Domain Member Join von Samba Server functioniert nicht mit Active Directory Server

[meier_oli]

Befehl "net ads join -U administrator" meldet

kerberos_kinit_password administrator@[REALM] failed: Additional pre-authentication required
Failed to join domain: failed to connect to AD: Additional pre-authentication required

Folgende Fehlermeldung spuckt net ads join mit Debug Stufe 10 aus:

gss_acquire_creds failed for GSS_C_NO_NAME with [ No credentials were supplied, or the credentials were unavailable or inaccessible.: unknown mech-code 0 for mech 1 2 840 113554 1 2 2] -the caller may retry after a kinit.
Failed to start GENSEC client mech gse_krb5: NT_STATUS_INTERNAL_ERROR
Failed to setup SPNEGO negTokenInit request: NT_STATUS_INTERNAL_ERROR
ads_sasl_spnego_gensec_bind(KRB5) failed with: An internal error occurred., calling kinit


Hier der Auszug der smb.conf des Member-Servers:

[global]
netbios name = [SERVERNAME]
workgroup = [DOMAIN]
security = ADS
realm = [REALM]
encrypt passwords = yes

idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config [DOMAIN]:backend = ad
idmap config [DOMAIN]:schema_mode = rfc2307
idmap config [DOMAIN]:range = 3000000-4000000

winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes

und hier krb5.conf

[libdefaults]
default_realm = [REALM]
dns_lookup_realm = false
dns_lookup_kdc = true


[realms]
[REALM] = {
kdc = [IP]:88
}

[domain_realm]
.[DNSNAME] = [REALM]

Irgendwelche Hinweise?

 

[10mamai]

Ich habe genau das gleiche Problem bei verschiedenen Linux Samba Servern.
Auch meine QNAP lässt sich daher nicht in die AD der Synology integrieren.
Ein Raspberry mit Debian Stretch und Samba Server liess sich auch nicht nach neuester Kompilierung aus dem git-Repository mit der AD Domäne der Synology Diskstation verbinden: Gleiche Fehlermeldung beim Join:
Failed to join domain: failed to connect to AD: Additional pre-authentication required.
"kinit administrator" funktioniert und das Kerberos-Ticket erscheint auch in "klist".
Ich habe es ohne Erfolg auch mit der Beta-Version des AD Servers versucht.
Die Einbindung von Windows 10 Clients funktionierte einwandfrei.
Hat überhaupt schon irgendjemand den "Join" eines Linux Samba Servers in die Synology AD hinbekommen?