E1: Samba als PDC und Windows 10

Jürgen Witt

unread,

Mar 10, 2016, 11:13:47 AM3/10/16

to

Hallo NG,

ich habe erste Erfahrungen mit Windows 10 als Klient in einer
Samba-Domäne auf einem E1 gesammelt. Hier eine kleine Zusammenfassung.

Das Einfügen in die Domäne funktioniert unproblematisch, wenn man wie
schon seit Windows 7 den Registry-Patch

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
"DomainCompatibilityMode"=dword:00000001
"DNSNameResolutionRequired"=dword:00000000

ausführt. Ein Anmelden an der Domäne funktioniert danach aber nicht.

Dazu muß entweder händisch (und damit fliegt der Parameter nach jedem
Samba-Update oder Speichern der Konfiguration wieder 'raus) in der
/etc/smb.conf "max protocol = NT1" gesetzt werden oder auf dem Windows
Klient mit Adminrechten an der Konsole Folgendes ausgeführt werden.

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start=disabled

Jetzt verbindet sich der W10-Klient gezwungener Weise mit dem alten
Protokol und die anderen Klienten wie gewohnt.

Das sieht dann z.B. so aus

eis # smbstatus|more

Samba version 4.3.5-for-eisfair-1-patch-1
PID Username Group Machine Protocol Version
4711 jwatt users 192.168.170.5 NT1
4719 jwitt users 192.168.170.6 SMB2_10

Jetzt sollte die Anmeldung nach einem Reboot des W10-Klients
funktionieren - die Loginscripte funktionieren danach aber immer noch
nicht. Man hat unter W10 keinen Zugriff auf das netlogon-Verzeichnis.
Ich habe dazu im Netz folgenden Beitrag gefunden:

I just joined a Windows 10 to our Samba 3 domain. It seems to work. I
can login, a home directory is created on the server, and I can access
shares.

All shares are OK, except "netlogon". Logon scripts don't run, and I
cannot open the netlogon share. I get "Access denied" and a prompt to
enter my username and password, which keeps coming back.

At the command prompt, if I do "dir \\server\netlogon", I just get
"Network access is denied." but listing other shares is fine.

Solution: GPEDIT.MSC -> Computer -> Administrative templates -> Network
-> Networkprovider -> Hardened UNC Paths

Set on "Enabled".
Under options, click on the "Show..." button
Under "Value name", enter: \\servername\netlogon (or \\*\netlogon)
Under "Value" enter: RequireMutualAuthentication=0, RequireIntegrity=0

Den Lösungsweg in der Anleitung habe ich erfolgreich ausprobiert. Jetzt
habe ich noch eine W10-Registry-Patch-Datei gefunden, die sich auch um
dieses Problem zu kümmern scheint.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
"DNSNameResolutionRequired"=dword:00000000
"DomainCompatibilityMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters]
"UseProfilePathExtensionVersion"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000001
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001

Ob die beiden Abschnitte nach dem Abschnitt mit "HardendPaths"
erforderlich oder von Vorteil sind, kann ich nicht beurteilen.

Soweit meine Erkenntnisse.

Gruß
Jürgen

Marcus Roeckrath

unread,

Mar 10, 2016, 11:50:03 AM3/10/16

to

Hallo Jürgen,

Jürgen Witt wrote:

> ich habe erste Erfahrungen mit Windows 10 als Klient in einer
> Samba-Domäne auf einem E1 gesammelt. Hier eine kleine Zusammenfassung.
>
> Das Einfügen in die Domäne funktioniert unproblematisch, wenn man wie
> schon seit Windows 7 den Registry-Patch
>
> Windows Registry Editor Version 5.00
>
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
> "DomainCompatibilityMode"=dword:00000001
> "DNSNameResolutionRequired"=dword:00000000
>
> ausführt. Ein Anmelden an der Domäne funktioniert danach aber nicht.
>
> Dazu muß entweder händisch (und damit fliegt der Parameter nach jedem
> Samba-Update oder Speichern der Konfiguration wieder 'raus) in der
> /etc/smb.conf "max protocol = NT1" gesetzt werden oder auf dem Windows
> Klient mit Adminrechten an der Konsole Folgendes ausgeführt werden.
>
> sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
> sc.exe config mrxsmb20 start=disabled
>
> Jetzt verbindet sich der W10-Klient gezwungener Weise mit dem alten
> Protokol und die anderen Klienten wie gewohnt.

[...]

Ich frage mich, wann es Microsoft endlich sauber in Win10 geregelt bekommt,
neue Protokollvarianten sauber zu implementieren.

Ich frage mich, wie lange der Anwender diese Frickelei noch hinnehmen will.

Leider zeigt die Geschichte, dass sich da wohl nichts ändern wrd.

--
Gruss Marcus

Thomas Bork

unread,

Mar 10, 2016, 3:06:00 PM3/10/16

to

Am 10.03.2016 um 17:48 schrieb Marcus Roeckrath:

> Ich frage mich, wann es Microsoft endlich sauber in Win10 geregelt bekommt,
> neue Protokollvarianten sauber zu implementieren.

Untereinander (Win10) funktioniert es doch, scheint MS zu reichen ;-)

> Ich frage mich, wie lange der Anwender diese Frickelei noch hinnehmen will.

Ich nehme an, so lange wie Win das dominierende Desktop-Betriebssystem
bleibt. Aber an dem Ast wird mit Win10 heftigst gesägt :-)

> Leider zeigt die Geschichte, dass sich da wohl nichts ändern wrd.

Nun ja, erst mal wird weiter experimentiert:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/ec598efe-a83d-4235-b1c3-273325cdb75f/testing-of-the-fix-in-build-11102-for-cifssamba-sharing-problem?forum=win10itpronetworking

Und angeblich hat KB3140743 laut dem Thread oben schon etwas gerissen
bekommen.

Wahrscheinlich ist es dieser Satz (man beachte "network connectivity and
discovery"):

Improved reliability in numerous areas, including OS and Windows Update
installation, startup, installing and configuring Windows for the first
time, authentication, resuming from hibernation, shutdown, kernel, Start
menu, storage, Windows Hello, display modes, Miracast, AppLocker,
Internet Explorer 11, Microsoft Edge browser, network connectivity and
discovery, and File Explorer.

--
der tom
[eisfair-team]

Thomas Bork

unread,

Mar 10, 2016, 4:57:58 PM3/10/16

to

Am 10.03.2016 um 17:13 schrieb Jürgen Witt:

> Jetzt sollte die Anmeldung nach einem Reboot des W10-Klients
> funktionieren - die Loginscripte funktionieren danach aber immer noch
> nicht. Man hat unter W10 keinen Zugriff auf das netlogon-Verzeichnis.

Interessant, habe ich noch nicht ausprobiert - für mich ist Win10 immer
noch ein Bastelsystem und nichts, was ich ernsthaft einsetzen würde.

> Den Lösungsweg in der Anleitung habe ich erfolgreich ausprobiert. Jetzt
> habe ich noch eine W10-Registry-Patch-Datei gefunden, die sich auch um
> dieses Problem zu kümmern scheint.
>
> Windows Registry Editor Version 5.00
> [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
> "DNSNameResolutionRequired"=dword:00000000
> "DomainCompatibilityMode"=dword:00000001

Ist identisch zum Win7-Regpatch.

> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
> "\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

Ist mir neu, dass so etwas gebraucht wird.

> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters]
> "UseProfilePathExtensionVersion"=dword:00000001

Mmhm. Das erzwingt unterschiedliche servergespeicherte Profile für XP
(ohne v), Vista/7 (v2), 8 (v3), 8.1 (v4) und 10 (v5).

Normalerweise wurde nur beim Wechsel XP auf Vista/7 ein neues Profil
erzwungen (v2).

Bei den folgenden Versionen wird nur ein neues Profil erzwungen, wenn
der Schlüssel oben gesetzt ist. Wenn Du Dich nun als identischer User
von verschiedenen Clients mit WindowsXP, Vista/Windows7, Windows8,
Windows8.1 und Windows10 anmeldest, hast Du immer ein anderes Profil,
mit dem Du arbeitest. Das macht die Nutzung von servergespeicherten
Profilen fast sinnlos, weil je nachdem, von welchem Clients aus Du
arbeitest, die dort abgespeicherten User-Daten von einem anderen Client
aus nicht mehr zu erreichen sind...

Siehe

https://www.windowspro.de/wolfgang-sommergut/konflikte-zwischen-roaming-profiles-von-windows-7-8-81-vermeiden

> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
> "SlowLinkDetectEnabled"=dword:00000000

http://www.windowspage.de/tipps/022402.html

> "DeleteRoamingCache"=dword:00000001

http://www.windowspage.de/tipps/022401.html

> "WaitForNetwork"=dword:00000000

Kann dazu führen, dass gemappte Laufwerke mit einem roten Kreuz geixxt
sind, da bei der Anmeldung noch nicht verfügbar.

http://www.windowspage.de/tipps/022415.html

> "CompatibleRUPSecurity"=dword:00000001

http://www.windowspage.de/tipps/022409.html

> Soweit meine Erkenntnisse.

Danke dafür, dass Du sie mit uns teilst.

--
der tom
[eisfair-team]

Jürgen Witt

unread,

Mar 11, 2016, 4:48:49 AM3/11/16

to

Hallo Tom,

Am 10.03.2016 um 22:58 schrieb Thomas Bork:
> Am 10.03.2016 um 17:13 schrieb Jürgen Witt:
>
>> Jetzt sollte die Anmeldung nach einem Reboot des W10-Klients
>> funktionieren - die Loginscripte funktionieren danach aber immer noch
>> nicht. Man hat unter W10 keinen Zugriff auf das netlogon-Verzeichnis.
>
> Interessant, habe ich noch nicht ausprobiert - für mich ist Win10 immer
> noch ein Bastelsystem und nichts, was ich ernsthaft einsetzen würde.

da ein Kunde sich gerade neue PCs anschafft, (und diese nur mit W10
ausgeliefert werden) muss ich mich zwangsläufig damit beschäftigen :-)

Ich habe mir mit dem MediaCreationTool ein ISO erstellt und damit in
VirtualBox ein W10 (das ohne Seriennummer 30 Tage läuft) eingerichtet.
Die Installation von W10 geht wirklich erstaunlich schnell.

Download Tool Now (32-bit version)
http://go.microsoft.com/fwlink/?LinkId=616935
Download Tool Now (64-bit version)
http://go.microsoft.com/fwlink/?LinkId=616936

>> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
>>
>> "\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"
>>
>
> Ist mir neu, dass so etwas gebraucht wird.

ist aber (leider) so, sonst funktionieren keine Login-Scripte.

ich bin mehr als beeindruckt, dass Du zu allen Punkten des von mir
zitierten Registry-Patches Informationen präsentieren konntest. Ich habe
mir alle Inhalte der Links angesehen und gesichert.

>> Soweit meine Erkenntnisse.
>
> Danke dafür, dass Du sie mit uns teilst.

Gern geschehen. Ich hoffe, es hilft denen, die auch W10 einsetzen müssen
oder wollen. Vielleicht kannst Du ja auch einiges in Deine
Samba-Dokumentation mit aufnehmen (nachdem Du es verifiziert hast).

Gruß
Jürgen

Thomas Bork

unread,

Mar 16, 2016, 6:04:44 PM3/16/16

to

Am 11.03.2016 um 10:48 schrieb Jürgen Witt:

> Gern geschehen. Ich hoffe, es hilft denen, die auch W10 einsetzen müssen
> oder wollen. Vielleicht kannst Du ja auch einiges in Deine
> Samba-Dokumentation mit aufnehmen (nachdem Du es verifiziert hast).

Das hier reicht nach meinen Tests für Join, Anmeldung und Login-Scripte:

############################################################################

Windows Registry Editor Version 5.00

;
; windows10_join_enable.reg
;
; This registry keys are needed for a Windows 10 Client to join
; and logon to a Samba 4.3.x domain.
;
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Enable NT-Domain compatibility mode
; Default:
; [value not present]
; "DomainCompatibilityMode"=-
"DomainCompatibilityMode"=dword:00000001

; Disable required DNS name resolution
; Default:
; [value not present]
; "DNSNameResolutionRequired"=-
"DNSNameResolutionRequired"=dword:00000000

; Disable Mutual authentication, no Kerberos, can fall back to NTLMv2
; Disable Integrity, SMB signing is not required
; Disable Privacy, no SMBv3 must be used
; Default:
; [value not present]
; "\\\\*\\netlogon"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

############################################################################

Und das hier, um den Ausgangszustand wieder herzustellen:

############################################################################

Windows Registry Editor Version 5.00

;
; windows10_join_disable.reg
;
; Reset registry keys needed for a Windows 10 Client to join
; and logon to a Samba 4.3.x domain to defaults.
;
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Disable NT-Domain compatibility mode
; Was "DomainCompatibilityMode"=dword:00000001
"DomainCompatibilityMode"=-

; Enable required DNS name resolution
; Was "DNSNameResolutionRequired"=dword:00000000
"DNSNameResolutionRequired"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]

; Enable Mutual authentication, only Kerberos, no fall back to NTLMv2
; Enable Integrity, SMB signing is required
; Enable Privacy, SMBv3 must be used
; Was
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"
"\\\\*\\netlogon"=-

############################################################################

--
der tom
[eisfair-team]

Jürgen Witt

unread,

Mar 16, 2016, 10:32:00 PM3/16/16

to

Hallo Tom,

genau diese Variante habe ich auch in meinem Einsatzfall benutzt.

Gruß
Jürgen

Detlef Paschke

unread,

Nov 10, 2016, 3:10:50 PM11/10/16

to

Jürgen Witt schrieb am Do, 10 März 2016 17:13

> Hallo NG,
>
> ich habe erste Erfahrungen mit Windows 10 als Klient in einer
> Samba-Domäne auf einem E1 gesammelt. Hier eine kleine
> Zusammenfassung.
>
> Das Einfügen in die Domäne funktioniert unproblematisch, wenn man
> wie
> schon seit Windows 7 den Registry-Patch

Hallo Jürgen,

ich versuche auch gerade einen neu aufgesetzten Win10Pro Rechner in eine
bestehende Domäne zu integrieren. Leider bis dato erfolglos.
Es erscheint beharrlich eine Fehlermeldung beim Versuch den Rechner in
die Domäne einzubinden. Mehrere Win7Pro Rechner (und die auch ohne
RegPatch) sind in der Domäne eingebunden und auch bei WinXPPro Rechnern
gab es nie Probleme. Im Log von Win10Pro ist folgendes zu finden.:

Der folgende Fehler ist beim Abfragen von DNS über den
Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur
Suche eines Active Directory-Domänencontrollers für die Domäne
"home.lan" verwendet wird:

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV)
für _ldap._tcp.dc._msdcs.home.lan.

Häufigste Fehlerursachen:

- Die zum Ermitteln eines Active Directory-Domänencontrollers (AD DC)
erforderlichen DNS-SRV-Einträge wurden nicht in DNS registriert. Diese
Einträge werden automatisch bei einem DNS-Server registriert, wenn ein
Active Directory-Domänencontroller einer Domäne hinzugefügt wird. Die
Einträge werden vom Active Directory-Domänencontroller zu festgelegten
Intervallen aktualisiert. Dieser Computer wurde zum Verwenden von
DNS-Servern mit den folgenden IP-Adressen konfiguriert:

192.168.0.100

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu
dieser untergeordneten Zone:

home.lan
lan
(die Stammzone)

Mein Eisfair ist für alle Rechner im Netz ganz normal zu sehen, nur der
neue Win10 Rechner will oder kann ihn nicht finden. Hast Du (oder jemand
anderes) eine Idee was hier falsch läuft?

Zitat:
> Gruß
> Jürgen

Viele Grüße
Detlef Paschke

kay

unread,

Nov 10, 2016, 3:28:54 PM11/10/16

to

Am 10.11.2016 um 21:10 schrob Detlef Paschke:

> Jürgen Witt schrieb am Do, 10 März 2016 17:13

>

> 192.168.0.100

Ist das die IP deines DC/EIS?

> - Mindestens eine der folgenden Zonen enthalten keine Delegierung zu
> dieser untergeordneten Zone:
>
> home.lan
> lan
> (die Stammzone)

Existiert ein DNS-Server der für home.lan zuständig ist? Wird der per
DHCP auch an alle clients verteilt?

> Mein Eisfair ist für alle Rechner im Netz ganz normal zu sehen, nur der
> neue Win10 Rechner will oder kann ihn nicht finden. Hast Du (oder jemand
> anderes) eine Idee was hier falsch läuft?

Arbeitet samba als DNS oder hast du einen anderen DNS-Server? Stimmen
die Systemzeiten überein?

HtH
Kay

--
Posted via SN

Detlef Paschke

unread,

Nov 10, 2016, 4:35:09 PM11/10/16

to

Am 10.11.2016 um 21:27 schrieb kay:

Hallo Kay,

>> 192.168.0.100
>
> Ist das die IP deines DC/EIS?

Ja, das ist mein Eisfair.

>
>> - Mindestens eine der folgenden Zonen enthalten keine Delegierung zu
>> dieser untergeordneten Zone:
>>
>> home.lan
>> lan
>> (die Stammzone)
>
> Existiert ein DNS-Server der für home.lan zuständig ist? Wird der per
> DHCP auch an alle clients verteilt?

Auch das ist Eisfair per Bind9, DHCP macht die Fritzbox 7490.

>> Mein Eisfair ist für alle Rechner im Netz ganz normal zu sehen, nur der
>> neue Win10 Rechner will oder kann ihn nicht finden. Hast Du (oder jemand
>> anderes) eine Idee was hier falsch läuft?

Vom Win10Pro Rechner aus sind auch alle Freigaben im Netzwerk zu
erreichen und auch die Freigaben dieses Rechners kann man öffnen.

> Arbeitet samba als DNS oder hast du einen anderen DNS-Server? Stimmen
> die Systemzeiten überein?

Eisfair ist hier der DNS, alle Rechner Synchronisieren sich an Eisfair.

>
> HtH
> Kay
>

Viele Grüße
Detlef Paschke

--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de

kay

unread,

Nov 10, 2016, 4:55:46 PM11/10/16

to

Am 10.11.2016 um 22:35 schrob Detlef Paschke:

> Am 10.11.2016 um 21:27 schrieb kay:
>>
>>> home.lan
>>> lan
>>> (die Stammzone)
>>
>> Existiert ein DNS-Server der für home.lan zuständig ist? Wird der per
>> DHCP auch an alle clients verteilt?
>
> Auch das ist Eisfair per Bind9, DHCP macht die Fritzbox 7490.

Ich weiß jetzt nicht wie der E-1 Samba das macht. Ich las irgendwo das
Samba im DC-Modus selbst DNS-Records liefert. Dazu müssten andere was
sagen die davon mehr ahnung haben, z.B. Thomas Bork der IMHO das Paket
betreut.

> Eisfair ist hier der DNS, alle Rechner Synchronisieren sich an Eisfair.

Und welchen DNS-Server nennt die Fritzbox deinem Host der nicht will?
Hast du mal geprüft ob der evtl. den DNS der Fritte nimmt und die
anderen den EIS benutzen?

Wenn man mehr als einen DNS per DHCP verteilt dann kann es AFAIR
vorkommen das eine art round-robin spiel passiert. Sprich: mal wird der
eine benutzt, mal der andere.

Du könntest; um das zu Testen; in der Fritte mal nur den EIS als DNS
eintragen - der per DHCP verteilt wird. Und dann den Problem-PC neu
starten und sehen ob es dann klappt.

Detlef Paschke

unread,

Nov 10, 2016, 5:12:39 PM11/10/16

to

Am 10.11.2016 um 22:54 schrieb kay:

Hallo Kay,,

> Und welchen DNS-Server nennt die Fritzbox deinem Host der nicht will?
> Hast du mal geprüft ob der evtl. den DNS der Fritte nimmt und die
> anderen den EIS benutzen?

In der Fritzbox ist angegeben das Eisfair der DNS ist, das funktioniert
auch bei allen anderen Clients.

Jürgen Witt

unread,

Nov 10, 2016, 11:50:03 PM11/10/16

to

Hallo Detlef,

Am 10.11.2016 um 21:10 schrieb Detlef Paschke:

> ich versuche auch gerade einen neu aufgesetzten Win10Pro Rechner in eine
> bestehende Domäne zu integrieren. Leider bis dato erfolglos.
> Es erscheint beharrlich eine Fehlermeldung beim Versuch den Rechner in
> die Domäne einzubinden. Mehrere Win7Pro Rechner (und die auch ohne
> RegPatch) sind in der Domäne eingebunden und auch bei WinXPPro Rechnern
> gab es nie Probleme. Im Log von Win10Pro ist folgendes zu finden.:

hast Du den entsprechenden reg-Patch für W10 ausgeführt?
Ohne den wird das nix. Findest Du den Eintrag in der Registry wieder?

Gruß
Jürgen

Detlef Paschke

unread,

Nov 11, 2016, 8:01:16 AM11/11/16

to

Am 11.11.2016 um 05:49 schrieb Jürgen Witt:
> Hallo Detlef,

Hallo Jürgen,

> hast Du den entsprechenden reg-Patch für W10 ausgeführt?
> Ohne den wird das nix. Findest Du den Eintrag in der Registry wieder?

ist in der Registry alles so wieder zu finden. Der einzige Zusatz den
ich gemacht habe ist

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters]
"UseProfilePathExtensionVersion"=dword:00000001

da ich diesen Win10 Rechner zunächst nur zu Testzwecken einrichten
möchte und dieser seine eigenen Profile benutzen soll.
Soweit kommt der Win10 Rechner aber derzeit noch gar nicht. Es hängt
schon bei der Anmeldung am Server.

> Gruß
> Jürgen

Viele Grüße
Detlef Paschke

Detlef Paschke

unread,

Nov 11, 2016, 8:37:46 AM11/11/16

to

Am 10.11.2016 um 21:10 schrieb Detlef Paschke:

> Im Log von Win10Pro ist folgendes zu finden.:
>
> Der folgende Fehler ist beim Abfragen von DNS über den
> Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur
> Suche eines Active Directory-Domänencontrollers für die Domäne
> "home.lan" verwendet wird:
>
> Fehler: "Der DNS-Name ist nicht vorhanden."
> (Fehlercode 0x0000232B RCODE_NAME_ERROR)
>

> ...

In Bind9 ist Eisfair eingetragen und auch nslookup löst ihn auf.

BIND9_1_NAME='home.lan' # Name of zone
BIND9_1_MASTER='yes' # Server is master of zone
BIND9_1_NETWORK='192.168.0.0' # Network of zone
BIND9_1_NETMASK='255.255.255.0' # Netmask
BIND9_1_MASTER_IP='192.168.0.100' # IP-Adress of master server
BIND9_1_MASTER_NS='eisfair.home.lan' # Optional full name of master server

Thomas Bork

unread,

Nov 11, 2016, 9:06:48 AM11/11/16

to

Am 11.11.2016 um 14:01 schrieb Detlef Paschke:

> Soweit kommt der Win10 Rechner aber derzeit noch gar nicht. Es hängt
> schon bei der Anmeldung am Server.

smb2/3 auf dem W10 deaktiviert wie beschrieben?

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 11, 2016, 9:40:45 AM11/11/16

to

Am 11.11.2016 um 15:06 schrieb Thomas Bork:

Halo Thomas,

> Am 11.11.2016 um 14:01 schrieb Detlef Paschke:
>
>> Soweit kommt der Win10 Rechner aber derzeit noch gar nicht. Es hängt
>> schon bei der Anmeldung am Server.
>
> smb2/3 auf dem W10 deaktiviert wie beschrieben?

meinst Du diese beiden Befehle?

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start=disabled

Die habe ich als erstes Angewendet.

Thomas Bork

unread,

Nov 11, 2016, 9:44:27 AM11/11/16

to

Am 11.11.2016 um 15:40 schrieb Detlef Paschke:

> meinst Du diese beiden Befehle?

Ja.

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 11, 2016, 9:54:41 AM11/11/16

to

Am 11.11.2016 um 15:44 schrieb Thomas Bork:

Hallo Thomas,

> Am 11.11.2016 um 15:40 schrieb Detlef Paschke:
>
>> meinst Du diese beiden Befehle?
>
> Ja.

aus leidvoller Erfahrung vertraue ich Windows nur wenig. Gibt es einen
Befehl um die Umsetzung zu überprüfen?

Thomas Bork

unread,

Nov 11, 2016, 10:23:20 AM11/11/16

to

Am 11.11.2016 um 15:54 schrieb Detlef Paschke:

> aus leidvoller Erfahrung vertraue ich Windows nur wenig. Gibt es einen
> Befehl um die Umsetzung zu überprüfen?

Meiner Meinung nach für die Client-Seite nicht (für die Server-Seite schon):

https://support.microsoft.com/en-us/kb/2696547

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 11, 2016, 3:03:47 PM11/11/16

to

Am 11.11.2016 um 14:37 schrieb Detlef Paschke:

> In Bind9 ist Eisfair eingetragen und auch nslookup löst ihn auf.

nslookup home.lan
Server: eisfair.home.lan
Address: 192.168.0.100

Name: home.lan

> BIND9_1_NAME='home.lan' # Name of zone
> BIND9_1_MASTER='yes' # Server is master of zone
> BIND9_1_NETWORK='192.168.0.0' # Network of zone
> BIND9_1_NETMASK='255.255.255.0' # Netmask
> BIND9_1_MASTER_IP='192.168.0.100' # IP-Adress of master server
> BIND9_1_MASTER_NS='eisfair.home.lan' # Optional full name of master server

Ich habe noch hin und her Probiert aber bis dato keine Lösung gefunden.
Den Hinweis den ich gefunden habe, alles was IPv6 angeht im Win10
Rechner zu deaktivieren habe ich umgesetzt. Leider auch ohne Erfolg.
Alle Rechner in der Domäne und auch Eisfair lassen sich anpingen und
sind auch in der Netzwerkumgebung zu finden.
Ich bin momentan ziemlich Ratlos.

kay

unread,

Nov 11, 2016, 3:27:14 PM11/11/16

to

Am 11.11.2016 um 14:37 schrob Detlef Paschke:

> Am 10.11.2016 um 21:10 schrieb Detlef Paschke:
>
>> Im Log von Win10Pro ist folgendes zu finden.:
>>
>> Der folgende Fehler ist beim Abfragen von DNS über den
>> Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur
>> Suche eines Active Directory-Domänencontrollers für die Domäne
>> "home.lan" verwendet wird:
>>
>> Fehler: "Der DNS-Name ist nicht vorhanden."
>> (Fehlercode 0x0000232B RCODE_NAME_ERROR)
>>
>> ...
>
> In Bind9 ist Eisfair eingetragen und auch nslookup löst ihn auf.
>
> BIND9_1_NAME='home.lan' # Name of zone
> BIND9_1_MASTER='yes' # Server is master of zone
> BIND9_1_NETWORK='192.168.0.0' # Network of zone
> BIND9_1_NETMASK='255.255.255.0' # Netmask
> BIND9_1_MASTER_IP='192.168.0.100' # IP-Adress of master server
> BIND9_1_MASTER_NS='eisfair.home.lan' # Optional full name of master server
>

Vermutlich hat's nichts damit zu tun und wahrscheinlich hast du es eh
schon so aber nur sicherheitshalber...

Hat dein Eisfair/Bind ein DNS-Forwarding auf deine
Fritzbox/Internet-Gateway? Das wirst du ja wohl eh brauchen weil du
sonst nicht updaten könntest u.s.w.

Aber wenn dein BIND sich evtl. für die angefragte Zone nicht als
Autoritativ sieht, könnte es sein das er die Anfrage weiterleitet und da
auch keine Antwort bekommt.

Hast du mal (z.b. mit 'dig') die ganze Zone aufgelistet um selbst nach
SRV-Records zu suchen?

Denn das ist; so wie ich's verstehe; dein problem. Das dein W10 Client
den SRV-Record nicht finden kann den er braucht um sich mit dem DC zu
verbinden.

Detlef Paschke

unread,

Nov 11, 2016, 4:42:41 PM11/11/16

to

Am 11.11.2016 um 21:25 schrieb kay:

Hallo Kay,

> Vermutlich hat's nichts damit zu tun und wahrscheinlich hast du es eh
> schon so aber nur sicherheitshalber...
>
> Hat dein Eisfair/Bind ein DNS-Forwarding auf deine
> Fritzbox/Internet-Gateway? Das wirst du ja wohl eh brauchen weil du
> sonst nicht updaten könntest u.s.w.
>
> Aber wenn dein BIND sich evtl. für die angefragte Zone nicht als
> Autoritativ sieht, könnte es sein das er die Anfrage weiterleitet und da
> auch keine Antwort bekommt.

keine Ahnung ob ich Dich jetzt richtig verstehe aber meinst Du diese
Einstellungen in Bind?

BIND9_2_NAME='box' # Name of zone
BIND9_2_MASTER='yes' # Server is master of zone
BIND9_2_NETWORK='192.168.0.0' # Network of zone
BIND9_2_NETMASK='255.255.255.0' # Netmask
BIND9_2_MASTER_IP='192.168.0.1' # IP-Adress of master server
BIND9_2_MASTER_NS='' # Optional full name of master server

BIND9_2_ALLOW_TRANSFER='localnets'
# any, localnets, nslist, none

BIND9_2_NS_N='0' # Number of secondary name server
BIND9_2_NS_1_NAME='dns2.home.lan' # Full name of secondary name server
BIND9_2_NS_1_IP='' # IP - only for use ALLOW_TRANSFER=nslist

BIND9_2_MX_N='0' # Number of mail server
BIND9_2_MX_1_NAME='' # Full name of mail server
BIND9_2_MX_1_PRIORITY='10' # Priority 10=high 90=low

BIND9_2_HOST_N='1' # Number of hosts

BIND9_2_HOST_1_NAME='fritz' # Hostname
BIND9_2_HOST_1_IP='192.168.0.1' # IP-address of host
BIND9_2_HOST_1_ALIAS='router' # Optional alias names

aber damit wird doch nur erreicht, dass ich die Fritzbox mit
http://fritz.box erreichen kann.

> Hast du mal (z.b. mit 'dig') die ganze Zone aufgelistet um selbst nach
> SRV-Records zu suchen?

Da muss ich mich erst einmal kundig machen was "dig" überhaupt ist.

>
> Kay

Jürgen Witt

unread,

Nov 11, 2016, 10:22:43 PM11/11/16

to

Hallo Detlef,

Am 11.11.2016 um 22:42 schrieb Detlef Paschke:
>
> keine Ahnung ob ich Dich jetzt richtig verstehe aber meinst Du diese
> Einstellungen in Bind?

nein, er meint ganz am Anfang der Konfiguration

BIND9_FORWARDER_N = 1
BIND9_FORWARDER_1_IP = 192.168.0.1

da muß die IP-des Routers hin.

Wieso steht bei Dir überall BIND_2_ ?

Gruß
Jürgen

Detlef Paschke

unread,

Nov 12, 2016, 4:31:25 AM11/12/16

to

Am 12.11.2016 um 04:22 schrieb Jürgen Witt:
> Hallo Detlef,

Hallo Jürgen,

>

> nein, er meint ganz am Anfang der Konfiguration
>
> BIND9_FORWARDER_N = 1
> BIND9_FORWARDER_1_IP = 192.168.0.1
>
> da muß die IP-des Routers hin.

da sind bei mir zwei externe DNS-Server eingetragen.

START_BIND9='yes' # Namserver start 'yes' or 'no'
BIND9_FORWARDER_N='2' # Number of forwarders
BIND9_FORWARDER_1_IP='141.1.1.1' # IP-Address of forwarder
BIND9_FORWARDER_1_EDNS='yes' # Use EDNS for communication
BIND9_FORWARDER_2_IP='194.25.2.129'
BIND9_FORWARDER_2_EDNS='yes'
BIND9_ALLOW_QUERY='localnets' # any, localnets, localhost

>
> Wieso steht bei Dir überall BIND_2_ ?

Nicht überall, nur bei der Fritzbox. Das hatte ich dazumal irgendwo so
gefunden.

BIND9_N='2' # number of DNS zones (domains)
# primary and secondary

BIND9_1_NAME='home.lan' # Name of zone
BIND9_1_MASTER='yes' # Server is master of zone
BIND9_1_NETWORK='192.168.0.0' # Network of zone
BIND9_1_NETMASK='255.255.255.0' # Netmask

BIND9_1_MASTER_IP='192.168.0.100' # IP-Adress of master server
BIND9_1_MASTER_NS='eisfair.home.lan'

# Optional full name of master server

BIND9_1_ALLOW_TRANSFER='any' # any, localnets, nslist, none

BIND9_1_NS_N='0' # Number of secondary name server
BIND9_1_NS_1_NAME='dns2.home.lan' # Full name of secondary name server
BIND9_1_NS_1_IP='' # IP - only for use ALLOW_TRANSFER=nslist

BIND9_1_MX_N='1' # Number of mail server
BIND9_1_MX_1_NAME='eisfair.home.lan'

# Full name of mail server

BIND9_1_MX_1_PRIORITY='10' # Priority 10=high 90=low

BIND9_1_HOST_N='5' # Number of hosts

BIND9_1_HOST_1_NAME='eisfair' # Hostname
BIND9_1_HOST_1_IP='192.168.0.100' # IP-address of host
BIND9_1_HOST_1_ALIAS='www ftp' # Optional alias names

BIND9_1_HOST_2_NAME='PC-1'
BIND9_1_HOST_2_IP='192.168.0.2'
BIND9_1_HOST_2_ALIAS='www2 ftp'

BIND9_1_HOST_3_NAME='PC-2'
BIND9_1_HOST_3_IP='192.168.0.3'

BIND9_1_HOST_4_NAME='PC-3'
BIND9_1_HOST_4_IP='192.168.0.4'

BIND9_1_HOST_5_NAME='CLP620ND'
BIND9_1_HOST_5_IP='192.168.0.10'
BIND9_1_HOST_5_ALIAS='drucker'

BIND9_2_NAME='box' # Name of zone
BIND9_2_MASTER='yes' # Server is master of zone
BIND9_2_NETWORK='192.168.0.0' # Network of zone
BIND9_2_NETMASK='255.255.255.0' # Netmask
BIND9_2_MASTER_IP='192.168.0.1' # IP-Adress of master server
BIND9_2_MASTER_NS='' # Optional full name of master server

BIND9_2_ALLOW_TRANSFER='localnets'
# any, localnets, nslist, none

BIND9_2_NS_N='0' # Number of secondary name server
BIND9_2_NS_1_NAME='dns2.home.lan' # Full name of secondary name server
BIND9_2_NS_1_IP='' # IP - only for use ALLOW_TRANSFER=nslist

BIND9_2_MX_N='0' # Number of mail server
BIND9_2_MX_1_NAME='' # Full name of mail server
BIND9_2_MX_1_PRIORITY='10' # Priority 10=high 90=low

BIND9_2_HOST_N='1' # Number of hosts

BIND9_2_HOST_1_NAME='fritz' # Hostname
BIND9_2_HOST_1_IP='192.168.0.1' # IP-address of host
BIND9_2_HOST_1_ALIAS='router' # Optional alias names

>

> Gruß
> Jürgen

Jürgen Witt

unread,

Nov 13, 2016, 1:49:31 AM11/13/16

to

Hallo Detlef,

Am 12.11.2016 um 10:31 schrieb Detlef Paschke:

Die Bind-Konfiguration sieht für mich nicht korrekt aus (kein forwarder
auf die Fritzbox, sondern auf zwei externe IPs, die das interne Netz
überhaupt nicht kennen können).

Wie sieht die Netzwerkkonfiguration den W10-PCs aus?
Kannst Du vom W10 PC den Server und die Fritzbox anpingen?
Per IP und per Namen?

Gruß
Jürgen

Detlef Paschke

unread,

Nov 13, 2016, 3:59:56 AM11/13/16

to

Am 13.11.2016 um 07:48 schrieb Jürgen Witt:
> Hallo Detlef,

Hallo Jürgen,

> Die Bind-Konfiguration sieht für mich nicht korrekt aus (kein forwarder
> auf die Fritzbox, sondern auf zwei externe IPs, die das interne Netz
> überhaupt nicht kennen können).

die Config ist/war bereits seit Jahrzehnten ohne Probleme genau so
gewesen. Ganz zu Anfang, als ich noch keinen Eisfair hatte, im fli4l
später dann in DNS auf Eisfair und irgendwann kam dann die Umstellung
auf Bind9.
In der Doku zu Bind9 steht dazu auch:

BIND9_FORWARDER_N
Anzahl externer Nameserver welche alle Namensanfragen beantworten, die
nicht in den eigenen Zonen definiert und auch nicht gearade im Cache
vorhanden sind. Hier sollten nach Moeglichkeit immer mindestens zwei
Eintraege vorhanden sein.

BIND9_FORWARDER_x_IP
Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen
Abstaenden auf Erreichbarkeit ueberprueft werden, da in der
Vergangenheit schon oefter Adressen von DNS-Server veraendert wurden.
Fuer den Totalausfall aller Forwarder verfuegt BIND 9 allerdings auch
noch ueber Moeglichkeit zur Namensaufloesung ueber die sogenannten
Root-Server. Das erhoeht die Wartezeit fuer eine Antwort allerdings sehr.

Ich habe aber gestern zu Testzwecken einmal die Fritzbox in
BIND9_FORWARDER_x_IP eingetragen. Ohne Erfolg.

> Wie sieht die Netzwerkkonfiguration den W10-PCs aus?
> Kannst Du vom W10 PC den Server und die Fritzbox anpingen?
> Per IP und per Namen?

Identisch aller Win7-Rechner. Feste IP, DNS auf Eisfair und Gateway auf
die Fritte. Ein Win7 Notebook bekommt hier Dynamisch seine Einstellung
und ist auch Problemlos in der Domäne aufgenommen worden. Dise Variante
habe ich auf dem Win10-Rechner auch probiert - ebenfalls Erfolglos.

Alle Rechner in der Domäne und auch Server und Fritte lassen sich vom
Win10-Rechner anpingen und die Namen werden mit nslookup auch aufgelöst.
Das ist auch das, was mich so Ratlos macht. Ich finde keinen Grund.

Thomas Bork

unread,

unread,

Nov 14, 2016, 2:21:28 PM11/14/16

to

Am 14.11.2016 um 19:03 schrieb M.Weidig:

> kann eventuell folgender Link helfen?
> http://www.linuxquestions.org/questions/linux-networking-3/howto-ms-active-directory-with-bind-on-linux-379377/

Das bezieht sich auch auf active directory. Hat mit unserem PDC nichts
zu tun...

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 14, 2016, 3:32:45 PM11/14/16

to

Am 14.11.2016 um 20:21 schrieb Thomas Bork:

Hallo Thomas,

das ganze Problem welches mich hier beschäftigt scheint soweit ich es
bis dato Ergründen konnte damit zusammen zu hängen, dass ein Active
Directory-Domänencontroller von Eisfair-Samba nicht angeboten wird,
Windows 10 ihn aber, zumindest bei mir sucht und erwartet.

Ich muss meine Frage nun wohl eigentlich in einer Gruppe wie
de.comp.os.ms-windows.netzwerke stellen, warum Win10 auf einen Active
Directory-Domänencontroller besteht und keinen NT4-PDC akzeptiert, hatte
aber noch die leise Hoffnung, dass sich hier jemand zu Wort meldet der
Win10 bereits unter Eisfair-Samba-PDC zu laufen hat.

Thomas Bork

unread,

Nov 14, 2016, 3:55:00 PM11/14/16

to

Am 14.11.2016 um 21:32 schrieb Detlef Paschke:

> Ich muss meine Frage nun wohl eigentlich in einer Gruppe wie
> de.comp.os.ms-windows.netzwerke stellen, warum Win10 auf einen Active
> Directory-Domänencontroller besteht und keinen NT4-PDC akzeptiert, hatte
> aber noch die leise Hoffnung, dass sich hier jemand zu Wort meldet der
> Win10 bereits unter Eisfair-Samba-PDC zu laufen hat.

Ja natürlich. Habe ich. Allerdings ohne bind.

--
der tom
[eisfair-team]

Jürgen Witt

unread,

Nov 14, 2016, 4:37:32 PM11/14/16

to

Hallo Detlef,

Am 14.11.2016 um 21:32 schrieb Detlef Paschke:

> Ich muss meine Frage nun wohl eigentlich in einer Gruppe wie
> de.comp.os.ms-windows.netzwerke stellen, warum Win10 auf einen Active
> Directory-Domänencontroller besteht und keinen NT4-PDC akzeptiert, hatte
> aber noch die leise Hoffnung, dass sich hier jemand zu Wort meldet der
> Win10 bereits unter Eisfair-Samba-PDC zu laufen hat.

ich habe bei einem Kunden auch Samba als PDC für W10- und Win7-Klienten
laufen und daher meine Erfahrungen (und Fragen) hier geteilt.

Mir fällt zu Deinem Problem allerdings auch nichts Schlaues mehr ein.
Geht es nur um einen PC? Wenn ja, hast Du es ja 'mal mit einem
virtuellen W10 (z.B. unter VirtuelBox) probieren. Damit habe ich alles
Mögliche ausprobiert, bis es geklappt hat.

Gruß
Jürgen

Detlef Paschke

unread,

Nov 14, 2016, 4:52:01 PM11/14/16

to

Am 14.11.2016 um 22:36 schrieb Jürgen Witt:
> Hallo Detlef,

Hallo Jürgen,

> ich habe bei einem Kunden auch Samba als PDC für W10- und Win7-Klienten
> laufen und daher meine Erfahrungen (und Fragen) hier geteilt.
>
> Mir fällt zu Deinem Problem allerdings auch nichts Schlaues mehr ein.
> Geht es nur um einen PC? Wenn ja, hast Du es ja 'mal mit einem
> virtuellen W10 (z.B. unter VirtuelBox) probieren. Damit habe ich alles
> Mögliche ausprobiert, bis es geklappt hat.

das ganze ist hier physisch möglich.
Es handelt sich um einen neuen PC und, weil die Zeichen der Zeit es
erfordern, möchte ich mir langsam Win10 etwas vertraut machen und habe
somit Win10 auf diesen Rechner Installiert.
Auf diesem Rechner ist auch noch nichts anderes und er wird zum Teil
mehrfach am Tag neu Installiert da ich nach x Um-Konfigurationen wieder
ein jungfreudiges System haben möchte um zu wissen welche Einstellung
wichtig ist.

> Gruß
> Jürgen

Detlef Paschke

unread,

Nov 14, 2016, 4:54:26 PM11/14/16

to

Am 14.11.2016 um 21:55 schrieb Thomas Bork:

Hallo Thomas,

Aber soll Bind hier das Problem sein?

Thomas Bork

unread,

Nov 14, 2016, 5:31:51 PM11/14/16

to

Am 14.11.2016 um 22:54 schrieb Detlef Paschke:

> Aber soll Bind hier das Problem sein?

Kann ich nicht sagen. bind läuft hier nicht und Win 10 läuft als
Domänen-Mitglied in einer klassischen Domäne mit eisfair als PDC.

--
der tom
[eisfair-team]

unread,

Nov 15, 2016, 12:17:20 PM11/15/16

to

Am 15.11.2016 um 16:13 schrieb Detlef Paschke:
> Am 15.11.2016 um 16:02 schrieb Jürgen Witt:
>> Hallo Detlef,
>
> Hallo Jürgen,
>
>> das wird aber leider genau das Problem sein. Die Domain bzw. der Eintrag
>> in Samba-Konfiguration bei meinem Kunden (W10 Klient können der Domain
>> beitreten) sieht so aus:
>
> ich werde wohl nicht drumherum kommen obwohl lt.
> https://support.microsoft.com/de-de/kb/909264
> ein Punkt, solange er nicht am Anfang steht durchaus gestattet ist und
> bis dato ja auch nie Probleme bereitet hat.
>
>> Gruß
>> Jürgen
>
> Viele Grüße
> Detlef Paschke
>

Hallo,

wie würde sich eine Änderung des Domänennamens denn auf die bestehenden
Clients auswirken? Was ist wenn der Name geändert wird und im Anschluss
die SID wieder hergestellt wird? Müssen dann auch alle Clients erneut
der Domäne beitreten? Was passiert mit den Profilen auf den Clients?

Thomas Bork

unread,

Nov 15, 2016, 2:28:54 PM11/15/16

to

Am 15.11.2016 um 11:25 schrieb M. Weidig:

> also ich habe hier genau das gleiche Problem und seltsamerweise nur mit
> frisch installierten Rechnern. Ich habe hier auch ehemalige Win7
> Clients, welche auf Win10 upgegraded wurden und vorher auch schon
> Mitglied der Domäne waren. Diese sind weiterhin Mitglied der Domäne.
> Frisch installierten Win10 Clients gelingt der Beitritt mit dem
> genannten Problem nicht.

Auch '.' im Domänen-Namen?

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 15, 2016, 2:45:42 PM11/15/16

to

Am 15.11.2016 um 20:28 schrieb Thomas Bork:

Hallo Thomas,

> Am 15.11.2016 um 11:25 schrieb M. Weidig:

>> ...

>> Frisch installierten Win10 Clients gelingt der Beitritt mit dem
>> genannten Problem nicht.
>
> Auch '.' im Domänen-Namen?

das wäre ja mal interessant, denn dann installiere ich auf dem Rechner
erst Win7 füge ihn der Domain hinzu und mache dann ein Upgrade. Dann
spare ich mir Ärger den ich womöglich noch gar nicht sehe.
Ich habe auch erfahren, dass es nur für den Domain-beitritt erforderlich
sein soll Samba auf max protocol = NT1 festzunageln bzw. den Client per
Befehl auf SMBv1.
Nach dem Beitritt kann man dies wohl wieder zurücksetzen.

Thomas Bork

unread,

Nov 15, 2016, 3:04:42 PM11/15/16

to

Am 15.11.2016 um 20:45 schrieb Detlef Paschke:

> Ich habe auch erfahren, dass es nur für den Domain-beitritt erforderlich
> sein soll Samba auf max protocol = NT1 festzunageln bzw. den Client per
> Befehl auf SMBv1.

Genau das macht doch

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start=disabled

Mit dem Vorteil, dass Du nur einzelne Clients im Protokoll genau an
diesen Clients beschränkst. In der eisfair-Samba-Konfiguration gibt es
dafür auch keine Option.

> Nach dem Beitritt kann man dies wohl wieder zurücksetzen.

Nö. Dann ist keine Anmeldung mehr möglich ("Es sind im Moment keine
Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.").

Microsoft hat sich einfach entschieden in den höheren Protokollen
NT-style-domains nicht mehr zu unterstützen.

--
der tom
[eisfair-team]

Holger Bruenjes

unread,

Nov 15, 2016, 3:13:35 PM11/15/16

to

Hallo Tom

Am 2016-11-15 um 21:04 schrieb Thomas Bork:

> Microsoft hat sich einfach entschieden in den höheren Protokollen
> NT-style-domains nicht mehr zu unterstützen.

ist das der Weg zu ldap?

Holger

Thomas Bork

unread,

Nov 15, 2016, 3:27:30 PM11/15/16

to

Am 15.11.2016 um 21:13 schrieb Holger Bruenjes:

> ist das der Weg zu ldap?

ldap, kerberos, cifs und dns.
Aber es wird immer noch nicht empfohlen, einen AD DC als file server
einzusetzen, der kann nicht browsen (Netzwerkumgebung) und es sind viel
zu viele händische Schritte auszuführen, um das Ding zum Laufen zu
bekommen...

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 15, 2016, 3:47:27 PM11/15/16

to

Am 15.11.2016 um 21:04 schrieb Thomas Bork:

Hallo Thomas,

> Am 15.11.2016 um 20:45 schrieb Detlef Paschke:
>
>> Ich habe auch erfahren, dass es nur für den Domain-beitritt erforderlich
>> sein soll Samba auf max protocol = NT1 festzunageln bzw. den Client per
>> Befehl auf SMBv1.
>
> Genau das macht doch
>
> sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
> sc.exe config mrxsmb20 start=disabled

das meinte ich mit dem Satz. Entweder Samba selbst per max protocol =
NT1 und das dann für all oder einen einzelnen Client per Befehl.

>> Nach dem Beitritt kann man dies wohl wieder zurücksetzen.
>
> Nö. Dann ist keine Anmeldung mehr möglich ("Es sind im Moment keine
> Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.").

Hier
http://samba.2283325.n4.nabble.com/Anybody-got-windows-10-working-with-our-classic-DC-need-to-migrate-to-samba4-td4686542.html
berichtet Marc Muehlfeld-4 genau davon. Ich konnte es selbst nicht
testen, da ich ja schon ein Problem beim Beitritt habe aber so wie ich
es lese (zweiter Beitrag) hat er nach dem Beitritt "max protocol" wieder
entfernt, und damit ja die Beschränkung von Samba aufgehoben.

Thomas Bork

unread,

Nov 15, 2016, 3:59:56 PM11/15/16

to

Am 15.11.2016 um 21:47 schrieb Detlef Paschke:

> Hier
> http://samba.2283325.n4.nabble.com/Anybody-got-windows-10-working-with-our-classic-DC-need-to-migrate-to-samba4-td4686542.html
> berichtet Marc Muehlfeld-4 genau davon. Ich konnte es selbst nicht
> testen, da ich ja schon ein Problem beim Beitritt habe aber so wie ich
> es lese (zweiter Beitrag) hat er nach dem Beitritt "max protocol" wieder
> entfernt, und damit ja die Beschränkung von Samba aufgehoben.

Ich hätte das nicht so bestimmt geschrieben, wenn ich es nicht mit unser
aktuellen Samba-Version und einem voll gepatchten Win10 ausprobiert hätte...

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 15, 2016, 4:04:52 PM11/15/16

to

Am 15.11.2016 um 21:59 schrieb Thomas Bork:

Hallo Thomas,

> Ich hätte das nicht so bestimmt geschrieben, wenn ich es nicht mit unser
> aktuellen Samba-Version und einem voll gepatchten Win10 ausprobiert hätte...

ok evtl. testet es mal jemand bei dem Samba als PDC derzeit auf Win10
funktioniert ;-)

Thomas Bork

unread,

Nov 15, 2016, 4:26:04 PM11/15/16

to

Am 15.11.2016 um 22:04 schrieb Detlef Paschke:

> ok evtl. testet es mal jemand bei dem Samba als PDC derzeit auf Win10
> funktioniert ;-)

? Ich schrieb bereits, dass Win10 bei mir als Client an einem
eisfair-PDC läuft - Zitat: "bind läuft hier nicht und Win 10 läuft als

Domänen-Mitglied in einer klassischen Domäne mit eisfair als PDC".

Es läuft definitiv nicht mehr, wenn statt SMB1 das neuere SMB2/3 zum
Einsatz kommt.

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 15, 2016, 4:39:10 PM11/15/16

to

Am 15.11.2016 um 22:26 schrieb Thomas Bork:

Hallo Thomas,

> Es läuft definitiv nicht mehr, wenn statt SMB1 das neuere SMB2/3 zum
> Einsatz kommt.

also auch nach dem Beitritt des jeweiligen Client in die Domain nicht?

Aber, weil ich es nicht verifizieren konnte schrieb ich auch "Nach dem
Beitritt kann man dies wohl wieder zurücksetzen." sonst hätte ich
geschrieben man kann es wieder zurücksetzen.

Thomas Bork

unread,

Nov 15, 2016, 4:49:28 PM11/15/16

to

Am 15.11.2016 um 22:39 schrieb Detlef Paschke:

> also auch nach dem Beitritt des jeweiligen Client in die Domain nicht?

Genau.

--
der tom
[eisfair-team]

unread,

Nov 16, 2016, 1:47:12 AM11/16/16

to

Am 16.11.2016 um 02:13 schrieb kay:

> eher TCPBEUI ist). Außerdem ist beim Umstieg von Arbeitsgruppe (oder
> Peer-modus) zu Domänen-Anmeldung zu beachten das beide verschieden sein
> müssen. Von einer Arbeitsgruppe PASCHKE zu einer Domäne PASCHKE zu
> wechseln wird misslingen. Also benennt man die Arbeitsgruppe vorher um,
> rebootet einmal und macht dann den Domänen-beitritt.

Das scheint für Win10 nicht mehr zuzutreffen.

--
der tom
[eisfair-team]

kay

unread,

Nov 16, 2016, 4:40:19 AM11/16/16

to

Am 16.11.2016 um 07:47 schrob Thomas Bork:

Echt? Ich frag mich da grad ob es das o.g. evtl. einfach nur intern
simuliert, oder sollte es das wirklich anders/besser machen können?

Da müsste man aber vermutlich mit einem Debugger rein schauen oder die
Registry auf schnelle Änderungen überwachen - oder das RAM...

Detlef Paschke

unread,

Nov 16, 2016, 4:56:33 AM11/16/16

to

Am 16.11.2016 um 02:13 schrieb kay:

Kallo Kay,

> Und .local wird AFAIR von bonjour/mDNS als name genutzt und könnte

> zusätzliche Probleme stiften....

das hatte ich dazumal auch gelesen und auf .local verzichtet zumal mir
persönlich .lan sowieso besser gefallen hat.

> Ich hatte auch den Eindruck das du die dns-namen für hosts und bind mit
> dem domänennamen von Samba durcheinander wirfst. Kann es sein das dir
> die Unterschiede da nicht ganz klar sind?

Gar nicht durcheinander Werfen, es hat einfach einen ganz schlichten
Grund und solange Windows hier keine Zicken gemacht hat hat das ja auch
geklappt.
Es ging mir darum, alle Rechner, Drucker, weiß der Geier was und egal
über welches Protokoll, ob nun http, ftp, mail, smb... immer identisch
per NAME.home.lan anzusprechen.
Das ist wohl so eine Eigenart von mir, ich hasse es auch wenn hunderte
Verknüpfungen auf dem Desktop liegen ;-)
Das muss ich nun, wenn der Versuch Win10 über ein Upgrade zu
installieren auch nichts Bringt, zumindest für smb über Bord werfen.

> Kay

kay

unread,

Nov 16, 2016, 7:10:37 AM11/16/16

to

Am 16.11.2016 um 10:56 schrob Detlef Paschke:

> Am 16.11.2016 um 02:13 schrieb kay:
>
> persönlich .lan sowieso besser gefallen hat.

Du hast keine eigene domain unter der du dir intern eine subdomain
einrichten könntest?

>> Ich hatte auch den Eindruck das du die dns-namen für hosts und bind mit
>> dem domänennamen von Samba durcheinander wirfst. Kann es sein das dir
>> die Unterschiede da nicht ganz klar sind?
>

> Es ging mir darum, alle Rechner, Drucker, weiß der Geier was und egal
> über welches Protokoll, ob nun http, ftp, mail, smb... immer identisch
> per NAME.home.lan anzusprechen.

Wenn deine namens-auflösung netzwerk-weit korrekt arbeitet dann kannst
du die sogar NUR über NAME ansprechen. Dazu muss nur jeder host einen
eindeutigen namen haben und in der resolver-config (/etc/resolv.conf)
auf jedem host ein 'search home.lan' stehen - oder was man auch immer
verwendet. Das müsste EIS m.e. automatisch einrichten wenn du in der
BASE Konfig eine domain und einen DNS-Server eingibst.

OBTW, da du bind verwendest: Wie ist das mit deinem EIS auf dem Samba
tanzt, welchen DNS befragt der? Seinen lokalen bind (127.0.0.1) oder
evtl. nur die Fritte?
IMHO sollte dieser Host besser seinen localhost fragen und nur den rest
an die Fritte weiterleiten (FORWARDER)

> Das ist wohl so eine Eigenart von mir, ich hasse es auch wenn hunderte
> Verknüpfungen auf dem Desktop liegen ;-)

Nicht nur du. Ich hasse es noch mehr im internen netz mehr als nur den
hostnamen eintippen zu müssen. Dafür sind 'search' oder 'domain' in der
resolv.conf ja da.

> Das muss ich nun, wenn der Versuch Win10 über ein Upgrade zu
> installieren auch nichts Bringt, zumindest für smb über Bord werfen.

Also ich kann z.b. im Explorer einfach //hostname in's adressfeld
eintippen und sehe die freigaben des hosts. Und die netzwerkumgebung ist
(wins sei dank) auch gefüllt. Wenn schon klicki-bunti OS dann aber so
bequem wie möglich. :)

Geht das bei dir denn auch?

Bei mir sind aber dns, smb, wins auf dem gateway und alles ohne
domänen-beitritt.

Detlef Paschke

unread,

Nov 16, 2016, 9:40:15 AM11/16/16

to

Am 16.11.2016 um 13:08 schrieb kay:

Hallo Kay,

> Wenn deine namens-auflösung netzwerk-weit korrekt arbeitet dann kannst
> du die sogar NUR über NAME ansprechen. Dazu muss nur jeder host einen
> eindeutigen namen haben und in der resolver-config (/etc/resolv.conf)
> auf jedem host ein 'search home.lan' stehen - oder was man auch immer
> verwendet. Das müsste EIS m.e. automatisch einrichten wenn du in der
> BASE Konfig eine domain und einen DNS-Server eingibst.

das funktioniert auch genau so bei mir und damit habe ich lange keine
Probleme mehr gehabt.
In der steht bei mir aber "nur":
search home.lan box
nameserver 127.0.0.1
nameserver 141.1.1.1

> OBTW, da du bind verwendest: Wie ist das mit deinem EIS auf dem Samba
> tanzt, welchen DNS befragt der? Seinen lokalen bind (127.0.0.1) oder
> evtl. nur die Fritte?

Bind und Samba laufen zusammen auf einem Rechner.

> Also ich kann z.b. im Explorer einfach //hostname in's adressfeld
> eintippen und sehe die freigaben des hosts. Und die netzwerkumgebung ist
> (wins sei dank) auch gefüllt. Wenn schon klicki-bunti OS dann aber so
> bequem wie möglich. :)
>
> Geht das bei dir denn auch?

Nun ja, den Explorer benutze ich eigentlich überhaupt nicht, habe in den
1990ern das NC-Virus verpasst bekommen und bleibe dabei.
Aber diese eingabe geht hier auch nur, ich muss \\hostname eingeben um
die Freigaben zu sehen. Bei //hostname öffnet sich die Webseite.

kay

unread,

Nov 16, 2016, 11:29:09 AM11/16/16

to

Am 16.11.2016 um 15:40 schrob Detlef Paschke:

> Am 16.11.2016 um 13:08 schrieb kay:
>
>
> das funktioniert auch genau so bei mir und damit habe ich lange keine
> Probleme mehr gehabt.
> In der steht bei mir aber "nur":
> search home.lan box

'box' steht da wohl damit du nur 'fritz' eingeben musst, und nicht
'fritz.box' Stimmts? Funktioniert das?

Ich bin mir nicht sicher, glaube aber das müsste in eine Zweite
search-zeile weil search IMHO nur ein argument nimmt.

> nameserver 141.1.1.1

Kannst du den nicht in der Fritte zusätzlich eintragen? Bei solchen
Konstrukten wäre mir unwohl. Spätestens wenn der bind mal wg. Fehler
nicht startet und dein Internet nicht geht gibt das Probleme.

> Bind und Samba laufen zusammen auf einem Rechner.

Das wusste ich schon vorher. Die Restliche Frage wurde oben beantwortet.

>> Geht das bei dir denn auch?
>

> 1990ern das NC-Virus verpasst bekommen und bleibe dabei.

Ich kenne den Norton commander, auch den Midnight Commander und den FC/2. ;)

> Aber diese eingabe geht hier auch nur, ich muss \\hostname eingeben um
> die Freigaben zu sehen. Bei //hostname öffnet sich die Webseite.

Ups, mein fehler. ich hab die beiden verwexelt. Na wenn's geht dann ist
es ja gut. Hilft nur leider nicht weiter beim Problem.

Detlef Paschke

unread,

Nov 16, 2016, 1:24:39 PM11/16/16

to

Hallo an alle,

Am 15.11.2016 um 22:58 schrieb Detlef Paschke:
> dann werde ich bevor ich den Domain-Namen ändere den Weg über eine Win7
> Installation mit Domain-Beitritt und dann ein Upgrade auf Win10 probieren.
> Eine "saubere" Installation wäre mir zwar lieber aber... nun ja.

ich gebe mal eine kurze Rückinfo ab.
Ich habe mir also einmal den Weg vorgenommen Win7 zu installieren ohne
SN, Aktivierung oder irgend welche Treiber die nicht unbedingt gebraucht
wurden. Das Regpatch für Win7 eingefügt und dann problemlos der Domain
beigetreten.
Dann Win10 als Update (eigentlich ja Upgrade) darüber installiert und
siehe da, "es Geht... die Schei... geht... ich werd noch Irre... 200
Puls hab ich..."

Interessant, ich habe weder Samba noch Win10 per Befehl auf SMBv1
Beschränkt und trotzdem funktioniert es. Smbstatus gibt aber eine etwas
merkwürdige Meldung über die Version aus. (192.168.0.203 ist der Win10
Rechner der andere Win7)

eisfair # smbstatus|more
Samba version 4.3.11-for-eisfair-1-patch-1
PID Username Group Machine Protocol Version
---------------------------------------------------------------------
4952 root root 192.168.0.203 (ipv4:192.168.0.203:50345) Unknown (0x0311)
1781 root root 192.168.0.2 (ipv4:192.168.0.2:49164) SMB2_10

Thomas Bork

unread,

Nov 16, 2016, 2:19:48 PM11/16/16

to

Am 16.11.2016 um 19:24 schrieb Detlef Paschke:

> 4952 root root 192.168.0.203 (ipv4:192.168.0.203:50345) Unknown (0x0311)

Ist normal für unsere Samba-Version, der Dialekt ist SMB3_11.

--
der tom
[eisfair-team]

Detlef Paschke

unread,

Nov 16, 2016, 4:29:52 PM11/16/16

to

Am 16.11.2016 um 20:19 schrieb Thomas Bork:

Hallo Thomas,

> Am 16.11.2016 um 19:24 schrieb Detlef Paschke:
>
>> 4952 root root 192.168.0.203 (ipv4:192.168.0.203:50345) Unknown (0x0311)
>
> Ist normal für unsere Samba-Version, der Dialekt ist SMB3_11.

ach so aber schon komisch wieso nun SMB3 doch geht.

Thomas Bork

unread,

Nov 17, 2016, 4:52:52 AM11/17/16

to

Am 16.11.2016 um 22:29 schrieb Detlef Paschke:

> ach so aber schon komisch wieso nun SMB3 doch geht.

Vermutung:
Dann hat MS wohl dafür gesorgt, dass sich neu installierte Systeme ootb
keiner NT-style-domain anschliessen können. Und um all diejenigen nicht
zu verärgern, die den kostenlosen Umstieg auf 10 gewagt haben und schon
vorher Mitglied einer NT-style-domain waren, musste das aber weiterhin
funktionieren.

--
der tom
[eisfair-team]