[Wiki] [HOWTO] Samba4 в качестве DC на Ubuntu Server 14.04

[AnrDaemon]

А зачем они обращаются к DC?… Пусть обращаются к шлюзовому DNS. Он то в курсе, и где DC, и где всё остальное.

[golfstream]

А зачем они обращаются к DC?… Пусть обращаются к шлюзовому DNS. Он то в курсе, и где DC, и где всё остальное.

Поставил первым dns шлюза, чтобы обращались к нему -   в итоге не может найти:


Послушал tcpdump dns сервер шлюза (с клиентской машины, которая не в домене nslookup test2:

(Нажмите, чтобы показать/скрыть)

root@gate:~# tcpdump -i eth1 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
11:57:13.961875 IP test123.mkpt.net.1079 > gate.mkpt.net.domain: 1+ PTR? 1.10.168.192.in-addr.arpa. (43)
11:57:13.968867 IP gate.mkpt.net.domain > test123.mkpt.net.1079: 1* 2/1/1 PTR mkpt.net., PTR gate.mkpt.net. (114)
11:57:13.971441 IP gate.mkpt.net.40779 > zeus.mkpt.net.domain: 1254+ PTR? 1.10.168.192.in-addr.arpa. (43)
11:57:13.975408 IP zeus.mkpt.net.35096 > gate.mkpt.net.domain: 41590+ [1au] PTR? 1.10.168.192.in-addr.arpa. (54)
11:57:13.975914 IP gate.mkpt.net.domain > zeus.mkpt.net.35096: 41590* 2/1/2 PTR gate.mkpt.net., PTR mkpt.net. (125)
11:57:13.976404 IP test123.mkpt.net.socks > gate.mkpt.net.domain: 2+ A? test2.mkpt.net. (32)
11:57:13.976726 IP gate.mkpt.net.domain > test123.mkpt.net.socks: 2 NXDomain* 0/1/0 (79)
11:57:13.977988 IP zeus.mkpt.net.domain > gate.mkpt.net.40779: 1254 2/1/2 PTR gate.mkpt.net., PTR mkpt.net. (125)
11:57:13.978864 IP gate.mkpt.net.45783 > zeus.mkpt.net.domain: 10918+ PTR? 12.10.168.192.in-addr.arpa. (44)
11:57:13.980427 IP zeus.mkpt.net.43093 > gate.mkpt.net.domain: 49947+ [1au] PTR? 12.10.168.192.in-addr.arpa. (55)
11:57:13.980892 IP gate.mkpt.net.domain > zeus.mkpt.net.43093: 49947* 1/1/2 PTR test123.mkpt.net. (120)
11:57:13.987896 IP zeus.mkpt.net.domain > gate.mkpt.net.45783: 10918 1/1/2 PTR test123.mkpt.net. (120)
11:57:13.991456 IP gate.mkpt.net.43514 > zeus.mkpt.net.domain: 3663+ PTR? 2.10.168.192.in-addr.arpa. (43)
11:57:13.994071 IP zeus.mkpt.net.59098 > gate.mkpt.net.domain: 23149+ [1au] PTR? 2.10.168.192.in-addr.arpa. (54)
11:57:13.994547 IP gate.mkpt.net.domain > zeus.mkpt.net.59098: 23149* 1/1/2 PTR zeus.mkpt.net. (116)
11:57:13.995672 IP zeus.mkpt.net.domain > gate.mkpt.net.43514: 3663 1/1/2 PTR zeus.mkpt.net. (116)

То есть я так понимаю, что клиент спрашиват у сервера "Кто такой A? test2.mkpt.net" он наверное и не должен находиться т.к. клиент test2 доменный и полное его имя test2.ads.mkpt.net

И ещё откуда он знает тогда ip адрес клиента? (PTR? 12.10.168.192.in-addr.arpa в tcpdump)

[AnrDaemon]

Он не знает, это его спрашивают.
Скорее всего, это имя было зарегистрировано в DNS через DHCP.

[golfstream]

Он не знает, это его спрашивают.
Скорее всего, это имя было зарегистрировано в DNS через DHCP.

Сервер gate знает, что зона ads находится по адресу 192.168.10.2 только потому, что search на нем в первую очередь настроен на ads.mkpt.net, а уж потом на mkpt.net и сервера днс 192.168.10.2 и 192.168.10.2 соответственно. И то машины домена нормально резолвятся только по полному имени(x.ads.mkpt.net), а так запрашивается  mkpt.net . А как тогда можно сделать так чтобы при запросе на основной bind была найдена зона ads.

[AnrDaemon]

Я уже начинаю путаться, где у вас что находится и как работает…

[golfstream]

Я уже начинаю путаться, где у вас что находится и как работает…

Поверьте, я тоже

[temnodan]

Здравствуйте!
Кто-нибудь может подсказать, почему  /usr/sbin/samba_dnsupdate: response to GSS-TSIG query was unsuccessful ?

root@dc1:/var/log# /usr/sbin/samba_dnsupdate -d 7

(Нажмите, чтобы показать/скрыть)

INFO: Current debug levels:
  all: 7
  tdb: 7
  printdrivers: 7
  lanman: 7
  smb: 7
  rpc_parse: 7
  rpc_srv: 7
  rpc_cli: 7
  passdb: 7
  sam: 7
  auth: 7
  winbind: 7
  vfs: 7
  idmap: 7
  quota: 7
  acls: 7
  locking: 7
  msdfs: 7
  dmapi: 7
  registry: 7
  scavenger: 7
  dns: 7
  ldb: 7
lpcfg_load: refreshing parameters from /etc/samba/smb.conf
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
Processing section "[netlogon]"
Processing section "[sysvol]"
pm_process() returned Yes
added interface enp4s0 ip=192.168.10.244 bcast=192.168.11.255 netmask=255.255.254.0
added interface enp2s0 ip=192.168.20.244 bcast=192.168.20.255 netmask=255.255.255.0
lpcfg_servicenumber: couldn't find ldb
schema_fsmo_init: we are master[yes] updates allowed[no]
schema_fsmo_init: we are master[yes] updates allowed[no]
ldb_wrap open of secrets.ldb
response to GSS-TSIG query was unsuccessful
response to GSS-TSIG query was unsuccessful
response to GSS-TSIG query was unsuccessful
response to GSS-TSIG query was unsuccessful
response to GSS-TSIG query was unsuccessful
Failed update of 5 entries

[eskimos]

Здравствуйте, у меня такой вопрос: при выполнении пункта инструкции

Код: [Выделить]

kinit administrator@ADSAMBA.LOCПолучаю ошибку: kinit: Bad encryption type while getting initial credentials

Погуглил, ответа толком не обнаружил. Я примерно понимаю, в чем суть ошибки, но не знаю, копнуть, чтобы исправить. Помогите, пожалуйста

UPD:Все заработало, переконфигурировал заново, неясно, где именно была проблема.

Теперь другая проблема: кто-нибудь может поделиться мануалом по добавлению Windows-машин в домен. В интернетах есть куча материалов по добавлению Linux-машин в домен Windows, наоборот не могу отыскать.

[AnrDaemon]

Какой мануал тебе нужен? Просто берёшь и добавляешь.

[eskimos]

Какой мануал тебе нужен? Просто берёшь и добавляешь.

Добавляю, получаю ошибку "не удалось разрешить DNS-имя контроллера домена в присоединяемом домене, Убедитесь что настройки данного клиента обеспечивают доступ к DNS-серверу, который может выполнять разрешение DNS-имён в целевом домене." Ясно, что проблема в DNS, все рекомендации выполнены из статьи, все тесты пройдены успешно, куда дальше идти - немного неясно.

[AnrDaemon]

Значит, сеть настроена через жопу…
Показывай "samba-tool testparm --suppress-prompt" с DC.

[eskimos]

Код: [Выделить]

# Global parameters
[global]
        workgroup = MAK
        realm = MAK.LOC
        netbios name = DC-2FLOOR-UR
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/mak.loc/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No


[AnrDaemon]

C клиента

Код: [Выделить]

nslookup dc-2floor-ur.mak.loc.
nslookup -type=SRV _ldap._tcp.dc._msdcs.mak.loc.
nslookup -type=SRV _gc._tcp.mak.loc.
Точки не лишние.

[eskimos]

Код: [Выделить]

C:\Users\ts_admin>nslookup dc-2floor-ur.mak.loc.
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.2.10

╚ь :     dc-2floor-ur.mak.loc
Address:  192.168.2.10


C:\Users\ts_admin>nslookup -type=SRV _ldap._tcp.dc._msdcs.mak.l
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.2.10

_ldap._tcp.dc._msdcs.mak.loc    SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = dc-2floor-ur.mak.loc
_msdcs.mak.loc  nameserver = dc-2floor-ur.mak.loc
dc-2floor-ur.mak.loc    internet address = 192.168.2.10

C:\Users\ts_admin>nslookup -type=SRV _gc._tcp.mak.loc.
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.2.10

_gc._tcp.mak.loc        SRV service location:
          priority       = 0
          weight         = 100
          port           = 3268
          svr hostname   = dc-2floor-ur.mak.loc
mak.loc nameserver = dc-2floor-ur.mak.loc
dc-2floor-ur.mak.loc    internet address = 192.168.2.10

[AnrDaemon]

Лечите свою сеть, у вас DNS болен.