Zentyal (старое eBox) - администрирование корпоративной сети

[AnrDaemon]

"У нас нет домена, нам это не нужно, вот только ввести машины в домен не получается".
Как можно ввести машины в то, чего нет? Настраивайте ДНС и не парьте нам мозги.

[assistent]

"У нас нет домена, нам это не нужно, вот только ввести машины в домен не получается".
Как можно ввести машины в то, чего нет? Настраивайте ДНС и не парьте нам мозги.

Не надо передергивать мои слова. Я сказал, что ввести в домен НЕВОЗМОЖНО, а не не нужно. И эта задача совершенно передо мной не стоит. Helo запрос не имеет к этому ни малейшего отношения. Клиентская машина добавляет сама основной суффикс DNS в helo-запроса, как следствие он полностью соответствует FQDN. В моем случае этого не происходит.
В тест-сети у меня те же настройки и все работает. Но там машины XP professional.

[AnrDaemon]

Покажи логи, где она это добавляет.
tcpdump - знаешь такое слово?

[assistent]

Покажи логи, где она это добавляет.
tcpdump - знаешь такое слово?

Сейчас я не на работе и логи не могу снять.
Ну а если вы не верите, что клиентская машина добавляет основной dns-суффикс, то загляните на Виндоус-машине в Сетевые подключения - Нужное сетевое подключение - Свойства TCP/IP - Дополнительно - DNS и увидите стоящую по умолчанию галку напротив опции Дописывать основной DNS-суффикс и суффикс подключения.

[AnrDaemon]

Ты не понял или притворился, что не понял? Покажи, КАК КОНКТЕРНАЯ МАШИНА, У КОТОРОЙ ПРОИСХОДИТ КОНКРЕТНО ОПИСАННАЯ ТОБОЙ ПРОБЛЕМА отправляет FQDN на сервер. И получает отлуп.

[assistent]

Очень странно, но проблема  оказалась в нике юзера main_admin. Не знаю ,что не нравилось smtp-серверу в этом нике, тем более что прием сообщений работал, да и после я созадавал других юзеров с нижним подчеркиванием в нике, все было нормально. [Кстати, также ebox'овский smtp не отсылает письма с ящиков имеющих большие буквы в названии]

Теперь передо мной стоит следующая задача:

Дано: белый IP
Сайт site.ru на внешем хостинге (соответственно доменное имя site.ru уже куплено)
Функционирующая внутренняя почта на виртуальном домене site.ru

Надо: создать публичный внешний почтовый сервер @site.ru, базирующийся на сервере фирмы (желательно средствами ebox)

Может кто-нибудь поэтапно рассказать или ткнуть ссылкой, как это сделать. Сам внятного объяснения не нашел  .

P.S.: Вариант забора почты с внешнего публичного почтовика ящика (на типа mail.ru или yandex.ru) c последующим раскидыванием почты по локальным ящикам не вписывается в требования начальства и поэтому не подходит. Им нужен внешний почтовый сервер именно с нашим доменным именем site.ru и при этом базирующийся на нашем корпаративном сервере.

[AnrDaemon]

Всего-то добавить в доменную запись
@ MX 10 your_ip_alias
@ MX 100 your_provider_alias

Пример (не очень реальный, но всё же):

Сайт example.com находится на IP 78.110.50.103, 78.110.50.203
Офисный сервер имеет динамический внешний IP, привязанный через dyndns.com на example.dyndns.org.

Финт ушами в записи публичного DNS...

$ORIGIN example.com.
@ IN A 78.110.50.103
static IN A 78.110.50.203
www  IN CNAME example.com.
@ IN MX 10 example.dyndns.org.
@ IN MX 100 mxs.ht-systems.ru.

P.S.
Забыл предостеречь - MX запись должна содержать имя, а не IP адрес.
Иначе могут быть проблемы с доставкой писем.

[AyaTooru]

Кто переносил домен с win2003server на ebox? Есть поднятый домен на win2003server с кучей пользователей, есть ebox, настроенный в режиме Windows AD Slave. Синхронизация пользователей настроена, все пользователи из win2003server теперь отображаются в ebox, однако никто из них не может войти в шару. Ebox их не пускает. В чём причина?

2.6.24-27-ebox, Core version 1.4.4.

[Ajeris]

Кто переносил домен с win2003server на ebox? Есть поднятый домен на win2003server с кучей пользователей, есть ebox, настроенный в режиме Windows AD Slave. Синхронизация пользователей настроена, все пользователи из win2003server теперь отображаются в ebox, однако никто из них не может войти в шару. Ebox их не пускает. В чём причина?

2.6.24-27-ebox, Core version 1.4.4.

Ты второй человек кому это интерсно я как раз сижу с этой проблеммой у тебя пороли не синхранихировались (если с ключом все правильно сделал и файрвол открыл на порт 6677) то достаточно прололь в windows у пользователя сменить и он сразу синхранизируется (но это не дело у меня дальше дело не идет) смотри лог /var/log/ebox/ebox.log правильный отчет:
2010/03/05 02:10:20 DEBUG> ebox-pwdsync-server:122 main::handleRequest - [ad-pwdsync] username = biodiesel
2010/03/05 02:10:20 DEBUG> ebox-pwdsync-server:72 main:: - [ad-pwdsync] password updated successfully
да и еще наблюдение имя домена EBOX лучше делать отличным от AD Windows так как ebox при синхоронизации не становится частью AD а совершенно автономная система которая синхранизирует пользовательей  в односторонем порядке.

[assistent]

AnrDaemon, меня смущает следующее. Зарегеный сайт с доменным именем site.ru лежит на внешнем хостинге, а они хотят, чтобы почта @site.ru лежала на корпоративном сервере. Получается одно доменное имя и 2 местоположения. Как здесь быть?

[AyaTooru]

Ajeris, В логах ошибки такого плана:

Код: [Выделить]

DEBUG> UsersAndGroups.pm:1731 EBox::UsersAndGroups::addUserToGroup - group name Администраторы does not exist.
WARN> ebox-ad-sync:97 main::__ANON__ - [ad-sync] can't add user  to group Администраторы.

DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Группа авторизации доступа Windows
DEBUG> UsersAndGroups.pm:1370 EBox::UsersAndGroups::addGroup - Groupname must not be longer than 32 characters
Я так понимаю он не хочет синхронизировать группы с кирилическими именами. Что будет, если я отключу win2003server, а ebox сделаю PDC, ну и задать уже в ebox пароли всем пользователям. Будет ли работать такой вариант?

[Ajeris]

Я так понимаю что EBOX после конфигурирования нельзя изменить статус в AD  да оно и не надо я так думаю здесь вся соль токо в перетягивание (миграции) пользователей и последующем отключении windows DC (так как кто то один должен авторизовать пользователей)
насчет кирилический записей то у меня англиский windows 2003 R2 тут сказать нечего но именя пользователь русские и ниче синхранизировались нормально кроме некторый групп (кстати на онглийском языке)
2010/04/13 19:15:13 ERROR> Ldap.pm:712 EBox::Ldap::_errorOnLdap - Unknown error at EBox::UsersAndGroups::addUserToGroup modify/add: memberUid: value #0 alre$
2010/04/13 19:15:13 WARN> ebox-ad-sync:97 main::__ANON__ - [ad-sync] can't add user  to group Domain Admins.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Kaspersky_AKbbbfe77c-8341-467b-a3bf-53b91f2cff5d
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1370 EBox::UsersAndGroups::addGroup - Groupname must not be longer than 32 characters
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Kaspersky_AKbbbfe77c-8341-467b-a3bf-53b91f2cff5d'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Kaspersky_AKdd8973a0-1b78-49a8-83cd-05bd47ca897d
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1370 EBox::UsersAndGroups::addGroup - Groupname must not be longer than 32 characters
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Kaspersky_AKdd8973a0-1b78-49a8-83cd-05bd47ca897d'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Domain Guests
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1388 EBox::UsersAndGroups::addGroup - group name Domain Guests already exists.
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Domain Guests'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Windows Authorization Access Group
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1370 EBox::UsersAndGroups::addGroup - Groupname must not be longer than 32 characters
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Windows Authorization Access Group'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:303 main::getPrincipalName - [ad-sync] can't get userPrincipalName for CN=S-1-5-9,CN=ForeignSecurityPrincipals,DC=tu$
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Domain Computers
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1388 EBox::UsersAndGroups::addGroup - group name Domain Computers already exists.
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Domain Computers'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Backup Operators
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1388 EBox::UsersAndGroups::addGroup - group name Backup Operators already exists.
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Backup Operators'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Account Operators
2010/04/13 19:15:13 DEBUG> UsersAndGroups.pm:1388 EBox::UsersAndGroups::addGroup - group name Account Operators already exists.
2010/04/13 19:15:13 WARN> ebox-ad-sync:86 main::__ANON__ - [ad-sync] Error adding group 'Account Operators'.
2010/04/13 19:15:13 DEBUG> ebox-ad-sync:82 main:: - [ad-sync] Adding new group Pre-Windows 2000 Compatible Access
Да и еще пока пороль не синхранизировался его нельзя изменить в EBOX (http://hostname:8888)

[AyaTooru]

Ajeris, как правильно тогда будет вывести из домена сервер на win2003server, оставив только EBOX? Пароли не синхронизировались. Видимо из-за того, что они не соответствуют политике безопасного пароля?

[Ajeris]

Может быть но я пробовал включать и выключать политику сложных поролей (как учит мануал) но эфекта не дало автоматом все пароли не синхранизируюся
а выводить EBOX из домен Windows нет необходимости (его там просто нет) я же обяснял EBOX через конектор выкаичивает учетные записи и синхранизирует их с интервалом в несколько минут. Выходит что после успешной синхранизации (миграции пользователей) можно просто выключить WINDOWS AD и работать на чистом EBOX
 Разумеется придется вручную перегестрировать все компы в новом домене контролере  (ebox) ибо при миграции UID не перемещаются

[BoomBerbun]

AnrDaemon, меня смущает следующее. Зарегеный сайт с доменным именем site.ru лежит на внешнем хостинге, а они хотят, чтобы почта @site.ru лежала на корпоративном сервере. Получается одно доменное имя и 2 местоположения. Как здесь быть?

Вам нужна запись MX на внешнем DNS, мол такому то IP соответсвует такое то имя.Либо платите денежку за primary dns томуже nic.ru.И другую запись обратную для вашего домена должен прописать ваш провайдер интернета. Я сделал так!
Пользователь решил продолжить мысль 15 Апреля 2010, 13:36:24:Подскажите как интерент траффик считать на ebox? Млин ну вроде всем хорош, пока, но вот нет учёта траффика......как такое могло быть((((((((
Думаю попробывать прикрутить sams, но все конфиги всех сервисов, пока не нашёл, вернее в тех местах где они лежат, они не используються. EBOX всё мнёт под себя(((((