Mehrere Probleme nach Samba Upgrade von v4.1.17 auf v4.2.10

[N3Cr0N]

Hallo,
ich habe mehrere Probleme mit Roaming Profiles und Shares in Samba 4 als PDC betrieben nach einem Update von Samba 4.1.17 auf 4.2.10,

Server: Linux srv-04 4.4.11-v7+ #888 SMP Mon May 23 20:10:33 BST 2016 armv7l GNU/Linux
System: Raspbian GNU/Linux 8 \n \l
Debian Version: 8.0
Client: Windows 7 x32 Ultimate

1.Die Anmeldung erfolgt immer mit einem Temporären Profil, Roaming Profiles funktioniert nicht.

2.Das Home Laufwerk verbindet sich automatisch und ist auch aufrufbar, allerdings kann ich keine Dateien speichern bzw. den Namen nicht angeben von der Datei und es wird der Fehler
ausgegeben zb. "Die Datei Neues Textdokument ist zu groß für das Zieldateisystem", dabei ist die Datei 0kb groß und wird gerade erst angelegt.

3.Kann ich über die MMC Konsole in Windows 7 keine ACL Freigaben bearbeiten,
zb. unter dem Reiter Freigabeberechtigungen kann ich die Gruppe "Domain Users" hinzufügen aber beim Speichern kommt die Fehlermeldung "Fehler beim Speichern der Eigenschaften der Freigabe profile Fehler1: Unzulässige Funktion".

4.Bei allen Freigaben egal ob über die MMC Konsole aufgerufen oder im Explorer sehe ich im Reiter Sicherheit die Meldung "Die angeforderten Sicherheitsinformationen sind nicht verfügbar oder können nicht angezeigt werden"

Ich habe schon den ganzen Samba Wiki durch und komme trotzdem nicht weiter mit meinen Problemen.
und ich finde den bzw. die Fehler nicht um das Problem zu lösen.

Was ich nicht gemacht habe ist "winbind" auf "winbindd" zu wechseln,
da unter "winbindd" mir keine Domänen Benutzer und Grupen mehr angezeigt werden mit

Code: Alles auswählen

getent group
getent passwd

Auf die Freigaben kann mittels

Code: Alles auswählen

smbclient -U SyNc -L //srv-04

zugegriffen werden, auch ein Zugriff von Windows mittels

Code: Alles auswählen

//srv-04

funktioniert.

/etc/samba/smb.conf

Code: Alles auswählen

# Global parameters
[global]
## Server Einstellungen
        workgroup = HOME
        realm = HOME.LOCAL
        netbios name = SRV-04
        server role = active directory domain controller
        server string = Samba 4.2.10-Debian
        server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, ntp_signd, kcc, dnsupdate, smb, winbind
        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, $

## Domain-Einstellungen
        os level = 65
        preferred master = yes
        domain master = yes
        local master = yes

## Netzwerk Einstellungen
        #interfaces = 192.168.1.130/255.255.255.0
        #hosts allow = 192.168.1.0/24 localhost
        #bind interfaces only = yes

## Time Server Einstellungen
        time server = yes
        ntp signd socket directory = /var/lib/samba/ntp_signd

## SMB Einstellungen
        server signing = auto
        ##max protocol = SMB3

## Performance Einstellungen
        socket options = TCP_NODELAY
        ##SO_RCVBUF=8192 SO_SNDBUF=8192
        ##write cache size = 262144

## Script Einstellungen
        ##add user script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u
        add user script = /usr/sbin/useradd -m %u
        delete user script = /usr/sbin/userdel -r %u
        add group script = /usr/sbin/groupadd %g
        delete group script = /usr/sbin/groupdel %g
        add user to group script = /usr/sbin/usermod -G %g %u
        add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null  -g computers %u

## Servergespeicherte Profil Einstellungen
        hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/
        logon script = logon.cmd
        logon path = \\srv-04\profile\%U
        domain logons = yes
        logon drive = H:
        logon home = \\srv-04\home\%U

## ??
        idmap_ldb:use rfc2307 = yes

## Template Einstellungen
        template shell = /bin/bash
        template homedir = /home/%U

## Sicherheits und Passwort-Einstellungen
        security = user
        passdb backend = tdbsam
        obey pam restrictions = yes
        smb passwd file = /etc/smbpasswd
        pam password change = yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        unix password sync = yes
        encrypt passwords = true

## Winbind Einstellungen
        winbind use default domain = yes
        winbind enum groups = yes
        winbind enum users = yes
        winbind cache time = 10
        winbind refresh tickets = yes

## WINS / DNS Einstellungen
        wins support = no
        wins server = 192.168.1.130
        name resolve order = lmhosts host wins bcast
        #dns proxy = no
        dns update command = /usr/sbin/samba_dnsupdate
        nsupdate command = /usr/bin/nsupdate -g
        spn update command = /usr/sbin/samba_spnupdate
        dns forwarder = 192.168.1.100

## Charset Einstellungen
        unix charset = UTF-8
        dos charset = cp850

## ACL Einstellungen
        map acl inherit = Yes
        store dos attributes = Yes
        vfs object = acl acl_xattr
        profile acls = Yes
        nt acl support = Yes

## Log Einstellungen
        log level = 3
        #log file = /var/log/samba/log.%m
        #syslog = 0
        #syslog only = no
        panic action = /usr/share/samba/panic-action %d

###======================= Share Definitions =======================###

[netlogon]
        path = /var/lib/samba/sysvol/home.local/scripts
        read only = no

[sysvol]
        path = /var/lib/samba/sysvol
        read only = no

[profile]
        comment = Roaiming Profile Directory
        path = /profile
        read only = no
        locking = No
        #valid users = %S
        writeable = yes
        create mask = 0777
        directory mask = 0777

 [home]
        comment = Home Directory
        path = /home
        read only = no
        locking = No
        #valid users = %S
        writeable = yes
        create mask = 0777
        directory mask = 0777

Auf dem System ist acl und user_xattr aktiviert:
/etc/fstab

Code: Alles auswählen

proc            /proc           proc    defaults                                0       0
/dev/mmcblk0p1  /boot           vfat    defaults                                0       2
/dev/mmcblk0p2  /               ext4    defaults,user_xattr,acl,noatime         0       1
# a swapfile is not a swap partition, no line here
#   use  dphys-swapfile swap[on|off]  for that

Ordner und Dateirechte:
Die Gruppen wurden gesetzt mit

Code: Alles auswählen

chgrp "HOME\Domain Users" /profile
chgrp "HOME\Domain Users" /home

Die Ordner User wurden gesetzt mit

Code: Alles auswählen

chown "HOME\SyNc" /profile/SyNc.V2
chown "HOME\SyNc" /home/SyNc

ls -la /

Code: Alles auswählen

drwxrwxrwx   3 root      users  4096 Jun  4 14:07 profile
drwxrwxrwx   3 root      users  4096 Jun  4 16:49 home

ls -la /home

Code: Alles auswählen

drwxrwxrwx  2 HOME\SyNc users 4096 Jun  4 18:11 SyNc

ls -la /profile

Code: Alles auswählen

drwxrwxrwx  2 HOME\SyNc users 4096 Jun  4 14:07 SyNc.V2

getfacl /home

Code: Alles auswählen

# file: home
# owner: root
# group: users
user::rwx
group::rwx
other::rwx

getfacl /profile

Code: Alles auswählen

# file: profile
# owner: root
# group: users
user::rwx
group::rwx
other::rwx

SyNc ist in der Gruppe "Domain Admins" net rpc rights list accounts -U'HOME\administrator' und net rpc rights list accounts -U'HOME\SyNc' liefern

Code: Alles auswählen

HOME\Domain Admins
SeDiskOperatorPrivilege

Trotzdem kann ich nicht die ACLs über Windows einrichten.

Testparm gibt keine Fehler aus.

Auffällig im Log File sind diese Einträge beim versuch sich anzumelden an der Domäne vom Windows Client mit dem User SyNc:

Code: Alles auswählen

[2016/06/04 19:24:29.014940,  3] ../source4/smbd/process_single.c:114(single_terminate)
  single_terminate: reason[dcesrv: NT_STATUS_CONNECTION_DISCONNECTED]

[2016/06/04 19:24:50.250414,  3] ../source4/smbd/process_single.c:114(single_terminate)
  single_terminate: reason[dcesrv: NT_STATUS_CONNECTION_DISCONNECTED]

Log File:
http://nopaste.debianforum.de/39349

Entschuldigung für den extrem langen Thread aber ich wollte soviel Informationen unterbringen wie möglich um eventuelle Fragen ob ich dies oder jenes aktiviert oder gemacht habe zu vermeiden.

[rendegast]

Die Gruppen wurden gesetzt mit
chgrp "HOME\Domain Users" /profile
chgrp "HOME\Domain Users" /home

Die Ordner User wurden gesetzt mit
chown "HOME\SyNc" /profile/SyNc.V2
chown "HOME\SyNc" /home/SyNc

...

ls -la /home
drwxrwxrwx 2 HOME\SyNc users 4096 Jun 4 18:11 SyNc

ls -la /profile
drwxrwxrwx 2 HOME\SyNc users 4096 Jun 4 14:07 SyNc.V2

Ich bin da unbeleckt,
ob dieses Namensschema mit "\" bei linux<->samba vielleicht gängige Praxis ist.
Sollte nicht samba und/oder ldap "domain"\"benutzer" zusammenbauen?

Weiterhin,
sollte nicht irgendwo ein 'idmap config' gesetzt sein?

[N3Cr0N]

Ohh sry den idmap part habe ich vergessen zu kopieren aus meiner config!
da ich viele auskommentierte Sachen weglassen wollte habe ich nur einige Teile kopiert meiner config.

Das mit dem Namensschema weiss ich nicht genau, es geht denke ich auch ohne "DOMAIN \ USER" und nur mit "USER".


Ich habe jetzt mal testweise ein altes Backup eingespielt mit der Version 4.1.17 und mal die Ordner Struktur(Home, Profile, etc.) auf einer externen NTFS Festplatte angelegt anstatt auf einer SD card und gemountet und alles hat wunderbar funktioniert,
Roaming Profiles geht und auch das Home Verzeichniss ist beschreibbar sowie die acls in Windows sind bearbeitbar.

Dann habe ich wieder ein Update auf 4.2.10 gemacht und habe die selben Probleme wie vorher,
zuerst dachte ich das es evtl. an der SD card liegt aber mit NTFS Platte geht es auch nicht mehr in der 4.2.10 Version


Home Laufwerk nicht beschreibbar mit dem selben Fehler,
der Reiter Sicherheit ohne Inhalt,
ACLs unter Windows können nicht bearbeitet werden,
Roaming Profiles funktioniert nicht.


Hier mal meine aktuelle(ganze) config die unter 4.1.17 wunderbar funktioniert:
http://nopaste.debianforum.de/39350


Habe ich für die Version 4.2.10 einen Config Fehler oder fehlt mir eine Einstellung?
Testparm sagt es ist alles in Ordnung.

Ich musste zb. bei der 4.2.10 die Einstellung "server signing = auto" hinzufügen da er mir sonst sagte "Bad SMB Block" oder so.

[rendegast]

Das einzige was mir ungelenk auffällt ist

server role = active directory domain controller
<->
security = user

sollte eher

Code: Alles auswählen

        server role = active directory domain controller
        security = auto

Ob das aber beim Problem hilft?

Sieh mal in /usr/share/doc/samba/NEWS.Debian.gz von 4.2.10.
Vergleich

Code: Alles auswählen

testparm -v /dev/null

von 4.1.17 und 4.2.10.

Eventuell wenn Du samba statt upgrade mit 4.2.10 neu aufsetzt?


Mit 4.1.17 -> 4.2.10 (in stable!) hat sich debian wirklich nicht mit Ruhm bekleckert.

[N3Cr0N]

Ein umstellen von

Code: Alles auswählen

security = auto

brachte keine Änderung.

Eine neu Installation von Samba brachte auch keine Änderung leider.

Bleibt wohl nichts anderes übrig als auf eine neue Version von Samba zu warten
und zu hoffen das der Fehler dann behoben wurde im Code.

NEWS.Debian.gz muss ich mir mal Morgen oder die Tage ankucken, hatte heute noch keine Zeit dafür.

[rendegast]

Und das ganze mit ubuntu versuchen,
samba 4.3 in trusty (LTS):
http://packages.ubuntu.com/samba-common
?

[N3Cr0N]

Ein komplettes neu aufsetzen des Servers mit Ubuntu kostet mich einfach zu viel Zeit, die ich im Moment nicht habe.

Mein Server läuft eh nur im internen Netz und ist von außen nicht erreichbar daher macht es auch nichts wenn er eine veraltete Version hat,
sollte der Bug in der nächsten Version nicht behoben sein, werde ich mal schauen ob ich Samba auf eine Testing Version update, selbst kompeliere oder doch im aller schlimmsten Fall das OS wechsel.

ich habe jetzt erstmal diese updates auf hold gemarkt, bis die neue Version von Samba erscheint.

Code: Alles auswählen

libnss-winbind
libsmbclient
python-samba
samba
samba-common
samba-common-bin
samba-dsdb-modules
samba-libs
samba-vfs-modules
smbclient
winbind

trotzdem danke für deine Mühe!

[slu]

Ich hab auch große Probleme mit Roaming Profiles unter Windows 7, das es an dem Samba Update liegen könnte hatte ich noch gar nicht bedacht.
Jedenfalls war das früher kein Problem.

Bis Du inzwischen weiter gekommen?

[habakug]

Hallo!

Was ich nicht gemacht habe ist "winbind" auf "winbindd" zu wechseln[...]

Das ist ab Samba 4.2 aber zwingend notwendig [1] (ganz unten).

Since Samba 4.2, Winbindd is now used on a Samba Domain Controller, instead of the Winbind built into the "samba" binary. It was decided to stop the development of the built-in Winbind, because it doesn't had the same quality and feature set as Winbindd. Users running 4.0 or 4.1 should update to 4.2 or later to use Winbindd with idmap_ad.

Du hast es in deiner Konfiguration abgeschaltet:

Code: Alles auswählen

#winbind nss info = rfc2307

Gruss, habakug

[1] https://wiki.samba.org/index.php/Idmap_config_ad

[slu]

Ich bin inzwischen einen Schritt weiter, in unserem Setup ist nach derzeitigem Stand Avira schuld.
Sobald dieser enfernt ist werden die Profile sauber auf den Samba zurück geschrieben.

In unserem Fall scheint es kein Samba Problem zu sein, wir fahren aber auch noch eine NT4 Domain.