[Wiki] [HOWTO] Samba4 в качестве DC на Ubuntu Server 14.04

[golfstream]

Ээээ… Я вообще-то другой вопрос задал.
У вас в зоне `mkpt.net` есть записи `ads.mkpt.net. NS ...` ?

Есть в прямом файле зоны запись:

Код: [Выделить]

$ORIGIN .
$TTL 86400      ; 1 day
mkpt.net                IN SOA  gate.mkpt.net. admin.mkpt.net. (
                                20110118   ; serial
                                10800      ; refresh (3 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                86400      ; minimum (1 day)
                                )
                        NS      gate.mkpt.net.
                        A       192.168.10.1
$ORIGIN ads.mkpt.net.
$TTL 302400     ; 3 days 12 hours
test123                 A       192.168.10.12
                        TXT     "3144ce37bc5df30a4c1999bffacd331480"
zeus                    A       192.168.10.2
                        TXT     "00de6cf67f38bff12c649f96421801f235"
$ORIGIN mkpt.net.
$TTL 86400      ; 1 day
gate                    A       192.168.10.1
localhost               A       127.0.0.1

и в обратном:

Код: [Выделить]

$ORIGIN .
$TTL 86400      ; 1 day
10.168.192.in-addr.arpa IN SOA  gate.mkpt.net. admin.mkpt.net. (
                                20110121   ; serial
                                10800      ; refresh (3 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                3600       ; minimum (1 hour)
                                )
                        NS      gate.mkpt.net.
$ORIGIN 10.168.192.in-addr.arpa.
1                       PTR     gate.mkpt.net.
                        PTR     mkpt.net.
$TTL 302400     ; 3 days 12 hours
12                      PTR     test123.ads.mkpt.net.
13                      PTR     Test3.ads.mkpt.net.
2                       PTR     zeus.ads.mkpt.net.

[AnrDaemon]

Прочтите мой вопрос ещё раз.

[golfstream]

Прочтите мой вопрос ещё раз.

То есть это должно быть прописано в named.conf.local где-то где есть запись прямой зоны mkpt.net ?

[AnrDaemon]

Это должно быть прописано В САМОЙ ЗОНЕ.

[golfstream]

Это должно быть прописано В САМОЙ ЗОНЕ.

Откатился назад и сделал, так, как вы описывали на 23-24 стр.(включая search на обеих машинах) этого топика. Только единственное, когда делал запись в файле прямой зоны:

Код: [Выделить]

$ORIGIN mkpt-vg.net.
…
ads                     NS      dc1
ads                     A       192.168.0.2
dc1                     A       192.168.0.2
вместо dc1 указал имя "zeus" - ПК - контроллер домена.

nslookup по имени работает везде кроме машины прописанной в домен, поскольку перед mkpt.net уже появляется ads, а с компьютеров ads.mkpt.net записи в файл прямой зоны уже не вносятся. А в обратную вносятся, видимо поэтому по адресу nslookup работает везде. Видимо надо настроить запись в файл зоны ads. Или опять я не правильно что-то делаю???

[AnrDaemon]

Нет, на этот раз надо править настройки, отдаваемые клиентам AD.
Чтобы они искали системы в обоих зонах в нужном порядке.
На винде это кстати лучше всего видно - она прямо пишет, какие имена она пробует разрешить.

[golfstream]

Нет, на этот раз надо править настройки, отдаваемые клиентам AD.
Чтобы они искали системы в обоих зонах в нужном порядке.
На винде это кстати лучше всего видно - она прямо пишет, какие имена она пробует разрешить.

Нужно менять настройки, отдаваемые клиентам AD по dhcp?

через винду попробовал команду nslookup машины в AD через DNS AD, получилось:

Код: [Выделить]

C:\Documents and Settings\user>nslookup test3 zeus

Server:  zeus.mkpt.net
Address:  192.168.10.2
Name:    test3.mkpt.net


попробовал добавить в dhcpd.conf
в option domain-name-servers 192.168.10.2, 192.168.10.1
в option domain-search "ads.mkpt.net", "mkpt.net"
т.е в настройках, получаемых клиентом первичный dns и search сервака с AD
и получилось также как выше:

Код: [Выделить]

Server:  zeus.mkpt.net
Address:  192.168.10.2

Name:    test3.mkpt.netпочему так?
Пользователь решил продолжить мысль 26 Октября 2015, 16:48:21:Все понятно, такое с любым незнакомым именем происходит будь оно хоть "abc"

[AnrDaemon]

Это означает, что имя свалилось в конец списка разрешения.
Попробуйте имя, которое есть в основной зоне, но отсутствует в АД.

[golfstream]

Это означает, что имя свалилось в конец списка разрешения.
Попробуйте имя, которое есть в основной зоне, но отсутствует в АД.

Если например с машины, которая прописана в домене набрать nslookup test123(клиент есть в зоне, но не прописан в домен)
то получится:

Код: [Выделить]

Server:  zeus.mkpt.net
Address:  192.168.10.2

Name:    test123.ads.mkpt.net
Address:  192.168.10.12

если просто nslookup test123 то:

Код: [Выделить]


Server:  mkpt.net
Address:  192.168.10.1

Name:    test123.mkpt.net
Address:  192.168.10.12
Пользователь решил продолжить мысль [time]27 Октябрь 2015, 13:16:01[/time]:а если с машине не в домене это делать, то всегда будет получаться test123.mkpt.net
Пользователь решил продолжить мысль 27 Октября 2015, 12:18:52:

Это означает, что имя свалилось в конец списка разрешения.
Попробуйте имя, которое есть в основной зоне, но отсутствует в АД.

Если например с машины, которая прописана в домене набрать nslookup test123 zeus
то получится:

Код: [Выделить]

Server:  zeus.mkpt.net
Address:  192.168.10.2

Name:    test123.ads.mkpt.net
Address:  192.168.10.12

если просто nslookup test123 то:

Код: [Выделить]


Server:  mkpt.net
Address:  192.168.10.1

Name:    test123.mkpt.net
Address:  192.168.10.12
Пользователь решил продолжить мысль [time]27 Октябрь 2015, 13:16:01[/time]:а если с машине не в домене это делать, то всегда будет получаться test123.mkpt.net

[AnrDaemon]

Что-то у вас в DNS не в порядке, мне кажется.

[golfstream]

Что-то у вас в DNS не в порядке, мне кажется.

А имена доменых машин ads.mkpt... должны записываться в файл прямой зоны?
Пользователь решил продолжить мысль 27 Октября 2015, 13:14:13:И почему то многие при работе таких связок советую Samba DNS мастером сделать, а bind слэйвом

[AnrDaemon]

Не должны. Достаточно того, что Самба о них знает, а основная зона знает, где найти Самбу.
"Таких связок" я нигде не видел, на самом деле
Видел ТОЛЬКО "ads.example.org", тогда да, Самбу ставят мастером.

[golfstream]

Не должны. Достаточно того, что Самба о них знает, а основная зона знает, где найти Самбу.
"Таких связок" я нигде не видел, на самом деле
Видел ТОЛЬКО "ads.example.org", тогда да, Самбу ставят мастером.

Как тогда вычислить  ошибку?

[AnrDaemon]

Я не уверен, что именно вы считаете ошибкой.
Но я бы сначала посмотрел tcpdump'ом (или WireShark с винды), что реально запрашивается и отвечается.

[golfstream]

Я не уверен, что именно вы считаете ошибкой.
Но я бы сначала посмотрел tcpdump'ом (или WireShark с винды), что реально запрашивается и отвечается.

С машины не прописанной в домен в wireshark на финальном этапе (4) dns запроса видно, что обращаются в обоих случаях к машине с Samba DC. В обоих случаях есть queries - запрос, но лишь в одном answers - ответ только при nslookup test123 - она не в домене, при nslookup test2 записи answers нет. На скрине верхнее - резолв не доменной машины, нижнее доменной:


С серверов обоих c доменными машинами всё глухо. Но клиентские ПК, не прописанные в домен пингуют доменные по имени.

И еще все доменные ПК нормально резолвятся по имени если ввести полностью т.е test2.ads.mkpt.net


 
Пользователь решил продолжить мысль 29 Октября 2015, 13:19:03:Если клиенту принудительно добавлять суффикс dns ads.mkpt.net, то резолвится всё как надо, но тогда все машины без исключения резолвятся как имя.ads.mkpt.net