[Wiki] [HOWTO] Samba4 в качестве DC на Ubuntu Server 14.04

[burlog-88]

satch,
логи чего? samba, bind или kerberos или всего сразу

[satch]

burlog-88, bind9

[burlog-88]

Нашел инструкцию на одном из сайтов, по ней создал три файла логов и скрипт для их заполнения.
named-auth.log
named-default.log
named-update.log
На данный момент ведется один - named-default.log
отсылаю часть лога, сам ничего пока понять немогу

22-Aug-2014 09:54:13.935 lame-servers: info: error (network unreachable) resolving 'ns1.h72.hvosting.ua/AAAA/IN': 2001:7fd::1#53
22-Aug-2014 09:54:22.981 lame-servers: info: error (network unreachable) resolving 'ns.kharkov.ua/A/IN': 2001:500:2e::1#53
22-Aug-2014 09:54:22.981 lame-servers: info: error (network unreachable) resolving 'ns.kharkov.ua/AAAA/IN': 2001:500:2e::1#53
22-Aug-2014 09:54:22.981 lame-servers: info: error (network unreachable) resolving 'ns.kharkov.ua/A/IN': 2001:678:4::9#53
22-Aug-2014 09:54:22.981 lame-servers: info: error (network unreachable) resolving 'ns.kharkov.ua/AAAA/IN': 2001:678:4::9#53
22-Aug-2014 09:54:34.467 lame-servers: info: error (network unreachable) resolving 'www.youtube.com/A/IN': 2001:503:231d::2:30#53
22-Aug-2014 09:54:34.776 lame-servers: info: error (network unreachable) resolving 'code.jivosite.com/A/IN': 2001:503:231d::2:30#53
22-Aug-2014 09:54:40.659 lame-servers: info: error (network unreachable) resolving 'ns-632.awsdns-15.net/A/IN': 2001:503:a83e::2:30#53
22-Aug-2014 09:54:40.659 lame-servers: info: error (network unreachable) resolving 'ns-632.awsdns-15.net/AAAA/IN': 2001:503:a83e::2:30#53
22-Aug-2014 09:54:48.565 lame-servers: info: error (network unreachable) resolving 'proglive.ru/A/IN': 2a01:4f8:151:71c2::3#53
22-Aug-2014 09:54:48.565 lame-servers: info: error (network unreachable) resolving 'proglive.ru/A/IN': 2a03:c980::1:3:7#53
22-Aug-2014 09:55:26.445 lame-servers: info: error (network unreachable) resolving 'begun-sync.rutarget.ru/A/IN': 2a00:f940::25#53
22-Aug-2014 09:55:38.067 lame-servers: info: error (network unreachable) resolving 'www.vomz.ru/A/IN': 2a01:5b0:5::2#53
22-Aug-2014 09:55:38.067 lame-servers: info: error (network unreachable) resolving 'www.vomz.ru/A/IN': 2a01:5b0:4::a#53
22-Aug-2014 09:57:53.360 lame-servers: info: error (network unreachable) resolving 'dns1.xenion.com.au/A/IN': 2001:500:3::42#53
22-Aug-2014 09:57:53.360 lame-servers: info: error (network unreachable) resolving 'dns1.xenion.com.au/AAAA/IN': 2001:500:3::42#53
22-Aug-2014 10:00:40.288 database: info: samba_dlz: starting transaction on zone cell604.vomz.ru
22-Aug-2014 10:00:40.288 update-security: error: client 192.168.101.99#57741: update 'cell604.vomz.ru/IN' denied
22-Aug-2014 10:00:40.288 database: info: samba_dlz: cancelling transaction on zone cell604.vomz.ru
22-Aug-2014 10:00:47.557 database: info: samba_dlz: starting transaction on zone cell604.vomz.ru
22-Aug-2014 10:00:47.558 update-security: error: client 192.168.101.71#61847: update 'cell604.vomz.ru/IN' denied
22-Aug-2014 10:00:47.558 database: info: samba_dlz: cancelling transaction on zone cell604.vomz.ru
22-Aug-2014 10:02:25.786 lame-servers: info: error (network unreachable) resolving '8.8.8.8.in-addr.arpa/PTR/IN': 2001:dc3::35#53
22-Aug-2014 10:06:12.806 resolver: notice: clients-per-query decreased to 14

[AnrDaemon]

22-Aug-2014 10:00:40.288 database: info: samba_dlz: starting transaction on zone cell604.vomz.ru
22-Aug-2014 10:00:40.288 update-security: error: client 192.168.101.99#57741: update 'cell604.vomz.ru/IN' denied

[tsts79]

подскажите как исправить

(Нажмите, чтобы показать/скрыть)

Oct  3 12:02:27 pdc samba[959]: [2014/10/03 12:02:27.496432,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[959]:   Exiting pid 959 on SIGTERM
Oct  3 12:02:27 pdc samba[960]: [2014/10/03 12:02:27.496831,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[960]:   Exiting pid 960 on SIGTERM
Oct  3 12:02:27 pdc samba[957]: [2014/10/03 12:02:27.498950,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[956]: [2014/10/03 12:02:27.499119,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[955]: [2014/10/03 12:02:27.499275,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[954]: [2014/10/03 12:02:27.499428,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[951]: [2014/10/03 12:02:27.499603,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[950]: [2014/10/03 12:02:27.499753,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[891]: [2014/10/03 12:02:27.499892,  0] ../source4/smbd/server.c:116(sig_term)
Oct  3 12:02:27 pdc samba[891]:   SIGTERM: killing children
Oct  3 12:02:27 pdc samba[951]:   Exiting pid 951 on SIGTERM
Oct  3 12:02:27 pdc samba[955]:   Exiting pid 955 on SIGTERM
Oct  3 12:02:27 pdc samba[956]:   Exiting pid 956 on SIGTERM
Oct  3 12:02:27 pdc samba[950]:   Exiting pid 950 on SIGTERM
Oct  3 12:02:27 pdc samba[954]:   Exiting pid 954 on SIGTERM
Oct  3 12:02:27 pdc samba[891]: [2014/10/03 12:02:27.502719,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[953]: [2014/10/03 12:02:27.502704,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[953]:   Exiting pid 953 on SIGTERM
Oct  3 12:02:27 pdc samba[957]:   Exiting pid 957 on SIGTERM
Oct  3 12:02:27 pdc samba[962]: [2014/10/03 12:02:27.507256,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[962]:   Exiting pid 962 on SIGTERM
Oct  3 12:02:27 pdc samba[891]:   Exiting pid 891 on SIGTERM
Oct  3 12:02:27 pdc samba[958]: [2014/10/03 12:02:27.550655,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[958]:   Exiting pid 958 on SIGTERM
Oct  3 12:02:27 pdc samba[961]: [2014/10/03 12:02:27.578616,  0] ../source4/smbd/server.c:121(sig_term)
Oct  3 12:02:27 pdc samba[961]:   Exiting pid 961 on SIGTERM
Oct  3 12:02:32 pdc samba[1539]: [2014/10/03 12:02:32.150451,  0] ../source4/smbd/server.c:370(binary_smbd_main)
Oct  3 12:02:32 pdc samba[1539]:   samba version 4.1.6-Ubuntu started.
Oct  3 12:02:32 pdc samba[1539]:   Copyright Andrew Tridgell and the Samba Team 1992-2013
Oct  3 12:02:32 pdc samba[1540]: [2014/10/03 12:02:32.354594,  0] ../source4/smbd/server.c:492(binary_smbd_main)
Oct  3 12:02:32 pdc samba[1540]:   samba: using 'standard' process model

не запускается сервак в роли AD DC

[tsts79]

щас на трезвую голову (отдохнувший)  глянул с rndc.key проблема, rndc status -
rndc: connect failed: 127.0.0.1#953: connection refused


 

[AnrDaemon]

Это не с ключом проблема, это у тебя либо DNS демон порт не слушает, либо правила фильтрации без головы написаны.

[tsts79]

Это не с ключом проблема, это у тебя либо DNS демон порт не слушает, либо правила фильтрации без головы написаны.
[/quote

Это не с ключом проблема, это у тебя либо DNS демон порт не слушает, либо правила фильтрации без головы написаны.

с этого места по подробнее
service bind9 restart
 * Stopping domain name service... bind9                                                                                                                     rndc: connect failed: 127.0.0.1#953: connection refused
waiting for pid 1298 to die  [ OK ]                                                                                                                                               
 * Starting domain name service... bind9  [ OK ]

[skr]

satch,большое спасибо за пост. Все завелось с первого раза. Осталось решить 2 момента - поднять резервный контроллер BDC и процесс перевода его в PDC. Не подскажете где поискать инфу по этим темам?

[AnrDaemon]

Сам искал эту инфу, но меня отговорили.

[tsts79]

снес samba и bind9 настроил заново но

(Нажмите, чтобы показать/скрыть)

Oct  6 08:22:59 PDC named[1238]: BIND 9 is maintained by Internet Systems Consortium,
Oct  6 08:22:59 PDC named[1238]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Oct  6 08:22:59 PDC named[1238]: corporation.  Support and training for BIND 9 are
Oct  6 08:22:59 PDC named[1238]: available at https://www.isc.org/support
Oct  6 08:22:59 PDC named[1238]: ----------------------------------------------------
Oct  6 08:22:59 PDC named[1238]: adjusted limit on open files from 4096 to 1048576
Oct  6 08:22:59 PDC named[1238]: found 2 CPUs, using 2 worker threads
Oct  6 08:22:59 PDC named[1238]: using 2 UDP listeners per interface
Oct  6 08:22:59 PDC named[1238]: using up to 4096 sockets
Oct  6 08:22:59 PDC acpid: 1 rule loaded
Oct  6 08:22:59 PDC acpid: waiting for events: event logging is off
Oct  6 08:23:00 PDC cron[1225]: (CRON) INFO (Running @reboot jobs)
Oct  6 08:23:00 PDC named[1238]: loading configuration from '/etc/bind/named.conf'
Oct  6 08:23:00 PDC named[1238]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Oct  6 08:23:00 PDC named[1238]: using default UDP/IPv4 port range: [1024, 65535]
Oct  6 08:23:00 PDC named[1238]: using default UDP/IPv6 port range: [1024, 65535]
Oct  6 08:23:00 PDC named[1238]: listening on IPv4 interface lo, 127.0.0.1#53
Oct  6 08:23:00 PDC named[1238]: listening on IPv4 interface eth0, 10.206.110.2#53
Oct  6 08:23:00 PDC named[1238]: generating session key for dynamic DNS
Oct  6 08:23:00 PDC named[1238]: sizing zone task pool based on 5 zones
Oct  6 08:23:00 PDC named[1238]: zone 'localhost' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: zone '127.in-addr.arpa' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: zone '0.in-addr.arpa' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: zone '255.in-addr.arpa' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: Loading 'AD DNS Zone' using driver dlopen
Oct  6 08:23:00 PDC named[1238]: samba_dlz: started for DN DC=gibdd,DC=nfu,DC=xmuvd,DC=ru
Oct  6 08:23:00 PDC named[1238]: samba_dlz: starting configure
Oct  6 08:23:00 PDC named[1238]: samba_dlz: configured writeable zone 'gibdd.nfu.xmuvd.ru'
Oct  6 08:23:00 PDC named[1238]: samba_dlz: configured writeable zone '_msdcs.gibdd.nfu.xmuvd.ru'
Oct  6 08:23:00 PDC named[1238]: set up managed keys zone for view _default, file 'managed-keys.bind'
Oct  6 08:23:00 PDC named[1238]: zone 'version.bind' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: zone 'hostname.bind' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: zone 'authors.bind' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: zone 'id.server' allows updates by IP address, which is insecure
Oct  6 08:23:00 PDC named[1238]: command channel listening on 127.0.0.1#953
Oct  6 08:23:00 PDC named[1238]: command channel listening on ::1#953
Oct  6 08:23:00 PDC named[1238]: managed-keys-zone: loaded serial 3
Oct  6 08:23:00 PDC named[1238]: zone 0.in-addr.arpa/IN: loaded serial 1
Oct  6 08:23:00 PDC named[1238]: zone 127.in-addr.arpa/IN: loaded serial 1
Oct  6 08:23:00 PDC named[1238]: zone 255.in-addr.arpa/IN: loaded serial 1
Oct  6 08:23:00 PDC named[1238]: zone localhost/IN: loaded serial 2
Oct  6 08:23:00 PDC named[1238]: all zones loaded
Oct  6 08:23:00 PDC named[1238]: running

bind стартует а samba  в роли ad dc нет

(Нажмите, чтобы показать/скрыть)

samba[674]: [2014/10/06 08:22:42.823849,  0] ../source4/smbd/server.c:370(binary_smbd_main)
Oct  6 08:22:42 PDC smbd[664]: [2014/10/06 08:22:42.850540,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:42 PDC smbd[664]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:42 PDC smbd[664]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:42 PDC samba[674]:   samba version 4.1.6-Ubuntu started.
Oct  6 08:22:42 PDC samba[674]:   Copyright Andrew Tridgell and the Samba Team 1992-2013
Oct  6 08:22:42 PDC kernel: [   23.708742] init: smbd main process (664) terminated with status 1
Oct  6 08:22:42 PDC kernel: [   23.708754] init: smbd main process ended, respawning
Oct  6 08:22:42 PDC avahi-daemon[841]: Server startup complete. Host name is PDC.local. Local service cookie is 1806229682.
Oct  6 08:22:42 PDC smbd[853]: [2014/10/06 08:22:42.992701,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:42 PDC smbd[853]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:42 PDC smbd[853]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:42 PDC kernel: [   23.731504] init: smbd main process (853) terminated with status 1
Oct  6 08:22:42 PDC kernel: [   23.731514] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[857]: [2014/10/06 08:22:43.012773,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:43 PDC smbd[857]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:43 PDC smbd[857]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:43 PDC kernel: [   23.751007] init: smbd main process (857) terminated with status 1
Oct  6 08:22:43 PDC kernel: [   23.751018] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[861]: [2014/10/06 08:22:43.032324,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:43 PDC smbd[861]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:43 PDC smbd[861]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:43 PDC kernel: [   23.770547] init: smbd main process (861) terminated with status 1
Oct  6 08:22:43 PDC kernel: [   23.770558] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[865]: [2014/10/06 08:22:43.052369,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:43 PDC smbd[865]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:43 PDC smbd[865]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:43 PDC kernel: [   23.790869] init: smbd main process (865) terminated with status 1
Oct  6 08:22:43 PDC kernel: [   23.790882] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[869]: [2014/10/06 08:22:43.075766,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:43 PDC smbd[869]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:43 PDC smbd[869]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:43 PDC kernel: [   23.814162] init: smbd main process (869) terminated with status 1
Oct  6 08:22:43 PDC kernel: [   23.814173] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[873]: [2014/10/06 08:22:43.099377,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:43 PDC smbd[873]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:43 PDC smbd[873]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:43 PDC kernel: [   23.837804] init: smbd main process (873) terminated with status 1
Oct  6 08:22:43 PDC kernel: [   23.837815] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[877]: [2014/10/06 08:22:43.122769,  0] ../source3/smbd/server.c:1250(main)
Oct  6 08:22:43 PDC smbd[877]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Oct  6 08:22:43 PDC smbd[877]:   You should start 'samba' instead, and it will control starting smbd if required
Oct  6 08:22:43 PDC kernel: [   23.861329] init: smbd main process (877) terminated with status 1
Oct  6 08:22:43 PDC kernel: [   23.861340] init: smbd main process ended, respawning
Oct  6 08:22:43 PDC smbd[881]: [2014/10/06 08:22:43.147448,  0] ../source3/

Пользователь решил продолжить мысль 06 Октября 2014, 06:38:30:самое что интересное комп в домен в ходит

[satch]

satch,большое спасибо за пост. Все завелось с первого раза. Осталось решить 2 момента - поднять резервный контроллер BDC и процесс перевода его в PDC. Не подскажете где поискать инфу по этим темам?

У меня сейчас нет возможности для таких экспериментов для написания статьи. инфу по этим темам можете поискать хотя бы тут:
http://wiki.eri.ucsb.edu/stadm/Samba4_BDC
https://wiki.samba.org/index.php/Main_Page
и тд

[skr]

Сам искал эту инфу, но меня отговорили.

Почему отговорили? Если решить эти два момента, то безопасно можно использовать в продакшн.

[AnrDaemon]

Потому что я собирался добавлять БДЦ на Samba4 в существующий домен на самбе3. И через него мигрировать в АД.

[kim5521]

Сегодня настроил PDC по этой статье, всё работает. Все ошибки которые появлялись в момент настройки, лишь от моей невнимательности.
Только один момент, на шаге:

Меняем конфиг для использования bind 9.9

sudo nano /var/lib/samba/private/named.conf

приводим к виду:

dlz "AD DNS Zone" {
    # For BIND 9.8.0
    # database "dlopen /usr/lib/i386-linux-gnu/samba/bind9/dlz_bind9.so";
 
    # For BIND 9.9.0
    database "dlopen /usr/lib/i386-linux-gnu/samba/bind9/dlz_bind9_9.so";
};

может сделать пометку, что в 64 разрядной версии Ubuntu запись "i386-linux-gnu" должна выглядеть "x86_64-linux-gnu", а то новичёк просто приведёт её к такому виду, в следствии чего возникают потом ошибки.

Прошу прощения, забыл поприветствовать всех.
Всем доброго дня!