SMB-Server als PDC mit LDAP-Authentifizierung

Status
Für weitere Antworten geschlossen.

NASe

Benutzer
Mitglied seit
11. Nov 2010
Beiträge
117
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

wie das Thema schon sagt habe ich vor auf der DS einen Samba-Server als Domänencontroller mit LDAP-Authentifizierung (von Synology) aufzusetzen.
Leider habe ich noch nicht so richtig den Ansatz gefunden wie ich vorgehen soll.

Hier erst mal der Plan:
Ich möchte eine einheitliche Benutzerverwaltung. Somit müsste ich bei einer Änderung des Kennwortes eines Windows-Benutzers nicht extra noch das DS-Kennwort anpassen.
Als nächstes möchte ich bestimmten Usern ermöglichen sich meiner Domäne anzuschließen. Die Verbindung soll über VPN erfolgen. Somit hätten die User im Windows automatisch
ihre Laufwerke verbunden. Zuerst soll es aber mal im LAN funktionieren.

Bis jetzt habe ich das IPKG-Paket Samba36 + Samba36-Swat installiert. Bevor ich das tat waren gemeinsame Ordner normal als Share im Win7 eingebunden. Das ging auch alles problemlos
da Win-User und DS-User identisch waren. Nun ist es so das nach der Installation des Samba36 die einfache Verbindung nicht mehr möglich ist.

Win7 meldet: Das Netzlaufwerk konnte nicht verbunden werden, da der folgende Fehler aufgetreten ist: Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
Ich habe einfach versucht einen Share anzulegen auf \\meineDS\public

Windowsdatei-Dienst ist aktiviert. WINS-Server ist die IP meiner DS.

Da ich nun sowieso mein Laptop (Win7 64-Bit Prof.) in die Domäne aufnehmen will habe ich mit Swat eine smb.conf erstellt. Da die Authentifizierung aber über LDAP laufen soll muss sicher noch einiges umgestellt werden.
Trotzdem müsste es ja möglich sein das Laptop der Domäne anzuschließen wenn ich mit smbpasswd -a einen User angelegt habe der genauso heißt wie mein Win7-User. Gleiches Kennwort vergeben. User aktiviert mit smbpasswd -e.
In meinen Netzwerkeinstellungen habe ich Net-BIOS aktiviert und als WINS-Server habe ich die IP meiner DS eingetragen. Im Explorer unter Netzwerk wird mir die DS aber nicht angezeigt.

Synology-LDAP Einstellungen:
LDAP-Server habe ich aktiviert. Bei FQDN habe ich einen Domänennamen vergeben und ein Passwort. LDAP-Client habe deaktiviert. Aktiviere ich ihn erhalte ich bei Verbindungsstatus: Verbunden.
Aber den LDAP-Client brauche ich doch nur wenn ich mich einer Windows-Domäne anschließe, oder?!
Jedenfalls habe ich nun einfach mal versucht mein Laptop in die Domäne aufzunehmen mit folgender Meldung von Windows:
Es konnte keine Verbindung mit einem Active Directory-Domänencontroller (AD DC) für die Domäne "Meine Domäne" hergestellt werden.
Details:
Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\Windows\debug\dcdiag.txt weiter.

Der Domänenname "Meine Domäne" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.

Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Informationen bei der Behandlung von Problemen mit der DNS-Konfiguration behilflich sein:

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Active Directory-Domänencontrollers für die Domäne "MeineDomäne" verwendet wird:

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.MeineDomäne.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC) erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese Einträge werden automatisch bei einem DNS-Server registriert, wenn ein Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die Einträge werden vom Active Directory-Domänencontroller zu festgelegten Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von DNS-Servern mit den folgenden IP-Adressen konfiguriert:

IP-Adresse meines Routers

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:

MeineDomäne
. (die Stammzone)


Nach ein paar Recherchen im Netz habe ich noch folgenden Eintrag in die Registry eingefügt:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] Neuer Wert als DWORD:


DomainCompatibilityMode = 1
DNSNameResolutionRequired = 0

Vielleicht könnt ihr mir helfen dieses ganze Wirrwarr zu entknoten damit ich den o.g. Plan umsetzen kann. :)
Was für Infos werden noch benötigt?

Besten Dank schon mal!
Alex
 

pesi_

Benutzer
Mitglied seit
30. Jan 2012
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hi,

Würde mich sehr interessieren ob du das hinbekommen hast.
Ich würde nämlich gerne das selbe aufsetzen, um 2 Ur-Alt-server endlich wegzubekommen ohne neue kaufen zu müssen.

Danke.

mfg Peter
 

mapero

Benutzer
Mitglied seit
21. Feb 2011
Beiträge
33
Punkte für Reaktionen
0
Punkte
0
Hi!

Keine Ahnung ob diese Thema noch aktuell ist.

Ich hatte ein ähnliches Problem bei mir.
Ich nutze den ipkg-samba Server parallel zum Synology Samba Server als PDC, jedoch bis jetzt ohne LDAP. Die gleichen Zugangsdaten habe ich mittel symlink auf die "smbpasswd" von Synology erreicht.
Ich musste auf meinem Router (openwrt) den folgenden Eintrag der /etc/dnsmasq.conf hinzufügen:
Rich (BBCode):
srv-host =_ldap._tcp.dc._msdcs.<DOMAIN>,<HOST/IP des PDC>,445

Auf Wunsch(Freischaltung) kann ich einen Eintrag im Wiki verfassen.

Gruß,
Jochen
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
einfach im Wiki registrieren und loslegen, wäre schön wenn Du den Artikel schreiben würdest.

Gruß Götz
 

NASe

Benutzer
Mitglied seit
11. Nov 2010
Beiträge
117
Punkte für Reaktionen
0
Punkte
0
Nabend,

ich habe das Thema aktuell nicht weiter verfolgt. Würde mich mit den richtigen Ansätzen aber noch mal reinknien.
Ein Wiki-Artikel würde da sicher helfen. :)

Alex
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat