znaczacy > comp.os.* > comp.os.linux.sieci

Lemat (12.01.2016, 22:02)
Przenosilem sobie ostatnio serwer samby z jednej maszyny na druga.
Dystrybucja identyczna na obu: Ubuntu 15.04. Przenioslem
/etc/samba/smb.conf, /var/lib/samba/*, /etc/passwd, /etc/shadow, /etc/group.
Potem nowy serwer dostal adresy IP starego a ów zostal wylaczony.

I (jak zapewne sie domyslacie) powstal problem. Samba jest kontrolerem
domeny. Windowsy 7 podpiete do domeny utracily mozliwosc zalogowania sie
uzytkownikiem domenowym:

"Relacje zaufania miedzy ta stacja robocza a domena podstawowa nie
powiodlo sie."
"Lost trust relationship with domain controller"

Pomaga: odpiecie sieci podczas logowania.
Pomaga(?): przejscie na grupe robocza, restart, dopiecie do domeny ALE
tworzone sa nowe profile uzytkowników (nowe katalogi w c:\users)

[global]
dos charset = 852
unix charset = UTF8
workgroup = TORUN
server string = hpml %v
interfaces = lo, eth0, eth0:1
bind interfaces only = Yes
server role = classic primary domain controller
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n
*Re*ype*new*UNIX*password* %n\n
*passwd:*all*authentication*tokens*updated*success fully*
log file = /var/log/samba/log.%m
max log size = 10000
name resolve order = wins, lmhosts, bcast, host
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
printcap name = /dev/null
disable spoolss = Yes
add user script = /usr/sbin/useradd -s /bin/false '%u'
delete user script = /usr/sbin/userdel '%s'
add machine script = /usr/sbin/useradd -d /dev/null -g machines
-c 'Machine Account' -s /bin/false %u
logon script = %U.bat
logon path =
logon drive = X:
logon home =
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
wins support = Yes
idmap config * : backend = tdb
acl allow execute always = Yes
hosts allow = 192.168.0.0/24, 127.0.0.1
printing = bsd
print command = lpr -r -P'%p' %s
lpq command = lpq -P'%p'
lprm command = lprm -P'%p' %j
case sensitive = No
veto oplock files = /*.DBF/*.NTX/

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
browseable = No

[storage]
comment = pliki
path = /home/storage
valid users = root, @storage
force group = storage
read only = No
create mask = 0660
directory mask = 0770

Mam tez 2 stare komputery z Windowsem NT 4.51. Z jednego da sie
zamapowac udzial, drugi nie daje rady - pomimo tego, ze oba maja
wpisanego tego samego usera i haslo. Ponizej logi z mapowania:

[2016/01/12 15:28:35.539855, 3]
.../source3/auth/auth.c:177(auth_check_ntlm_password)
check_ntlm_password: Checking password for unmapped user
[LASER3]\[robert]@[laser3] with the new password interface
[2016/01/12 15:28:35.539922, 3]
.../source3/auth/auth.c:180(auth_check_ntlm_password)
check_ntlm_password: mapped user is: [TORUN]\[robert]@[laser3]
[2016/01/12 15:28:35.541646, 3]
.../source3/passdb/lookup_sid.c:1560(get_primary_group_sid)
Forcing Primary Group to 'Domain Users' for robert
[2016/01/12 15:28:35.543469, 3]
.../source3/auth/auth.c:226(auth_check_ntlm_password)
check_ntlm_password: sam authentication for user [robert] succeeded
[2016/01/12 15:28:35.543579, 2]
.../source3/auth/auth.c:278(auth_check_ntlm_password)
check_ntlm_password: authentication for user [robert] -> [robert] ->
[robert] succeeded
[2016/01/12 15:28:35.545433, 1]
.../source3/auth/token_util.c:430(add_local_groups)
SID S-1-5-21-4119852561-659140301-1138826216-3060 ->
getpwuid(4294967295) failed
[2016/01/12 15:28:35.545518, 3]
.../source3/auth/token_util.c:316(create_local_nt_token_from_info3)
Failed to finalize nt token
[2016/01/12 15:28:35.545577, 3]
.../source3/smbd/error.c:82(error_packet_set)
NT error packet at ../source3/smbd/sesssetup.c(916) cmd=115
(SMBsesssetupX) NT_STATUS_UNSUCCESSFUL

Czyli haslo mu sie zgadza, ale SID juz nie.

Gdzie popelnilem blad, czyli jak przeniesc sambe z jednego serwera na
drugi tak aby Windowsy nie zauwazyly zmian?
marrgol (14.01.2016, 14:48)
On 2016-01-12 21:02, Lemat wrote:
> Przenosilem sobie ostatnio serwer samby z jednej maszyny na druga.
> Dystrybucja identyczna na obu: Ubuntu 15.04. Przenioslem
> /etc/samba/smb.conf, /var/lib/samba/*, /etc/passwd, /etc/shadow, /etc/group.
> Potem nowy serwer dostal adresy IP starego a ów zostal wylaczony.


Czytales to:
?
Pewnie nie skopiowales wszystkiego, albo zapomniales o rozszerzonych
atrybutach…

> Gdzie popelnilem blad, czyli jak przeniesc sambe z jednego serwera na
> drugi tak aby Windowsy nie zauwazyly zmian?


Ja robilbym to przez dodanie nowego komputera jako drugiego DC
i, po pelnej replikacji AD, usuniecie starego. Ew. to samo dwa
razy, przez "posrednika", jesli bardzo koniecznie chcialbym by
docelowy DC mial hostname i IP adres starego.

Patrz:
Lemat (14.01.2016, 19:08)
W dniu 14.01.2016 o 13:48, marrgol pisze:
> On 2016-01-12 21:02, Lemat wrote:
> Czytales to:
> ?
> Pewnie nie skopiowales wszystkiego, albo zapomniales o rozszerzonych
> atrybutach…


juz wiem, ze serwery róznia sie pakietem winbind, tzn nowy ma a stary
nie. Samba widzi winbinda, pyta sie go o rózne rzeczy, winbind odpowiada
-1 (bo nie ma informacji). Samba to przetwarza jako blad. I stad ten
problem.

>> Gdzie popelnilem blad, czyli jak przeniesc sambe z jednego serwera na
>> drugi tak aby Windowsy nie zauwazyly zmian?

> Ja robilbym to przez dodanie nowego komputera jako drugiego DC
> i, po pelnej replikacji AD, usuniecie starego.


server role = classic primary domain controller

nie mówimy w ogóle o AD.
marrgol (14.01.2016, 21:36)
On 2016-01-14 18:08, Lemat wrote:
> juz wiem, ze serwery róznia sie pakietem winbind, tzn nowy ma a stary
> nie. Samba widzi winbinda, pyta sie go o rózne rzeczy, winbind odpowiada
> -1 (bo nie ma informacji). Samba to przetwarza jako blad. I stad ten
> problem.


No to mam jeszcze jedno potwierdzenie, ze w przypadku domen nie zawsze
backup+restore to najlepsze/najprostsze rozwiazanie. :-)

>> Ja robilbym to przez dodanie nowego komputera jako drugiego DC
>> i, po pelnej replikacji AD, usuniecie starego.

> server role = classic primary domain controller
> nie mówimy w ogóle o AD.


Co za róznica? Robilo sie to, przynajmniej w Windows, praktycznie
tak samo: dodajesz BDC, promujesz BDC do PDC i wywalasz stare PDC
zdegradowane do BDC.

Albo korzystasz z okazji i najpierw migrujesz do AD. OIDP opis
tez widzialem na wiki.samba.org.
Lemat (15.01.2016, 18:39)
W dniu 14.01.2016 o 20:36, marrgol pisze:
> On 2016-01-14 18:08, Lemat wrote:
> No to mam jeszcze jedno potwierdzenie, ze w przypadku domen nie zawsze
> backup+restore to najlepsze/najprostsze rozwiazanie. :-)
> Co za róznica?


ta, ze chce uzyskac identyczna konfiguracje a nie rózowego slonia na
patyku. Chce wiedziec jakie pliki, jakie ustawienia mam skopiowac aby
uzyskac identyczna kopie. Bo jak na razie mi to nie wychodzi a objawy sa
jak w pierwszym poscie.
Adam (15.01.2016, 19:33)
W dniu 2016-01-15 o 17:39, Lemat pisze:
> W dniu 14.01.2016 o 20:36, marrgol pisze:
> odpowiada
> ta, że chcę uzyskać identyczną konfigurację a nie różowego słonia na
> patyku. Chcę wiedzieć jakie pliki, jakie ustawienia mam skopiować aby
> uzyskać identyczną kopię. Bo jak na razie mi to nie wychodzi a objawy są
> jak w pierwszym poście.


Nie ustawiałem nigdy Samby jako kontrolera domeny, Samba zawsze działała
u mnie jako "głupi" serwer plików z autoryzacją jak w Win 3.12 - na
usera z hasłem.

W przypadku Win NT 4.5 i nowszych już nie jest tak prosto - użytkownik
może być rozróżniany po identyfikatorze - stąd samo przegranie plików
nic nie da. Może Twoja Samba tak działa?

Od zawsze robiło się migrację serwerów windowsowych (nie tylko Windows
natywnego) właśnie tak, jak pisał marrgol: przez AD. Wtedy przechodzą
nie tylko pliki, ale i ich uprawnienia.
Olek (15.01.2016, 22:15)
W dniu 12.01.2016 o 21:02, Lemat pisze:
> Przenosilem sobie ostatnio serwer samby z jednej maszyny na druga.
> Dystrybucja identyczna na obu: Ubuntu 15.04. Przenioslem
> /etc/samba/smb.conf, /var/lib/samba/*, /etc/passwd, /etc/shadow,
> /etc/group.


ciach

> Gdzie popelnilem blad, czyli jak przeniesc sambe z jednego serwera na
> drugi tak aby Windowsy nie zauwazyly zmian?


Nie widze tu przekopiowania bazy danych Samby - plików tdb.
W Slacku to siedzi w /etc/samba/private
Lemat (16.01.2016, 11:52)
W dniu 15.01.2016 o 21:15, Olek pisze:
> W dniu 12.01.2016 o 21:02, Lemat pisze:
> ciach
> Nie widze tu przekopiowania bazy danych Samby - plików tdb.
> W Slacku to siedzi w /etc/samba/private


/var/lib/samba# find .
..
../wins.dat
../wins.tdb
../secrets.tdb
../netlogon
../netlogon/robert.bat
../winbindd_cache.tdb
../share_info.tdb
../registry.tdb
../wins.ldb
../printers
../printers/W32MIPS
../printers/W32X86
../printers/x64
../printers/W32ALPHA
../printers/IA64
../printers/COLOR
../printers/WIN40
../printers/W32PPC
../usershares
../ntp_signd
../winbindd_privileged
../winbindd_privileged/pipe
../private
../private/wins_config.ldb
../private/secrets.tdb
../private/sam.ldb
../private/smbd.tmp
../private/smbd.tmp/msg
../private/smbd.tmp/msg/names.tdb
../private/idmap.ldb
../private/privilege.ldb
../private/randseed.tdb
../private/passdb.tdb
../private/secrets.ldb
../private/schannel_store.tdb
../private/named.conf.update
../winbindd_idmap.tdb
../account_policy.tdb
../group_mapping.tdb
Podobne wątki