Domain membership - HOWTO?

[Elsje]

Door een nieuwe install ben ik tevens mijn domain logon van een W2K workstation kwijt.
Wanneer ik het workstation opnieuw lid wil maken van het domein, en wil inloggen als Administrator om dit toe te laten op de PDC (syn-3) krijg ik een LOGON FAILURE: account currently disabled.....

Hoe kan ik deze login op de server zelf testen? (via de shell) 

Erwin

[edwin]

Het password van de administrator account moet worden ingesteld in de Syn-3 control centre.

[Elsje]

Dat had / heb ik uiteraard gedaan
Is er een manier om vanaf de shell deze zgn. account te testen? Met een samba commando? (Vermits het geen *nix account is)

Is het btw mogelijk om via swat de samba server te bedienen?

Groet & bedankt,

Erwin

[edwin]

Wat is de lengte van je hostname? De hostname word namelijk de naam van de werkgroep, maar dit geeft wel eens problemen als hij in totaal langer dan 14 karakters is.

[Elsje]

Lengte hostname is 11 karakters (uca-trac.be), weliswaar met een koppelteken, wat ook wel eens voor problemen zorgt.
Ik vermoed eigenlijk dat het probleem in het W2K workstation zit, vermits er voordien reeds een domainmembership bestond met de vorige, 1ste syn-3 server.
Vervolgens de syn-3 opnieuw geïnstalleerd, vervolgens op het W2K workstation van domein naar workgroup geswitched, en vervolgens opnieuw naar domein, met het gekende resultaat....

[edwin]

Als je het W2K workstation eerst wel kon aanmelden en na een re-install van Syn-3 niet meer lijkt dit inderdaad op een probleem aan de Windows kant. Misschien dat ergens in de server nog een verwijzing of thrustrelatie aanwezig is?

[edwin]

Het testen van de administrator account kan het handigste op deze manier vanuit een shelll:

Code:

root@mcdonalds:~# smbclient //localhost/Administrator -UAdministrator
Password:
Domain=[DatuX.NL] OS=[Unix] Server=[Samba 3.0.20]
smb: \> ls
  .                                   D        0  Tue May  2 18:07:49 2000
  ..                                  D        0  Sat Oct 21 08:48:18 2000

                34547 blocks of size 1048576. 28725 blocks available
smb: \> mkdir d
root@mcdonalds:/home/shares/profiles/Administrator# cd /home/users/Administrator/
root@mcdonalds:/home/users/Administrator# ls -la
total 0
drwx------  3 root root          14 Nov 19 18:20 ./
drwxr-xr-x  6 root root          58 Oct 21 08:48 ../
drwx------  2 root Domain Admins  6 Nov 19 18:20 d/
root@mcdonalds:/home/users/Administrator#

Nu weet je zeker dat het administrator account werkt.
In de SCC heb je trouwens ook een lijst met aangemelde computers. Ik neem aan dat je W2K station daar nog niet bij staat, omdat het aanmelden niet lukt?
Als dat wel zo is zou je hem kunnen verwijderen uit die lijst en het nog eens proberen.

Laat me even horen als je meer weet over het probleem met de W2K computer.
Bedank,
Edwin

[Elsje]

Edwin,

Net de test uitgevoerd via de shell rechtstreeks op de server;
resultaat:

Code:

session setup failed: NT_STATUS_ACCOUNT_DISABLED

Hoe kan ik hem weer 'enable'-en?
 

[Elsje]

Edwin,

Ik tast voorlopig even in het duister;
Blijkbaar zit de fout dus wel in de syn-3 server.... Helaas.

Wat ik ook nog geprobeerd heb is om mijzelf als user ook toe te voegen aan de groep Domain Admins; mijn inziens zou ik dan ook met mijn personal account workstations a/h domain moeten kunnen toevoegen.

Ik krijg dan de volgende error op het W2K workstation:

Code:

The following error occured attempting to join the domain "bla bla bla":
The user name could not be found.

Voor jouw info:
Het test systeem bevat 3 HD's, waarvan 1 op de PRI controller, en 2 andere op een afzonderlijke PCI raid controller kaartje.
Tijdens de nieuwe (2de) install van het systeem heeft het vrij lang geduurd voordat de hele zaak weer ok was. Ik had dit nl. niet meteen in de gaten, maar blijkbaar was de Raid aan het rebuilden...

Ik vond dit vreemd, vermits de install normaliter de volledige HD's wist en formateert...

Zoals het er nu uitziet, geeft SCC op tabblad Systeem onder RAID systeem aan dat er 3 positie's ingevuld zijn, pos 0, 1 & 2.
Tijdens de rebuild was er een lijn extra.....
Meer kan ik je niet vertellen...

Ik lees je wel.
Alvast bedankt voor de support!

Erwin

[edwin]

Wat betreft het raid verhaal: dit klopt, na het installeren moet het volledige systeem gerebuild worden, en zal het status scherm er anders uit zien. Zodra het rebuilden voltooid is zie je dan al je disks.

Het account disabled probleem ben ik eerder tegen gekomen, kan het zijn dat je de datum en tijd verzet hebt na het installeren en aanmaken van de account? Ik zal even uitzoeken hoe dit zit. (vreemd ook dat dit de eerste keer wel goed ging)

[edwin]

Kan ik root toegang op je server krijgen, dan kan ik wat makkelijker en sneller uitzoeken wat er aan de hand is. We staan standaard in de firewall, dus die hoef je niet aan te passen. Het root password mag je mailen of doorgeven via het chatkanaal.

Edwin

[Elsje]

Edwin,

Ik heb je enkele gegevens gemailed, laat me weten hoe het verloopt?

Bedankt & groet,

Erwin

[Elsje]

Edwin,

Nieuw:
Ik heb intussen een tweede server geïnstalleerd, de home edition.
Rara??
Idem dito zelfde probleem met de Administrator account van Samba. De account is nu dus disabled.

Ter info kan ik je het volgende nog melden:
Het disablen gebeurt m.i. op het moment dat je via SCC in het tabblad gebruikers, het pwd van de administrator ingeeft; de syn-3 server wil dan dat je alle velden invult, je moet dus een voornaam en een firma naam invullen.

Ik heb dit gedaan omdat ik wilde testen of ik als Administrator een 'onzichtbare' share kon benaderen.
Op dat moment moet je dan ook aanmelden met username & passwd, met het gekende gevolg...

Groet,

Erwin

[edwin]

Normaal is dit de gangbare manier om de administrator een password te geven. Deze heb je immers nodig in een Windows netwerk.
Ik kom hier nog op terug.

[erwin]

Erwin,

Gebruik je de nieuwste versie van de Home edition? V2.2

Ik heb hier enkele tests gedaan en geen problemen ondervonden.

Wil je dit ook nog eens proberen en mij daar de output van geven:
Login op de Syn-3 server met ssh.
 smbclient -L localhost -U Administrator

Mvg,

Erwin Drent

[Elsje]

Erwin,

Hier de versie die ik draai:
Syn-3 versie:
H-27092005-1442-v2.2-build1985

Hier de output van jouw request:

root@apen2:~# smbclient -L localhost -U Administrator
Password:
session setup failed: NT_STATUS_LOGON_FAILURE
root@apen2:~# smbclient -L localhost -U Administrator
Password:
session setup failed: NT_STATUS_ACCOUNT_DISABL ED
root@apen2:~#

Ter info:
De W2K workstations die ik probeer toe te voegen zijn reeds bestaande PC's die voordien nog geen deel uitmaakten van een 'domain'.

Ik ben ook even in de log's van samba gedoken, en krijg de indruk dat het met ldap te maken heeft...

Ziehier:
--------------------------------------------------------------------------------------------------------
root@apen2:/var/log/samba# cat log.smbd |more
[2005/11/10 22:42:09, 0] smbd/server.c:main(802)
  smbd version 3.0.20 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2004
[2005/11/10 22:42:09, 2] param/loadparm.c:do_section(3559)
  Processing section "[homes]"
[2005/11/10 22:42:09, 2] param/loadparm.c:do_section(3559)
  Processing section "[profiles]"
[2005/11/10 22:42:09, 2] param/loadparm.c:do_section(3559)
  Processing section "[root]"
[2005/11/10 22:42:09, 2] param/loadparm.c:do_section(3559)
  Processing section "[netlogon]"
[2005/11/10 22:42:12, 2] lib/interface.c:add_interface(81)
  added interface ip=192.168.100.2 bcast=192.168.100.255 nmask=255.255.255.0
[2005/11/10 22:42:12, 2] lib/smbldap_util.c:smbldap_search_domain_in fo(169)
  Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=EXAMPLE.NET))]
[2005/11/10 22:42:12, 2] lib/smbldap.c:smbldap_open_connection(630)
  smbldap_open_connection: connection opened
[2005/11/10 22:42:12, 0] passdb/secrets.c:fetch_ldap_pw(578)
  fetch_ldap_pw: neither ldap secret retrieved!
[2005/11/10 22:42:12, 0] lib/smbldap.c:smbldap_connect_system(751)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
[2005/11/10 22:42:12, 1] lib/smbldap.c:another_ldap_try(951)
  Connection to LDAP server failed for the 1 try!
[2005/11/10 22:42:13, 2] lib/smbldap.c:smbldap_open_connection(630)
  smbldap_open_connection: connection opened
[2005/11/10 22:42:13, 0] passdb/secrets.c:fetch_ldap_pw(578)
  fetch_ldap_pw: neither ldap secret retrieved!
[2005/11/10 22:42:13, 0] lib/smbldap.c:smbldap_connect_system(751)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
[2005/11/10 22:42:13, 1] lib/smbldap.c:another_ldap_try(951)
  Connection to LDAP server failed for the 2 try!
[2005/11/10 22:42:14, 2] lib/smbldap.c:smbldap_open_connection(630)
  smbldap_open_connection: connection opened
[2005/11/10 22:42:14, 0] passdb/secrets.c:fetch_ldap_pw(578)
  fetch_ldap_pw: neither ldap secret retrieved!
[2005/11/10 22:42:14, 0] lib/smbldap.c:smbldap_connect_system(751)
  ldap_connect_system: Failed to retrieve password from secrets.tdb
[2005/11/10 22:42:14, 1] lib/smbldap.c:another_ldap_try(951)
  Connection to LDAP server failed for the 3 try!
-----------------------------------------------------------------------------------------

Suggesties?

Groeten & bedankt voor jullie inzet!!

Erwin

[erwin]

Erwin,

Pprima, het lijkt erop dat de administrator account verlopen is. Deze gegevens staan in de LDAP database.

Zou je de output van het volgende commando hier willen geven:

/usr/sbin/smbldap-usershow administrator

Met vriendelijke groet,

Erwin Drent

[Elsje]

Erwin,

Ziehier de output:
----------------------------------------------------------------------------------------------------------
root@apen2:/var/log# /usr/sbin/smbldap-usershow administrator
erreur LDAP: Can't contact slave ldap server (IO::Socket::INET: Bad hostname 'ldap-slave')
=>trying to contact the master server
dn: uid=Administrator,ou=Users,dc=syn-3
objectClass: inetOrgPerson,sambaSamAccount,posixAccount,shadowAccount,OXUserObject
uid: Administrator
uidNumber: 0
homeDirectory: /home/users/Administrator
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-1363203366-981516875-3758709132-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaAcctFlags: [DU         ]
gidNumber: 512
cn: Arie Administrator
sn: Administrator
sambaPrimaryGroupSID: S-1-5-21-1363203366-981516875-3758709132-512
givenName: Arie
o: Ipanini
sambaLMPassword: 113C0B32E38AC943C2265B23 734E0DAC
sambaNTPassword: 022E74AD6D565B2C962F57B9 1C29466A
sambaPwdLastSet: 1131999724
userPassword: {CRYPT}o4T3qlFgYZVsg
OXGroupID: 512
root@apen2:/var/log#
---------------------------------------------------------------------------------------------------------------------------------------

Ik lees je graag!
Bedankt,

Erwin

[erwin]

Erwin,

Het probleem zit hem waarschijnlijk hier in:
sambaAcctFlags: [DU         ]
De D staat disable
Met het volgende commando op de server kun je dit oplossen.
/usr/sbin/smbldap-usermod -H U administrator

Deze "bug" doet zich voor tot versie 2.1.

[GC Blank]

hallo
voor alle geinteresseerden:
Administrator is wel bekend op syn-3 server, maar niet bij samba
dus -----> smbpasswd -a Administrator
vervolgens password invoeren
daarna is membership mogelijk

[erwin]

Je moet het paswoord van administrator wijzigen in het syn-3 control centre.

[GC Blank]

gebruikers beheer in control centre van syn-3 worden in ldap verwerkt, maar samba beheert als domein controller de accounts welke een werkstation mogen aanmelden als lid. deze account moet samba kennen. dit is niet automatisch wanneer Administrator met password bekent is op syn-3; weet samba deze account nog niet met smbpasswd -a Administrator wordt deze in samba bekent. Vervolgens kan deze account de werkstation aanmelden in het domein. dit gebeurt niet via ldap gegevens
op deze wijze heb ik diverse werkstations aan gemeld op syn-3 server, waarna elke bebruiker kan inloggen

[erwin]

Je moet een windows systeem lid maken van het domein. Dit moet je doen met de administrator account. Maar omdat deze in eerste instantie nog geen paswoord heeft moet je deze nog "verranderen".

Het is dus genoeg om je administrator paswoord in het Syn-3 control centre te wijzigen.