Forum: PC Hard- und Software Samba Active Directory Domain-Controller


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Torben S. (Firma: privat) (torben_25)


Bewertung
0 lesenswert
nicht lesenswert
Ich bin nicht sicher, ob dieses Forum zu meiner Frage passt, aber da 
hier immer reger Betrieb ist wollte ich es mal versuche.

Ich möchte einen Samba Active Directory Domainconteroller in einer VM 
intsallieren. Die VM ist über eine Netzwerkbrücke Mitglied in meinem 
privaten Heimnetzwerk.

Beim Samba-Provisioning in der VM muss man nun einen DNS-Forwarder 
angeben. Hier bin ich mir unsicher was ich angeben soll. Eigentlich 
möchte ich, dass sich weiterhin die Fritzbox um Namensauflösung kümmert.

Im Host-Rechner ist als DNS-Server ebenfalls die IP der Frotzbox 
hinterlegt. Kann ich diesen Eintrag als DNS Forwarder für meinen 
Samba-Domaincontroller verwenden?

von Jim M. (turboj)


Bewertung
0 lesenswert
nicht lesenswert
Torben S. schrieb:
> Im Host-Rechner ist als DNS-Server ebenfalls die IP der Frotzbox
> hinterlegt. Kann ich diesen Eintrag als DNS Forwarder für meinen
> Samba-Domaincontroller verwenden?

Ja.

Aber bei den Domänen Mitgliedern muss man dan manuell den DNS Server 
Eintrag auf die Samba IP Adresse ändern, sonst funktioniert die 
Namensauflösung in der Domäne nicht richtig. Das gibt der DHCP Server in 
der Fritzbox leider so nicht her.

Echte Abhilfe ist da nur einen anderen DHCP Server zu verwenden.

von c-hater (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Torben S. schrieb:

> Ich möchte einen Samba Active Directory Domainconteroller in einer VM
> intsallieren.

Warum in einer VM? Wo soll diese VM laufen?

> Die VM ist über eine Netzwerkbrücke Mitglied in meinem
> privaten Heimnetzwerk.

OK.

> Beim Samba-Provisioning in der VM muss man nun einen DNS-Forwarder
> angeben. Hier bin ich mir unsicher was ich angeben soll. Eigentlich
> möchte ich, dass sich weiterhin die Fritzbox um Namensauflösung kümmert.

Na, dann gibst du einfach deren (interne) Adresse an. Wo ist das 
Problem? Es geht hier nur darum, wen der DC fragen soll, wenn eine 
Anfrage nicht für die AD-Domain ist. Wenn du willst, dass die Fritzbox 
das auflösen soll, dann gibst du NATÜRLICH die Adresse der Fritzbox 
an, was denn sonst?

> Im Host-Rechner ist als DNS-Server ebenfalls die IP der Frotzbox
> hinterlegt.

Das interessiert die VM überhaupt nicht. Du hast eine Bridge zum LAN. 
Netzwerktechnisch ist der Host der VM damit völlig unwichtig.

von Torben S. (Firma: privat) (torben_25)


Bewertung
0 lesenswert
nicht lesenswert
Jim M. schrieb:
> Aber bei den Domänen Mitgliedern muss man dan manuell den DNS Server
> Eintrag auf die Samba IP Adresse ändern, sonst funktioniert die
> Namensauflösung in der Domäne nicht richtig. Das gibt der DHCP Server in
> der Fritzbox leider so nicht her.

Gut, zu wissen. Das hat mir bestimmt ein paar schlaflose Nächte erspart.

c-hater schrieb:
> Warum in einer VM? Wo soll diese VM laufen?

Ob diese Entscheidung wirklich so sinnvoll ist weiß ich gar nicht. Ich 
habe den Domaincontroller deshlab erstmal auf der VM weil, ich mir 
daraus ein paar Vorteile erhoffe:

-unkompliziertes Backup
-bessere Übertragbarkeit für den Fall, dass ich mir neue Hardware 
anschaffe (habe vor, mir demnächst einen neuen kleinen Homeserver 
zusammenzustellen, weil der aktuelle etwas in die Jahre gekommen ist)

: Bearbeitet durch User
von Georg (Gast)


Bewertung
0 lesenswert
nicht lesenswert
c-hater schrieb:
> Es geht hier nur darum, wen der DC fragen soll, wenn eine
> Anfrage nicht für die AD-Domain ist. Wenn du willst, dass die Fritzbox
> das auflösen soll, dann gibst du NATÜRLICH die Adresse der Fritzbox
> an, was denn sonst?

Normalerweise wird aber beides benötigt, Adressen lokal UND im Internet. 
Korrekt ist es den Domänenkontroller anzugeben und bei dem eine 
Weiterleitung auf die Fritzbox einzureichten für alles was er nicht 
selbst auflösen kann.

Georg

von c-hater (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Georg schrieb:

> Normalerweise wird aber beides benötigt, Adressen lokal UND im Internet.
> Korrekt ist es den Domänenkontroller anzugeben und bei dem eine
> Weiterleitung auf die Fritzbox einzureichten für alles was er nicht
> selbst auflösen kann.

Ähem, ja. Genau das ist, was ich geschrieben habe...

Aber schön, dass du es nochmals wiederholt hast. Da kann dann ja 
garnichts mehr schief gehen.

von Torben S. (Firma: privat) (torben_25)


Bewertung
0 lesenswert
nicht lesenswert
Weiß jemand, ob das samba-Paket von Ubuntu 
(https://packages.ubuntu.com/groovy/samba) schon einen Kerberos-Server 
enthält, oder ob dieser separat installiert werden muss?

von Jim M. (turboj)


Bewertung
1 lesenswert
nicht lesenswert
SAMBA4 enthält auch Kerberos.

von Torben S. (Firma: privat) (torben_25)


Bewertung
0 lesenswert
nicht lesenswert
Ich bin bei der Installation von Samba 4 AD DC wie folgt vorgegangen

1.Domaincontroller immer dieselbe IP-Adresse zuweisen eingestellt in der 
Fritzbox

2. IPv6-Adressen für den Domaincontroller deaktiviert

3. Hostname "domainctrl" unter "/etc/hostname" eingestellt

4. Samba installiert (keinen Admin-Server für Kerberos angegeben, wurde 
auch nicht abgefragt)

5. lokale Domainauflösung unter /etc/hosts konfiguriert (Eintrag: 
192.168.178.2 domainctrl.family.familienname.de)

6. vorkonfigurierte /etc/samba/smb.conf gelöscht

7. Systemd-resolved deaktiviert

8. Kopie von /etc/resolv.conf angelegt (/etc/resolv.conf.copy)

9. Eigene /etc/resolv.conf angelegt (ohne Systemlink)

10. In /etc/resolv.conf als Nameserver die eigene IP des 
Domaincontroller angegeben

10. Provisioning durchgeführt

11. in /etc/samba/smb.conf den dns-forwarder auf 192.168.178.1 
(Fritzbox) gesetzt

12. neu erzeugte /var/lib/samba/private/krb5.conf nach etc kopiert 
(für kerberos)

13. Start-Skript unmaskiert

14. Start-Skript aktiviert

15. reboot

Wenn ich nun den Satus von samba-ad-dc.service abfrage erhalte ich 
folgende Fehlermeldung:

 samba version 4.11.6-Ubuntu started.
  Copyright Andrew Tridgell and the Samba Team 1992-2019
[2020/12/14 13:24:31.772570,  0] 
../../source4/smbd/server.c:865(binary_smbd_main)
  binary_smbd_main: samba: using 'prefork' process model
[2020/12/14 13:24:31.947267,  0] 
../../source4/cldap_server/cldap_server.c:128(cldapd_add_socket)
[2020/12/14 13:24:31.958289,  0] 
../../source4/kdc/kdc-server.c:602(kdc_add_socket)
  Failed to bind to 2a02:560:4270:fc00:20c:29ff:fea8:4e74:88 UDP - 
NT_STATUS_ADDRESS_NOT_ASSOCIATED
[2020/12/14 13:24:31.959208,  0] 
../../source4/smbd/service_task.c:36(task_server_terminate)
  task_server_terminate: task_server_terminate: [kdc failed to setup 
interfaces]
  Failed to bind to ipv6:2a02:560:4270:fc00:20c:29ff:fea8:4e74:389 - 
NT_STATUS_ADDRESS_NOT_ASSOCIATED
[2020/12/14 13:24:31.960932,  0] 
../../source4/smbd/service_task.c:36(task_server_terminate)
  task_server_terminate: task_server_terminate: [cldapd failed to setup 
interfaces]
[2020/12/14 13:24:32.108637,  0] 
../../source4/smbd/server.c:370(samba_terminate)
  samba_terminate: samba_terminate of samba 805: cldapd failed to setup 
interfaces



Sieht hier jemand eine mögliche Fehlerquelle?

von fchk (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Du solltest ipv6 wieder aktivieren.

fchk

von c-hater (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
fchk schrieb:

> Du solltest ipv6 wieder aktivieren.

Wozu? Er wird in seinem LAN nicht mehr als die 16,7 Millionen Adressen 
benötigen, die ein 10er Netz bereitstellen kann...

von Jim M. (turboj)


Bewertung
1 lesenswert
nicht lesenswert
Torben S. schrieb:
> Failed to bind to 2a02:560:4270:fc00:20c:29ff:fea8:4e74:88 UDP -
> NT_STATUS_ADDRESS_NOT_ASSOCIATED


Wie sieht die smb.conf bezüglich interfaces aus?

Siehe auch: https://superuser.com/a/1298031/54258

von Torben S. (Firma: privat) (torben_25)


Bewertung
0 lesenswert
nicht lesenswert
@Jim genau das war die Lösung des Problems. Ich werd's heute nicht mehr 
schaffen, eine genauere Lösungsanleitung wird aber die Tage folgen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.