Hallo zusammen,
wenn ich per Windows-Explorer auf meinem Active Domain Domain Controller (Samba, Version 4.2.10-Debian) auf eine beliebige Freigabe zugreifen möchte (auch die Standard-Freigaben netlogon und sysvol) kommt folgende Fehlermeldung:
"Die Struktur der Sicherheitskennung ist unzulässig."
Die gleiche Fehlermeldung erhalte ich auch, wenn ich z.B. per RSAT eine Gruppenrichtlinie erstellen will. PCs in die Domäne aufnehmen und Benutzeranmeldungen sind kein Problem. Auch Freigaben auf anderen Rechnern/Fileservern funktionieren einwandfrei.
In der /var/log/samba/log.samba sieht das dann so aus:
Wenn ich jetzt den aufgelisteten Objekten in den UNIX-Attributen eine UID- und eine GIDnumber verpasse, verschwinden zumindest deren Einträte in der Liste der Security token SIDs. Aber spätestens bei der S-1-1-0 ist das ja keine Lösung mehr.
Meine smb.conf:
Irgendeine Idee, woran das liegen könnte?
/ edit: [gelöst]
Peinlich: Ich hatte die Datei /var/lib/samba/private/idmap.ldb umbenannt. (Fragt nicht warum.) Das wieder rückgängig gemacht und alles war wieder gut.
ps:
wenn ich per Windows-Explorer auf meinem Active Domain Domain Controller (Samba, Version 4.2.10-Debian) auf eine beliebige Freigabe zugreifen möchte (auch die Standard-Freigaben netlogon und sysvol) kommt folgende Fehlermeldung:
"Die Struktur der Sicherheitskennung ist unzulässig."
Die gleiche Fehlermeldung erhalte ich auch, wenn ich z.B. per RSAT eine Gruppenrichtlinie erstellen will. PCs in die Domäne aufnehmen und Benutzeranmeldungen sind kein Problem. Auch Freigaben auf anderen Rechnern/Fileservern funktionieren einwandfrei.
In der /var/log/samba/log.samba sieht das dann so aus:
Code:
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID. Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.158724, 0] ../libcli/security/security_token.c:63(security_token_debug)
Security token SIDs (10):
SID[ 0]: S-1-5-21-2037352628-2975300173-185547508-1106
SID[ 1]: S-1-5-21-2037352628-2975300173-185547508-513
SID[ 2]: S-1-5-21-2037352628-2975300173-185547508-1110
SID[ 3]: S-1-5-21-2037352628-2975300173-185547508-1111
SID[ 4]: S-1-5-21-2037352628-2975300173-185547508-1155
SID[ 5]: S-1-1-0
SID[ 6]: S-1-5-2
SID[ 7]: S-1-5-11
SID[ 8]: S-1-5-32-545
SID[ 9]: S-1-5-32-554
Privileges (0x 800000):
Privilege[ 0]: SeChangeNotifyPrivilege
Rights (0x 400):
Right[ 0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID. Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.164554, 0] ../libcli/security/security_token.c:63(security_token_debug)
Security token SIDs (10):
SID[ 0]: S-1-5-21-2037352628-2975300173-185547508-1106
SID[ 1]: S-1-5-21-2037352628-2975300173-185547508-513
SID[ 2]: S-1-5-21-2037352628-2975300173-185547508-1110
SID[ 3]: S-1-5-21-2037352628-2975300173-185547508-1111
SID[ 4]: S-1-5-21-2037352628-2975300173-185547508-1155
SID[ 5]: S-1-1-0
SID[ 6]: S-1-5-2
SID[ 7]: S-1-5-11
SID[ 8]: S-1-5-32-545
SID[ 9]: S-1-5-32-554
Privileges (0x 800000):
Privilege[ 0]: SeChangeNotifyPrivilege
Rights (0x 400):
Right[ 0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID. Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.236257, 0] ../libcli/security/security_token.c:63(security_token_debug)
Security token SIDs (10):
SID[ 0]: S-1-5-21-2037352628-2975300173-185547508-1106
SID[ 1]: S-1-5-21-2037352628-2975300173-185547508-513
SID[ 2]: S-1-5-21-2037352628-2975300173-185547508-1110
SID[ 3]: S-1-5-21-2037352628-2975300173-185547508-1111
SID[ 4]: S-1-5-21-2037352628-2975300173-185547508-1155
SID[ 5]: S-1-1-0
SID[ 6]: S-1-5-2
SID[ 7]: S-1-5-11
SID[ 8]: S-1-5-32-545
SID[ 9]: S-1-5-32-554
Privileges (0x 800000):
Privilege[ 0]: SeChangeNotifyPrivilege
Rights (0x 400):
Right[ 0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID. Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.304454, 0] ../libcli/security/security_token.c:63(security_token_debug)
Security token SIDs (10):
SID[ 0]: S-1-5-21-2037352628-2975300173-185547508-1106
SID[ 1]: S-1-5-21-2037352628-2975300173-185547508-513
SID[ 2]: S-1-5-21-2037352628-2975300173-185547508-1110
SID[ 3]: S-1-5-21-2037352628-2975300173-185547508-1111
SID[ 4]: S-1-5-21-2037352628-2975300173-185547508-1155
SID[ 5]: S-1-1-0
SID[ 6]: S-1-5-2
SID[ 7]: S-1-5-11
SID[ 8]: S-1-5-32-545
SID[ 9]: S-1-5-32-554
Privileges (0x 800000):
Privilege[ 0]: SeChangeNotifyPrivilege
Rights (0x 400):
Right[ 0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID. Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.382454, 0] ../libcli/security/security_token.c:63(security_token_debug)
Security token SIDs (10):
SID[ 0]: S-1-5-21-2037352628-2975300173-185547508-1106
SID[ 1]: S-1-5-21-2037352628-2975300173-185547508-513
SID[ 2]: S-1-5-21-2037352628-2975300173-185547508-1110
SID[ 3]: S-1-5-21-2037352628-2975300173-185547508-1111
SID[ 4]: S-1-5-21-2037352628-2975300173-185547508-1155
SID[ 5]: S-1-1-0
SID[ 6]: S-1-5-2
SID[ 7]: S-1-5-11
SID[ 8]: S-1-5-32-545
SID[ 9]: S-1-5-32-554
Privileges (0x 800000):
Privilege[ 0]: SeChangeNotifyPrivilege
Rights (0x 400):
Right[ 0]: SeRemoteInteractiveLogonRight
Unable to convert SID (S-1-1-0) at index 5 in user token to a GID. Conversion was returned as type 0, full token:
[2016/05/17 11:36:11.460650, 0] ../libcli/security/security_token.c:63(security_token_debug)
Security token SIDs (10):
SID[ 0]: S-1-5-21-2037352628-2975300173-185547508-1106
SID[ 1]: S-1-5-21-2037352628-2975300173-185547508-513
SID[ 2]: S-1-5-21-2037352628-2975300173-185547508-1110
SID[ 3]: S-1-5-21-2037352628-2975300173-185547508-1111
SID[ 4]: S-1-5-21-2037352628-2975300173-185547508-1155
SID[ 5]: S-1-1-0
SID[ 6]: S-1-5-2
SID[ 7]: S-1-5-11
SID[ 8]: S-1-5-32-545
SID[ 9]: S-1-5-32-554
Privileges (0x 800000):
Privilege[ 0]: SeChangeNotifyPrivilege
Rights (0x 400):
Right[ 0]: SeRemoteInteractiveLogonRightWenn ich jetzt den aufgelisteten Objekten in den UNIX-Attributen eine UID- und eine GIDnumber verpasse, verschwinden zumindest deren Einträte in der Liste der Security token SIDs. Aber spätestens bei der S-1-1-0 ist das ja keine Lösung mehr.
Meine smb.conf:
Code:
# Global parameters
[global]
workgroup = PDOM
realm = PDOM.EXAMPLE.ORG
netbios name = ALBERT
server role = active directory domain controller
dns forwarder = 192.168.200.1
server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns, smb
dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
idmap_ldb:use rfc2307 = yes
# to prevent problems with certificates
ldap server require strong auth = no
[netlogon]
path = /var/lib/samba/sysvol/pdom.example.org/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = NoIrgendeine Idee, woran das liegen könnte?
/ edit: [gelöst]
Peinlich: Ich hatte die Datei /var/lib/samba/private/idmap.ldb umbenannt. (Fragt nicht warum.) Das wieder rückgängig gemacht und alles war wieder gut.
ps: