3. Windows 7 Einstellungen
Windows 7 - die Sicherheits und Microsoft. Leider, leider mag Microsoft Samba nicht so gerne, daher sind hier einige Einstellung auf Windows-Ebene notwendig.
Dazu gehören: Registry, Gruppenrichtlinie, Netzwerkeinstellungen sowohl über das Netzwerk- und Freigabecenter sowie über die CMD (Eingabeaufforderung). Auch sollte noch eine Windows-Komponente deinstalliert werden.
1. Die Registry-Datei
In der Registry müssen einige Werte gesetzt bzw. geändert werden, damit Windows auch merkt, dass selbst Samba eine Domäne für Windows zur Verfügung stellen kann. Dazu kommt noch ein bisschen Tuning.
Also, erstellen wir uns lieber gleich eine Registry-Datei, damit diese auch für andere Clients zur Verfügung steht und man nicht alles selbst tippen muss. Ich habe die Datei
SambaWin7.reg genannt, dieses ist natürlich individuell.
Die Dateiendung
.reg ist zwingend erforderlich, damit Windows diese auch als solche erkennt.
Wir starten den Texteditor von Windows und tragen folgende Registry-Werte ein:
Code:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
"DomainCompatibilityMode"=dword:00000001
"DNSNameResolutionRequired"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000000
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001
Sieht schlimmer aus als es ist. Diese Werte sollten in die Registry eingetragen werden, damit der Zutritt zur Samba-Domäne auch funktioniert.
Der erste Abschnitt beschreibt die Kompabilität zu anderen Domänen. I.d.R. sollten diese Eintragungen in der Registry für den Domänenbeitritt reichen, aber das führte bei mir zu Problemen, auch dauerte die Benutzeranmeldung an der Domäne eine halbe Ewigkeit. Das wollte ich nicht, also habe ich den zweiten Abschnitt eingefügt. Dieser "tunt" Windows ein wenig, gerade das Roaming Cache ist bei
nicht servergespeicherten Profilen wichtig, da Windows sonst ständig versucht servergespeicherte Profile zu laden.
Sollte man servergespeicherte Profile einsetzen, so ist der Wert aus der Registry-Datei zu entfernen. Auch auf das Netzwerk müssen wir hier nicht warten, da eben keine Profile auf dem Server liegen.
Weitere Informationen zu den Einträgen sind entsprechend im Netz zu finden.
2. Die Gruppenrichtlinie
Gestartet werden kann der Gruppenrichtlinien-Edit über
gpedit.msc oder über die Systemsteuerung.
Im Editor angekommen ändern wir folgende Einträge:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
Code:
"Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich" -> [B]aktivieren[/B]
Damit ist man das lässtige Drücken von STRG+ALT+ENTF los. Kann man, muss man nicht setzen
Code:
"Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschl. sicherer RPC-Server)" -> [B]Häkchen bei 128-Bit Verschlüsselung entfernen[/B]
Windows verschlüsselt ja mittlerweile alles. Hier sollte darauf geachtet werden dass es der "
sichere RPC-Server" ist und nicht der Eintrag darüber mit dem RPC-Client.
Code:
"Netzwerksicherheit: LAN-Manager-Authentifizierungsebene" -> [B]auf LM- und NTLM-Antworten senden (NTLMv2 verwenden)[/B] setzen
Das zum Thema Authentifizierung ntlmv2 in der smb.conf (wie oben beschrieben)
Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile
Code:
"Nur lokale Benutzerprofile zulassen" -> [B]aktivieren[/B]
Code:
"Pfad des servergespeicherten Profils für alle Benutzer festlegen" -> deaktivieren
Da wir keine servergespeicherten Profile anlegen und Windows zwingen wollen, nur lokale Profile zu vewenden, werden diese Werte entsprechend angepasst.
Solltet Ihr servergespeicherte Profile verwenden wollen, dann solltet Ihr diese Werte nicht ändern.
3. Die Netzwerkeinstellungen
Vielleicht bin ich da altmodisch (sowas machte man noch zu guten alten Windows NT, Windows 2000 Server bzw. Suse 8er Zeiten ;-) )
Wir ändern die Adaptereinstellungen im Netzwerk- und Freigabecenter unseres LAN-Adapters.
Code:
TCP/IPv6 -> Häkchen entfernen
Ist jedem selbst überlassen, da wir kein IPv6 in der Umgebung einsetzen, kann es entfernt werden. Unnötiger Netzwerkverkehr muss auch nicht sein.
TCP/IPv4 anklicken -> Eigenschaften -> Erweitert -> WINS
Da wir Samba ebenfalls zu einem WINS-Server gemacht haben, tragen wir die WINS-Adresse entsprechend dort ein (dazu müssen wir die bind-Adresse nehmen, welche in der smb.conf eingetragen wurde: 192.168.1.1)
Als nächstes importieren wir die LMHOSTS-Datei, dazu wählen wir den entprechenden Button aus. Im folgenden Dialog wechseln wir ins folgende Verzeichnis:
Code:
C:\Windows\System32\drivers\etc\
dort wird die Datei lmhosts.sam mit der rechten Maustaste geöffnet und zum bearbeiten der Editor gewählt.
Eintrag in die lmhosts.sam:
Code:
192.168.1.1 Servername #PRE #DOM:TESTDOM
Datei speichern und schließen. (Hier euren Domänennamen eintragen)
Warum das ganze? Wer vielleicht noch die früheren Zeiten kennt, wurde gerne dort der PDC mit der primären Domäne definiert, somit umgeht man ein wenig den DNS-Server, steht dieser mal nicht zur Verfügung, klappt die Domänenanmeldung bzw. die Benutzeranmeldung trotzdem und es wird mir keine Fehlermeldung gebracht.
Beachten: Nach dem #DOM:
kein Leerzeichen verwenden!
Nettes Feature, muss man selbst wissen!
Danach wird die Datei entsprechend geöffnet und Windows liest die Datei ein.
Außerdem wird in den erweiterten TCP/IP-Einstellungen noch
aktiviert.
Mit übernehmen und Ok beenden wir das ganze.
4. CMD / Eingabeaufforderung
Über Start -> cmd eingeben und die Konsole aufrufen. Dort geben wir folgende Befehle ein:
Code:
netsh interface tcp set global autotuning=disabled
Der Hintergrund des deaktivierens vom "Auto Tuning" ist folgender: In der smb.conf haben wir die socket options für Receive und Send auf 8192 erhöht. Wenn das "Auto Tuning" deaktiviert ist, handelt der Client (Windows) und der Server (Samba) die Protokollgröße der Fenster selbst aus, insofern gibt der Server dies vor und der Client arbeitet damit bzw. nimmt es an.
Der 2. Befehl:
Code:
ocsetup MSRDC-Infrastructure /uninstall
Zuerst, kann man dieses auch über
Systemsteuerung -> Programme und Funktionen -> Windows Komponenten -> Remoteunterschiedskomprimierung deinstallieren
Dieses schaltet eine Art Netzwerkkompression ab, welches hinderlich sein kann bei der Kommunikation mit dem Samba-Server, gerade in Bezug auf Kopieren, Löschen auf dem Server vom Windows-Client aus.
Vielleicht auch ein bisschen viel Schnickschnack, aber es funktioniert alles reibungslos!
Wichtig: Windows einmal neu starten, damit alle Änderungen auch wirksam werden.