[Wiki] [HOWTO] Samba4 в качестве DC на Ubuntu Server 14.04

[AnrDaemon]

1. Да пропускаем.
2. Никак не появится - он у вас должен быть изначально.

[golfstream]

Нету этого файла у меня:

Код: [Выделить]

root@gate:/var/lib/bind# ls
forward.db       forward.db.jnl  reverse.db.back
forward.db.back  reverse.db      reverse.db.jnl
root@gate:/var/lib/bind#

Вот это только есть..

[AnrDaemon]

Тогда откуда у вас DNS зона вообще взялась? Или вы её придумали?

[golfstream]

Тогда откуда у вас DNS зона вообще взялась? Или вы её придумали?

Настраивал bind9 на шлюзе по этой статье: http://howitmake.ru/blog/ubuntu/96.html

[AnrDaemon]

Судя по статье, там есть пункт создания локальной зоны.
Вот только имя файла через задницу написано. Уважающие других людей администраторы дают файлам зон имена, совпадающие с именами зон, чтобы человек, которому придётся поддерживать этот дурдом после вас, не матерился на каждую вашу строчку. А хотя бы через одну.

[golfstream]

Судя по статье, там есть пункт создания локальной зоны.
Вот только имя файла через задницу написано. Уважающие других людей администраторы дают файлам зон имена, совпадающие с именами зон, чтобы человек, которому придётся поддерживать этот дурдом после вас, не матерился на каждую вашу строчку. А хотя бы через одну.

Если я правильно понял то вместо файла mkpt-vg.hosts была создана forward.db?
Один фиг короткие имена не работают, я совсем запутался...

[AnrDaemon]

Какие именно короткие имена? Приводите больше информации, я не стою у вас за спиной и не читаю экран через ваше плечо.

[golfstream]

Извиняюсь за неточность не короткое имя......

С Компьютера Б (где Самба)
набираю команду nslookup:

Код: [Выделить]

root@zeus:~# nslookup 192.168.0.1
Server:         192.168.0.2
Address:        192.168.0.2#53

Non-authoritative answer:
1.0.168.192.in-addr.arpa        name = gate.mkpt-vg.net.
1.0.168.192.in-addr.arpa        name = mkpt-vg.net.

Authoritative answers can be found from:
0.168.192.in-addr.arpa  nameserver = gate.mkpt-vg.net.

по имени:

Код: [Выделить]

root@zeus:~# nslookup gate
Server:         192.168.0.2
Address:        192.168.0.2#53

Non-authoritative answer:
*** Can't find gate: No answer

Файлы настроек:

На компьютере А (шлюз)

named.conf.options:

(Нажмите, чтобы показать/скрыть)

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

         forwarders {
        10.128.1.22;
        10.128.1.23;
        8.8.8.8;    };

      listen-on {
      127.0.0.1;
      192.168.0.1;
                    };
        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

named.conf.local

(Нажмите, чтобы показать/скрыть)

key DHCP_UPDATER {
        algorithm HMAC-MD5.SIG-ALG.REG.INT;
        secret "ouC4wArgvkIUE3/pLH9SWA==";
};


zone "mkpt-vg.net" IN {
        type master;
        file "/var/lib/bind/forward.db";
        allow-update { key DHCP_UPDATER; };
};

zone "0.168.192.in-addr.arpa" IN {
        type master;
        file "/var/lib/bind/reverse.db";
        allow-update { key DHCP_UPDATER; };
};

zone "ads.mkpt-vg.net" {
        type forward;
        forwarders { 192.168.0.2; };
        forward only;
        };

forward.db:

(Нажмите, чтобы показать/скрыть)

$ORIGIN .
$TTL 86400      ; 1 day
mkpt-vg.net             IN SOA  gate.mkpt-vg.net. root.mkpt-vg.net. (
                                20110318   ; serial
                                10800      ; refresh (3 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                86400      ; minimum (1 day)
                                )
                        NS      gate.mkpt-vg.net.
                        A       192.168.0.1
$ORIGIN mkpt-vg.net.
ads                     NS      dc1
ads                     A       192.168.0.2
dc1                     A       192.168.0.2
$TTL 302400     ; 3 days 12 hours
123-PC                  A       192.168.0.106
                        TXT     "317e2529ad2a47f55fe044f33c26af7969"
$TTL 43200      ; 12 hours
airport-time-capsule    A       192.168.0.72
                        TXT     "31418a6a8780ebe1b255c60857b51df017"
$TTL 302400     ; 3 days 12 hours
Aleks                   A       192.168.0.92
                        TXT     "31403088509466ff0dc8d6707821039cee"
android-2f1127ed84292e0a A      192.168.0.83
                        TXT     "005f401c9b7b7357568b544d304177a71c"
android-4314e97d0db4c9c A       192.168.0.77
                        TXT     "313a3729f93c506856ddb880604c7e4e07"
android-6c1d9c6bd496ac12 A      192.168.0.90
                        TXT     "31c32011677e0a59bfdd31449f19fbf2b7"
android-8934f3c1112cb270 A      192.168.0.127
                        TXT     "005a39a20f8faf27b74706fba5c9587e66"
android-a159a818f19d9e22 A      192.168.0.81
                        TXT     "0062947808d933ee52390964c4fce16375"
android-fcf27c6310779436 A      192.168.0.124

reverse.db:

(Нажмите, чтобы показать/скрыть)

$ORIGIN .
$TTL 86400      ; 1 day
0.168.192.in-addr.arpa  IN SOA  gate.mkpt-vg.net. root.mkpt-vg.net. (
                                20110293   ; serial
                                10800      ; refresh (3 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                3600       ; minimum (1 hour)
                                )
                        NS      gate.mkpt-vg.net.
$ORIGIN 0.168.192.in-addr.arpa.
1                       PTR     gate.mkpt-vg.net.
                        PTR     mkpt-vg.net.
$TTL 302400     ; 3 days 12 hours
106                     PTR     123-PC.mkpt-vg.net.
110                     PTR     matveykarasev.mkpt-vg.net.
120                     PTR     user121212.mkpt-vg.net.
124                     PTR     android-fcf27c6310779436.mkpt-vg.net.
127                     PTR     android-8934f3c1112cb270.mkpt-vg.net.
132                     PTR     iPhonestandnew2.mkpt-vg.net.

На компьютере Б (где Самба):

/etc/hostname:

(Нажмите, чтобы показать/скрыть)

zeus

/etc/hosts

(Нажмите, чтобы показать/скрыть)

127.0.0.1       localhost
127.0.0.1       zeus.ads.mkpt-vg.net    zeus
192.168.0.2     zeus.ads.mkpt-vg.net    zeus

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
~
~

smb.conf:

(Нажмите, чтобы показать/скрыть)

# Global parameters
[global]
        workgroup = ADS
        realm = ADS.MKPT-VG.NET
        netbios name = ZEUS
        server role = active directory domain controller
        dns forwarder = 192.168.0.1
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/ads.mkpt-vg.net/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

Пользователь решил продолжить мысль 07 Мая 2015, 09:51:37:Теперь вообще ни с одной машины nslookup ни "имя", ни "ip" не работает 

[AnrDaemon]

Вы все конечно файлы привели, кроме одного - нужного.
/etc/resolv.conf хыде?

[golfstream]

nslookup заработал...
косяк был где-то в forward.db

resolf.conf машины А - шлюза

(Нажмите, чтобы показать/скрыть)

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain mkpt-vg.net
search mkpt-vg.net
nameserver 127.0.0.1
nameserver 10.128.1.22
nameserver 10.128.1.23

resolf.conf машины Б - где Самба

(Нажмите, чтобы показать/скрыть)

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.0.2

Пользователь решил продолжить мысль [time]08 Май 2015, 10:09:59[/time]:Еще клиенты получают DNS суффикс долбанный .Dlink , грешил на роутер, который до этого был вместо шлюза, но почему-то и новые клиенты получают суффикс не .mkpt-vg.net, а .Dlink

[AnrDaemon]

На второй машине нехватает search.
И search должен быть одинаковый на обоих, указывающий на ваш AD домен в первую очередь, а потом на короткий. При наличии domain И search - действовать будет search.

[Hawk1]

 * Starting domain name service... bind9                                 [fail] no talloc stackframe at ../source3/param/loadparm.c:4864, leaking memory
Failed to modify account record CN=lab,CN=Users,DC=lab,DC=srv to set user attributes: 0000052D: Constraint violation - check_password_restrictions: the password does not meet the complexity criteria!
 * Starting domain name service... bind9                                 [fail]

не могу понять причину по чему не стартует  bind9
 с правами уладил вроде бы
делал всё по:https://help.ubuntu.ru/wiki/samba4_as_dc_14.04

lab@k31:~$  tail /var/log/syslog
Jun 10 15:13:23 k31 named[2971]: ----------------------------------------------------
Jun 10 15:13:23 k31 named[2971]: adjusted limit on open files from 4096 to 1048576
Jun 10 15:13:23 k31 named[2971]: found 2 CPUs, using 2 worker threads
Jun 10 15:13:23 k31 named[2971]: using 2 UDP listeners per interface
Jun 10 15:13:23 k31 named[2971]: using up to 4096 sockets
Jun 10 15:13:23 k31 named[2971]: loading configuration from '/etc/bind/named.conf'
Jun 10 15:13:23 k31 named[2971]: /etc/bind/named.conf.options:20: unknown option 'empty-zones-eneble'
Jun 10 15:13:23 k31 named[2971]: /etc/bind/named.conf.options:27: '{' expected near '192.168.0.1'
Jun 10 15:13:23 k31 named[2971]: loading configuration: unexpected token
Jun 10 15:13:23 k31 named[2971]: exiting (due to fatal error)

[satch]

ну вообще то там все достаточно понятно написано почему не стартует.
empty-zones-enable
в 27-ой строке поставьте }

[ivanov_ivan]

Проблема с обновлением зон в bind.  Конфигурация следующая: основной КД на Windows 2008R2, вторичный на samba4. В качестве dns-backend используется bind 9.9.5 через samba_dlz.
В dns на windows 2008R2 клиенты регистрируются без проблем, а вот на samba4 зоны обновляются только репликацией с основного контроллера, т.е. если его выключить, то зоны обновляться не будут.
Настройку делал на разным статьям, в том числе и по этой. В логах, при старте bind, ошибок нет, все зоны нормально загружаются. При подключении клиента в логах видно запрос на регистрацию в dns, но он отклоняется по причине нехватки прав. Не могу понять причину этого, может кто знает как с этим бороться? 

keytab указан, если что. ОС ubuntu 14.04-amd64, samba4 и bind установлены из репозитория.

[serg.khv]

Подскажите пожалуйста,

Всё установлено по инструкции, все тесты проходит, а так же в домен добавляется ПК с Windows 10, даже с разницой во времени и часовых поясах. Вход в домен на этом ПК работает без проблем.

Далее беру чистую Windows 7 и пробую добавить в домен, при добавлении с указанием логина просто administrator, получаю ошибку о не возможности проверить имя или пароль, время выставлял одинаковое, не помогало, пока не указал имя пользователя как administrator@domain.com
После этого ПК добавился в домен, но теперь не могу зайти в домен с ПК Windows 7, ни админом, не созданным дополнительно пользователем домена, ругается на логин или пароль, как при добавлении в домен.
Варианты ввода имени:  domain\login и login@domain.com ничего не дали.

В чём может быть проблема с Windows 7, которая отсутсвует с Windows 10?

PS. Windows 7 Pro оригинальная.