Hallo Leute!

Im Büro haben wir zwei Server, mit Debian 11, bei denen Samba mit unserem AD spricht. Das Ziel ist, dass die Nutzer im AD auch die Samba-Shares auf den Server nutzen können.

Dafür wurde Samba so eingerichtet: ------------------------- [global] server string = NAS Mediaserver interfaces = lo, eno1 bind interfaces only = yes wins server = ad.mycompany.intra name resolve order = wins, host multicast dns register = no enable core files = no log file = /var/log/samba/log.%m log level = 1 deadtime = 15 disable netbios = yes lm announce = no local master = no enhanced browsing = no reset on zero vc = yes kernel share modes = no posix locking = no strict locking = no use sendfile = yes async smb echo handler = yes host msdfs = no csc policy = disable

case sensitive = yes mangled names = no hide unreadable = yes hide files = /lost+found/ hide dot files = no veto files = /.DS_Store/._.DS_Store/._.TemporaryItems/.TemporaryItems/Thumbs.db/ delete veto files = yes

workgroup = AD-MYCOMPANY-INTRA realm = AD.MYCOMPANY.INTRA server role = MEMBER server services = +smb security = ADS kerberos method = system keytab obey pam restrictions = no map to guest = Bad User guest account = nobody client signing = auto client min protocol = NT1 server signing = auto server min protocol = NT1 create krb5 conf = no acl map full control = no idmap config * : range = 2000-10000 idmap config AD-MYCOMPANY-INTRA : backend = ad idmap config AD-MYCOMPANY-INTRA : range = 200000-1000200000 idmap config AD-MYCOMPANY-INTRA : unix_primary_group = yes idmap config AD-MYCOMPANY-INTRA : schema_mode = rfc2307 winbind cache time = 600 winbind enum users = yes winbind enum groups = yes winbind refresh tickets = yes winbind use default domain = true winbind nss info = rfc2307 utmp = no -------------------------

Danach wurde der Server in den AD angemeldet:

realm discover AD.MYCOMPANY.INTRA realm join AD.MYCOMPANY.INTRA

Nun zu dem Problem... Die Kommunikation läuft und die Nutzer können die Samba-Shares auf dem Server nutzen. Eine Weile lang. Bis dann plötzlich das Ganze nicht mehr geht... :(

Auf dem AD sehen wir Haufen Meldungen wie: ------------------------- Client Name: \10.0.31.72 Client Address: 10.0.31.72:40998 User Name: Session ID: 0x880128000015 Status: The attempted logon is invalid. This is either due to a bad username or authentication information. (0xC000006D) SPN: session setup failed before the SPN could be queried SPN Validation Policy: SPN optional / no validation ------------------------- und in Samba sehe ich: ------------------------- [2021/08/25 09:03:24.542270, 1] ../../lib/ldb-samba/ldb_wrap.c:79(ldb_wrap_debug) ldb: Unable to open tdb '/var/lib/samba/private/secrets.ldb': No such file or directory [2021/08/25 09:03:24.542363, 1] ../../lib/ldb-samba/ldb_wrap.c:79(ldb_wrap_debug) ldb: Failed to connect to '/var/lib/samba/private/secrets.ldb' with backend 'tdb': Unable to open tdb '/var/lib/samba/private/secrets.ldb': No such file or directory [2021/08/25 09:03:24.696081, 1] ../../source3/winbindd/winbindd_cm.c:1163(cm_prepare_connection) authenticated session setup to ad.mycompany.intra using AD-MYCOMPANY-INTRA\NASMEDIA02$ failed with NT_STATUS_LOGON_FAILURE [2021/08/25 09:03:24.696405, 1] ../../source3/winbindd/winbindd_cm.c:1309(cm_prepare_connection) Failed to prepare SMB connection to ad02.ad.queo.org: NT_STATUS_LOGON_FAILURE -------------------------

In dem Moment können wir auch mit wbinfo -u kein AD-Nutzer mehr sehen. Kurioserweise liefert aber wbinfo -g die Gruppen... Bisher die vorläufige Lösung, die ich gefunden habe, ist Samba neustarten, Winbind stoppen, net ads join wiederholen und schließlich Winbind wieder starten. Das ist aber keine Lösung.

Hat jemand eine Idee, was das Problem ist und wie wir das endgültig lösen können? Andere Server, mit Debian 10, haben das Problem überhaupt nicht.

Danke für eure Hilfe! Luca Bertoncello (lucabert@lucabert.de)