[Win2K/XP] NTConfig.POL wordt niet toegepast

Op het thuisnetwerk wil ik m.b.v. een Samba domeincontroller diverse Windows 2000 en XP machines aan elkaar koppelen, zodat er gebruik kan worden gemaakt van roaming profiles

Natuurlijk heb ik de configuratie ervan eerst op een test-server "geoefend" voordat ik van m'n fileserver een domeincontroller ging maken. Het probleem is nu echter, dat alles op de test-server wèl werkt, maar het niet meer goed werkt toen het "in het echt" moest

Eigenlijk werkt de meeste functionaliteit: domein-lidmaatschap, aanmelding en roaming profiles werken prima.

Wat niet werkt, zijn de systeempolicies die de folder redirection regelen Ofwel de werkstations passen de NTConfig.POL niet toe, welke in de netlogon-share staat. Een netlogon-script wordt wèl keurig uitgevoerd.

Ik heb al diverse mogelijkheden uitgezocht en ben erachter dat het i.i.g. geen probleem is met de toegangsrechten v/d bestanden. Ook een vervuild gebruikersprofiel kan het niet zijn, daar ik alle profielen al heb verwijderd, zodat ze opnieuw kunnen worden aangemaakt. Een beschadigd NTConfig.POL sluit ik uit, omdat ik 'm al meermaals opnieuw heb aangemaakt. Bovendien werkt hetzelfde bestand op de test-server wèl.

Ook heb ik al geprobeerd om de cliënts weer terug te zetten op het test-domein. Dan laden ze de NTConfig.POL wèl weer probleemloos, het probleem is echt alleen aanwezig als de cliënts op het "echte" domein komen, dan werkt het niet meer Aan de cliënts is in de tussentijd niets veranderd, behalve het domein waar ze lid van zijn.

Aan de serverzijde: Zowel de test-server als de definitieve server draaien op Debian 6.0 en Samba 3.5.6. Hieronder de smb.conf's van beide machines, met de verschillen in het rood aangegeven:


Op de test-server:

[global]
log file = /var/log/samba/log.%m
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = yes
encrypt passwords = true
passwd program = /usr/bin/passwd %u
passdb backend = tdbsam
wins support = true
dns proxy = no
netbios name = test-sv1
server string = %h server
unix password sync = yes
workgroup = testnet
os level = 65
syslog = 0
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = yes
lanman auth = yes
client lanman auth = yes
client plaintext auth = yes

preferred master = no
domain master = yes
local master = no
domain logons = yes
logon path = \\%L\profiles\%U\%a
logon drive = Q:
logon home = \\%L\%U\.9xprofile
logon script = netlogon.bat
security = user
load printers = yes
printing = cups
printcap name = cups

[netlogon]
path = /home/netlogon/%a
read only = yes
guest ok = yes
browseable = no
write list = @dmadmins

[profiles]
path = /home/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = no
guest ok = no
profile acls = no
csc policy = disable

[printers]
printable = yes
writable = no
path = /var/spool/samba
guest ok = yes
comment = All Printers
public = yes
printer admin = root

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = yes
write list = root

[homes]
writeable = yes
create mask = 0600
directory mask = 0700
guest ok = no
csc policy = disable
valid users = %S

Op de "echte" server:

[global]
log file = /var/log/samba/log.%m
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = yes
encrypt passwords = true
passwd program = /usr/bin/passwd %u
passdb backend = tdbsam
wins support = true
dns proxy = no
netbios name = test-sv1
server string = %h server
unix password sync = yes
workgroup = net
os level = 65
syslog = 0
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = yes
lanman auth = yes
client lanman auth = yes
client plaintext auth = yes

preferred master = yes
domain master = yes
local master = yes
domain logons = yes
logon path = \\%L\profiles\%U\%a
logon drive = Q:
logon home = \\%L\%U\.9xprofile
logon script = netlogon.bat
security = user
load printers = yes
printing = cups
printcap name = cups

[netlogon]
path = /home/samba/netlogon/%a
read only = yes
guest ok = yes
browseable = no
write list = @dmadmins

[net_admin]
path = /home/samba/netlogon
read only = yes
guest ok = yes
browseable = no
write list = @dmadmins

[profiles]
path = /home/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = no
guest ok = no
profile acls = no
csc policy = disable

[printers]
printer = Deskjet_D1500
printable = yes
writable = no
path = /var/spool/samba
guest ok = yes
comment = All Printers
public = yes
printer admin = root

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = yes
write list = root

[samba_share]
create mode = 644
write list = net
path = /home/samba_share

[homes]
writeable = yes
create mask = 0600
directory mask = 0700
guest ok = no
csc policy = disable
valid users = %S

[sw_dist]
path = /home/sw_dist

[bucket]
create mode = 655
path = /media/bucket
write list = net

Ik kan niets ontdekken aan wat de fout kan veroorzaken. Het aanmelden en laden v/d profielen gaat namelijk verder geheel probleemloos. Het enige wat niet werkt, zijn de systeempolicies.

Buiten de kleine wijzigingen in de smb.conf zijn er geen verschillende tussen de servers. Het enige is de verschillende hardware... een oude Celeron 500 met 256MB RAM als test-server en de definitieve is een Athlon X2 245e met 4GB RAM. Maar om eerlijk te zijn zal dat niet het probleem moeten zijn

Wat kan nog het probleem veroorzaken dat de NTConfig.POL niet wordt toegepast op het "echte" domein?

Inmiddels ben ik erachter gekomen dat in het event-log van de Windows-cliënts er foutmeldingen voorbijkomen met event-ID 1054.

Het probleem is nagenoeg hetzelfde als het probleem wat hier wordt beschreven door ene "Stephen":
http://www.spinics.net/lists/samba/msg64072.html
Helaas zijn er geen nuttige antwoorden gekomen op zijn berichten. Als ik de berichten op de mailinglist lees, komt hij tot de conclusie dat het niet betrouwbaar werkt op zijn netwerk. Maar er stond geen oplossing in zijn berichten.

Wat zal een oplossing kunnen zijn voor dit probleem? Ik kan me niet voorstellen dat het niet opgelost kan worden...

[ Voor 22% gewijzigd door Josefien op 20-02-2012 15:04 ]

Ik heb inmiddels volgens dit artikel (How to enable user environment debug logging in retail builds of Windows) het log-level van de "userenv"-service verhoogd, waardoor ik het volgende te zien kreeg in het logboek.

Dit is een stukje uit het logboek, wat aangemaakt wordt tijdens het inloggen van een domein-gebruiker:

USERENV(2c4.2c8) 15:34:42:734 LoadUserProfile: LoadUserProfileP succeeded
USERENV(2c4.2c8) 15:34:42:734 LoadUserProfile: Returning success. Final Information follows:
USERENV(2c4.2c8) 15:34:42:734 lpProfileInfo->UserName = <willemijn>
USERENV(2c4.2c8) 15:34:42:734 lpProfileInfo->lpProfilePath = <\\test-sv1\profiles\willemijn\WinXP>
USERENV(2c4.2c8) 15:34:42:734 lpProfileInfo->dwFlags = 0x0
USERENV(2c4.2c8) 15:34:42:734 LoadUserProfile: Returning TRUE. hProfile = <0x6a4>
USERENV(2c4.2c8) 15:34:42:734 ApplySystemPolicy: Entering
USERENV(2c4.2c8) 15:34:42:734 ApplySystemPolicy: PolicyPath is: <\\test-SV1\netlogon\ntconfig.pol>.
USERENV(2c4.2c8) 15:34:42:734 ApplySystemPolicy: Local PolicyPath is: <C:\Documents and Settings\willemijn\prf1C1.tmp>.
USERENV(2c4.2c8) 15:34:42:734 MyRegLoadKey: Returning 00000000
USERENV(2c4.2c8) 15:34:42:734 ApplySystemPolicy: Looking for machine specific policy.
USERENV(2c4.2c8) 15:34:42:750 OpenUserKey: No entry for test-WS31, using .Default instead.
USERENV(2c4.2c8) 15:34:42:921 MyRegUnLoadKey: Returning 1.
USERENV(2c4.2c8) 15:34:42:921 ApplySystemPolicy: Leaving with 1
USERENV(2c4.2c8) 15:34:42:921 GetUserDNSDomainName: MyGetUserNameEx failed for NameDnsDomain style name with 1355
USERENV(2c4.2c8) 15:34:42:968 IsSyncForegroundPolicyRefresh: Synchronous, Reason: FirstPolicyRefresh
USERENV(2c4.c64) 15:34:42:968 IsSyncForegroundPolicyRefresh: Synchronous, Reason: FirstPolicyRefresh
USERENV(2c4.c64) 15:34:42:968 ApplyGroupPolicy: Entering. Flags = 6
USERENV(2c4.c64) 15:34:42:968 ProcessGPOs:
USERENV(2c4.c64) 15:34:42:968 ProcessGPOs:
USERENV(2c4.c64) 15:34:42:968 ProcessGPOs: Starting user Group Policy (Background) processing...
USERENV(2c4.c64) 15:34:42:968 ProcessGPOs:
USERENV(2c4.c64) 15:34:42:968 ProcessGPOs:
USERENV(2c4.c64) 15:34:42:968 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(2c4.c64) 15:34:42:968 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0x86c
USERENV(2c4.c64) 15:34:42:968 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(2c4.c64) 15:34:42:968 GetUserGuid: Failed to get user guid with 1355.
USERENV(2c4.c64) 15:34:42:968 GetUserGuid: Failed to get user guid with 1355.
USERENV(2c4.c64) 15:34:42:984 ProcessGPOs: Machine role is 1.
USERENV(2c4.c64) 15:34:42:984 ProcessGPOs: The DC for domain test-SV1 is not available. aborting
USERENV(2c4.c64) 15:34:42:984 ProcessGPOs: No WMI logging done in this policy cycle.
USERENV(2c4.c64) 15:34:42:984 ProcessGPOs: Processing failed with error 1355.
USERENV(2c4.c64) 15:34:42:984 LeaveCriticalPolicySection: Critical section 0x86c has been released.
USERENV(2c4.c64) 15:34:42:984 ProcessGPOs: User Group Policy has been applied.
USERENV(2c4.c64) 15:34:42:984 ProcessGPOs: Leaving with 0.
USERENV(2c4.c64) 15:34:42:984 ApplyGroupPolicy: Leaving successfully.
USERENV(2c4.a8c) 15:34:42:984 GPOThread: Next refresh will happen in 111 minutes
USERENV(2c4.960) 15:34:43:000 GetUserDNSDomainName: MyGetUserNameEx failed for NameDnsDomain style name with 1355
USERENV(2c4.d40) 15:34:43:000 GetUserDNSDomainName: MyGetUserNameEx failed for NameDnsDomain style name with 1355
USERENV(544.b0c) 15:34:43:187 LibMain: Process Name: C:\WINDOWS\system32\userinit.exe
USERENV(2c4.2c8) 15:34:43:281 IsSyncForegroundPolicyRefresh: Synchronous, Reason: FirstPolicyRefresh
USERENV(1d4.9ec) 15:34:43:500 LibMain: Process Name: C:\WINDOWS\system32\userinit.exe
USERENV(1d4.9ec) 15:34:43:546 CheckXForestLogon: checking x-forest logon, user handle = 144
USERENV(1d4.9ec) 15:34:43:578 CheckXForestLogon: Stand-alone or NT4 domain, not x-forest logon.
USERENV(fb0.8d8) 15:34:43:734 LibMain: Process Name: C:\WINDOWS\Explorer.EXE

Bij het rode gedeelte wordt volgens mij de NTConfig.POL geladen en zo te zien lijkt het toepassen van het computer-deel van de policy-file goed te gaan. Het loopt pas fout bij het gebruikers-deel. Daar zitten echter ook meteen de policies die ik nodig heb (folder redirection)

Ik word niet echt wijzer van het log-file, behalve de foutmelding dat hij de domeincontroller niet kan vinden. Maar ja... daar kan ik niets mee, omdat ik niet begrijp waarom hij de melding geeft De domein-gebruiker is immers al ingelogd, het zwervend profiel is opgehaald en ook de NTConfig.POL is opgehaald en deels toegepast. Hoe kan het dan dat hij de domeincontroller niet kan vinden?!

Pingen naar de server vanaf de cliënt geeft geen problemen.

Wie weet hier wèl raad mee?