Ubuntu14.04+PDC(SerSamba4)+Windows7/8/XP=NT_STATUS_OBJECT

[Николай1984]

Доброго времени суток.

Сабж такой:
Есть организация, в ней работает 85 компьютеров разной специфики, в 5 workgroup'ах. Принято решение объединить их в домен под управлением Ubuntu Samba DC.

Самба и активдиректори установились нормально, в acl взят --use-ntvfs, атрибуты сохраняет. Sudo administrator есть.

Вопрос в следующем:

При заводе в домен windows7,8 и выше - нужно указывать не стандартное имя пользователя, а ИМЯ@DOMAIN.LOCAL и соответственно его пароль. После этого машина заводится в домен.
И - все. Авторизации доменных пользователей на компе не происходит. Неправильное имя пользователя и пароль.

На шары заходит, sysvol видит (спрашивает пользователя, или не спрашивает - я создал локального).

WinXP и  Win2003 логинятся без проблем.

Копание в smb logon'ах показало, что не авторизуется учетная запись компьютера вин8х. Либо авторизация происходит с такими учетными параметрами: DOMAIN\netbiosname@netbiosname, либо DOMAIN\user@netbiosname.

Куда копать? очень хочется домен...

[AnrDaemon]

1. Домен нормально назовите. .local - зарегистрированный суффикс.
2. ДЦ на самбе не является браузером сети. Вам нужен ещё один комп с самбой или с Windowsми, который будет обслуживать подсеть и разрешать имена NETBIOS.

[Николай1984]

Является. DC видит сеть и netbios-имена, netbios на компах поднят, и сама самба имеет свое нетбиос-имя. Пинг с самбы по нетбиосу проходит.

.local попробую переназвать на какое-нибудь другое имя, действительно вариант. Но почему работают ХР?

[alexxnight]

Подключение windows 7,8,8.1 к домену:
В windows:
Regedit
Ветка: HKEY_LOCAL_MACHINE-> SYSTEM -> CurrentControlSet -> Services -> LanmanWorkstation -> Parameters
Создать 2 DWORD (32 бита) значения:
DomainCompatibilityMode=1
DNSNameResolutionRequired=0

Это делали?

[AnrDaemon]

alexxnight, это НЕ НУЖНО делать для 4-й самбы.

[alexxnight]

Я на прошлой неделе тестировал samba 4.3.4 (из исходников собирал) устанавливал и с SAMBA_INTERNAL, и с BIND9_DLZ - не хочет без этих параметров windows7 входить в домен...

Может, что не так делал.
ТС, отпишитесь, помогло али нет...

[AnrDaemon]

Всё не так делали. Не надо вносить эти правки в реестр, вы сломаете AD.

[Николай1984]

 :-\Итак, 20апреля, отчитываюсь:

1. Первоначальный вариант самбасервера пришлось переустанавливать полностью; действительно, поменял суффикс на .HOME (полное название домена получилось UKT.HOME)- winXP, 7, 8, 2003 - все вошли в домен без проблем.
Сейчас в домене 17 машин, около 30 пользователей.

2. Возникла проблема (сегодня ночью): утром компьютеры перестали видеть SYSVOL (и соответственно NETLOGON со всеми вытекающими последствиями). Пользователей при этом система цепляет. GPO, разумеется, нет.
При этом потерялась еще одна расшаренная папка на DC (назовем ее test, не суть важно, она мне и не нужна уже теперь), не имеющая отношения к домену.
Все дружно в лог кидают сообщения вида:

Код: [Выделить]

[2016/04/19 17:28:45.790902,  0] ../source4/smb_server/smb/service.c:127(make_connection)
  make_connection: couldn't find service VOLUME_1: NT_STATUS_OBJECT_NAME_NOT_FOUNDодинаково для входа с WINDOWS-компьютера или из-под smbclient.
В домене еще одна ubunt-овая машина (старенький комп заточенный под торрентокачалку), с нее та же ошибка:

Код: [Выделить]

NT_STATUS_OBJECT_NAME_NOT_FOUND listing \*Kerberos работает, юзеров пускает, DNS цепляет, MMC цепляет и политики и AD и DNS,

? samba-tool ntacl sysvolcheck выдал ошибку в разрешениях на политику (лог уже не дам, потерял) - после ...sysvolreset ошибка пропала.
SAMBA так же не видится в клиентских машинах.
Время синхронится правильно.

Где копать???

p.s. Спасибо всем откликнувшимся от Управления Калужского Троллейбуса и меня лично, решение насчет суффикса домена подсказали именно вы!


Пользователь добавил сообщение 19 Апреля 2016, 19:24:09:Переввод компьютера в домен не помог; компьютер входит, пользователи цепляются, SYSVOL и все остальное в части шар самбы - недоступно.

Код: [Выделить]

.../SYSVOL ссылается на недоступное расположение. Это может бытьдиск этого компьютера или сетевой ресурс. Убедитесь, что вы подключены к интернету или локальной сети и повторите попытку. Если она вновь окажется неудачной... итд.

Вот так выглядит обновление групповой политики:

Код: [Выделить]

C:\Users\nwadmin.UKT.002>gpupdate
Выполняется обновление политики...

Обновление политики для компьютера успешно завершено.
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\ukt.home\sysvol
\ukt.home\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" с контроллера
 домена была неудачной. Параметры групповой политики не могут быть применены, по
ка не будет исправлена эта ситуация. Это может быть временным явлением, его возм
ожные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
 GPReport.html из командной строки для просмотра сведений о результатах группово
й политики.

C:\Users\nwadmin.UKT.002>

Пользователь добавил сообщение 19 Апреля 2016, 21:15:22:root@ukt-local:~# samba-tool gpo aclcheck

Код: [Выделить]

ERROR(runtime): uncaught exception - (-1073741772, 'The object name is not found.')
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/gpo.py", line 1148, in run
    fs_sd = conn.get_acl(sharepath, security.SECINFO_OWNER | security.SECINFO_GROUP | security.SECINFO_DACL, security.SEC_FLAG_MAXIMUM_ALLOWED)
root@ukt-local:~#
у меня такое ощущение, что это либо криво встало обновление конфы уUbuntu, либо что-то накосячил с GPO. Второй вариант может иметь место, тк правил вкладку "безопасность" за день до этого. Как отбросить все назад?

[AnrDaemon]

Похоже, криво пришло обновление. Сбоят питоноскрипты.

[Николай1984]

Как это опознать и откатить назад?
Еще вопрос, я ставил уже ему режим установки обновлений только после одобрения администратором. Как его отключить вообще?
Причем, отчего я думаю дело не в ГПО, - linux не должен цеплять виндополитики; но из-под клиента Ubuntu все равно не открывается ни одна из самба-шар.

[AnrDaemon]

Скорее, "какие пакеты недоустановлены".

[Николай1984]

Еще вопрос, т.к. я настраивал параметры безопасности в ГПО - а именно раздел Контроль учетных записей (нужно было отключить запрос на выполнение программы от имени администратора)
 - можно ли средствами samba-tool сбросить все (полностью) доменные политики на дефолтные, включая сам контроллер домена (архивы скриптов у меня есть, если что от прежней даты я их подтяну).

Может ли установка доменных политик влиять на видимость samba-шар sysvol и остальных? Он не видит не только сусвол...

Ну и, если нет - то как откопать недоставленные пакеты?

[AnrDaemon]

Не задавался вопросом. По идее всё хранится в sysvol
sysvolreset?

[Николай1984]

Делал.
До: sysvolcheck давал ошибку на одну из политик.
После: sysvolcheck перестал давать ошибку на ACL по политикам; sysvol по-прежнему не видится ничем.

1. Почему не видятся помимо sysvol обычные шары?
2. Почему ничего не видится из linux? Он же не должен цеплять GPO Windows? Там просто настроен подхват именования при входе в систему и подхват разрешений NTACL на шарах самого второго сервера linux?

Вчера: отключил (отвязал) ВСЕ политики на gpmc.msc (благо, доверие контроллера домена не нарушено).
Сбросил все политики своего компа.
Сегодня:

Код: [Выделить]

C:\Users\nwadmin.UKT.002>gpupdate /force
Выполняется обновление политики...

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\ukt.home\SysVol
\ukt.home\Policies\{16566F51-2523-49C1-8EE5-2F70B8E0022C}\gpt.ini" с контроллера
 домена была неудачной. Параметры групповой политики не могут быть применены, по
ка не будет исправлена эта ситуация. Это может быть временным явлением, его возм
ожные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\ukt.home\SysVol
\ukt.home\Policies\{16566F51-2523-49C1-8EE5-2F70B8E0022C}\gpt.ini" с контроллера
 домена была неудачной. Параметры групповой политики не могут быть применены, по
ка не будет исправлена эта ситуация. Это может быть временным явлением, его возм
ожные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
 GPReport.html из командной строки для просмотра сведений о результатах группово
й политики.
C:\Users\nwadmin.UKT.002>gpupdate /force
Выполняется обновление политики...

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\ukt.home\SysVol
\ukt.home\Policies\{16566F51-2523-49C1-8EE5-2F70B8E0022C}\gpt.ini" с контроллера
 домена была неудачной. Параметры групповой политики не могут быть применены, по
ка не будет исправлена эта ситуация. Это может быть временным явлением, его возм
ожные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\ukt.home\SysVol
\ukt.home\Policies\{16566F51-2523-49C1-8EE5-2F70B8E0022C}\gpt.ini" с контроллера
 домена была неудачной. Параметры групповой политики не могут быть применены, по
ка не будет исправлена эта ситуация. Это может быть временным явлением, его возм
ожные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
 GPReport.html из командной строки для просмотра сведений о результатах группово
й политики.
C:\Users\nwadmin.UKT.002>

root@ukt-local:/var/lib/samba/sysvol/ukt.home# samba-tool ntacl sysvolcheck
root@ukt-local:/var/lib/samba/sysvol/ukt.home#
root@ukt-local:/# samba-tool dbcheck
Checking 387 objects
Checked 387 objects (0 errors)
root@ukt-local:/# samba-tool gpo aclcheck
ERROR(runtime): uncaught exception - (-1073741772, 'The object name is not found.')
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/gpo.py", line 1148, in run
    fs_sd = conn.get_acl(sharepath, security.SECINFO_OWNER | security.SECINFO_GROUP | security.SECINFO_DACL, security.SEC_FLAG_MAXIMUM_ALLOWED)
root@ukt-local:/#

гаф... 


Пользователь добавил сообщение 21 Апреля 2016, 10:53:19:По просмотрам логов и имайлов (у меня кронконсоль прилетает на локальный email-сервер) никаких следов обновления не обнаружено (по крайней мере на 18-19е число). Я вообще потерялся в догадках...
Пользователь добавил сообщение 21 Апреля 2016, 11:46:41:

Код: [Выделить]

root@ukt-local:/# samba-tool -V
4.3.8-Ubuntu
root@ukt-local:/#ээ.. ставил 4.3.1

[Extremal1981]

19 апреля были обновления пакетов связанных с samba. Возможно именно поэтому у вас всё неожиданно перестало работать
Вот тут тоже проблема возникла именно после обновления 19 апреля https://forum.ubuntu.ru/index.php?topic=276556.15
Вот такие вот сюрпризы в LTS версии 
А вот и забугорные братья по разуму начали постить про данный баг http://www.eenyhelp.com/samba-samba4-quit-working-after-update-help-216014930.html