbo steht mache, sehe ich die Linkfehler nicht und das .qdiff ist mit dem Kernel-Treiber ntfs3 eingebunden. Dein Hinweis hat mich darauf gebracht, danke.

Was bleibt ist, daß das User Profil nicht funktioniert. Hast Du eine Idee, welche Dateiattribute ich überprüfen könnte?

Viele Grüße
Klaus