Discussion:
samba idmap range not specified for domain '*'
(zu alt für eine Antwort)
Kay Martinen
2020-05-11 15:08:18 UTC
Permalink
Hallo

Ich finde im log.smbd immer wieder diese meldungen
idmap range not specified for domain '*'
und vermute dahinter den zusammenhang das clients von dem Samba keine
browseliste und nicht mal den workgroup/domain namen bekommen.
file # net idmap check
check database: /var/lib/samba/winbindd_idmap.tdb
Invalid USER HWM 3000: should be 1
Invalid GROUP HWM 3042: should be 3006
uid hwm: 0
gid hwm: 3005
mappings: 3
other: 3
invalid records: 0
missing links: 0
invalid links: 0
file # net idmap dump
dumping id mapping from /var/lib/samba/winbindd_idmap.tdb
GID 3005 S-1-5-11
USER HWM 3000
GID 3003 S-1-1-0
GID 3004 S-1-5-2
GROUP HWM 3042
Aber, was bedeutet das jetzt?
file # cat /etc/group | grep hwm
file # cat /etc/group | grep HWM
file # cat /etc/passwd | grep HWM
file # cat /etc/passwd | grep hwm
Der Server FILE mit Workgroup=INTRANET ist als PDC ohne Roaming
eingerichtet und seine Freigaben erreiche ich von Clients über die IP.

Dazu aber auch in log.nmbd
[2020/05/11 16:40:19.570129, 0] ../../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2)
*****
Samba name server FILE is now a local master browser for workgroup INTRANET on subnet 192.168.1.50
Kay
--
Posted via SN
Thomas Bork
2020-05-11 18:20:26 UTC
Permalink
Post by Kay Martinen
idmap range not specified for domain '*'
und vermute dahinter den zusammenhang das clients von dem Samba keine
browseliste und nicht mal den workgroup/domain namen bekommen.
Nö, das ist eine fehlerhafte Fehlermeldung und von den Samba-Devs hatte
noch niemand Lust, die zu fixen:

https://bugzilla.samba.org/show_bug.cgi?id=13394
--
der tom
[eisfair-team]
Kay Martinen
2020-05-11 19:59:20 UTC
Permalink
Post by Thomas Bork
Post by Kay Martinen
idmap range not specified for domain '*'
und vermute dahinter den zusammenhang das clients von dem Samba keine
browseliste und nicht mal den workgroup/domain namen bekommen.
Nö, das ist eine fehlerhafte Fehlermeldung und von den Samba-Devs hatte
https://bugzilla.samba.org/show_bug.cgi?id=13394
Das in der ganzen Konfig des EIS Sambas nur ein

idmap config * : backend = tdb
idmap backend = tdb
idmap cache time = 604800
idmap gid =
idmap negative cache time = 120
idmap uid =

zu finden ist hat mit der fehlermeldung also nichts zu tun?
Oder hab ich evtl. einen Fehler beim Einrichten gemacht der erklären
könnte warum statt <domain> da nur ein stern steht?

Kay
--
Posted via SN
Thomas Bork
2020-05-11 20:25:15 UTC
Permalink
Post by Kay Martinen
Das in der ganzen Konfig des EIS Sambas nur ein
idmap config * : backend = tdb
idmap backend = tdb
idmap cache time = 604800
idmap gid =
idmap negative cache time = 120
idmap uid =
zu finden ist hat mit der fehlermeldung also nichts zu tun?
Oder hab ich evtl. einen Fehler beim Einrichten gemacht der erklären
könnte warum statt <domain> da nur ein stern steht?
Du brauchst diese ganze Mapping-Geschichte nur als Client, also in
unserem Fall beim NT4-Domänen-Modell, wenn Du auf einen PDC als
Domain-Member zugreifst.

Das ist wirklich nur eine falsche Fehlermeldung, die sich ganz einfach
vermeiden liesse, wenn die Zeile in testparm.c statt

if (lp_server_role() != ROLE_ACTIVE_DIRECTORY_DC) {

so lauten würde:

if (lp_server_role() != ROLE_ACTIVE_DIRECTORY_DC && lp_server_role()
!= ROLE_DOMAIN_PDC) {


Für den Fall einer Rolle als AD-DC (ROLE_ACTIVE_DIRECTORY_DC) haben die
Samba-Devs das korrigiert, für den Fall einer Rolle als PDC
(ROLE_DOMAIN_PDC) aber nicht, siehe

https://bugzilla.samba.org/attachment.cgi?id=13493&action=edit
--
der tom
[eisfair-team]
Kay Martinen
2020-05-11 22:25:15 UTC
Permalink
Post by Thomas Bork
Post by Kay Martinen
Oder hab ich evtl. einen Fehler beim Einrichten gemacht der erklären
könnte warum statt <domain> da nur ein stern steht?
??? Muß WORKGROUP bei einem PDC anders sein als $ARBEITSGRUPPE (mit bis
zu 15 Zeichen) sondern vielleicht eher im Format dns-domainname.tld?

Realm ist auch leer, oder ist das beim EIS Samba default?

Ich bin im Grunde der Anleitung aus der Doku gefolgt. Aber dort steht
nichts dazu ob man zwischen arbeitsgruppen-modus und PDC Modus auch die
WORKGROUP Einstellung auf dem Samba Server selbst ändern müsste. Ich
denke ich hab das auch NICHT getan. Sprich: Vorher war es eventuell
Arbeitsgruppe INTRANET jetzt soll es eigentlich die SMB Domain INTRANET
sein, in einem lokalen Netz dessen dns-domain int.martinen.de lautet.

Kardinal-fehler oder unwichtig?
Post by Thomas Bork
Du brauchst diese ganze Mapping-Geschichte nur als Client, also in
unserem Fall beim NT4-Domänen-Modell, wenn Du auf einen PDC als
Domain-Member zugreifst.
Hmm. Kann mich nicht erinnern etwas in der Art auf den Clients
eingerichtet zu haben. Weder unter Linux Mint noch Ubuntu und bei
Libreelec schon gar nicht. Gibt es da funktionierende Defaultwerte die
ich irgendwo nachlesen und kontrollieren kann.

Ich hab mal die nmbd und smbd logs heute abend mit laufen lassen. Und
eben zum Tageswechsel finde ich im log.nmbd
Post by Thomas Bork
tail: /var/log/log.nmbd: file truncated
[2020/05/12 00:01:00.279407, 0] ../../source3/nmbd/nmbd.c:167(nmbd_sig_hup_handler)
Got SIGHUP dumping debug info.
[2020/05/12 00:01:00.279468, 0] ../../source3/nmbd/nmbd_workgroupdb.c:276(dump_workgroups)
dump_workgroups()
INTRANET(1) current master browser = FILE
FILE 408c9b2b (FILE Server)
LIFEBOOK 40809a03 (lifebook server (Samba, Ubuntu))
LENOVIX 40819a03 (lenovix server (Samba, Ubuntu))
OPENHAB 40819a03 (openhab server (Samba, Ubuntu))
KODI-TV 40819a03 (LibreELEC)
KODI-BETT 40819a03 (LibreELEC)
[2020/05/12 00:01:00.279559, 0] ../../source3/nmbd/nmbd_workgroupdb.c:276(dump_workgroups)
dump_workgroups()
INTRANET(1) current master browser = UNKNOWN
FILE 40899b2b (FILE Server)
Erst ist es FILE und dann kommt das gleiche noch mal und dann ist es auf
ein mal 'Current master Browser = unknown' und klingt nach einem echten
Problem. Oder relativiert die Nennung von FILE darunter das wieder? Ich
vermag das nicht klar zu deuten.

Ich hab immer noch nicht raus finden können wie die Dateimanager die
smb-verbindung herstellen. Aber 'smbtree' liefert jetzt auch auf den
Clients eine Ausgabe die Sinn macht. Ebenso am Server.

Kay
--
Posted via SN
Thomas Bork
2020-05-13 19:12:45 UTC
Permalink
Post by Kay Martinen
??? Muß WORKGROUP bei einem PDC anders sein als $ARBEITSGRUPPE (mit bis
zu 15 Zeichen) sondern vielleicht eher im Format dns-domainname.tld?
Nein. Dann sind verschiedene Windows-Versionen der Meinung, es würde
sich um eine AD-Domäne handeln und können der NT4-Domäne nicht beitreten.
Post by Kay Martinen
Realm ist auch leer, oder ist das beim EIS Samba default?
Realm muss für NT4-Domänen nicht gefüllt sein.
Post by Kay Martinen
Ich bin im Grunde der Anleitung aus der Doku gefolgt. Aber dort steht
nichts dazu ob man zwischen arbeitsgruppen-modus und PDC Modus auch die
WORKGROUP Einstellung auf dem Samba Server selbst ändern müsste. Ich
denke ich hab das auch NICHT getan. Sprich: Vorher war es eventuell
Arbeitsgruppe INTRANET jetzt soll es eigentlich die SMB Domain INTRANET
sein, in einem lokalen Netz dessen dns-domain int.martinen.de lautet.
Kardinal-fehler oder unwichtig?
Es gab früher mal Windows-Versionen, die Probleme hatten, wenn der
Domänen-Name identisch zum Namen der vorher verwendeten Arbeitsgruppe
war. Das ist heute nicht mehr zwingend so.
Post by Kay Martinen
Post by Thomas Bork
Du brauchst diese ganze Mapping-Geschichte nur als Client, also in
unserem Fall beim NT4-Domänen-Modell, wenn Du auf einen PDC als
Domain-Member zugreifst.
Hmm. Kann mich nicht erinnern etwas in der Art auf den Clients
eingerichtet zu haben. Weder unter Linux Mint noch Ubuntu und bei
Libreelec schon gar nicht. Gibt es da funktionierende Defaultwerte die
ich irgendwo nachlesen und kontrollieren kann.
1.
Du tust Dir keinen Gefallen damit, eisfair als PDC einzurichten, um
damit ein Browsing-Problem zu lösen.

2.
Ein normaler Client braucht kein id-Mapping. Ein Member-Server
(SAMBA_PASSWORD_SERVER nicht leer) schon.
Post by Kay Martinen
Post by Thomas Bork
tail: /var/log/log.nmbd: file truncated
[2020/05/12 00:01:00.279407, 0] ../../source3/nmbd/nmbd.c:167(nmbd_sig_hup_handler)
Got SIGHUP dumping debug info.
[2020/05/12 00:01:00.279468, 0] ../../source3/nmbd/nmbd_workgroupdb.c:276(dump_workgroups)
dump_workgroups()
INTRANET(1) current master browser = FILE
FILE 408c9b2b (FILE Server)
LIFEBOOK 40809a03 (lifebook server (Samba, Ubuntu))
LENOVIX 40819a03 (lenovix server (Samba, Ubuntu))
OPENHAB 40819a03 (openhab server (Samba, Ubuntu))
KODI-TV 40819a03 (LibreELEC)
KODI-BETT 40819a03 (LibreELEC)
[2020/05/12 00:01:00.279559, 0] ../../source3/nmbd/nmbd_workgroupdb.c:276(dump_workgroups)
dump_workgroups()
INTRANET(1) current master browser = UNKNOWN
FILE 40899b2b (FILE Server)
Erst ist es FILE und dann kommt das gleiche noch mal und dann ist es auf
ein mal 'Current master Browser = unknown' und klingt nach einem echten
Problem. Oder relativiert die Nennung von FILE darunter das wieder? Ich
vermag das nicht klar zu deuten.
Wer ist der Rechner mit dem Netbios- bzw. Host-Namen file? Bei 'Current
master Browser = unknown' ist file nicht mehr der Master Browser. Es
sieht so aus, als wäre zu diesem Zeitpunkt eine neue Wahl des
Master-Browsers gestartet worden.
--
der tom
[eisfair-team]
Kay Martinen
2020-05-13 20:17:44 UTC
Permalink
Post by Thomas Bork
Post by Kay Martinen
??? Muß WORKGROUP bei einem PDC anders sein als $ARBEITSGRUPPE (mit bis
zu 15 Zeichen) sondern vielleicht eher im Format dns-domainname.tld?
Nein. Dann sind verschiedene Windows-Versionen der Meinung, es würde
sich um eine AD-Domäne handeln und können der NT4-Domäne nicht beitreten.
? Ich dachte was anderes als AD-Domänen gibt es aktuell nicht - mehr.
Zumindest seit Windows 2000 Server. Und das Samba da inzwischen Aufholte
und außer NT4 noch mehr kann. Oder nur der EIS Samba nicht?
Post by Thomas Bork
Post by Kay Martinen
Realm ist auch leer, oder ist das beim EIS Samba default?
Realm muss für NT4-Domänen nicht gefüllt sein.
Okay.
Post by Thomas Bork
Post by Kay Martinen
Ich bin im Grunde der Anleitung aus der Doku gefolgt. Aber dort steht
nichts dazu ob man zwischen arbeitsgruppen-modus und PDC Modus auch die
WORKGROUP Einstellung auf dem Samba Server selbst ändern müsste. Ich
denke ich hab das auch NICHT getan. Sprich: Vorher war es eventuell
Arbeitsgruppe INTRANET jetzt soll es eigentlich die SMB Domain INTRANET
sein, in einem lokalen Netz dessen dns-domain int.martinen.de lautet.
Kardinal-fehler oder unwichtig?
Es gab früher mal Windows-Versionen, die Probleme hatten, wenn der
Domänen-Name identisch zum Namen der vorher verwendeten Arbeitsgruppe
war. Das ist heute nicht mehr zwingend so.
Ich weiß das man vor einem domänen-join die arbeitsgruppe vorher
umbenennen soll, u.s.w.
Post by Thomas Bork
Post by Kay Martinen
Post by Thomas Bork
Du brauchst diese ganze Mapping-Geschichte nur als Client, also in
unserem Fall beim NT4-Domänen-Modell, wenn Du auf einen PDC als
Domain-Member zugreifst.
Hmm. Kann mich nicht erinnern etwas in der Art auf den Clients
eingerichtet zu haben. Weder unter Linux Mint noch Ubuntu und bei
Libreelec schon gar nicht. Gibt es da funktionierende Defaultwerte die
ich irgendwo nachlesen und kontrollieren kann.
1.
Du tust Dir keinen Gefallen damit, eisfair als PDC einzurichten, um
damit ein Browsing-Problem zu lösen.
Das war auch nicht so. Ich hatte PDC=Yes die ganze Zeit an, auch als das
mit dem Browsing noch funktionierte. Allerdings bin ich von einem
Eis-32bit auf einen Eis-64bit umgestiegen, durch neu einrichten auf
anderer HW. Und hatte vor später andere Server als domain-member hinzu
zu fügen - nicht unbedingt Clients.
Post by Thomas Bork
2.
Ein normaler Client braucht kein id-Mapping. Ein Member-Server
(SAMBA_PASSWORD_SERVER nicht leer) schon.
Derzeit gibt es keine, soll sich aber ändern.
Post by Thomas Bork
Post by Kay Martinen
Post by Thomas Bork
tail: /var/log/log.nmbd: file truncated
[2020/05/12 00:01:00.279407,  0]
../../source3/nmbd/nmbd.c:167(nmbd_sig_hup_handler)
   Got SIGHUP dumping debug info.
[2020/05/12 00:01:00.279468,  0]
../../source3/nmbd/nmbd_workgroupdb.c:276(dump_workgroups)
   dump_workgroups()
         INTRANET(1) current master browser = FILE
                 FILE 408c9b2b (FILE Server)
                 LIFEBOOK 40809a03 (lifebook server (Samba, Ubuntu))
                 LENOVIX 40819a03 (lenovix server (Samba, Ubuntu))
                 OPENHAB 40819a03 (openhab server (Samba, Ubuntu))
                 KODI-TV 40819a03 (LibreELEC)
                 KODI-BETT 40819a03 (LibreELEC)
[2020/05/12 00:01:00.279559,  0]
../../source3/nmbd/nmbd_workgroupdb.c:276(dump_workgroups)
   dump_workgroups()
         INTRANET(1) current master browser = UNKNOWN
                 FILE 40899b2b (FILE Server)
Erst ist es FILE und dann kommt das gleiche noch mal und dann ist es auf
ein mal 'Current master Browser = unknown' und klingt nach einem echten
Problem. Oder relativiert die Nennung von FILE darunter das wieder? Ich
vermag das nicht klar zu deuten.
Wer ist der Rechner mit dem Netbios- bzw. Host-Namen file?
Das ist der 64-bit Eis mit Samba als PDC eingerichtet und der alte
Server ist aus.
Post by Thomas Bork
Bei 'Current
master Browser = unknown' ist file nicht mehr der Master Browser. Es
sieht so aus, als wäre zu diesem Zeitpunkt eine neue Wahl des
Master-Browsers gestartet worden.
Wie kann das sein wenn kein anderer Server da ist? Es ist kein Windows
o.a. in Reichweite.

Kay
--
Posted via SN
Thomas Bork
2020-05-13 21:24:36 UTC
Permalink
Post by Kay Martinen
? Ich dachte was anderes als AD-Domänen gibt es aktuell nicht - mehr.
Natürlich gibt es das, keine Ahnung wie lange noch.
Post by Kay Martinen
Zumindest seit Windows 2000 Server. Und das Samba da inzwischen Aufholte
und außer NT4 noch mehr kann. Oder nur der EIS Samba nicht?
Samba kann das - aber mein Paket nicht. Das hat vor allem damit zu tun,
dass ich mir sicherlich nicht mehr so viel Lebenszeit ans Bein binden
möchte, um diese Krücke für eisfair bereit zu stellen. Davon abgesehen,
dass es dann nicht mehr (oder nur unter starken Einschränkungen) möglich
ist, AD- und File-Server auf der selben Maschine zu betreiben, ist ein
Versionswechsel dabei nicht easy. Das bedeutet meist Installation eines
neuen DC, transferieren der Rollen auf diesen, denote des alten, Update
des alten, ... usw.

Und dabei geht in schöner Regelmässigkeit fast ständig etwas schief, wie
man in den Samba-MLs verfolgen kann.

Von den notwendigen Abhängigkeiten mal ganz zu schweigen, wie
funktionierendem DNS und Kerberos. Da kann man schnell mal ein paar
Jahre verbraten, um das alles fehlerfrei hinzubekommen.

Lese Dich doch mal ein:

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
Post by Kay Martinen
Post by Thomas Bork
Wer ist der Rechner mit dem Netbios- bzw. Host-Namen file?
Das ist der 64-bit Eis mit Samba als PDC eingerichtet und der alte
Server ist aus.
Wie hiess der alte Server?
Post by Kay Martinen
Wie kann das sein wenn kein anderer Server da ist? Es ist kein Windows
o.a. in Reichweite.
Muss doch kein Windows-Rechner sein, der eine Election auslöst.
--
der tom
[eisfair-team]
Kay Martinen
2020-05-13 21:48:52 UTC
Permalink
Post by Thomas Bork
Post by Kay Martinen
? Ich dachte was anderes als AD-Domänen gibt es aktuell nicht - mehr.
Natürlich gibt es das, keine Ahnung wie lange noch.
Mir ist nicht bekannt das es was neueres gäbe. Aber bei Windows
Serverversionen bin ich auch nicht auf dem laufenden.
Post by Thomas Bork
Post by Kay Martinen
Zumindest seit Windows 2000 Server. Und das Samba da inzwischen Aufholte
und außer NT4 noch mehr kann. Oder nur der EIS Samba nicht?
Samba kann das - aber mein Paket nicht. Das hat vor allem damit zu tun,
dass ich mir sicherlich nicht mehr so viel Lebenszeit ans Bein binden
möchte, um diese Krücke für eisfair bereit zu stellen. Davon abgesehen,
dass es dann nicht mehr (oder nur unter starken Einschränkungen) möglich
ist, AD- und File-Server auf der selben Maschine zu betreiben, ist ein
Versionswechsel dabei nicht easy. Das bedeutet meist Installation eines
neuen DC, transferieren der Rollen auf diesen, denote des alten, Update
des alten, ... usw.
Ein 'dcpromo' gibt es wohl nicht oder? Und diese ganzen "Rollen"
zwangsweise auf verschieden Hosts zu verteilen hab ich bei Windows eh
nie verstehen können. Klingt für mich nach Verkaufsförderung. ;-)
Post by Thomas Bork
Und dabei geht in schöner Regelmässigkeit fast ständig etwas schief, wie
man in den Samba-MLs verfolgen kann.
Von den notwendigen Abhängigkeiten mal ganz zu schweigen, wie
funktionierendem DNS und Kerberos. Da kann man schnell mal ein paar
Wenn es nach mir ginge hätte man auch mit TCPBEUI und WINS weiter machen
können und an den Haken (langen timeouts) arbeiten. Aber so wie alle
welt zu Internet-telefonie stürmt so wollen ja alle unbedingt TCP/IP -
werkeln aber gleichzeitig an dessen Ablösung die alles nur noch
schlimmer machen könnte. :-/
Post by Thomas Bork
Post by Kay Martinen
Post by Thomas Bork
Wer ist der Rechner mit dem Netbios- bzw. Host-Namen file?
Das ist der 64-bit Eis mit Samba als PDC eingerichtet und der alte
Server ist aus.
Wie hiess der alte Server?
Jedenfalls nicht UNKNOWN. Sondern MEDIABOX.
Post by Thomas Bork
Post by Kay Martinen
Wie kann das sein wenn kein anderer Server da ist? Es ist kein Windows
o.a. in Reichweite.
Muss doch kein Windows-Rechner sein, der eine Election auslöst.
Ein Linux Client der nur PRINT$ frei gibt und sonst nur WINS PROXY ist,
aber weder WINS Server noch xyz Browser? Ich denke nicht das der/die so
was anstoßen könnte.

Kay
--
Posted via SN
Kay Martinen
2020-05-13 22:00:32 UTC
Permalink
Post by Kay Martinen
Post by Thomas Bork
Post by Kay Martinen
Post by Thomas Bork
Wer ist der Rechner mit dem Netbios- bzw. Host-Namen file?
Das ist der 64-bit Eis mit Samba als PDC eingerichtet und der alte
Server ist aus.
Wie hiess der alte Server?
Jedenfalls nicht UNKNOWN. Sondern MEDIABOX.
Post by Thomas Bork
Post by Kay Martinen
Wie kann das sein wenn kein anderer Server da ist? Es ist kein Windows
o.a. in Reichweite.
Muss doch kein Windows-Rechner sein, der eine Election auslöst.
Ein Linux Client der nur PRINT$ frei gibt und sonst nur WINS PROXY ist,
aber weder WINS Server noch xyz Browser? Ich denke nicht das der/die so
was anstoßen könnte.
Ähh, Korrektur. Nicht wins-proxy sondern die einstellung die dem
Client-SMB den WINS Server angibt. Und die ist auf die IP von FILE
gesetzt und wird außerdem vom DHCP verteilt.


Kay
--
Posted via SN
Loading...