Windows Server 2012 R2 Essentials

uvuser · January 13, 2014, 2:54pm

Wenn ich einen Windows Server 2012 R2 Essentials an die Samba Domäne anmelde funktioniert das Ganze soweit einmal. Danach kommt im Essentials immer ein Assistent der die Essentials Konfiguration fertigstellen möchte. Diese wird aber durch einen nicht ersichtlichen Fehler nicht einmal begonnen.
Wenn der Essentials auf einen richtigen Windows Server 2012 gejoint wird funktioniert die Konfiguration.
Wo gibt es hier Probleme beim Samba?

Gohmann · January 14, 2014, 7:49pm

Gibt es Fehlermeldungen in der Samba Logdatei? Samba Debug Level 3 und einmal mit 12?

uvuser · January 15, 2014, 8:45am

Da scheint überhaupt nichts auf, auch nicht im Eventlog.

Das hat leider auch nichts geholfen:

•Go to Group Policy Management
•Edit your policy, such as the ‘Default Domain Controllers Policy’
•Go to Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment
•Edit ‘Log on as a service’ and add 2 accounts: \ServerAdmin$ and \MediaAdmin$

Einen \ServerAdmin$ und \MediaAdmin$ gibt es nicht.

Gohmann · January 15, 2014, 8:50am

Ist eine Kommunikation im Wireshark Trace zu sehen?

uvuser · January 15, 2014, 9:09am

Es tut sich was am Interface, kann aber leider nicht sagen was das bedeutet. siehe Anhang.
Essentials 192.168.178.61
Univention 192.168.168.1

Gohmann · January 15, 2014, 9:32am

Den Inhalt des RAR Archivs kann ich leider nicht in meinen Wireshark laden? Vielleicht nochmal als pcap aufzeichnen?

Dann wäre noch der Vergleich mit einem MS-basierten AD interessant. Also auch dort per Wireshark aufzeichnen.

uvuser · January 15, 2014, 10:19am

ist jetzt im wireshark Format gespeichert.

univention.pcapng:
Essentials 192.168.178.61 -> Univention (fehler) 192.168.168.1

Windows Server 2012.pcapng:
Essentials 10.10.12.9 -> Windows Server 2012 Standard (erfolg) 10.10.12.11

uvuser · January 23, 2014, 7:19am

gibt es Neuigkeiten?

Gohmann · January 23, 2014, 7:50am

Nein, ich hatte noch keine Zeit. Bei der aktuellen Auslastung wird das sicherlich auch noch dauern, bevor ich nochmal draufschauen kann.

botner · February 25, 2014, 10:09am

Hallo,

im wireshark Trace beim Join gegen das UCS sieht man, dass der Windows Server versucht die Well-Known GUID 1EB93889E40C45DF9F0C64D23BBB6237 zu finden. Dies schlägt fehl und danach ist Schluss. Im wireshark Trace beim Join gegen das Windows AD findet er das entsprechende Objekt und macht dann weiter.

UCS <-> Essential

143 8.182803000 192.168.178.61 192.168.168.1 LDAP 229 SASL GSS-API Integrity: searchRequest(258) "<WKGUID=1EB93889E40C45DF9F0C64D23BBB6237,DC=siedl,DC=local>" baseObject 144 8.184955000 192.168.168.1 192.168.178.61 LDAP 199 SASL GSS-API Integrity: searchResDone(258) noSuchObject (Base-DN '<WKGUID=1EB93889E40C45DF9F0C64D23BBB6237,DC=siedl,DC=local>' not found) [0 results]
Win AD <-> Essential

92 2.661770000 10.10.12.9 10.10.12.11 LDAP 210 SASL GSS-API Integrity: searchRequest(42) "<WKGUID=1EB93889E40C45DF9F0C64D23BBB6237,DC=bestit,DC=local>" baseObject 93 2.662780000 10.10.12.11 10.10.12.9 LDAP 218 SASL GSS-API Integrity: searchResEntry(42) "CN=Managed Service Accounts,DC=bestit,DC=local" searchResDone(42) success [1 result]

Die Well-Known GUID 1EB93889E40C45DF9F0C64D23BBB6237 bezieht sich auf das Objekt “CN=Managed Service Accounts” bzw. auf das “Managed Service Accounts” Feature ab Windows Server 2008 R2, siehe blogs.technet.com/b/askds/archi … oting.aspx.

Es scheint, Windows setzte das Vorhandensein mindestens des Containers “CN=Managed Service Accounts” voraus. Könnten Sie vor dem Join gegen das UCS bitte einmal folgendes ausführen um den Container und eine entsprechende Verlinkung am Basis-Objekt der Domäne zu erstellen.

[code]#!/bin/bash

eval “$(ucr shell)”

ldbadd -H /var/lib/samba/private/sam.ldb <<-%EOF
dn: CN=Managed Service Accounts,$samba4_ldap_base
objectClass: container
cn: Managed Service Accounts
description: Default container for managed service accounts
name: Managed Service Accounts
%EOF

ldbmodify -H /var/lib/samba/private/sam.ldb <<-%EOF
dn: $samba4_ldap_base
changetype: modify
add: wellKnownObjects
wellKnownObjects: B:32:1EB93889E40C45DF9F0C64D23BBB6237:CN=Managed Service Accounts,$samba4_ldap_base
%EOF[/code]

Danach sollte die folgende Suche auf dem UCS Server erfolgreich sein.

univention-s4search   -b "<WKGUID=1EB93889E40C45DF9F0C64D23BBB6237,$(ucr get samba4/ldap/base)>"

Mit freundlichen Grüßen
Felix Botner

uvuser · March 17, 2014, 2:02pm

Hat leider nichts geholfen.

botner · March 19, 2014, 10:37am

OK, das Essentials sucht weiterhin zwei Objekte “ServerAdmin” und “MediaAdmin”. Dieses sind Managed Service Accounts. Ich weiß jetzt nicht, wer die Accounts hätte anlegen müssen (samba4, das Essentials etc.) In meinem W2k8R2 Windows AD Server gibt es die beiden Accounts jedoch auch nicht. Ich habe diese nun auf meinem W2k8R2 Windows AD Server wie in

blogs.technet.com/b/askpfeplat/a … ounts.aspx
blogs.technet.com/b/askds/archiv … oting.aspx

beschrieben angelegt (gibt es diese Accounts auf Ihrem Windows Server 2012?). Äquivalente Objekte in Samba4 können mit folgendem Script angelegt werden (bitte beachten Sie, dass der Container “Managed Service Accounts”, wie oben beschrieben, vorher angelegt werden muss).

[code]
eval “$(ucr shell)”

for name in ServerAdmin MediaAdmin; do

    udm computers/windows create \
            --set name="$name" \
            --set password="$(create_machine_password)" \
            --position="cn=Managed Service Accounts,$ldap_base" || die "could not create account $name"

    # wait for replication
    count=0
    account_dn=""
    while [ -z "$account_dn" ] && [ $count -le 300 ]; do
            sleep 1
            account_dn="$(ldbsearch -H /var/lib/samba/private/sam.ldb samAccountName=$name\$ dn | sed -n 's/^dn: \(.*\)/\1/p')"
            count=$((count+1))
    done

    ldbmodify -H /var/lib/samba/private/sam.ldb <<-%EOF
    dn: CN=$name,CN=Managed Service Accounts,$samba4_ldap_base
    changetype: modify
    add: objectClass
    objectClass: msDS-ManagedServiceAccount
    -
    delete: userPrincipalName
    -
    replace: objectCategory
    objectCategory: CN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,$samba4_ldap_base
    %EOF

done[/code]

Bitte beachten Sie auch folgendes (unter Umständen muss man die beiden Managed Service Accounts in die Policy “Log on as a service” aufnehmen ):

blogs.technet.com/b/sbs/archive/ … -role.aspx
social.technet.microsoft.com/For … alsPreview

Mit freundlichen Grüßen

Felix Botner

uvuser · March 19, 2014, 12:26pm

Die Account gibt es auf dem 2012er Server. Die hat der Essentials angelegt. Am Samba habe ich diese jetzt per Script auch angelegt. Jedoch funktioniert es wieder nicht.

botner · April 2, 2014, 7:27am

Hallo,

ich habe das Problem nun einmal auf der samba Mailingliste gepostet. Sobald es da Neuigkeiten gibt, werde ich mich wieder melden.

Mit freundlichen Grüßen
Felix Botner

ulf.kosack · August 5, 2015, 12:54pm

Hallo Felix,

ich stehe gerade vor der selben Herausforderung. Hat sich bei Dir noch ein Lösungsweg ergeben?

Nach der Microsoft-Doku dürfte es ja nicht funktionieren, da der Essentials-Server der DC-Master sein muss:

[quote]Windows Server Essentials Experience in Windows Server 2012 R2 Essentials

Muss der Domänencontroller am Stamm der Gesamtstruktur und Domäne sein und muss alle FSMO-Rollen umfassen.
Kann nicht in einer Umgebung mit einer bereits vorhandenen Active Directory-Domäne (es gibt jedoch einen 21-tägigen Kulanzzeitraum) installiert werden.[/quote]

Beim Starten des Essential-Assistenten bekomme ich im Dialog für die Firmeninformationen auch nur die Meldung, dass die Domäne schon existiert (siehe Anhang). Der UCS ist mit der Domäne test.xxxx-gmbh.de eingerichtet.

Zumal UCS ja auch das SYSVOL nicht repliziert, oder?

Danke
Ulf

Gohmann · August 8, 2015, 11:59am

Hallo Ulf,

ja, genau. Im Moment unterstützen wir keinen Mischbetrieb mit Microsoft Active Directory DCs. Hauptgrund ist, dass in Samba 4 im Moment die Sysvol Replikation noch nicht implementiert ist.

Laut dieser Beschreibung kann man einen Essential Server als Member Server joinen.

Hier gibt es weitere Hinweise:
techtuxwords.blogspot.de/2014/02 … erver.html
blogs.technet.com/b/sbs/archive/ … nment.aspx
Ich habe das jetzt nicht im Detail nachvollzogen, aber es scheint normal zu sein, dass man den Wizard nicht durchlaufen kann.

Viele Grüße
Stefan

ulf.kosack · August 12, 2015, 7:49am

Hallo Stefan,

danke für die Links. Der Tipp mit dem Rechten, sich als Dienst anzumelden scheint sehr hilfreich zu werden.

Allerdings bin ich noch skeptisch weil unter http://blogs.technet.com/b/sbs/archive/2014/02/21/deploying-windows-server-2012-r2-essentials-in-an-existing-active-directory-environment.aspx folgendes zu lesen ist:

Bei den bisher beschriebenen Integrationen habe ich gelesen, dass es nur mit Standard- und Datacenter-Edition mit installiertem Essentials-Feature funktioniert. Aber ich bin ja auch noch nicht lang genug dabei.

Meine Testumgebung die ich gerade für eine Umstellung vorbereite, habe ich mit einem W2k12R2-Standard-Server installiert. Eine zweite für den Essentials-Server mache ich gerade fertig. Ich werde also beides ausprobieren.

Viele Grüße
Ulf

ulf.kosack · August 12, 2015, 11:05am

Hallo zusammen,

also ich habe es in beiden Versionen nicht hinbekommen :-(. Weder als W2k12R2-Essentials-Server, noch als W2k12R2-Standard-Server mit Essentials-Feature.

Zusammengefasst habe ich folgende Schritte durchgeführt
[ul]- Installation UCS-Master

Update UCS-Master auf 4.0.3
Container “Managed Service Accounts” über das früher im Thread aufgeführte Script angelegt
Rechner-Accounts MediaAdmin$ und ServerAdmin$ über das früher im Thread aufgeführte Script angelegt (hier habe ich das Kommando $(create_machine_password) durch $(echo -n “$name” | md5sum | awk ‘{print $1}’) ersetzt, da der durch Felix Botner aufgeführte Befehl bei mir nicht vorhanden ist und Fehler erzeugt hat.)
Installation W2k12R2-Essentials
Domänen-Integration W2k12R2-Essentials
“Default Domain-Policy” bearbeitet für “Als Dienst starten”-Berechtigungen
GPO gpupdate auf W2k12R2-Essentials aktualisiert und per RSOP kontrolliert

[/ul]

Ausgabe bei Script mit create_machine_password:

/root/bin/createManagedServiceAccounts.sh: Zeile 7: create_machine_password: Kommando nicht gefunden. Object created: cn=ServerAdmin,cn=Managed Service Accounts,dc=test2,dc=firma-ort,dc=de WARNING: No path in service IPC$ - making it unavailable! NOTE: Service IPC$ is flagged unavailable. Modified 1 records successfully /root/bin/createManagedServiceAccounts.sh: Zeile 7: create_machine_password: Kommando nicht gefunden. Object created: cn=MediaAdmin,cn=Managed Service Accounts,dc=test2,dc=firma-ort,dc=de WARNING: No path in service IPC$ - making it unavailable! NOTE: Service IPC$ is flagged unavailable. Modified 1 records successfully

Ausgabe mit selbst erzeugtem Maschinen-Passwort:

Object created: cn=ServerAdmin,cn=Managed Service Accounts,dc=test2,dc=firma-ort,dc=de WARNING: No path in service IPC$ - making it unavailable! NOTE: Service IPC$ is flagged unavailable. Modified 1 records successfully Object created: cn=MediaAdmin,cn=Managed Service Accounts,dc=test2,dc=firma-ort,dc=de WARNING: No path in service IPC$ - making it unavailable! NOTE: Service IPC$ is flagged unavailable. Modified 1 records successfully

Die Umgebung mit dem W2k12R2-Standard-Server hatte ich jetzt nicht neu installiert, sondern nur vorher den Container und die Maschinen-Accounts gelöscht.

In beiden Fällen läuft der Assistent nicht durch:

Noch irgendwelche Ideen?

Danke
Ulf

hboehm · February 25, 2018, 1:37pm

Hallo zusammen,

gibt es hierzu neue Erkenntnisse? Versuche gerade einen Microsoft Server 2016 Essentials als Memberserver einzubinden und stehe vor dem gleichen Fehler/Problem.

Grüße, Hans