explorer friert beim verbinden mit samba share ein

[Mickey Cohen]

hallo,

ich habe seit kurzem (oder unerkannt seit längerem) auf zwei windows 10 pcs folgendes problem:

ich kann mit dem windows explorer nicht mehr auf die samba shares zugreifen, wenn ich diese mit "netzwerkadresse hinzufügen" hinzufüge. der explorer friert dann ein oder braucht extreeeem lange. wenn die verbindung dann hergestellt ist, dauern gewisse operationen auch ewig lange. das browsen selbst geht eigentlich problemlos, aber zB. einen neuen ordner anlegen dauert ewig - vermeintlich: während der windows explorer noch eingefroren ist, ist der ordner tatsächlich auf dem server schon längst erstellt. nur der windows explorer akzeptiert das nicht und verblasst und meldet keine reaktion und irgendwann dann nach einer ewigkeit wird er fertig.
(immerhin: umgekehrt, wenn ich auf dem server bwps. einen ordner erstelle, sieht ihn der windows explorer auch sofort.)

mit "netzlaufwerk verbinden" (also die variante mit laufwerksbuchstaben) klappt es.
mit powershell und dem befehl "cd \\192.168.1.XXX\sharename" komme ich auch drauf und kann dann von der shell aus lesen, schreiben, alles kein problem.

vor ein paar stunden ging es noch sporadisch gaaaaanz langsam, mittlerweile geht so gut wie garnichts mehr.

zugriff von linux und android funktioniert.

kopieren von und auf den server funktioniert mit den funktionierenden geräten (linux) einwandfrei mit 113 MB/s.

clients: windows 10 home und pro, jeweils x64, updates aktuell, sind ein laptop via wifi und ein desktop-pc, der mit LAN-Kabel angebunden ist.

server:
raspi 4b 8gb
ubuntu 24.04 lts, natürlich aktuell
kernel: 6.8.0-1008-raspi aarch64
protokoll-version: 3_11
samba-server-version: 4.19.5-Ubuntu

smb.conf:

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run 'testparm' to verify the config is correct after
# you modified it.
#
# Note:
# SMB1 is disabled by default. This means clients without support for SMB2 or
# SMB3 are no longer able to connect to smbd (by default).
#
# Ein Semikolon am Anfang einer Zeile entspricht wie ein Hashtag einem Kommentar und wird vom Programm ignoriert.

[global]
workgroup = WORKGROUP
security = user
passdb backend = tdbsam

min protocol = SMB3_11

ea support = no

store dos attributes = no

map archive = no
map hidden = no
map readonly = no
map system = no


# folgendes deaktiviert die Druckerfreigabe:
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
show add printer wizard = no


[share1]

comment = share1
path = /mnt/XXX/share1

available = yes
browsable = yes
writeable = yes

public = no

printable = no


# Papierkorbfunktion - Semikolon enfternen, falls Papierkorbfunktion (= KEIN sofortiges und "endgültiges" Löschen) gewünscht ist:
;vfs object = recycle

valid users = user1


create mask = 777
force create mode = 777

directory mask = 777
force directory mode = 777


[share2]

comment = share2
path = /mnt/YYY/share2

available = yes
browsable = yes
writeable = yes

public = no

printable = no


# Papierkorbfunktion - Semikolon enfternen, falls Papierkorbfunktion (= KEIN sofortiges und "endgültiges" Löschen) gewünscht ist:
;vfs object = recycle

valid users = user1,user2,user3,user4


# Die folgenden mask und mode Parameter sind nur bei Freigaben auf Windows-Dateisystemen relevant
# da diese ja keine *nix-Eigenümerschaften/Berechtigungen kennen:

create mask = 777
force create mode = 777

directory mask = 777
force directory mode = 777

danke schonmal für eure hilfe

 

[K-551]

Hast du schonmal den Pi bzw. den smb-dienst neu gestartet?

 

[Mickey Cohen]

• ja, mittlerweile samba sogar neu installiert.
• SSD vom pi getrimmt.
• die shares komplett leergeräumt
• temperatur vom pi ist auch ok (43°C)
• ich habe kurzzeitig netbios in windows deaktiviert
• natürlich die shares im explorer gelöscht, hinzugefügt
• ich habe sogar CCleaner laufen lassen und alles an cache gelöscht was zu finden war
• die systemplatte bereinigen lassen mit der windows datenträgerbereinigung
• windows store updates durchgeführt

eigenartig ist: wenn ich den client windows 10 pc neu starte, dann funktioniert es manchmal für einige sekunden bis minuten. manchmal kackt es auch relativ schnell ab.

ich habe auf dem server journalctl -f laufen lassen, während ich mit dem windows pc darauf zugegriffen habe, das ergebnis habe ich mal angehängt.

auffällig ist:

Aug 03 01:28:44 miniserver kernel: audit: type=1400 audit(1722648524.078:15765): apparmor="DENIED" operation="file_inherit" class="file" profile="samba-dcerpcd" name="/mnt/VOL_DATA/allgemein_miniserver/" pid=43408 comm="samba-dcerpcd" requested_mask="r" denied_mask="r" fsuid=0 ouid=1112
Aug 03 01:28:44 miniserver kernel: audit: type=1400 audit(1722648524.078:15766): apparmor="DENIED" operation="open" class="file" info="Failed name lookup - disconnected path" error=-13 profile="samba-dcerpcd" name="apparmor/.null" pid=43408 comm="samba-dcerpcd" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0
Aug 03 01:28:44 miniserver kernel: audit: type=1400 audit(1722648524.078:15767): apparmor="DENIED" operation="file_inherit" class="file" profile="samba-dcerpcd" name="/mnt/VOL_DATA/wayne_miniserver/" pid=43408 comm="samba-dcerpcd" requested_mask="r" denied_mask="r" fsuid=0 ouid=1113

register_ep_server: dcesrv_init_ep_server(svcctl) failed: NT_STATUS_UNSUCCESSFUL
dcesrv_init_ep_server: Failed to init endpoint server 'svcctl': NT_STATUS_UNSUCCESSFUL
svcctl_init_winreg: Could not open SYSTEM\CurrentControlSet\Services - NT_STATUS_ACCESS_DENIED

während ich mit einem linux-rechner auf das share zugreife kommt exakt NICHTS aus dem log.

 

[K-551]

Da das Problem ja parallel auf zwei Win-PCs existiert:
Setzt doch mal ne virtuelle Maschine mit frischem Win auf, und guck obs da auch ist.
Somit kannst zumindest schonmal eingrenzen obs Client- oder Server-Seitig ist bzw. auf nem frischen PC ohne Zusatzsoftware besser funktioniert.

Wobei, wenn ich die logs sehe, schein es ein Win-Fehler zu sein:

source3/rpc_server/svcctl/srv_svcctl_reg.c:586(svcctl_init_winreg)
svcctl_init_winreg: Could not open SYSTEM\CurrentControlSet\Services - NT_STATUS_ACCESS_DENIED

Der scheint zu versuchen nen Service in der Win-Reg anzusprechen.
Was schon eigenartig ist, das er den auf dem Samba-Drive sucht...


Lass mich mal darüber schlafen. War ne harte Wartungs-Nacht. Ich kann nicht mehr richtig denken...
Evtl. hat ja noch wer anderes ne Ahnung oder Ansatz....

 

[Mickey Cohen]

ok, weiterer nachtrag:

auch wenn ich mich mit den betroffenen windows 10 pcs mit dem netzlaufwerk mit der "laufwerksbuchstabe-methode" verbinde, kommen grundsätzlich keine einträge in das journalctl des servers - es funktioniert ja auch problemlos mit dieser methode.
bis auf eine ausnahme: wenn ich mit einem rechtsklick das kontextmenü des netzlaufwerk-eintrages (auf der linken seite des windows-explorers) öffne und versuche die "eigenschaften" zu öffnen, dann dauert es entweder sehr lange oder funktioniert überhaupt nicht. während dieser zeit tauchen im journalctl vom server dann doch wieder folgende einträge auf:

Aug 03 11:42:10 miniserver rpcd_classic[48409]:   svcctl_init_winreg: Could not open SYSTEM\CurrentControlSet\Services - NT_STATUS_ACCESS_DENIED
Aug 03 11:42:10 miniserver rpcd_classic[48409]: [2024/08/03 11:42:10.121054,  0] librpc/rpc/dcesrv_core.c:2550(dcesrv_init_ep_server)
Aug 03 11:42:10 miniserver rpcd_classic[48409]:   dcesrv_init_ep_server: Failed to init endpoint server 'svcctl': NT_STATUS_UNSUCCESSFUL
Aug 03 11:42:10 miniserver rpcd_classic[48409]: [2024/08/03 11:42:10.121181,  0] source3/rpc_server/rpc_worker.c:934(register_ep_server)
Aug 03 11:42:10 miniserver rpcd_classic[48409]:   register_ep_server: dcesrv_init_ep_server(svcctl) failed: NT_STATUS_UNSUCCESSFUL

dennoch funktionieren zumindest die "dateioperationen" mit dieser laufwerksbuchstaben-methode (also browsen, schreiben, löschen, umbenennen, verschieben etc.) problemlos.

leider ist die laufwerksbuchstabenmethode gerade für laptops indiskutabel, wegen der "netzlaufwerk konnte nicht wiederhergergestellt werden"-situation wenn man sich nicht im heimnetzwerk befindet.

ich vermute mal, dass es irgendwas mit der authentifizierung zu tun haben könnte?

die windows-konten sind ganz "normale", mit passwort geschützt (also nicht mit pin, fingerabdruck o.ä.) und auch nicht mit einem microsoft-konto verbunden.


edit:

ok, ich habe jetzt mal auf dem server apparmor mit

sudo aa-teardown

vorübergehend entschärft, und siehe da, es scheint zumindest auf den ersten blick etwas gebracht zu haben.

 

[K-551]

Scheint also doch Serverseitig zu sein.

Währe schon verwunderlich wenn es gleichzeitig auf beiden deiner Win-PCs ist...

 

[Mickey Cohen]

naja, hätte grds. ja auch irgendein windows-update sein können.

ich versuche jedenfalls dem jetzt mal genauer auf den grund zu gehen.

edit:

so, problem gelöst:

in die folgenden dateien jeweils folgende zeilen eintragen:

/etc/apparmor.d/local/samba-rpcd-classic

/run/samba/ncalrpc/np/{,**} rwm,
/usr/lib*/samba/{,**} rwixm,
/dev/urandom rw,

/etc/apparmor.d/local/samba-dcerpcd

/Adresse/zum/Share1/{,**} rw,
/Adresse/zum/Share2/{,**} rw,

und anschließend die apparmor profile mit

sudo service apparmor reload

neu laden.


eine frage noch: habe ich damit meinen server jetzt wie ein scheunentor geöffnet?