[Решено] Ввод машинки в AD домен

[Malamut]

Пытаюсь ввести машинку в AD домен. Поставил Kerberos и самбу. Настроил, но после стал натыкаться на грабли. Билетик керберос получает нормально. Далее при попытке сделать

Код: [Выделить]

net ads join –U admin
получаю

Код: [Выделить]

Failed to join domain: failed to find DC for domain DOMAIN.RU
Вопрос 1: а откуда он вообще берёт инфу о DC? Из krb5.conf?

Ладно, фиг с ним, сделаем так:

Код: [Выделить]

net ads join -S DC –U admin
Всё, в домен вошли. На контроллере появилась запись для нашего сервака, мы же можем выполнить

Код: [Выделить]

smbclient -k -L DC
и увидеть список непойми чего, но всё же увидеть.

Вопрос 2: что мне дало это присоединение к домену? Я как-то не просёк вообще, что на данном этапе я могу сделать полезного такого исходя из того, что мой сервак теперь в домене.

Ладно. Теперь нужно организовать шары. Ок, делаем так:

Код: [Выделить]

# wbinfo -p
Ping to winbindd succeeded
# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret
Вопрос 3: что за нафиг с винбиндом и что ему вообще нужно?

Если кто попутно скинет ссылочку на нормальное хавту по организации доменной файловой шары на самбе - буду премного благодарен. А то по имеющимся только ошибки собирать можно.
Пользователь решил продолжить мысль [time]Fri Mar  5 08:00:04 2010[/time]:А, ну вот конфиг самбы:

Код: [Выделить]

[global]
workgroup = DOMAIN
realm = DOMAIN.RU
server string = %h server
security = ADS
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
panic action = /usr/share/samba/panic-action %d
hosts allow = 192.168., 127.0.0.Решение см. тут:

https://forum.ubuntu.ru/index.php?topic=86287.msg649988#msg649988

[Karl500]

По поводу ненайденного DC - есть такой документ: диагностика самбы http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/diagnosis.html
Пошаговое выполнение всех инструкций мне лично всегда помогало найти проблему.

[Malamut]

Проблема вот в чём: у меня есть виндовый домен, который зовётся domain.ru. DC для него - dc.domain.ru. В конфигах самбы нигде не указывается имя доменконтроллера для домена. И вот вопрос: откуда самба берёт имя доменконтроллера? Через NetBios из сети? И как тогда проверить вручную, что для домена domain.ru можно получить адрес доменконтроллера через сеть? Есть такая командочка:

Код: [Выделить]

nmblookup -M domain.ru
Но она мне упорно возвращает failed. Если убрать .ru, то возвращает IP моего же сервака. Собственно вопрос: как заставить самбу нормально определять доменконтроллер для указанного домена? И почему .ru не нужно указывать?

[Karl500]

Видимо, потому что
workgroup = DOMAIN

Насколько я понимаю, адрес DC выдается на броадкаст. Т.е. типа идет запрос "А хто тут у нас контроллер домена?", на что контроллер должен бодро ответить "Я!".

[Malamut]

А что делать, если контроллер не отвечает?

[Karl500]

Хороший вопрос Применить третью форму устрашения.

Давайте смотреть.

nmblookup -B <IP DC> __SAMBA__

Что выдает?
Пользователь решил продолжить мысль 05 Марта 2010, 11:42:55:Потом гляньте, что выдаст

nmblookup -A <IP DC>
Пользователь решил продолжить мысль 05 Марта 2010, 13:50:34:Вот, кстати, один из вариантов, почему самба может не работать... Попробуйте вставить в smb.conf строку

smb ports = 139

[Malamut]

Хм, самбу он конечно на 2008 r2 не находит))) -А выдаёт следующее:

Код: [Выделить]

Looking up status of 192.168.6.22
        DC            <20> -         M <ACTIVE>
        DC            <00> -         M <ACTIVE>
        DOMAIN     <00> - <GROUP> M <ACTIVE>
        DOMAIN     <1c> - <GROUP> M <ACTIVE>
        DOMAIN     <1b> -         M <ACTIVE>
Судя по тому, что в работающем домене в треугольных скобочках стоит 1d, то тут его явно не хватает))) Кстати, а что означают эти коды в скобочках?)))

Пользователь решил продолжить мысль [time]Fri Mar  5 12:19:13 2010[/time]:Ладно, что означают я понял. DC - это 1c, а 1d - это local subnetwork's master browser. Вопрос только какого лешего самба не находит тогда DC?? Или она под DC понимает DMB??

[Karl500]

1c - это контроллер, 1b - master browser, 1d - (если не ошибаюсь) член домена. Странно, что именно 1d нету...

У меня на PDC выдает вот что:

   SERVER    <00> -         H <ACTIVE>
   SERVER    <03> -         H <ACTIVE>
   SERVER    <20> -         H <ACTIVE>
   ..__MSBROWSE__. <01> - <GROUP> H <ACTIVE>
   DOMAIN             <1d> -         H <ACTIVE>
        DOMAIN             <1b> -         H <ACTIVE>
   DOMAIN             <1c> - <GROUP> H <ACTIVE>
   DOMAIN             <1e> - <GROUP> H <ACTIVE>
   DOMAIN             <00> - <GROUP> H <ACTIVE>

Но у меня PDC на samba...
Пользователь решил продолжить мысль 05 Марта 2010, 14:31:39:Порт 139 пробовали указать в smb.conf (я выше писал)? И еще: не может ли вдруг Ваш сервер возомнить себя DC - может, ему прямо запретить это (ну, и заодно, и мастером стать тоже запретить. И вообще дать ему os level поменьше, чтоб не пытался выиграть выборы)?

[easy2002]

1d - (если не ошибаюсь) член домена.

а не глобальный каталог?

[Karl500]

Возможно, я ж написал "если не ошибаюсь"

[easy2002]

Возможно, я ж написал "если не ошибаюсь"

да может и я ошибаюсь..  

2Malamut DC является глобальным каталогом?

[Malamut]

Я вообще без понятия, что там на доменконтроллере настроено))) Я его не трогал пока. Знаю лишь что он на чистеньком Server 2008 r2 и всё. Так что если кто пнёт в нужном направлении - буду благодарен. А самбе я запретил все выборные штуки и ос левел поставил на 0. Только DC всё равно не видит она)))
Пользователь решил продолжить мысль 05 Марта 2010, 16:59:12:Ответ на вопрос номер раз:
А фиг знает эту самбу. Берёт она инфу конечно по броадкасту, но как-то кривоватенько. Проьлема с DC заключается в том, что у меня нет DDNS сервера на DC, и самбе это не нравится. Нужно просто указывать DC при подключении вручную, как я и сделал.
Ответ на вопрос номер два:
Ну можно списки пользователей посмотреть, шары там и прочую ерундистику.
Ответ на вопрос номер три:
Почаще перезапускайте винбинд и самбу;)