Samba in mehreren IP-Adressbereichen

[strippenzieher2]

Hallo,

erstmal hallo

Ich habe eine Frage zu meinem Samba-Server (OpenSuse 11.2): Momentan steht er als PDC im Adressbereich 192.168.1 (s. Netzwerkplan) mit der IP-Adresse 192.168.1.253.




Allerdings gibt es einen zweiten IP-Adressbereich, nämlich 192.168.2. Beide IP-Bereiche sind über einen Router miteinander verbunden, d. h. ich kann aus dem 2er Bereich den Sambaserver unter 192.168.1.253 erreichen. Allerdings ist die Übertragungsrate über den Router seeeeeeeeehr langsam. Ich habe es mal gemessen: Liegt bei ungefähr 1,5 MB/Sekunde. Zugriffe auf den Server aus dem 2er-Bereich sind also wirklich eine Geduldsprobe. Und leider kann ich nichts an der Infrastruktur des Netzwerks ändern, nur die Anbindung des Sambaservers.

Deshalb habe ich mir gedacht, ich könne den Sambaserver direkt an beiden IP-Bereichen anschließen, einmal mit der IP 192.168.1.253 und 192.168.2.253 (rote Linie). Allerdings habe ich dazu noch Fragen:

1) Soll ich für beide Netzwerke eine Netzwerkkarte benutzen (ihr also zwei IP-Adressen und zwei DNS-Server zuweisen) oder zwei seperate nutzen?
2) Beide Netzwerke verfügen über einen eigenen DNS/WINS-Server. Den jeweiligen DNS-Server gebe ich ja bei den Netzwerkeinstellungen an, den WINS-Server aber in den Sambaeinstellungen. Kann ich auch zwei unterschiedliche WINS-Server eintragen?
3) Muss ich noch weitere Einstellungen in Samba vornehmen?

Freue mich auf Antworten
edit: So würde die Anbindung meiner Vorstellung nach mit einer Netzwerkkarte aussehen, d. h. der Samba-Server hinge an einem Switch, welcher mit beiden IP-Bereichen verbunden ist:
Anhang anzeigen 3763

 

[sambaSven]

Hallo zusammen auch von mir,

meine Frage schließt sich direkt an den Post von strippenzieher2 an.

Auch ich möchte zwei IP Bereiche (129.69.aaa.x und 129.69.bbb.x) für ein Netzwerk zur Verfügung stellen.

Unter der Annahme, dass keine zwei Netzwerkkarten von nöten sind habe ich über Samba bzw. der smb.conf schon einige Einstellungen ausprobiert - also zwei Interfaces (jeweils eines für die beiden IP Bereiche) definiert und die beiden IP Bereich unter Host Allow eingetragen. Leider ohne Erfolg. In Diskussionsforen bin ich auch immer wieder darauf gestoßen, dass eine virtuelle Netzwerkkarte (eth0:0 und eth0:1) für ähnliche Projekte verwendet wurde.

Daher meine Frage - ist eine physikalisch zweite Netzwerkkarte für das Nutzen von zwei IP Bereichen in einem Netzwerk von nöten? Oder tut's hier auch eine virtuelle?

Vielen Dank.

 

[NoXqs]

Ich bin etwas verwirrt.
Wie kommt man darauf zwei IPs aus unterschiedlichen Segmenten in einem Netzwerk nutzen zu wollen?
Wir reden hier doch über C-Klasse Netze, oder nicht?
Also sind das zwei Netze und diese beiden Netze sollen vom einem Samba-Server bedient werden.
Also 2 NICs in die Box und entsprechend konfigurieren.
Dann noch in der smb.conf:

interfaces = 192.168.1.0/24 192.168.2.0/24

und fertig, oder sehe ich das zu einfach.

 

[sambaSven]

Hi NoXqs,

danke für die schnelle Antwort.

In meinem Fall geht es tätsächlich um zwei C-Klasse Netze, die von einem Samba-Server bedient werden sollen. Der Grund hierfür ist ganz einfach, unser System kommt mit 254 IPs aus einem Bereich leider nicht mehr aus. Wir brauchen daher einen zweiten neuen IP Bereich.

Wie ich nun weiß, waren für mich bisher NICs (Network Internet Controller(?)) fälschlicherweise das Gleiche wie Netzwerkkarten.

Mir war (bzw. ist immernoch) nicht ganz klar weshalb der Samba-Server eine zusätzliche NIC-Konfiguration des neunen Netzes braucht - schließlich trage ich doch die IPs des neuen Bereichs in die smb.conf ein?

Für mein Verständnis wäre es echt super diesbezüglich nochmal von den Gründen hierfür zu erfahren.

Vielen Dank nochmal.

 

[NoXqs]

Hi NoXqs,

danke für die schnelle Antwort.

In meinem Fall geht es tätsächlich um zwei C-Klasse Netze, die von einem Samba-Server bedient werden sollen. Der Grund hierfür ist ganz einfach, unser System kommt mit 254 IPs aus einem Bereich leider nicht mehr aus. Wir brauchen daher einen zweiten neuen IP Bereich.

Wie ich nun weiß, waren für mich bisher NICs (Network Internet Controller(?)) fälschlicherweise das Gleiche wie Netzwerkkarten.

Mir war (bzw. ist immernoch) nicht ganz klar weshalb der Samba-Server eine zusätzliche NIC-Konfiguration des neunen Netzes braucht - schließlich trage ich doch die IPs des neuen Bereichs in die smb.conf ein?

Für mein Verständnis wäre es echt super diesbezüglich nochmal von den Gründen hierfür zu erfahren.

Vielen Dank nochmal.

Darauf hast du vielleicht keinen Einfluss, aber warum hat man denn beim Erweitern des Adressbereichs, nicht einfach das Netz vergrößert mittels Subnetzmaske.
Die Konfig wird doch sicher über DHCP verteilt, also andere Netzmaske und neue Adressen definieren und gut ist. Das Netz ist größer und alle sind in einem.
Wie auch immer, ist ja nun mal so gemacht worden.

Die zweite NIC (ist für mich übrigens eine Netzwerkkarte) ist meiner meinung nach nötig um die Performance sicher zu stellen.
Der TE hatte sich ja beklagt, dass die Geschwindigkeit so mies war, also sollte direkt in beide Netze ein Bein gestellt werden.
Ich glaube auch nicht, dass es an Samba liegt, das die Performance so mies war.
Ich vermute da eher Routing/Namensauflösung als Ursache.

Also, wenn Namensauflösung und Netztopologie korrekt sind, sollte Samba ohne zusätzliche Konfigeinstellungen über Netzwerkgrenzen hinweg Services zur Verfügung stellen können.
Da die Fehler aber oftmals nicht dort behoben werden, wo sie entstehen, kann man auch Samba dazubringen, so zu funktionieren, wie gewünscht.

Oh, und noch etwas ganz wichtiges vergessen (ist aber auch in der Doku nachzulesen)
Wenn in der smb.conf "bind interfaces only = yes" gesetzt ist, muss auch:

interfaces = 127.0.0.1 192.168.1.0/24 192.168.2.0/24

weil smbpasswd auf dem localhost passwörter ändert.

 

[sambaSven]

Hi NoXqs,

nochmal vielen Dank.

An die Loopback IP hatte ich bereits gedacht und mit als Interface aufgenommen.

Mittlerweile ist in meinem Fall noch eine weitere potentielle Fehlerquelle aufgetreten - die Samba-Ports 445 und 139 bzw. unsere Firewall Einstellungen...

Hab leider keinen direkten Zugriff auf die Firewall. Entsprechende Anfrage, ob die Ports freigegeben sind läuft noch.

Grüße

 

[strippenzieher2]

Erst mal Danke für die Antworten!

Meiner Meinung nach würde ein IP-Adressbereich vollkommen ausreichen, jedoch habe ich wie gesagt keinerlei Einfluss auf die Netzwerkplanung. Warum es zwei unterschiedliche Bereiche gibt .... keine Ahnung. Auf jeden Fall ist daran nichts zu ändern.

Ich werde also eine zweite Netzwerkkarte in den Server einbauen und diese an den 2er-Bereich hängen. Ist es aber auch möglich, einen zweiten WINS-Server einzutragen?

 

[HBtux]

Ich würde von dieser Bastellösung mit dem zweiten Netz abraten.

Ich kann das absolut nicht nachvollziehen, dass man zwei offensichtlich Räumlich beinander liegende Netze über ein so langsames Gateway verbindet...!

Ich würde auch empfehlen, dass Netz über die Subnetmask zu vergrößern und ein großes Netz daraus zu bilden......
Alternative - ein schneller Router einsetzen (z.B. einen Layer3-Switch).....

Mit den beiden WINS und DNS-Server wirst Du sicherlich auch nicht glücklich.
Gleichen sich die WINS- und DNS-Server untereinander ab?

Mal noch eine Frage zur Netzstruktur.
Läuft auf dem Router noch eine Firewall?
Wenn ja, wäre das zweite Standbein im anderen Netz sehr kritisch....!

Mit der DNS-Namensauflösung könnte es auf dem SAMBA-Server mit zwei Netzwerkkarten auch Probleme bereiten.
Du kannst zwar zwei oder mehr DNS-Server eintragen, allerdings wird in der Regel immer der erste Befragt.
D.h. die DNS-Server beider Netze müssen schon absolut identisch sein - also auch das gleiche DNS-Suffix haben....

 

[strippenzieher2]

Sorry, ich weiß, das Netzwerk ist chaotisch geplant. Aber so ist es halt, wenn dies von öffentlichen Anstalten vollzogen wird

@HBtux:
Das versteh ich ja auch nicht. Im Untergeschoss und Erdgeschoss gibt es den 1er-Bereich, in den beiden oberen Etagen den 2er Bereich. Ich habe natürlich auch schon mal für eine Zusammenlegung der beiden Netze plädiert, da das Sytem von Grund auf sinnlos ist, allerdings hats nichts genützt. Von daher kann ich das Problem nur umgehen ...

Zu dem Router: Diesen Vorschlag habe ich anfangs auch gebracht, allerdings ... abgeschmettert worden. Angeblich unnötig (???). Der Router besitzt keine Firewall.
Über den Abgleich unter den WINS/DNS-Servern erkundige ich mich morgen mal. Die Antwort könnte aber etwas brauchen ....

DNS-Suffixe sind gleich.

 

[HBtux]

Na gut.
Dann hänge den SAMBA Server stur in eins der beiden Netzsegment. (nur eine LAN-Karte)
Wenn sich dann die Anwender im zweiten Netzsegment über die schlechte Performance beklagen, hast Du den Trumpf im Ärmel und kannst noch mal die Werbetrommel für die Netzzusammenlegung und Vergrößerung oder einen leistungsstärkeren Router rühren.

Ich würde mir dann etwas Mühe machen und die Subnetmask umstellen, sodass das Netzsegment größer ist.
Wenn Du das richtig planst, kannst Du das fast im laufenden Betrieb Stück für Stück umstellen. (ohne größere Unterbrechungen im Netz)

EDIT:
Folgendes Frage ist mir gerade noch eingefallen....
Geht der Internet-Trafiic des einen Netzsegment auch über den "Flaschenhals-Router" und dann über einen zentralen Internet-Zugang ins Web.....?
Oder hat jedes Netzsegment seinen eigenen Zugang zum Internet?

Laufen da noch mehrere Anwendungen im Netz, die Bandbreite benötigen....

Das ist ja abartig, in der heutigen Zeit eine Inhouse-Kopplung mit nur 1,5 MB/Sekunde....


Schaue mal hier nach einem Layer 3 Switch, der dann den Router erstzen kann....
http://www.google.de/#hl=de&source=...i=g-s1&aql=&oq=layer3+swi&fp=5c1d46923c1fd398
Einen Fast-Ethernet-Switch bekommst Du für unter 200,- €.
Einen Gigabit-Switch für 200 - 300,- €

 

[strippenzieher2]

Sorry für die späte Antwort! Allerdings hat die Kommunikation mit den Netzverwaltern etwas gedauert ....
@HBtux: Zu deiner Frage wegen des Internets: Es gibt keinen direkten Zugang, allerdings fungieren die jeweiligen DNS-Server (192.168.X.254) auch als Proxy-Server. Wie die mit dem Internet verbunden sind, kann ich jedoch nicht sagen.

Es soll eine Übersicht über die Netzwerkstruktur geben. Ich hoffe, ich komme an die mal dran und kann mir das ganze mal genauer anschauen ....

Im Juli/August soll das Netzwerk überarbeitet werden. So viel ich weiß, allerdings nur die Server (192.168.X.254) und die Clientbetriebssysteme/-software. Eine Umverkabelung ist (noch) nicht geplant. Ich werde aber auf jeden Fall für eine Änderung der Subnetzmaske "kämpfen"!! Und eine kleine Umverkabelung müsste dann ja wohl auch drinnen sein. Ich kann nur hoffen

 

[sambaSven]

Hallo zusammen,

ich hab nochmal eine zusätzliche Frage bzgl. workgroups bzw. domains - in unserem Netz sollen wie gesagt zwei IP-Bereiche (A und B) durch einen Samba-Server bedient werden. Im Bereich A, in dem auch der Samba-Server hängt, funktioniert alles ohne Probleme (Benutzerverwaltung, Fileserver, etc...). Bereich B kann hingegen nicht in die Domain eingebunden werden. Meldet man sich als lokaler user auf einem Rechner des B-Bereiches an und greift dann auf Bereich A zu - kein Problem. Nur eben das direkte Anmelden in unser System auf einem B-Bereichs Rechner geht nicht.

Meine Vermutung ist nun, dass die in der smb.conf eingetragene workgroup nicht automatisch auch für den B-Bereich zur Verfügung gestellt wird.

Kann dies jemand bestätigen? Gibt es eine Möglichkeit dies in der smb.conf zu beheben?

Vielen Dank nochmal,
Sven

 

[NoXqs]

Die Workgroup hat nichts mit dem Anmelden am smbd zu tun.
Nur für das Browsen der Netzwerkumgebung ist die wichtig, da dort nur die Hosts angezeigt werden, die der eigenen Workgroup angehören.

Wenn aus B eine Anmeldung am A-Server erfolgen soll, was für eine Fehlermeldung kommt oder was steht in den logs?

 

[sambaSven]

okay - ich hatte das so in Verbindung gebracht, da beim Versuch unter Windows einen Rechner aus B in die Domain 'DOMAIN' aufzunehmen, die Fehlermeldung erscheint, dass DOMAIN nicht verfügbar ist bzw. es diese nicht gibt.

In der Samba log file für den entsprechenden Rechner aus B taucht nichts auf - kein Eintrag. Erst beim direkten Ansprechen von A taucht folgender Eintrag auf:

  Allowed connection from  (129.69.BBB.16)
[2011/03/25 13:22:27,  2] smbd/sesssetup.c:setup_new_vc_session(1363)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2011/03/25 13:22:27,  2] smbd/sesssetup.c:setup_new_vc_session(1363)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.

Das Ganze taucht für die selbe Zeit mehrmal auf - dass hier was nicht stimmt ist klar, aber so ganz schlau werde ich aus dem Eintrag nicht...

 

[NoXqs]

Allowed connection from  (129.69.BBB.16)

Ist das von dir für die Veröffentlichung so maskiert worden oder meldet sich der Host wirklich mit dieser IP?

 

[sambaSven]

nur wegen der veröffentlichung

 

[NoXqs]

Welche Fehlermeldung kommt auf dem PC? Was passiert dort?
Wie versucht sich der User zu verbinden? Per "Netzlaufwerk verbinden" oder einfach "\\serverA\" im Explorer?
Gibt es eine Aufforderung ein passwort einzugeben?
Bitte beschreibe das so genau wie möglich.
Es sieht bisher für mich so aus, als würde überhaupt kein Kontakt zum Server zu Stande kommen!

 

[sambaSven]

...ja mit etwas Abstand stimme ich Dir zu, dass kein Kontakt zum Samba-Server zustande kommt.

Bei meinem beschriebenen Versuch, den ich zunächst als erfolgreich beschrieben habe, hat man sich direkt über \\server\ und Passwort Eingabe auf dem Server eingewählt.

Hier der Fehler, beim Versuch die Win-Rechner des B-Bereiches in die Domain aufzunehmen:

Der Domänenname "DOMAIN" ist möglicherweise ein NetBIOAS-Domänenname. Sollte
dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.

Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt,
können folgende Informationen bei der Fehlersuche in der DNS-Konfiguration
behilflich sein:

Der folgende Fehler ist beim Abfragen von DNS über den Ressourceneintrag der
Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domänencontrollers
für die Domäne "DOMAIN" verwendet wird:

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.DOMAIN

Die häufigste Ursache dieses Fehlers sind:

- Der DNS-SRV-Eintrag wurde nicht in DNS registriert

- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser
untergeordneten Zone:

DOMAIN
. (die Stammzone)

In unserer Konfiguration gibt es keinen WINS support und die Einträge im DNS sind korrekt - die Namensauflösung funktioniert.

Eine Abfrage über nmblookup -M DOMAIN offenbart, dass das Interface für Bereich B zwar aufgenommen wurde aber DOMAIN nicht in B ankommt:

added interface eth0 ip=129.69.AAA.1 bcast=129.69.AAA.255 netmask=255.255.255.0
added interface lo ip=127.0.0.1 bcast=127.255.255.255 netmask=255.0.0.0
added interface ip=129.69.BBB.1 bcast=129.69.BBB.255 netmask=255.255.255.0
added interface lo ip=127.0.0.1 bcast=127.255.255.255 netmask=255.0.0.0
querying DOMAIN on 129.69.AAA.255
Got a positive name query response from 129.69.AAA.1 ( 129.69.56.1 )
129.69.56.1 ITLRNET<1d>

Hier auch nochmal die zugrunde liegende smb.conf:

[global]
#       notwendige Copdepages, damit Umlaute dargestellt werden (ungetestet!!).
#       display charset = ISO8859-1
#       unix charset = ISO8859-1
#       dos charset = CP850

#       unix charset = LOCALE
#       dos charset = ASCII
#       display charset = ASCII
        workgroup = DOMAIN
        netbios name = server
        server string = PDC DOMAIN
        security = user
        encrypt passwords = yes
        interfaces = 129.69.AAA.1/24 127.0.0.1 129.69.BBB.1/24 
        bind interfaces only = Yes
        hosts deny = ALL
        hosts allow = 127.0.0.1 129.69.AAA.X 129.69.BBB.X
        passdb backend = ldapsam:ldap://server
#       username map = /etc/samba/smbusers
        log level = 2
        syslog = 0
        log file = /etc/samba/log/log.%m
        max log size = 1500
        smb ports = 139 445
        name resolve order = bcast hosts
        time server = Yes
#       printcap name = CUPS
#       show add printer wizard = No
        
#       max smbd processes = 15

        add user script = /etc/samba/skripte/smbldap-useradd.pl -a -m '%u'
        delete user script = /etc/samba/skripte/smbldap-userdel.pl %u
        add group script = /etc/samba/skripte/smbldap-groupadd.pl -p '%g'
        delete group script = /etc/samba/skripte/smbldap-groupdel.pl '%g'
        add user to group script = /etc/samba/skripte/smbldap-groupmod.pl -m '%u' '%g'
        delete user from group script = /etc/samba/skripte/smbldap-groupmod.pl -x '%u' '%g'
        set primary group script = /etc/samba/skripte/smbldap-usermod.pl -g '%g' '%u'
        add machine script = /etc/samba/skripte/smbldap-useradd.pl -w '%u'

        logon drive = X:
#       logon script = scripts\logon.bat
#       logon path = \\%L\profiles\%U
        domain logons = Yes
        preferred master = Yes
#       wins support = Yes

        ldap suffix = dc=BLABLA...
        ldap user suffix = ou=people
        ldap group suffix = ou=group
        ldap machine suffix = ou=hosts
        ldap idmap suffix = ou=idmap
        ldap admin dn = cn=ldaproot,dc=BLABLA...
        ldap passwd sync = yes
        ldap ssl = no
        idmap backend = ldap:ldap://server
        idmap uid = 100-90000
        idmap gid = 500-90000

        follow symlinks = yes
        wide links = yes
        unix extensions = no

        force create mode = 0666
        create mask = 0666

        force directory mode = 0777
        directory mask = 0777

[homes]
        comment = Home Directories
        browseable = no
        writable = yes
        locking = no

[netlogon]
        comment = Network Logon Service
        path = /var/lib/samba/netlogon
        guest ok = no
        writable = no
        share modes = no

[LAUFWERKE]
        ...

Ich bin mit meinem, zugegebener Maßen nicht sehr umfangreichen, Latain echt am Ende. Wäre schön zumindest einen neuen Anhaltspunkt zu bekommen, wo ich nach dem Fehler suchen kann.

Vielen Dank & Grüße,
Sven

 

[NoXqs]

Ich bin mir jetzt nicht mehr ganz sicher, was du da überhaupt vor hast.
Warum soll der PC in die Domäne aufgenommen werden?
Ist der Samba-Server PDC? (muss er nicht sein, um Freigaben zur Verfügung zu stellen) und ist er zur Zeit auch nicht.

Was genau hast du vor?
Ich war der Meinung, dass du nur aus zwei Netzwerken mit PCs auf Verzeichnisse, die der Samba-Server bereit stellt, zugreifen willst.
Das ist mit der einfachsten Konfig möglich.

Falls Du eine umfangreichere Konfig aufbauen willst, lass es uns wissen.

 

[sambaSven]

Ich möchte die Benutzerverwaltung und das Filesystem über Samba für Windows Rechner aus zwei Netzwerken zur Verfügung stellen. Der Samba-Server hängt dabei in einem der beiden Netze.

Nicht mehr und nicht weniger. Ich dachte, dass dies über eine smb.conf Erweiterung der entsprechenden Interfaces und Hosts möglich sei.

Die Aufnahme der Windows PCs in die Domain soll die Benutzerverwaltung regeln (so dachte ich zumindest bisher) - sollte es hierfür einfachere/elegantere Möglichkeit geben bin ich da natürlich ganz Ohr... Weshalb ist der Samba-Server nicht der PDC?