CUserProfile::CleanupUserProfile: Ref Count is not 0[/blockquote] Also bin ich wieder auf die Suche gegangen, als erstes habe ich den Debugmodus für diese Log-Datei eingeschaltet, das macht man in der Registry hier:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Eintrag: UserEnvDebugLevel Typ: REG_DWORD[/blockquote] Dort kann man dann bei dem Wert (bei mir war der Schlüssel noch nicht vorhanden, man muss den also gegebenenfalls anlegen) einstellen, wie und was geloggt werden soll:
NONE 0x00000000 NORMAL 0x00000001 VERBOSE 0x00000002 LOGFILE 0x00010000 DEBUGGER 0x00020000[/blockquote]Dabei muss man die Werte mit Oder kombinieren, also z.B. will man den Debugmode im Logfile haben, dann trägt man den Wert 0x00030002 ein. Will man dann in den normalen Modus zurückschalten, nimmt man diesen Wert: 0x00010001
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileListDort gibt es ein Unterverzeichnis, das mit der sambaSID benannt ist. Und was habe ich in dem Unterverzeichnis gefunden? Oh Wunder, einen Schlüssel namens RefCount und der hatte den Wert 2. Kann das denn Zufall sein?! Ich dachte mir, mein Bauchgefühl sagte mir
, nein, so einen Zufall gibt es nicht, das ist es. Also habe ich den Wert auf 1 gesetzt und voller Spannung mich abgemeldet. Und es klappte, das Profil wurde wieder auf den Samba-Server geschrieben und synchronisiert.... Oder so ähnlich. Leute, das war es für heute, genug geschrieben,. Hauptsache die Technik läuft, alles andere ist sekundär. Das erinnert mich wieder an den Film Männer, Lauterbach und Ochsenknecht sitzen im Waschsalon, die Wäsche läuft. Die Beiden fangen an zu sinnieren, wozu brauchen wir eigentlich Frauen, wir waschen, wir kochen, wir putzen, wir bügeln usw. Darauf dann einer von den Zweien: Da war doch noch was?! 
Aber wie habe ich das nun geschafft mit dem Profil: In irgendeinem der von mir heute besuchten Foren habe ich gelesen, dass man noch einmal von Null anfangen sollte, also: Profil auf dem Server löschen, Profil lokal löschen, Profil vom Beispiel-User (mein bisheriger Hauptuser auf dem PC hier) wieder auf den Server kopieren. Denn es könnte sein, dass das Profil auf dem Server korrupt geworden ist. Hörte sich für mich logisch an, denn ich habe so viel ausprobiert in den letzten Tagen, es wäre kein Wunder, wenn dabei etwas über den Jordan gegangen wäre. Also bin ich angefangen, alles gelöscht. Bevor ich dann aber wieder neu kopiert habe, habe ich einmal chkdsk über die Partition mit den Profilen laufen lassen. Denn ich hatte das Gefühl (das berühmte Bauchgefühl oder auch das zweite Gesicht genannt ), das irgendwas damit nicht in Ordnung ist. Und ich hatte Recht, denn chkdsk hat Fehler gefunden und die auch korrigiert.USERENV(45c.460) 22:35:54:438 UnloadUserProfileP: Didn't unload user profile... USERENV(45c.460) 22:35:56:532 SetNtUserPolTime: couldn't get file attributes... USERENV(45c.460) 22:35:56:532 UnloadUserProfile: Failed to SetNtUserPolTime... USERENV(45c.460) 22:36:19:108 GetUserDNSDomainName: MyGetUserNameEx failed... USERENV(45c.460) 22:36:19:124 Profile was loaded but the Ref Count is 1 !!![/blockquote]Das mit der Policydatei ist m.E. ok, denn so eine Datei habe ich nicht und brauche ich nicht. Das mit dem Ref Count und dem GetUserDNSDomainName (vor allem die Meldung nervt, die kommt sehr oft) beunruhigt mich ein wenig, das verstehe ich nicht und möchte ich gerne nicht mehr sehen. Werde ich auch noch schaffen, ganz sicher datt
.. Aber erstens war das in einem früheren Leben und zweitens verschieben sich im Alter die Prioritäten eindeutig ,
. Aber vielleicht habe ich die Anzeige auch nur falsch interpretiert und nicht verstanden, vielleicht ist die Anzeige auch bewusst so aufgebaut, wer weiß das schon.... Die Kinder können sich an ihren PC und Notebooks an der Domäne anmelden, das Profil wird kopiert vom Server und bei der Abmeldung wieder zurückgeschrieben. Die Kinder können auf ihre Shares zugreifen, das Mounten funktioniert, E-Mails über Thunderbird und LDAP gehen auch, alles wunderbar einfach. Nur, ich habe eben festgestellt, dass ausgerechnet bei dem PC vom Herrn und Meister, also der PC, an dem ich gerade schreibe, das lokale Profil bei der Abmeldung nicht auf dem Server aktualisiert wird. Der erste Versuch war, das Server-Profil umzubenennen, ob der Windows-XP-Client hier dann das Profil neu auf den Server schreibt. Nein, macht er nicht. Dann bin ich auf Google-Suche gegangen und habe auch einige Tipps gefunden, ich habe die dann alle ausprobiert und es hat nichts geholfen. Im Moment bin ich ein wenig ratlos, ich habe keine Ahnung, wo das Problem liegt. Die Samba-Konfiguration ist meiner Meinung nach sauber, da ist das Problem nicht. Ich bin mir sicher, dass es hier einen blöden Registry-Eintrag gibt, der das Zurückschreiben vom lokalen Profil auf den Server verhindert. Denn, es wird erst gar nicht versucht, das Profil auf den Server zu schreiben. Denn dann würde ich dort ja eine Fehlermeldung bekommen, wenn es nicht klappt. Der Client versucht es erst gar nicht, ich werde die nächsten Tage am Ball bleiben und das Problem garantiert beheben, ich bin mir sicher.,.
) das Folgende eingetragen hatte:Allow=uid:root Allow=uid:ralf[/blockquote]Damals hat das mein Problem auch gelöst, weil ich die Dienste nicht neu gestartet habe und u.a. der Powersave- sowie Policykit-Daemon dann noch mit der alten Konfiguration weiter lief. Jetzt hatte ich aus Versehen vor zwei Tagen den Linux-Server neu gestartet (wer richtig klickt, hat meistens schon halb gewonnen. Und wer den Button darunter erwischt, ist ein Loser
) und danach ging das nicht mehr, es kam immer diese komische Meldung "Cannot lookup privilege". Mit ein wenig Kombinationsgabe bin ich irgendwann heute darauf gekommen, dass das wohl am D-Bus liegt, der den HAL aufruft, der letztendlich den PolicyKit-Daemon verwendet (und zwischendurch kommt noch die LibLazy ins Spiel ). Dann habe ich testweise bei dem letzten Allow aus ralf ein __all__ gemacht (und damit haben alle Anwender das Recht für die Frequenzvergabe). OK, damit lief es, root und ralf dürfen wieder alles machen. Aber das war nicht im Sinne des Erfinders, also mir. Schließlich habe ich neugierige Kids im Haus, die nur darauf brennen, meinen Server in ihre Gewalt zu bekommen . Tja, dachte ich mir, dann such doch mal im Internet nach den Optionen bei Allow in den Einstellungen vom PolicyKit. Und ich wurde fündig: Man kann durchaus mehrere Benutzer in Allow angeben, aber bitte alles in einer Zeile. Macht man das nicht, und arbeitet man mit mehreren Zeilen, dann gilt die Anweisung der letzten Zeile. Und kaum hatte ich die Konfiguration geändert, schon lief wieder alles:Allow=uid:ralf uid:root[/blockquote]Kommen wir zu dem unglaublichen Thema: Letzte Nacht um ca. 1:30 Uhr war ich der Meinung, dass ich den LDAP-Dienst neu starten müsste. Fragt mich nicht, warum, ich weiß es selber nicht. Wie auch immer, danach hat sich der Server verabschiedet, tot, kein ping, kein Login, kein LDAP mehr möglich. Also bin ich in den Keller gestiefelt und habe die Kiste neu gebootet. Sie hing wieder, keine Chance auf den Rechner zu kommen, weder remote noch lokal. Dafür durfte ich viele schöne Fehlermeldungen sehen:
perl: nss_ldap: reconnecting to LDAP server ... sleeping dbus-daemon: nss_ldap: reconnecting to LDAP server ... sleeping chown: nss_ldap: reconnecting to LDAP server ... sleeping mountd: nss_ldap: reconnecting to LDAP server ... sleeping named: nss_ldap: reconnecting to LDAP server ... sleeping usw. usw.[/blockquote]Man merkt, nsswitch und damit LDAP sind ein zentraler Punkt in meinem Leben geworden
. Ohne LDAP geht gar nichts mehr. Über den DNS-Server im Keller läuft hier das komplette Internet, gibt es kein DNS, gibt es kein Internet. Und damit kam das große P in meine Augen, um 6:30 steht hier immer jemand auf, schmeißt den Rechner an und will ins Internet, die Stämme online spielen. Und wenn das Internet nicht geht, dann weckt der mich und das auch auf einem Samstag. Ich musste also etwas tun, ich habe mir die Notfall-CD geschnappt (ein großes Dankeschön an knoppix!) und bin in den Keller gegangen, den Server von CD starten. Gut, die Platten leben noch, sind einwandfrei zugreifbar. Die Konfigurationsdateien gecheckt, beim Absturz und Neuboot war die nsswitch.conf im Puffer hängen geblieben. War das das Problem? Die tmp-Datei gelöscht, die Datei geöffnet, alles kontrolliert und noch einmal abgespeichert. Neustart. Gleiches Problem, zumindest lebte der Rechner noch etwas, die Dienste wurden alle gestartet, Meldungen kamen, aber immer noch kein LDAP und damit kein ordnungsgemäßer Betrieb. Mittlerweile war es 2:30 Uhr geworden. Ich bin wieder runter in den Keller gegangen, habe den Server wieder mit knoppix gestartet, wieder alles kontrolliert, wieder neu gestartet. Dieses Mal lief alles glatt, der Rechner bootete einwandfrei und nach ein paar Minuten standen alle Dienste zur Verfügung. Es war kurz nach 3 Uhr und ich heilfroh, noch ein Bier als Absacker und dann bin ich um kurz vor 4 Uhr endlich ins Bett gekommen. , habe ich dann meinen PC hier gestartet und wollte eben die E-Mails checken. Kein connect zu cyrus möglich, verdammt noch einmal, was ist das schon wieder, ging doch gestern noch alles?! Auf Fehlersuche gegangen, cyrus ruft den saslauthd-Daemon für die Authentifizierung, der wieder, Ihr kommt nicht drauf , LDAP nutzt.... Hatte ich das schon konfiguriert?! Ich bin zu einem nein gekommen, also, wie konfiguriert man das und wo? Es ging die Suche los. Letztendlich bin ich fündig geworden, man braucht eine saslauthd.conf mit folgendem Inhalt und dann geht das:ldapservers: "ldaps://localhost:389" ldap_search_base: ou=Anwender,o=4711,c=xy[/blockquote]Aber im Moment funktioniert alles, selbst bei den PC der Kids werden die Profile wild hin und her kopiert zwischen lokalem Rechner und Server, es ist eine wahre Pracht
. Morgen werde ich zur Sicherheit den Server noch einmal durchstarten und kontrollieren, ob alles läuft, dann hake ich das Thema LDAP vorerst ab. Das war diese Woche genug an Aufregung, mir reicht es. Im Moment bin ich nur mit mir am kämpfen, ob ich nicht doch einmal ein Backup der Servereinstellungen machen sollte. Wenn mir der Rechner verrecken würde, hätte ich mittlerweile ein großes Problem. Vor allem, da ich meine ganzen Tests und Erweiterungen am lebenden Objekt mache.... In dem Sinne, ein mit großer Vorfreude auf morgen wegen erneutem Grillen blickenden Ralf..
sagen, distinguished name) liegen: ou=Hardware. Die Anwender liegen aber unter "ou=Anwender", wo auch sonst . In der ldap.conf hatte ich aber unter der Option "nss_base_passwd" nur den DN für die Anwender angegeben, aber nicht den DN für die Hardware. Was schließen wir daraus? Genau, der Rechner wurde nicht gefunden. Die ldap.conf habe ich dann so angepasst:nss_base_passwd ou=Anwender,o=4711,c=xy nss_base_passwd ou=Hardware,o=4711,c=xy nss_base_passwd ou=People,o=4711r,c=xy[/blockquote]Die Sache mit dem dritten Eintrag ist notwendig, weil ich nicht alle User unter Anwender stehen habe, die Administratoren stehen unter People (warum einfach, wenn es auch kompliziert geht
).passwd: ldap files [NOTFOUND=return][/blockquote]Und schon wird die Suche bei Nichterfolg abgebrochen. Nach den ganzen Korrekturen ging dann auch wieder ein Login mit dem Serverprofil, es wurden brav die Dateien vom Server in ein lokales Profil kopiert und es wird nun auch wieder bei der Abmeldung zurückgeschrieben. Also alles so, wie es sein soll. Bei meinem Problem mit Samba und der Suche nach einem Share namens "home" bin ich nicht weitergekommen. Ich habe das Problem nun mit dem Hammer erschlagen und einfach einen solchen Share definiert, schon ist Ruhe im Karton
. Ich habe keine Ahnung, warum das versucht wird, aber ich will solche Einträge nicht in meinem Log stehen haben, da bin ich sensibel . Wie heißt es immer so schön: Ich habe das Symptom kuriert, aber nicht die Ursache... Vielleicht löst sich das Problem mit dem nächsten Patch. Dafür habe ich vorhin entdeckt, dass ich ein neues Problem habe: Der Powersave-Daemon läuft nicht mehr richtig und ich kann daher als Anwender die CPU-Frequenz nicht mehr setzen. Beim Neustart vom Daemon bekomme ich die Fehlermeldung: "Could not send method call: Cannot lookup privilege: 1" Durch Suche im Internet bin ich soweit gekommen, dass das Problem ein Aufruf an DBUS ist und dass in dem Call nicht ermittelt werden kann, ob mein User die notwendigen Rechte hat. Da ich das mit root mache, stellt sich die Frage nach den Rechten nicht. Aber ich bin mir sicher, auch das liegt an meiner Umstellung auf LDAP. In dem Call wird versucht, zu meiner UID (User-ID) das Password aus dem Backend (also LDAP) zu bekommen und das geht schief (wenn ich den Code richtig verstehe). Allerdings scheinen noch nicht viele Leute das Problem zu haben, denn man findet kaum etwas zu dem Thema im Netz. Aber ich habe nun ja Langeweile und werde mich damit beschäftigen, ich werde schon eine Lösung finden. Alternativ könnte das auf den Rechner durch die letzten Updates am Mittwoch gekommen sein, aber das glaube ich nicht.. Ich könnte hier so viel von meinen Erlebnissen der letzten Tage schreiben, ich weiß gar nicht, wo ich anfangen soll. Ich habe so viele Sachen gemacht, hier was geändert, da was korrigiert, Fehler gehabt, im Netz gesucht nach Lösungen usw., ich weiß gar nicht mehr, was ich alles gemacht habe und wo ich Infos zu meinen Problemen gefunden habe. Gehen wir erst einmal zum Status: Seit letzte Nacht gegen 2 Uhr läuft eigentlich alles stabil und zu meiner Zufriedenheit. Letzte Nacht wurde das erste Mal das Profil von meinem User unter Windows XP vom Samba-Server gezogen, lokal kopiert und bei der Abmeldung wieder mit dem Server synchronisiert. Es klappt alles so, als wenn ich mit einem lokalen Profil arbeiten würde, ich habe die gleiche Umgebung wie mit dem lokalen Profil, es laufen die gleichen Programme und Tools bei Login, das Batch-File mit dem Mapping der Netzlaufwerke funktioniert nun auch hervorragend (ich weiß also nun, wie das mit der Batch-Datei geht, das war vor ein paar Tagen noch eine Unbekannte für mich) usw. Dann habe ich die LDAP-Umgebung in Samba und mittels NSS sowie PAM auch unter Linux integriert. Das ist schon angenehm, eine Passwortänderung wirkt sich nun überall aus und der gemeine Anwender muss sich nur noch einmal anmelden (Stichwort SSO=Single Sign On). Das klappt alles wunderbar. Aber ich werde mal ein wenig schauen, ob ich LDAP noch in anderen Servern und Diensten integrieren kann, dann werde ich die Objekte in LDAP weiter erfassen und pflegen (das ist schon ein angenehme Sache, man hat alle Daten zentral in einem Verzeichnis) und irgendwann werde ich die beiden offenen Probleme wieder angehen und dann auch lösen. Und vielleicht erinnere ich mich in den nächsten Tagen an die ganzen Probleme und Problemchen, die ich hatte und wie ich die gelöst habe, dann werde ich Schritt für Schritt darüber berichten. Aber Ihr könnt mich auch gerne fragen, ich versuche dann zu helfen.. Es war eine spannende Sache und hat sehr viel Spaß gemacht, aber beruflich möchte ich das nicht machen, zu Nerven aufreibend,. Ich bin stolz auf mich, es funktioniert nun alles, ich kann mich via Samba auf der Domäne anmelden, das Profil wird dann auf dem Server gespeichert. Es war aber ein ziemlicher Akt, bis ich das lokale Profil auf den Server kopiert bekomme habe (weil das lokale Profile ein korruptes Verzeichnis hat, hat also nichts mit Samba zu schaffen...). Aber mehr schreibe ich heute dann doch nicht, ich habe noch ein paar Restarbeiten zu erledigen, zum Glück ist morgen ein Feiertag und ich kann ein wenig länger basteln.,. Aber auch der Große war gut, er ist Fünfter über 100m Schmetterling geworden, im Jahrgang 1995 ist aber auch die Konkurrenz größer. Von daher: Jungs, ich bin stolz auf Euch, habt Ihr super gemacht!. Ich dachte nur, wie passend, wie Faust auf das Auge... Die Siegerehrung haben wir leider nicht gesehen, der Drang nach Bockwurst war größer, ich hatte Hunger und bin mit dem Rest der Familie in die Cafeteria gegangen. Ich hatte aber auch nicht erwartet, dass die Siegerehrung so schnell nach dem Lauf kommt, ich dachte, 10-15 Minuten habe ich locker Zeit. Tja, wir kamen aus der Cafeteria und er kam uns stolz mit seinem Siegerpokal entgegen. Aber ich bin jetzt froh, dass ich nicht mehr bei Schwimmwettkämpfen in saunaähnlichen Umgebungen abhängen muss . Das anschließende Grillen war auch super, es gab wieder die leckeren Spieße. Bis morgen,
