[Wiki] [HOWTO] Samba4 в качестве DC на Ubuntu Server 14.04

[bazzilio]

смотрите, что самба в логах пишет.

[Hawk1]

не могу понять в чем проблема, ставил по тому-же мануалу, но 64x после запуска bind9

Код: [Выделить]

Aug 11 14:16:08 acserv named[4950]: generating session key for dynamic DNS
Aug 11 14:16:08 acserv named[4950]: sizing zone task pool based on 5 zones
Aug 11 14:16:08 acserv named[4950]: zone 'localhost' allows updates by IP address, which is insecure
Aug 11 14:16:08 acserv named[4950]: zone '127.in-addr.arpa' allows updates by IP address, which is insecure
Aug 11 14:16:08 acserv named[4950]: zone '0.in-addr.arpa' allows updates by IP address, which is insecure
Aug 11 14:16:08 acserv named[4950]: zone '255.in-addr.arpa' allows updates by IP address, which is insecure
Aug 11 14:16:08 acserv named[4950]: Loading 'AD DNS Zone' using driver dlopen
Aug 11 14:16:09 acserv named[4950]: dlz_dlopen: incorrect version 1 should be 2 in '/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so'
Aug 11 14:16:09 acserv named[4950]: dlz_dlopen of 'AD DNS Zone' failed
Aug 11 14:16:09 acserv kernel: [ 4570.235466] named[4954]: segfault at a8 ip 00007fb608031c59 sp 00007fb6022b93f0 error 4 in named[7fb607fc4000+86000]

Подскажите что не так.

[satch]

какая версия bind?

[Hawk1]

Version: 1:9.9.5.dfsg-3ubuntu0.4
Conflicts: apparmor-profiles (<< 2.1+1075-0ubuntu4), bind
как то так

[satch]

Почему вы прописываете в /var/lib/samba/private/named.conf строку database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so"; ? если в инструкции четко написано:

# For BIND 9.9.0
    database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so";

[AnrDaemon]

Я просто копировал конфиги.

В моё время за такое банили из сети без разговоров.
Причём обоих - и того, кто скопировал, и того, у кого скопировали.

[nik123]

Здравствуйте! Вопрос к автору пытаюсь воспроизвести инструкцию статьи на практике. Установил Ubuntu Server 32-bit 14.04.3 LTS , удачно дошел до:

"sudo service bind9 restart"

но получаю:

nik@smi:~$ sudo service bind9 restart
[sudo] password for nik:
 * Stopping domain name service... bind9
 rndc: connect failed: 127.0.0.1#953: connection refused           
                                                                         [ OK ]
 * Starting domain name service... bind9                                 [fail]

В заданных вопросах уже встречалась подобная проблема, но методы её решения мне не помогли.
запускаю перезагрузку сервиса bind

"sudo service bind9 restart"

и сразу

sudo tail -n 30 /var/log/syslog

получаю

Aug 14 21:21:07 smi named[2227]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
Aug 14 21:21:07 smi named[2227]: ----------------------------------------------------
Aug 14 21:21:07 smi named[2227]: BIND 9 is maintained by Internet Systems Consortium,
Aug 14 21:21:07 smi named[2227]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Aug 14 21:21:07 smi named[2227]: corporation.  Support and training for BIND 9 are
Aug 14 21:21:07 smi named[2227]: available at https://www.isc.org/support
Aug 14 21:21:07 smi named[2227]: ----------------------------------------------------
Aug 14 21:21:07 smi named[2227]: adjusted limit on open files from 4096 to 1048576
Aug 14 21:21:07 smi named[2227]: found 2 CPUs, using 2 worker threads
Aug 14 21:21:07 smi named[2227]: using 2 UDP listeners per interface
Aug 14 21:21:07 smi named[2227]: using up to 4096 sockets
Aug 14 21:21:07 smi named[2227]: loading configuration from '/etc/bind/named.conf'
Aug 14 21:21:07 smi named[2227]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Aug 14 21:21:07 smi named[2227]: using default UDP/IPv4 port range: [1024, 65535]
Aug 14 21:21:07 smi named[2227]: using default UDP/IPv6 port range: [1024, 65535]
Aug 14 21:21:07 smi named[2227]: listening on IPv4 interface lo, 127.0.0.1#53
Aug 14 21:21:07 smi named[2227]: listening on IPv4 interface eth0, 192.168.0.8#53
Aug 14 21:21:07 smi named[2227]: generating session key for dynamic DNS
Aug 14 21:21:07 smi named[2227]: sizing zone task pool based on 5 zones
Aug 14 21:21:07 smi named[2227]: zone 'localhost' allows updates by IP address, which is insecure
Aug 14 21:21:07 smi named[2227]: zone '127.in-addr.arpa' allows updates by IP address, which is insecure
Aug 14 21:21:07 smi named[2227]: zone '0.in-addr.arpa' allows updates by IP address, which is insecure
Aug 14 21:21:07 smi named[2227]: zone '255.in-addr.arpa' allows updates by IP address, which is insecure
Aug 14 21:21:07 smi named[2227]: Loading 'AD DNS Zone' using driver dlopen
Aug 14 21:21:07 smi named[2227]: samba_dlz: Failed to connect to /var/lib/samba/private/dns/sam.ldb
Aug 14 21:21:07 smi named[2227]: dlz_dlopen of 'AD DNS Zone' failed
Aug 14 21:21:07 smi named[2227]: SDLZ driver failed to load.
Aug 14 21:21:07 smi named[2227]: DLZ driver failed to load.
Aug 14 21:21:07 smi named[2227]: loading configuration: failure
Aug 14 21:21:07 smi named[2227]: exiting (due to fatal error)

скажите пожалуйста в чем может быть причина ошибки?

[AnrDaemon]

Например в том, что неполностью прочли или не до конца выполнили инструкцию, в итоге у bind нет доступа к БД зоны.
Вообще, надо инструкции читать сначала полностью, а потом уже делать.

[ulan44]

Весь форум не читал еще, но так для справки в how to нужно добавить по ошибкам при первой настройки, что если ругается на VFS connect failed, то нужно использовать команду

Код: [Выделить]

sudo samba-tool domain provision --use-rfc2307 --interactive в месте с параметром

Код: [Выделить]

--use-ntvfs т.е

Код: [Выделить]

sudo samba-tool domain provision --use-rfc2307 --interactive --use-ntvfs

[golfstream]

Здравствуйте, ранее пытался настроить AD Samba (ранее здесь писал) и опять вернулся к данной теме - настраивал по подсказкам AnrDaemon и satch - за что им спасибо огромное  :
Есть ПК "А"- имя "gate" - шлюз с Bind9 и динамичным обновлением DNS, IP - 192.168.10.1 - зона "mkpt.net";
Есть ПК "Б" - имя "zeus", IP- 192.168.10.2 на нем установлена Samba ad - доменная зона ads.mkpt.net, samba работает как "SAMBA_INTERNAL" c форвардом на 192.168.10.1;
Есть ПК "В" - имя test123 - ПК для ввода в домен, IP - 192.168.10.12;

Конфиги "А":

resolv.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

domain ads.mkpt.net
search ads.mkpt.net
nameserver 127.0.0.1

named.conf.options:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

options {
directory "/var/cache/bind";

forwarders {
        192.168.0.1;
     };

listen-on {
      127.0.0.1;
      192.168.10.1;
    };

};


named.conf.local:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

key DHCP_UPDATER {
        algorithm HMAC-MD5.SIG-ALG.REG.INT;
        secret "8oWRc0JsmPtDo9fj43bn2g==";
};

zone "mkpt.net" IN {
        type master;
        file "/var/lib/bind/mkpt.net.hosts";
        allow-update { key DHCP_UPDATER; };
};

zone "10.168.192.in-addr.arpa" IN {
        type master;
        file "/var/lib/bind/mkpt.net.revhosts";
        allow-update { key DHCP_UPDATER; };
};

zone "ads.mkpt.net" {
        type forward;
        forwarders { 192.168.10.2; };
        forward only;
        };

mkpt.net.hosts:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$ORIGIN .
$TTL 86400      ; 1 day
mkpt.net                IN SOA  gate.mkpt.net. admin.mkpt.net. (
                                20110107   ; serial
                                10800      ; refresh (3 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                86400      ; minimum (1 day)
                                )
                        NS      gate.mkpt.net.
                        A       192.168.10.1
$ORIGIN mkpt.net.
gate                    A       192.168.10.1
localhost               A       127.0.0.1
$TTL 302400     ; 3 days 12 hours
zeus                    A       192.168.10.2
                        TXT     "00de6cf67f38bff12c649f96421801f235"


dhcpd.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

ddns-update-style interim;
update-static-leases    on;
key DHCP_UPDATER {
algorithm hmac-md5;
secret "8oWRc0JsmPtDo9fj43bn2g==";
}

zone mkpt.net. {
primary 127.0.0.1;
key DHCP_UPDATER;
}

zone 10.168.192.in-addr.arpa. {
primary 127.0.0.1;
key DHCP_UPDATER;
}


subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.10 192.168.10.220;
option domain-name-servers 192.168.10.1;
option domain-search "mkpt.net";
option domain-name "mkpt.net";
option routers 192.168.10.1;
option broadcast-address 192.168.10.255;
option broadcast-address 192.168.10.255;
default-lease-time 604800;
max-lease-time 604800;
}

host zeus {
        hardware ethernet 08:00:27:D7:5E:E3;
        fixed-address 192.168.10.2;
                }

Конфиги "Б":

resolv.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

domain ads.mkpt.net
search ads.mkpt.net
nameserver 192.168.10.2


smb.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Global parameters
[global]
        workgroup = ADS
        realm = ADS.MKPT.NET
        netbios name = ZEUS
        server role = active directory domain controller
        dns forwarder = 192.168.10.1
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/ads.mkpt.net/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

На всякий случай krb5.conf:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

[libdefaults]
        default_realm = ADS.MKPT.NET
        dns_lookup_realm = false
        dns_lookup_kdc = true

В итоге все встало, клиент - имя "test123" в домен прописывает, оснастка работает, но перестали создаваться записи в файле mkpt.net.hosts на ПК "Б" и соответственно динамически обновляться DNS.
Также с ПК "А" -  "gate" хост "test123" ресолвится в разные стороны и с хоста "test123" тоже ресолвятся и "gate" и "zeus", а вот с ПК "Б" хост "test123" не ресолвится по имени, только по адресу.
Чувствую, что будут еще какие-нибудь камни  Как бы проверить, что сия связка нормально работает?

[AnrDaemon]

Если перестали создаваться записи, проверяйте, кто у вас DHCP сервером работает.
Если не ресолвится DNS, смитрите, куда вообще идут запросы.
На оба вопроса ответит tcpdump.

[golfstream]

Если перестали создаваться записи, проверяйте, кто у вас DHCP сервером работает.
Если не ресолвится DNS, смитрите, куда вообще идут запросы.
На оба вопроса ответит tcpdump.

Кстати пр команде "ping Test123" пакеты не проходят, а если "Test123.ads", то пингуется и nslookup по имени работает.

[AnrDaemon]

Откуда именно пингуете? Явно поиск на локальном ресолвере недонастроен.

[golfstream]

Откуда именно пингуете? Явно поиск на локальном ресолвере недонастроен.

С машин А и Б
Самый прикол в том, что:

Когда пингую с gate (ПК А): ping test123

Код: [Выделить]

PING test123.ads.mkpt.net (192.168.10.12) 56(84) bytes of data.
^C
--- test123.ads.mkpt.net ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

а если так: ping test123.ads

Код: [Выделить]

root@gate:~# ping test123.ads
PING test123.ads (127.0.53.53) 56(84) bytes of data.
64 bytes from 127.0.53.53: icmp_req=1 ttl=64 time=0.536 ms
64 bytes from 127.0.53.53: icmp_req=2 ttl=64 time=0.424 ms
64 bytes from 127.0.53.53: icmp_req=3 ttl=64 time=0.453 ms
^C
--- test123.ads ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 0.424/0.471/0.536/0.047 ms

С машины "zeus" (ПК Б): ping test123

Код: [Выделить]

ping test123
ping: unknown host test123
А так: ping test123.ads

Код: [Выделить]

root@zeus:~# ping test123.ads
PING test123.ads (127.0.53.53) 56(84) bytes of data.
64 bytes from 127.0.53.53: icmp_seq=1 ttl=64 time=0.523 ms
64 bytes from 127.0.53.53: icmp_seq=2 ttl=64 time=0.350 ms
64 bytes from 127.0.53.53: icmp_seq=3 ttl=64 time=0.331 ms
64 bytes from 127.0.53.53: icmp_seq=4 ttl=64 time=0.332 ms
^C
--- test123.ads ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3013ms
rtt min/avg/max/mdev = 0.331/0.384/0.523/0.080 ms


[AnrDaemon]

Простите, а что это за адрес - 127.0.53.53 ?…