Windows 7 Logon / Samba PDC

chr0n0s

Stammuser
Moin,

habe ein komisches Phänomen, welches immer so alle 4-6 Wochen auftritt.

Unterschiedliche Benutzer können sich an der Samba-Domäne nicht mehr anmelden über Windows 7 Prof. Es erscheint das Willkommen-Fenster aber der PC tut dann nichts mehr, eine lokale Anmeldung am PC ist auch nicht möglich. Laut den Ereignissen "erzählt" Windows immer, dass der Anmeldeserver der Domäne nicht zur Verfügung steht, obwohl gleichzeitiges Anmelden an anderen PCs mit derselben Konfiguration funktioniert. Nach ein paar mal neustarten, abgesicherter Modus etc. funktioniert die Anmeldung dann auf einmal wieder.

Lösungen, welche ich bisher getätigt habe sind:

-> Registry Einträge welche auch im Internet zu finden sind, z. Bsp. für das WaitForNetwork etc.
-> PasswordChange habe ich entsprechend auf höhere Tage gestellt, da ich gelesen habe, dass Windows 7 Prof. die Kennwörter in einer Domäne nach 30 Tagen geändert haben möchte, funktioniert natürlich nur, wenn man einen AD-Server auf Windows-Basis hat.

Ich bin da etwas mit meinem Latein am Ende und es nervt natürlich etwas.

Wenn Ihr noch Infos braucht, einfach Bescheid geben.

Danke im voraus für die Unterstützung.

Grüße
chr0n0s
 

bitmuncher

Senior-Nerd
Das Log eines Verbindungsversuchs wäre vermutlich ganz hilfreich um das Problem genauer unter die Lupe zu nehmen.
 

chr0n0s

Stammuser
Ja, hast recht. reiche ich nach.

Hatte gerade mal im Samba-Log-verzeichnis geschaut, was mich auf anhieb stutzig macht, ist das dort logs sind zum einen mit dem PC-Name und zum anderen nur mit der IP-Adresse.

Beispiel, der PC heißt PC-Buero1, dann ist im Verzeichnis:

log.192.168.3.102 (zuletzt beschrieben um 7.42 Uhr) und danach log.pc-buero1 (zuletzt beschrieben um 7.43 Uhr) also genau dann, wann die Anmeldung wieder funktioniert hat. Ergo, schließe ich daraus im ersten Bilck, dass ist ein DNS-Problem, daher findet er vermutlich hin und wieder den Anmeldeserver nicht, da dieser über den Hostnamen angesprochen wird, oder sehe ich das völlig falsch?
 

chr0n0s

Stammuser
Ja nutze ich, weiß aber ehrlich gesagt auch nicht wirklich warum :rolleyes:

Die Log-Eintraege beim Starten des PCs heute morgen und das anmeldeproblem:

Code:
[2012/08/08 07:42:07.771700,  3] auth/auth.c:216(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [DOMAIN]\[buero]@[PC-BUERO1] with the new password interface
[2012/08/08 07:42:07.771715,  3] auth/auth.c:219(check_ntlm_password)
  check_ntlm_password:  mapped user is: [DOMAIN]\[buero]@[PC-BUERO1]

[2012/08/08 07:34:50.486201,  3] auth/auth.c:265(check_ntlm_password)
  check_ntlm_password: guest authentication for user [] succeeded

[2012/08/08 07:42:07.776784,  3] lib/privileges.c:63(get_privileges)
  get_privileges: No privileges assigned to SID [S-1-5-21-487638417-2812657365-557542276-1231]
  
[2012/08/08 07:34:50.488055,  3] smbd/password.c:282(register_existing_vuid)
  register_existing_vuid: User name: nobody    Real name: nobody
[2012/08/08 07:34:50.488066,  3] smbd/password.c:292(register_existing_vuid)
  register_existing_vuid: UNIX uid 65534 is UNIX user nobody, and will be vuid 100
  
[2012/08/08 07:34:50.488913,  3] smbd/service.c:1070(make_connection_snum)
  pc-buero1 (192.168.31.102) connect to service IPC$ initially as user nobody (uid=65534, gid=65534) (pid 10014)
  
[2012/08/08 07:34:50.493382,  2] ../libcli/auth/credentials.c:307(netlogon_creds_server_check_internal)
  credentials check failed
[2012/08/08 07:34:50.493394,  0] rpc_server/srv_netlog_nt.c:714(_netr_ServerAuthenticate3)
  _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client PC-BUERO1 machine account PC-BUERO1$
[2012/08/08 07:34:50.493412,  3] rpc_server/srv_pipe_hnd.c:344(free_pipe_context)
  free_pipe_context: destroying talloc pool of size 0
  
[2012/08/08 07:37:33.400300,  3] auth/auth.c:216(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user []\[]@[PC-BUERO1] with the new password interface
[2012/08/08 07:37:33.400316,  3] auth/auth.c:219(check_ntlm_password)
  check_ntlm_password:  mapped user is: [DOMAIN]\[]@[PC-BUERO1]
 

bitmuncher

Senior-Nerd
Ich vermute dein Problem könnte bei dieser Meldung liegen:

Code:
netlogon_creds_server_check failed. Rejecting auth request from client PC-BUERO1 machine account PC-BUERO1$

Offenbar gibt es Probleme beim Anmelden des Rechners an der Domäne. Warum das zustande kommt, kannst du vermutlich in Erfahrung bringen, wenn du das Log-Level hochdrehst und/oder ein Debug-Level einstellst.
 

chr0n0s

Stammuser
Ja, habe auch schon einiges bereits recherchiert. Soll wohl mit der Passwortänderung des Machinenaccounts von Windows zusammen hängen, dass Problem ist nur, dass ich die empfohlenen Registryeinträge schon gesetzt habe, aber das Problem wieder auftauchte.

Die Mailingslists von Samba etc. spielen gerade auf diese Problematik an. Da ist Windows wohl irgendwie zugekniffen.

Mit dem Registryhack sollte es behoben sein:

DisabledPasswordChange auf 1 setzen

MaximumPasswordAge auf ne hohe Zahl setzen z.bsp. hexadezimal 0x000f4240 entspricht einer Million Tage

Leider half dies nicht bei dem angegebenen PC, habe nun in der GPO noch entsprechende Werte geändert, das bezieht sich aber eher auf den Benutzer und nicht auf den Machine-Account.

Aber ich probiers noch mal mit dem Loglevel beim nächsten PC, wird ja vermutlich nicht lange dauern :rolleyes:

Edit: mir ist grad aufgefallen, dass anscheinend mit Winbind was nich stimmt, ein
Code:
smbcontrol winbind ping
gibt zwar einen PONG mit PID zurück aber auch die fehlermeldung: fcntl_lock: fcntl lock gave errno 11
 
Zuletzt bearbeitet:

bitmuncher

Senior-Nerd
Ich hatte erst kürzlich einen Fall mit einem Win7-Rechner im Office, der nach Änderungen in der globalen Samba-Konfiguration erstmal neu der Domäne beitreten musste, damit wieder alles wie gewohnt funktionierte. Das wäre evtl. auch noch einen Versuch wert.
 

chr0n0s

Stammuser
Zunächst vielen Dank für die Antworten und deine Mühe.

Diesen Fall kannte ich vom Altserver, welcher mit Suse 9.3 und einer recht alten Samba-Version ausgestattet war. Dort wurden Änderungen über SWAT getätigt welches dazu führte das der nmbd nach der Übernahme der Konfiguration abgeschmiert ist.

Mir ist gerade nicht bewußt, dass ich nach dem einrichten der Server noch groß Änderungen an der smb.conf vorgenommen hätte. Aber beim nächsten Anmelde-Fehlschlag eines PCs werde ich auch das gerne noch einmal versuchen.

Es wäre ja eigentlich nur das Machine-Konto in Samba zu entfernen und neu anzulegen, oder? Also, ich müsste ja nicht den PC aus der Domäne nehmen und wieder neu reinsetzen über Windows 7?!

Sorry für die dumme Frage, aber dieses Problem ist mir echt neu, daher habe ich nicht die Erfahrung mit solch einem Phänomen.
 

bitmuncher

Senior-Nerd
Ich musste in diesem Fall tatsächlich den Rechner aus der Domäne nehmen und ihn wieder joinen lassen. Das Konto für den Rechner auf dem Samba-Server hatte ich nicht angefasst.
 

chr0n0s

Stammuser
Ich musste in diesem Fall tatsächlich den Rechner aus der Domäne nehmen und ihn wieder joinen lassen. Das Konto für den Rechner auf dem Samba-Server hatte ich nicht angefasst.

Oha, dadurch das ich keine Netzwerkprofile verwende, kann das ein ganz schön hoher administrativer Aufwand sein, da hier einige PCs von mind. 3 Benutzern verwendet werden. Dort müsste ja alles wieder neu eingestellt werden.
 

bitmuncher

Senior-Nerd
Die Benutzer auf den Rechnern bleiben ja bestehen und müssen nicht neu eingerichtet werden solange du die Domäne nicht umbenennst.
 

chr0n0s

Stammuser
Ach stimmt, hast recht. Die werden ja in den Benutzerprofilen dann nur als "unbekanntes Konto" angezeigt. Und wenn die Domäne gleich benannt bleibt, dann bleiben die Konten natürlich erhalten.

Doing, diese Erinnerungslücken :D
 

chr0n0s

Stammuser
Moin, das Phänomen ist heute Morgen schon wieder aufgetreten, diesmal aber wieder derselbe PC. Das hatte ich auch noch nicht.

Dein Tipp mit dem neu in die Domäne aufnehmen hat nichts geholfen. Erst nach dem 3. Neustart funktionierte die Anmeldung wieder.

Meine Samba- und Windows 7-Konfig kannst Du meinem Tutorial: http://www.hackerboard.de/windows-stuff/45650-windows-7-prof-samba-pdc.html#post341068 entnehmen

Merkwürdig ist ebenfalls, dass selbst die lokale Anmeldung des Administrators am PC in die Grütze läuft. Die Eventeinträge in Windows sind immer dieselben, dass kein Anmeldeserver zur Verfügung steht und irgendwelche SELECT-Gesichten. Hin und Wieder funktioniert die lokale Anmeldung (aber eben nur Sporadisch) wenn man das Netzwerkkabel abzieht. In der Registry steht WaitForNetwork auf den dWord=0

Den Debug-Level in Samba hatte ich versehentlich vergessen einzustellen :rolleyes:

Edit: Den WINS-Server habe ich aus der Netzwerkkonfiguration nun entfernt und einen anderen DNS-Server eingestellt, welcher direkt im Gebäude steht.
 

-=Draven=-

Member of Honour
Ich weiß zwar gerade nicht wie das bei Samba ist, allerdings ist es bei Windows Server so das man den Server selber als ersten DNS Server beim Client einstellen.
 

chr0n0s

Stammuser
Hallo,

der ist bei mir standardmäßig immer der erste DNS-Server.

Seltsam ist halt auch, dass die lokale Anmeldung (Administrator) nicht funktioniert, sondern nur der abgesicherte Modus.
 

chr0n0s

Stammuser
[update]

Also, eine so richtige Lösung scheint es ja immer noch nicht zu geben.

Was ich jetzt gemacht habe, welches bei 2 PCs - Gott sei dank - bisher zum Erfolg geführt hat:

Im abgesicherten Modus:

Die Registryeinträge unter LOCAL_MACHINE->SYSTEM->CCS->services->Netlogon->Parameters geändert:

Code:
DisablePasswordChange von 1 in 0
RefusePasswordChange von 1 in 0

Nehme den PC aus der Domäne, so dass der PC nur noch in der WORKGROUP hängt.

Auf dem Samba-Server entferne ich den Machine-Account und lege diesen neu auf dem Samba-Server an.

Danach habe ich im abgesicherten Modus den PC wieder in die Domäne gehangen.

Nach einem Neustart, kann ich mich wieder mit einem Domänenbenutzer ohne Probleme anmelden.

Setze danach die Registryeinträge wieder zurück, also:

Code:
DisablePasswordChange von 0 in 1
RefusePasswordChange von 0 in 1

Bisher funktioniert dieses erfolgreich, mal sehen. Eine schöne Lösung ist das nicht.

Erstrecht der Registrywert: RefusePasswordChange soll Clientseitig keine Auswirkung haben, da dieses wohl nur vom Server aus gesteuert wird. Allerdings soll ein smb.conf-Wert seit Version 3.4.x und Windows 7 keine Auswirkungen mehr haben.

Hoffe das ich auf diesem Weg, dass Problem einigermaßen in den Griff bekommen. Ich weiß nun auf jedenfall, dass das Problem von Windows 7 wegen diesem - Security-"BUG" des Passwortänderns alle 30 Tage - kommt.
 
Oben