Witam serdecznie, Mam problem z podpięciem klienta Windows 7 Enterprise 32-bit do domeny utworzonej na sambie.
Wzorowałem się na tej instrukcji: Link
Otworzyłem YaST2 - Samba Server > jako Domain name ustawiłem ‘ADMDOM’ > Samba Server Type: PDC (primary domain controller) > Ustawiałem SAMBA ROOT PASSWORD (123451), taki sam jak dla użytkownika root. > finish
Wcześnie wyłączyłem usługę firewall (disebled)
Następnie w terminalu po kolei:
1. # groupadd domadm
2. # net groupmap add ntgroup=”Domain Admins” unixgroup=domadm rid=512 type=d
komunikat: Successfully added group Domain Admis to the mapping db as a domain group
3. # net groupmap add ntgroup=”Domain Users” unixgroup=users rid=513 type=d
komunikat: Successfully added group Domain Admis to the mapping db as a domain group
Na kliencie dodałem do rejestru dwa DWORD:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
“DomainCompatibilityMode”=dword:00000001
“DNSNameResolutionRequired”=dword:00000000
To powinno wystarczyć, jednak nie bardzo pomogło.
Kiedy próbuje podpiąć klienta Windows 7 Ent do domeny, jest ona ‘wykryta’ wpisuje login: administrator oraz hasło, jednak pojawia się komunikat:
“The join operation was not successful. This could be because an
existing computer account having the name “MACHINENAME” was previously
created using a different set of credentials. Use a different computer
name, or contact your administrator to remove any stale conflicting
account. The error was: Access is denied.”
Przeszperałem internet i znalazłem chociażby taką sugestie, by użyć komendy:
# net sam rights grant [your admin account name] SeMachineAccountPrivilege
w moim przypadku:
# net sam rights grant root SeMachineAccountPrivilege
Wciąż to samo.
Szperałem dalej, znalazłem sugestie, żeby dodać jeszcze 2 klucze w rejestrze:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
“RequireSignOnSeal”=dword:00000000
“RequireStrongKey”=dword:00000000
A także zmienić opcje:
o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabezpieczeń -> Zabezpieczenia Sieci: poziom uwierzytelniania LAN Manager i opcja: Wyślij odpowiedzi LM i NTLM
o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabez¬pieczeń -> Zabezpieczenia Sieci:minimalne zabezpieczenie sesji dla klientów opartych na NTLM SSP i odznaczyć opcję: Wymagaj szyfrowania 128-bitowego
o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabezpieczeń -> Zabezpieczenia Sieci:minimalne zabezpieczenie sesji dla serwerów opartych na NTLM SSP i odznaczyć opcję: Wymagaj szyfrowania 128-bitowego
Wciąż nic. Następnie upewniłem się czy konto root w sambie jest stworzone i aktywne:
# smbpasswd -a root
# smbpasswd –e root
Informacje o systemie:
System Linux: openSUSE 13.1
Samaba v. 4.1
Klient: Windows 7 Enterprise 32-bit (ale także Windows 8 Pro 32-bit, ten sam efekt)
Zawartość pliku smb.conf:
W pliku /var/log/samba/log.smbd pojawia się taki komentarz:
Nie ma już więcej pomysłów a nie wiem co zrobiłem źle. Siedzę już kilka dni na przeszukiwaniu internetu i nic. Bardzo chciałbym trochę zagłębić się w administrację Linuksa, jednak w pierwszej kolejności zależ mi na stworzeniu małej domeny. A tutaj nie da rady przeskoczyć tego problemu.
Wzorowałem się na tej instrukcji: Link
Otworzyłem YaST2 - Samba Server > jako Domain name ustawiłem ‘ADMDOM’ > Samba Server Type: PDC (primary domain controller) > Ustawiałem SAMBA ROOT PASSWORD (123451), taki sam jak dla użytkownika root. > finish
Wcześnie wyłączyłem usługę firewall (disebled)
Następnie w terminalu po kolei:
1. # groupadd domadm
2. # net groupmap add ntgroup=”Domain Admins” unixgroup=domadm rid=512 type=d
komunikat: Successfully added group Domain Admis to the mapping db as a domain group
3. # net groupmap add ntgroup=”Domain Users” unixgroup=users rid=513 type=d
komunikat: Successfully added group Domain Admis to the mapping db as a domain group
Na kliencie dodałem do rejestru dwa DWORD:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
“DomainCompatibilityMode”=dword:00000001
“DNSNameResolutionRequired”=dword:00000000
To powinno wystarczyć, jednak nie bardzo pomogło.
Kiedy próbuje podpiąć klienta Windows 7 Ent do domeny, jest ona ‘wykryta’ wpisuje login: administrator oraz hasło, jednak pojawia się komunikat:
“The join operation was not successful. This could be because an
existing computer account having the name “MACHINENAME” was previously
created using a different set of credentials. Use a different computer
name, or contact your administrator to remove any stale conflicting
account. The error was: Access is denied.”
Przeszperałem internet i znalazłem chociażby taką sugestie, by użyć komendy:
# net sam rights grant [your admin account name] SeMachineAccountPrivilege
w moim przypadku:
# net sam rights grant root SeMachineAccountPrivilege
Wciąż to samo.
Szperałem dalej, znalazłem sugestie, żeby dodać jeszcze 2 klucze w rejestrze:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
“RequireSignOnSeal”=dword:00000000
“RequireStrongKey”=dword:00000000
A także zmienić opcje:
o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabezpieczeń -> Zabezpieczenia Sieci: poziom uwierzytelniania LAN Manager i opcja: Wyślij odpowiedzi LM i NTLM
o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabez¬pieczeń -> Zabezpieczenia Sieci:minimalne zabezpieczenie sesji dla klientów opartych na NTLM SSP i odznaczyć opcję: Wymagaj szyfrowania 128-bitowego
o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabezpieczeń -> Zabezpieczenia Sieci:minimalne zabezpieczenie sesji dla serwerów opartych na NTLM SSP i odznaczyć opcję: Wymagaj szyfrowania 128-bitowego
Wciąż nic. Następnie upewniłem się czy konto root w sambie jest stworzone i aktywne:
# smbpasswd -a root
# smbpasswd –e root
Informacje o systemie:
System Linux: openSUSE 13.1
Samaba v. 4.1
Klient: Windows 7 Enterprise 32-bit (ale także Windows 8 Pro 32-bit, ten sam efekt)
Zawartość pliku smb.conf:
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
[global]
workgroup = ADMDOM
passdb backend = tdbsam
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = No
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = Yes
domain master = Yes
local master = Yes
os level = 65
preferred master = Yes
security = user
wins server =
wins support = No
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = root
W pliku /var/log/samba/log.smbd pojawia się taki komentarz:
[2014/06/25 21:07:20.905837, 0] ../source3/passdb/pdb_interface.c:488(pdb_default_create_user)
_samr_create_user: Running the command `/usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false win7ent-pc$' gave 83 Nie ma już więcej pomysłów a nie wiem co zrobiłem źle. Siedzę już kilka dni na przeszukiwaniu internetu i nic. Bardzo chciałbym trochę zagłębić się w administrację Linuksa, jednak w pierwszej kolejności zależ mi na stworzeniu małej domeny. A tutaj nie da rady przeskoczyć tego problemu.
