Samba, AD, Терминальный сервер и перемещаемые профили?

Question

[Евгений Елизаров]

Имеется AD на Win2008, всё работает ок, поднял файловый сервак на CentOS, поднял самбу + керберос под перемещаемые профили. Никак не хочет винда с ними работать. При логоне: «Windows не удалось найти серверную копию перемещаемого профиля, выполняется попытка входа с использованием локального профиля. Изменения этого профиля не будут копироваться на сервер при выходе из системы. Возможная причина — сетевые проблемы или недостаточные права безопасности.» Захожу в логи, и вижу: «ПОДРОБНО — Не найдено сетевое имя.» (код события 1521). Потом лезу на эту шару, спокойно туда захожу, она пустая, могу файлики/директории посоздавать, поизменять, поудалять, т.е. всё работает нормально и проблем нет. Выявлено что такая ситуация происходит если я логинюсь на терминальном сервере, если я захожу под этой же учёткой с обычной машины с XP или W7 — всё в порядке. В логе самбы вот такая петрушка:

[2012/06/18 13:59:43.218410, 0] lib/util_sock.c:474(read_fd_with_timeout)<br/>
[2012/06/18 13:59:43.218557, 0]<br/>
lib/util_sock.c:1441(get_peer_addr_internal)<br/>
getpeername failed. Error was Конечная точка передачи не подсоединена<br/>
read_fd_with_timeout: client 0.0.0.0 read error = Соединение сброшено<br/>
другой стороной.

Уже и по первой и по второй ошибке погуглил, но так ответа найти и не смог. Конфиг самбы примитивный:

[global]<br/>
 workgroup = MTELECOM<br/>
 server string = Samba Server Version %v<br/>
<br/>
security = ads<br/>
 encrypt passwords = yes<br/>
 realm = MTELECOM.LOCAL<br/>
 password server = ad-2008.mtelecom.local<br/>
<br/>
idmap uid = 10000-20000<br/>
 idmap gid = 10000-20000<br/>
 winbind enum users = yes<br/>
 winbind enum groups = yes<br/>
 winbind separator = +<br/>
 template shell = /bin/false<br/>
 winbind use default domain = true<br/>
 winbind offline logon = false<br/>
 <br/>
 obey pam restrictions = Yes<br/>
 template homedir = /home/%U<br/>
 <br/>
 [profile]<br/>
 comment = user profile<br/>
 path = /home/%U<br/>
 browseable = yes<br/>
 read only = no<br/>
 inherit acls = yes<br/>
 inherit permissions = yes<br/>
 create mask = 700<br/>
 directory mask = 700<br/>
 valid users = @&quot;MTELECOM+domain users&quot;

Answer 1

[Евгений Елизаров]

Спасибо, завтра попробую.

Answer 2

[rinx]

Еще можно попробовать вставить delay(а вот с размером задержки нужно будет поиграться) в логон скрипты. Вполне возможно, что что-то просто «не успевает» отработать, и, как результат выдаёт ошибку.

Answer 3

[Николай Турнавиотов]

когда я делал перемещаемые профили, на ту самую папку, где будут храниться файлы учеток, ставятся очень суровые права. и 777 там нельзя.
у меня все заработало, когда в \\filserver\user_profiles остался доступ только у системы, кажется.
я решение нагугливал в свое время

Comments

[Евгений Елизаров]

А где у меня 777?
>остался доступ только у системы
у какой системы?

[Николай Турнавиотов]

У пользователя System. я не знаю, где и какие у Вас права, но там очёнь жесткие права доступа должны быть, иначе маунт шары с профилями просто не отрабатывал у меня, пока не сделал права по гайду.