bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Domänenanmeldung

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Domänenanmeldung
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Sun, 28 Oct 2012 02:02:24 +0200
Hallo Hans-Dietrich,

einigen wir uns einfach darauf, dass es Murks ist, den Namen der Domäne
zu ändern, solange man noch Clients in dieser Domäne hat?

Andernfalls reicht es wirklich, "workgroup" in smb.conf zu editieren.
Oder hast Du eine Idee, wo dieser Name unter Linux noch steht?

Um sicher zu gehen, ist danach booten vielleicht besser.

Gruß Jürgen

Am 28.10.2012 00:09, schrieb Hans-Dietrich Kirmse:
> Hallo Jürgen,
>
> Am 27.10.2012 22:55, schrieb Juergen Engeland:
>> Hallo Hans-Dietrich,
>>
>> "netbios name" ist der Windows-Computername des Domänencontroller und
>> hat nichts mit dem Name der Domäne zu tun.
>
> Das weiss ich auch  ;)
>
>> Dieser Parameter ist eigentlich nur für Windows Clients<  2000 wichtig,
>> die>= 2000 können smb-Verbindungen auch mit DNS-Namen herstellen.
>> Deshalb würde ich dort, wenn ich etwas eintrage, dasselbe wie in hosts
>> und DNS eintragen.
>
> Bitte jetzt mal ganz langsam: es geht um den Mechanismus, eine Domain
> zu erstellen und darum, wie dieser Mechanismus funktioniert. Es geht
> nicht darum, wie du dir vorstellst, das er funktionieren könnte oder
> nicht funktionieren könnte, sondern wie ihn die Samba-Entwickler
> implementiert haben.
>
>> Ich kann mir sogar vorstellen, dass es Probleme gibt, wenn
>> Domänencontroller und Domäne denselben Namen haben.
>
> Ich bin mir sicher, dass es da keine Probleme gibt. Ich habe sogar
> eine Anleitung vorliegen (nicht von mir!), wo ich eine zweite Domäne
> erstellen sollte, die den gleichen Namen hatte wie der Server. 
Eine Art Alias für die Domäne?
> Bei dem Ersteller der Anleitung hat das mit den 2 Domänen
> funktioniert, wobei die 2. Domain genau der "netbios name" war. Ich
> habe es leider damals nicht hinbekommen.
Aha.
>
>> Der Name der "Domäne" ist (ohne LDAP) nur durch "workgroup" in smb.conf
>> festgelegt
>
> das ist eine schwache Formulierung. Genauer: der Domänenname muss mit
> dem Eintrag für "workgroup" in der smb.conf übereinstimmen - das sehe
> ich genauso. Aber ich bezweifel, dass ein Ändern dieses Eintrags
> ausreicht, damit die Domäne zu ändern. schärfer: ich habe gegenteilige
> Erfahrung gemacht. Und das hat nichts mit LDAP zu tun!
Wenn es nichts mit LDAP zu tun hat - wo steht der Name der "Domäne"
sonst noch?
>
>> und wenn man diesen mit sysadm ändern können sollte, wäre
>> dies neu.
>
> habe ich ja auch nicht behauptet.
war mir nur nicht sicher.
>
>> Man editiert smb.conf einfach mit dem Editor seiner Wahl und startet die
>> Prozesse nmbd und smbd anschließend neu.
>
> hast du das wirklich mal probiert und das ging dann?
Ja. Es war sogar ein Arktur 4 (also mit LDAP), allerdings noch ohne Clients.
>
>> Hätte für noch angemeldete Clients natürlich einen gewissen
>> Unterhaltungswert ;-)
>> Ich weiß nicht, ob bereits existierende Computerkonten gültig bleiben.
>> Da die Clients sich aus der umbenannten Domäne nicht mehr ordnungsgemäß
>> verabschieden können, wird man die Konten zumindest zurücksetzen müssen,
>> bevor man sie neu aufnimmt.
>
> ich formuliere es noch schärfer: ich gehe davon aus, wenn du die
> Rechner vorher aus der Domäne nimmst, dann so wie du vorgeschlagen die
> Domäne umbenennst, dann bekommst du die Rechner nicht in die neue
> Domäne hinein.
Würde heißen, vorher angelegte Computerkonten wären wie vermutet nicht
mehr gültig.
> Das ist nämlich die Situation von Martin, nur das das Starten der
> Prozesse nmbd und smbd durch den Neustart erledigt worden ist (wegen
> dem Trick von H.Hullen)
Würde heißen, Martin müsste die Computerkonten zurücksetzen oder sogar
löschen und neu anlegen, bevor er seine Clients wieder aufnimmt.
>
>> Ohne Managementsoftware, die das automatisch übernimmt (z. B. FOG,
>> Rembo, Linbo), würde ich den Domänennamen einer "lebenden" Umgebung
>> nicht ohne Not ändern!
>
> Mit diesem Abschnitt habe ich auch so meine liebe Not. Ich habe ja
> schon geschrieben, dass ich nicht weiss, wie man eine Domäne löschen kann.
Woraus besteht eine (Samba-)Domäne?
- aus dem Namen auf dem Server in smb.conf
- aus den Maschinenaccounts in /etc/passwd (oder im LDAP)
- aus den aufgenommenen Clients

Warum sollte man die damit verbundenen Daten nicht löschen können?

> Ich bin sogar davon überzeugt, dass das gar nicht vorgesehen ist. Aber
> wenn man eine Domäne löschen könnte, dann könnte man auch ändern, denn
> ändern ist auch nur eine neue Domäne anlegen + die alte Domäne
> löschen. Demzufolge wird es m.E. auch keine Managementsoftware geben,
> die die Domäne ändern kann. Aber was diese Software könnte, sie könnte
> einfach eine weitere Domäne anlegen und die Rechner in diese Domäne
> aufnehmen. Trotzdem ist das dann kein Ändern der Domäne.
Stimme Dir zu. Deshalb würde ich es auch nicht machen, wenn es nicht
sein muss.

Bevor eine Managementsoftware die Clients wieder in die Domäne bekäme,
müssten zumindest bei Arktur die Konten behandelt werden.
>
>
> Ich habe im (deutschsprachigen) Netz keinerlei Anleitung dazu
> gefunden. Wohl aber zum Setzen der SID, die zufälligerweise ganz
> ähnlich ist ;) weitere Anmerkung: die folgende Anleitung ist für Samba
> ohne LDAP, aber wenn man das so macht, wird auch der LDAP gleich mit
> geändert (allerdings nur der Eintrag für die Sambadomain).
>
>   http://www.etes.de/blog/sid-migration-samba-domaene/
>
> Lies dir diese Anleitung mal genau durch, vielleicht siehst du die
> Parallelen. Du kannst mir glauben, ich habe mich mit dieser
> Problematik 4 volle Tage (in den Sommerferien) intensiv
> auseinandergesetzt. Will sagen, ich denke schon zu wissen, wovon ich
> geschrieben habe.
Glaube ich Dir gern.

In dem Blog soll nicht der Name der Domäne geändert werden, sondern ein
neuer Server die Rolle des Domänencontrollers übernehmen. Der Trick mit
dem "netbios name" dient dazu, die SID vom alten Server zu übernehmen.
Die Maschinenaccounts wurden wohl mit der /etc/passwd (oder der
LDAP-Datenbank) übernommen.
Wäre alles kein Problem, wenn Samba die Rolle eines "Backup Domain
Controller" übernehmen könnte.

Mit diesem Verfahren bekäme man aber nicht den Eintrag "Domäne" auf dem
Client zu fassen.

> Viele Grüße
> Hans-Dietrich
>
>
>> Gruß Jürgen
>>
>> Am 27.10.2012 20:12, schrieb Hans-Dietrich Kirmse:
>>> Hallo Martin,
>>>
>>> so ungefähr habe ich mir den Geheim-Tipp von H.Hullen vorgestellt. ;)
>>>
>>> Schau dir mal folgenden Screenshot an:
>>>
>>>    http://www.erasmus-reinhold-gymnasium.de/delixs/SIDs.png
>>>
>>> Dort habe ich (mehrere Tage!) mit "net getlocalsid ..." und "net
>>> setlocalsid ..." gekämpft. Obwohl hier bei diesem Screenshot zu sehen
>>> ist, dass auf meinem Test-Server die Domänen ALIX, BLIX und SCHULE
>>> gleichzeitig vorhanden sind, war das leider nicht die ganze Wahrheit,
>>> denn die waren leider nicht richtig bzw. nicht vollständig angelegt.
>>> Richtig angelegt war eine Domäne TEST (neben SCHULE), die ich dann im
>>> LDAP als 2. Samba-Domain gefunden habe
>>>
>>> Um eine Domain FBINFO zu erstellen solltest du so vorgehen:
>>>
>>> 1. in der smb.conf trägst du ein:
>>>
>>>     netbios name = FBINFO
>>>     workgroup    = FBINFO
>>>
>>>
>>> 2. Dann rufst du auf der Kommandozeile auf:
>>>
>>>     net getlocalsid FBINFO
>>>
>>> Dabei wird die Domäne angelegt - einschließlich einer generierten
>>> Samba-SID für diese neue Domäne (und falls man einen LDAP hat
>>> einschließlich des neuen Eintrags im LDAP).
>>>
>>> 3. Danach wieder in der smb.conf den "netbios name" auf den Hostname
>>> zurücksetzen (vermutlich ARKTUR).
>>>
>>>
>>>
>>> Anmerkung: du hast dann 2 Domänen in Samba, was du mit den 2 Aufrufen
>>>
>>>    net getlocalsid FBINFO
>>>    net getlocalsid SCHULE
>>>
>>> überprüfen solltest. Mir ist nicht bekannt, wie bzw. das man eine
>>> davon löschen kann. Ich weiss jetzt auch nicht, was dann der Aufruf
>>>
>>>    net getlocalsid
>>>
>>> (also ohne die explizite Angabe der Domäne) anzeigt. Letztlich sollte
>>> es egal sein, denn beim Aufnehmen in die Domäne muss ja die Domäne
>>> angegeben werden.
>>>
>>>
>>> Ich hoffe, dir weitergeholfen zu haben. Wäre dir für eine Rückmeldung
>>> (egal wie die ausfällt) sehr dankbar.
>>>
>>> Viele Grüße
>>> Hans-Dietrich
>>>
>>>
>>>
>>> Am 27.10.2012 19:27, schrieb Martin Michel:
>>>> Hallo Hans-Dietrich!
>>>>> Das würde mich schon interessieren, wie man eine Domäne umbenennt!
>>>>> Kannst du mir diesen Tipp von H.Hullen verraten?
>>>> Am 28.07.12, 18:22 Uhr in schon in schan geschrieben:
>>>> ---schnipp---
>>>>
>>>> Am allersichersten: nach der Grund-Installation von der Installations-
>>>> CD:
>>>>
>>>> noch mal von der CD booten; wenn das grosse Menu angeboten wird,
>>>> stattdessen (mit Alt f2) auf die 2. Konsole gehen.
>>>>
>>>> Dort:
>>>>
>>>> mount /dev/sda1 /ziel
>>>>
>>>> Mit dem "midnight commander" nach "/ziel/etc/samba/smb.conf", dort die
>>>> "WORKGROUP" auf den gewünschten Wert einstellen.
>>>>
>>>> Dann wieder (mit Alt f1) auf die erste Konsole, dort "abbrechen",
>>>> Server
>>>>
>>>> neu starten.
>>>> ---schnapp---
>>>>
>>>>> Ich denke, ich kann dir dann weiterhelfen.
>>>> Arktur ist in der Arbeitsgruppe FBINFO übrigens auch zu sehen.
>>>> Ich freue mich auf Antwort...
>>>>
>>>> LG Martin
>>>>
>>>>
>>>> _______________________________________________
>>>> schan-user mailing list
>>>> schan-user@xxxxxxxxxxxxxxxxx
>>>> http://www.heise.de/bin/newsletter/listinfo/schan-user
>>>>
>>>
>>>
>>> _______________________________________________
>>> schan-user mailing list
>>> schan-user@xxxxxxxxxxxxxxxxx
>>> http://www.heise.de/bin/newsletter/listinfo/schan-user
>>>
>>
>>
>> _______________________________________________
>> schan-user mailing list
>> schan-user@xxxxxxxxxxxxxxxxx
>> http://www.heise.de/bin/newsletter/listinfo/schan-user
>>
>
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
>



_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 28.10.2012