Samba замена DC - WBC_ERR_WINBIND_NOT_AVAILABLE

[sydenis]

Потребовалось заменить старый контролер домена, который держал AD.
Он называется dc1.dom.ru, ubuntu 18.04, samba 4.9 (internal DNS)

Настроил новый контроллер - dc2.dom.ru, ubuntu 20.04.1, samba 4.11 (internal DNS).
Делал всё как доктор прописал

Протестировал репликацию, передал FSMO роли. Всё прошло без видимых сбоев. Дал поработать старому контроллеру (dc1.dom.ru) ещё пару дней, потом сделал ему samba-tool domain demote и отключил ещё через пару дней.

Сейчас dns, dhcp, авторизация рабочих станций в сети работают нормально, но старый samba сервер с файлопомойкой перестал пускать юзеров в шары. Новые компы в домен не заводятся.
На файлопомойке картина выглядит так:

Код: [Выделить]

wbinfo --ping-dc
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
checking the NETLOGON for domain[] dc connection to "" failed
failed to call wbcPingDc: WBC_ERR_WINBIND_NOT_AVAILABLE
Если спросить:

Код: [Выделить]

nslookup dom.ru
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:  <<<< почему так?
Name: dom.ru
Address: 192.168.4.2


На новом контроллере такая картина:

Код: [Выделить]

wbinfo --ping-dc
checking the NETLOGON for domain[EON] dc connection to "dc2.dom.ru" succeeded
Куда копать? Где может быть проблема?

[AnrDaemon]

Сколько ролей передали? Должно быть семь. В старых самбах баг, передаётся только пять.
Пользователь добавил сообщение 18 Января 2021, 17:22:26:

Non-authoritative answer:  <<<< почему так?

Потому что

Server:      127.0.0.53
Address:   127.0.0.53#53

Сделайте

Код: [Выделить]

nslookup dom.ru dc1.dom.ruПользователь добавил сообщение 18 Января 2021, 17:44:35:

потом сделал ему samba-tool domain demote и отключил ещё через пару дней.

А надо было смотреть в логи перед демотом… или хотя бы просто отключить сервер и посмотреть, как сеть отреагирует.

[sydenis]

Сколько ролей передали? Должно быть семь. В старых самбах баг, передаётся только пять.

Это сразу проверил:

Код: [Выделить]

samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru

Сделайте: nslookup dom.ru dc1.dom.ru

dc1.dom.ru выключен, поэтому делаю так:

Код: [Выделить]

nslookup dom.ru dc2.dom.ru
Server: dc2.dom.ru
Address: 192.168.4.2#53

Name: dom.ru
Address: 192.168.4.2
Упоминание про "Non-authoritative" исчезло.
Прописал 192.168.4.2 в /etc/resolf.conf теперь ответ авторитативный. Но засада продолжается
wbinfo --ping-dc
всё так же ругается на WBC_ERR_WINBIND_NOT_AVAILABLE

Чего ему не хватает? Авторизоваться при входе в сеть клиентов ведь кто-то разрешает...

[AnrDaemon]

Настройки DNS перепроверьте.
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller#Verifying_DNS

[sydenis]

Не взлетает..., но спасибо за наводку. Запускаю с проблемного файл-сервера:

Код: [Выделить]

host -t SRV _ldap._tcp.dom.ru
_ldap._tcp.dom.ru has SRV record 0 100 389 dc2.dom.ru.

host -t SRV _kerberos.dom.ru
Host _kerberos.dom.ru not found: 3(NXDOMAIN)

$ host -t A dc2.dom.ru
dc2.dom.ru has address 192.168.4.2
Получается, что в днс нет записи про керберос. Но они там есть, только раскиданы по протоколам - tcp, udp.
Добавил туда запись без протокола:

Код: [Выделить]

samba-tool dns add dc2 dom.ru _kerberos SRV 'dc2.eon.ru 88 0 100'

Теперь проверка проходит:

Код: [Выделить]

host -t SRV _kerberos.dom.ru
_kerberos.dom.ru has SRV record 0 100 88 dc2.dom.ru.
Но изначальная проблема сохраняется...

[AnrDaemon]

Но они там есть, только раскиданы по протоколам - tcp, udp.

Так и должно быть.
А главная запись каталога куда указывает?

[sydenis]

А которую считать главной? Вот есть варианты:

Главная зона, папка udp:

Код: [Выделить]

samba-tool dns query dc2 dom.ru _udp SRV
  Name=, Records=0, Children=0
  Name=_kerberos, Records=1, Children=0
    SRV: dc2.dom.ru. (88, 0, 100) (flags=f0, serial=59, ttl=900)
  Name=_kpasswd, Records=1, Children=0
    SRV: dc2.dom.ru. (464, 0, 100) (flags=f0, serial=61, ttl=900)
Главная зона, папка tcp:   

Код: [Выделить]

ыamba-tool dns query dc2 dom.ru _tcp SRV
  Name=, Records=0, Children=0
  Name=_gc, Records=1, Children=0
    SRV: dc2.dom.ru. (3268, 0, 100) (flags=f0, serial=64, ttl=900)
  Name=_kerberos, Records=1, Children=0
    SRV: dc2.dom.ru. (88, 0, 100) (flags=f0, serial=58, ttl=900)
  Name=_kpasswd, Records=1, Children=0
    SRV: dc2.dom.ru. (464, 0, 100) (flags=f0, serial=60, ttl=900)
  Name=_ldap, Records=1, Children=0
    SRV: dc2.dom.ru. (389, 0, 100) (flags=f0, serial=57, ttl=900)

Зона msdcs, только папка tcp:   

Код: [Выделить]

samba-tool dns query dc2 _msdcs.dom.ru _tcp.dc SRV
  Name=, Records=0, Children=0
  Name=_kerberos, Records=1, Children=0
    SRV: dc2.dom.ru. (88, 0, 100) (flags=f0, serial=8, ttl=900)
  Name=_ldap, Records=1, Children=0
    SRV: dc2.dom.ru. (389, 0, 100) (flags=f0, serial=6, ttl=900)

p.s.  Запись _kerberos, которую в прошлом посте добавлял - я удалил на всяк. случай.

[AnrDaemon]

Поставьте уже RSAT куда-нибудь и ковыряйте через интерфейс.

А хост

dig _gc._tcp.<domain>. SRV

dig _gc._tcp.Default-First-Site-Name._sites.<domain>. SRV
Пользователь добавил сообщение 19 Января 2021, 17:10:09:Ещё вот такое нагуглилось

https://medium.com/@alexander.bazhenov/%D0%BC%D0%B8%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE-%D0%BA%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D0%BB%D0%B5%D1%80%D0%B0-windows-2008r2-%D0%B2-samba4-4718c15c44c8

[sydenis]

Поставьте уже RSAT куда-нибудь и ковыряйте через интерфейс.

Стоит уже. Просто проще вывод samba-tool копипастить сюда, чем скриншоты rsat

Про парня, который домен переносил, читал. Вроде всё как у него получалось. Только fsmo у меня без проблем перенеслись, репликация сразу взлетела, а вот разрешение имени контроллера в guid не делал - не нашлось в моей самбе такой тулзы.
Спасибо за помощь, буду сам дальше копать.

dig, вроде тоже ошибок не выдал:

Код: [Выделить]

dig _gc._tcp.Default-First-Site-Name._sites.dom.ru. SRV

; <<>> DiG 9.16.1-Ubuntu <<>> _gc._tcp.Default-First-Site-Name._sites.dom.ru. SRV
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55203
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;_gc._tcp.Default-First-Site-Name._sites.dom.ru. IN SRV

;; ANSWER SECTION:
_gc._tcp.Default-First-Site-Name._sites.dom.ru. 900 IN SRV 0 100 3268 dc2.dom.ru.

;; AUTHORITY SECTION:
dom.ru. 3600 IN SOA dc2.dom.ru. hostmaster.dom.ru. 103 900 600 86400 0

;; Query time: 3 msec
;; SERVER: 192.168.4.2#53(192.168.4.2)
;; WHEN: Tue Jan 19 17:47:06 MSK 2021
;; MSG SIZE  rcvd: 135