Настройка дополнительного DC на samba4 и репликации всего на свете.

[skytrain]

Доброго времени суток.
Используя http://www.samba4.ru/?p=246
И кучу всего подобного рода вплоть до http://wiki.samba.org/index.php/Samba4/HOWTO#Installing_Samba
Я хотел получить второй равноценный DC. Потом (Через пару месяцев) сделать его PDC
Возникли вопросы и одна проблема

1) Вопрос. В чем разница между idmap_rid и rfc2307
2) в чем разница между BDC и MEMBER. (Ubuntu 12.04, пакет samba4)
3) Почему не работает winbind4 (пробовал http://serverfault.com/questions/527332/ubuntu-12-04-samba-4-and-winbind)

(Нажмите, чтобы показать/скрыть)

Package: samba4
Priority: optional
Section: universe/net
Installed-Size: 10938
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Samba Debian Maintainers <pkg-samba-maint@lists.alioth.debian.org>
Architecture: i386
Version: 4.0.0~alpha18.dfsg1-4ubuntu2

И собственно проблема.
Что то мне подсказывало, что отсутствие возможности прикрутить нормальный bind к данной версии самбы выйдет боком.
Так и вышло.....
Самбовый бинд забрал себе всю зону с виндового ДНС. И я не могу вернуть ее обратно....

И меня расстреляют.... если заметят, так как эксперимент был крайне нелегальный.
Можно хотя-бы пару слов о том, как им управлять.
Вот список файлов из

(Нажмите, чтобы показать/скрыть)

ladmin@vpnsrv:~$ sudo ls  -l /var/lib/samba/private/
итого 4132
drwxrwx--- 3 root  118    4096 июня  27 11:59 dns
-rw-r--r-- 1 root root    2270 июня  27 12:08 dns_update_list
-rw------- 1 root root  126976 июня  27 13:57 hkcr.ldb
-rw------- 1 root root  126976 июня  27 13:57 hkcu.ldb
-rw------- 1 root root  126976 июня  27 12:08 hklm.ldb
-rw------- 1 root root  126976 июня  27 13:57 hku.ldb
-rw------- 1 root root  126976 июня  27 12:08 idmap.ldb
-rw-r--r-- 1 root root     326 июня  27 13:38 krb5.conf
srwxrwxrwx 1 root root       0 июня  29 17:44 ldapi
drwxr-x--- 2 root root    4096 июня  29 17:44 ldap_priv
-rw-r--r-- 1 root root     382 июня  27 11:59 named.conf
-r--r--r-- 1 root root     266 июня  27 12:15 named.conf.update
-rw-r--r-- 1 root root    3132 июня  27 11:59 named.txt
-rw-r--r-- 1 root root     637 июня  27 12:08 phpldapadmin-config.php
-rw------- 1 root root  126976 июня  27 12:08 privilege.ldb
-rw------- 1 root root     696 июня  27 11:59 randseed.tdb
-rw------- 1 root root 3153920 июня  27 12:09 sam.ldb
drwx------ 2 root root    4096 июня  27 12:09 sam.ldb.d
-rw------- 1 root root     696 июня  29 17:44 schannel_store.tdb
-rw------- 1 root root    1047 июня  27 12:09 secrets.keytab
-rw------- 1 root root  126976 июня  27 12:09 secrets.ldb
-rw------- 1 root root  126976 июня  27 11:57 share.ldb
drwxr-xr-x 3 root root    4096 июня  29 17:55 smbd.tmp
-rw-r--r-- 1 root root     955 июня  27 12:08 spn_update_list
drwxr-xr-x 2 root root    4096 июня  27 11:59 tls

[chemtech]

Сначала воспользоваться поиском
samba site:ubuntu.ru

[skytrain]

Сделано.
Уже. Так или иначе я на все эти тонкости вышел, кроме AppArmor, и bind не установлен.

Дело принимает серьезный оборот.
Сервер стал виснуть. Он держит ВПН до филиалов.

Подскажите как вернуть ДНС зону на виндовый сервер.
Плиз хелп ас.!!!
Капитальный разбор потом.

Сейчас используется самбовый ДНС. Где он хранит конфиги и зоны зон вы знаете?

[ArcFi]

Поднять бэкап на момент, когда всё было хорошо.
Вы же его выполнили, верно?

[skytrain]

Слава богу это есть. Акронис....
Но прав на бекапы нет.
К верховному админу обращаться последнее дело....
Может можно как-то это решить мирным путем.?
Пользователь решил продолжить мысль 30 Июня 2014, 09:20:56:Я ранее поднимал bind как slave.
Все было мягко скажем как по маслу... а тут такой косяк.
Пользователь решил продолжить мысль 30 Июня 2014, 09:25:39:

(Нажмите, чтобы показать/скрыть)

sudo samba-tool dns zoneinfo s2 umo.local -U scatsrv
  pszZoneName                 : umo.local
  dwZoneType                  : DNS_ZONE_TYPE_PRIMARY
  fReverse                    : FALSE
  fAllowUpdate                : UNKNOWN (0x1)
  fPaused                     : FALSE
  fShutdown                   : FALSE
  fAutoCreated                : FALSE
  fUseDatabase                : TRUE
  pszDataFile                 : None
  aipMasters                  : []
  fSecureSecondaries          : DNS_ZONE_SECSECURE_NO_SECURITY
  fNotifyLevel                : DNS_ZONE_NOTIFY_LIST_ONLY
  aipSecondaries              : []
  aipNotify                   : []
  fUseWins                    : FALSE
  fUseNbstat                  : FALSE
  fAging                      : FALSE
  dwNoRefreshInterval         : 168
  dwRefreshInterval           : 168
  dwAvailForScavengeTime      : 0
  aipScavengeServers          : []
  dwRpcStructureVersion       : 0x0
  dwForwarderTimeout          : 0
  fForwarderSlave             : 0
  aipLocalMasters             : []
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : DomainDnsZones.umo.local
  pwszZoneDn                  : DC=umo.local,cn=MicrosoftDNS,DC=DomainDnsZones,DC=umo,DC=local
  dwLastSuccessfulSoaCheck    : 0
  dwLastSuccessfulXfr         : 0
  fQueuedForBackgroundLoad    : FALSE
  fBackgroundLoadInProgress   : FALSE
  fReadOnlyZone               : FALSE
  dwLastXfrAttempt            : 0
  dwLastXfrResult             : 0

[ArcFi]

Ну, даже не знаю...
У меня бекендом Dnsmasq на другом серваке.
Передать все FSMO-роли и вывести машину из домена.

[skytrain]

FSMO роли на месте слава богу.

(Нажмите, чтобы показать/скрыть)

InfrastructureMasterRole owner: CN=NTDS Settings,CN=S2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=umo,DC=local
RidAllocationMasterRole owner: CN=NTDS Settings,CN=S2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=umo,DC=local
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=S2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=umo,DC=local
DomainNamingMasterRole owner: CN=NTDS Settings,CN=S2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=umo,DC=local
SchemaMasterRole owner: CN=NTDS Settings,CN=S2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=umo,DC=local

Пользователь решил продолжить мысль 30 Июня 2014, 09:31:40:

Ну, даже не знаю...
У меня бекендом Dnsmasq на другом серваке.
Передать все FSMO-роли и вывести машину из домена.

DNS backand в данной версии самбы4 не работает. Ставил из репа в не с исходников.
Пользователь решил продолжить мысль 30 Июня 2014, 09:36:58:Могу по в формате очень страшной тайны дать временный сертификат опенвпн с конфигом клиента в мою сеть.

Кстати дома есть поднятый опенвпн хочу для целей поддержки общества выделить его на нужды форума.
Но это позже.
Пользователь решил продолжить мысль 30 Июня 2014, 09:43:42:Как вы думаете.
Если пересоздать зону ДНС на вин сервере, она сможет установить доверительные отношения с существующими каталогами AD.?

Пользователь решил продолжить мысль 30 Июня 2014, 09:53:46:Вот запретил передачи зон с винсервера ДНС. Он перезагрузил ее с AD и все стало на свои места.
Поставлю самбу по новой. Вместе с нормальным биндом.

Так может вы что знаете по вопросам.
1) Вопрос. В чем разница между idmap_rid и rfc2307
2) в чем разница между BDC и MEMBER. (Ubuntu 12.04, пакет samba4)
3) Почему не работает winbind4 (пробовал http://serverfault.com/questions/527332/ubuntu-12-04-samba-4-and-winbind)

[ArcFi]

1) Вопрос. В чем разница между idmap_rid и rfc2307

http://habrahabr.ru/post/216173/

2) в чем разница между BDC и MEMBER

Ё-моё, это ж базовые понятия:
http://smb-conf.ru/server-role.html

3) Почему не работает winbind4

Хз, у меня работает, копайте логи.

[skytrain]

Что могут значить подобные записи?
Unknown parameter encountered: "winbind trusted domains only"
Ignoring unknown parameter "winbind trusted domains only"
Unknown parameter encountered: "winbind use default domain"
Ignoring unknown parameter "winbind use default domain"
Unknown parameter encountered: "winbind enum users"
Ignoring unknown parameter "winbind enum users"
Unknown parameter encountered: "winbind enum groups"
Ignoring unknown parameter "winbind enum groups"

[chemtech]

Ignoring unknown parameter "winbind trusted domains only"

[skytrain]

Ignoring unknown parameter "winbind trusted domains only"

Спасибо... Но там ничего нет.... На половине ресурсов я уже был.
Это большинство про самбу3.
Вот тут информативней, но не помогло....
http://serverfault.com/questions/527332/ubuntu-12-04-samba-4-and-winbind

[ArcFi]

По-хорошему, конфиг samba следует проверять перед применением

Код: [Выделить]

man testparmчтобы минимизировать количество косяков после запуска.

[skytrain]

РЕЧЬ ИДЕТ О САМБА4!!!!
Конфиг взят из
http://wiki.samba.org/index.php/Setup_a_Samba_AD_Member_Server#Server_information_used_in_this_HowTo

Так или иначе службы ldap работают... и репликация работает но винбинд зараза не хочет быть источником пользователей и групп. И при попытке wbinfo -u получается
Error looking up domain users

Есть и такая темка
https://bugs.launchpad.net/ubuntu/+source/samba4/+bug/880212
Самба4 безбожно матерится на олдскульные конфиги. Это факт. Влияет ли это на работу винбинда.

И чтоб проверить конфиг нужно юзать samba-tool (хотя от этого не легче )

(Нажмите, чтобы показать/скрыть)

ladmin@vpnsrv:~$ sudo samba-tool testparm
Unknown parameter encountered: "winbind nss info"
Ignoring unknown parameter "winbind nss info"
Unknown parameter encountered: "winbind trusted domains only"
Ignoring unknown parameter "winbind trusted domains only"
Unknown parameter encountered: "winbind use default domain"
Ignoring unknown parameter "winbind use default domain"
Unknown parameter encountered: "winbind enum users"
Ignoring unknown parameter "winbind enum users"
Unknown parameter encountered: "winbind enum groups"
Ignoring unknown parameter "winbind enum groups"
Press enter to see a dump of your service definitions

# Global parameters
[global]
        server role = domain controller
        workgroup = UMO
        realm = UMO.LOCAL
        netbios name = VPNSRV
        allow dns updates = True
        idmap config umo:range = 1000-40000
        idmap config umo:schema_mode = rfc2307
        idmap config umo:backend = ad
        idmap config *:range = 70001-80000
        dmap config *:backend = tdb

[netlogon]
        path = /var/lib/samba/sysvol/umo.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[ArcFi]

РЕЧЬ ИДЕТ О САМБА4!!!!

О том и речь.
Вообще, следует понимать, что 4.0 != 4.1 != 4.2.
Даже на их вики инфа местами не первой свежести.
Поэтому все параметры и их значения имеет смысл проверять на соответствие тому, что написано в man и testparm по совокупности.

[skytrain]

Да. я это заметил.
Может в логах чего накопаю.
Буду пробовать сборку из исходников. Там и винбинд собирается и все свете нужное одним махом.
Здравствуй франкеншткйн.
Завтра отпишусь что получится.

Пользователь решил продолжить мысль 01 Июля 2014, 02:03:52:Собрал вроде
Версия самбы 4.1
Вот лог.
[2014/07/01 01:59:04.700160,  0]

(Нажмите, чтобы показать/скрыть)

../source4/smbd/service_stream.c:346(stream_setup_socket)
  Failed to listen on :::53 - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
[2014/07/01 01:59:04.713780,  0] ../source4/dns_server/dns_server.c:629(dns_add_socket)
  Failed to bind to :::53 TCP - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
[2014/07/01 01:59:04.718540,  0] ../source4/smbd/service_task.c:35(task_server_terminate)
  task_server_terminate: [dns failed to setup interfaces]
  STATUS=daemon 'samba' finished starting up and ready to serve connectionssamba_terminate: dns failed to setup interfaces

Поехали потихоньку
У меня бридж для опенвпн. Это может мешать?
Пользователь решил продолжить мысль 01 Июля 2014, 02:11:32:УБИЛ БИНД!!!! Висел на порту
ЗАРАБОТАЛО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

В репе по ходу пакет кривой. Надо было для отладки логи сохранять. Не подумал...
Надо теперь бинд прикручивать.