Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: [Решено] Ввод машинки в AD домен  (Прочитано 6400 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Malamut

  • Автор темы
  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3311
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
[Решено] Ввод машинки в AD домен
« : 05 Март 2010, 11:36:19 »
Пытаюсь ввести машинку в AD домен. Поставил Kerberos и самбу. Настроил, но после стал натыкаться на грабли. Билетик керберос получает нормально. Далее при попытке сделать

net ads join –U admin
получаю

Failed to join domain: failed to find DC for domain DOMAIN.RU
Вопрос 1: а откуда он вообще берёт инфу о DC? Из krb5.conf?

Ладно, фиг с ним, сделаем так:

net ads join -S DC –U admin
Всё, в домен вошли. На контроллере появилась запись для нашего сервака, мы же можем выполнить

smbclient -k -L DC
и увидеть список непойми чего, но всё же увидеть.

Вопрос 2: что мне дало это присоединение к домену? Я как-то не просёк вообще, что на данном этапе я могу сделать полезного такого исходя из того, что мой сервак теперь в домене.

Ладно. Теперь нужно организовать шары. Ок, делаем так:
# wbinfo -p
Ping to winbindd succeeded
# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret

Вопрос 3: что за нафиг с винбиндом и что ему вообще нужно?

Если кто попутно скинет ссылочку на нормальное хавту по организации доменной файловой шары на самбе - буду премного благодарен. А то по имеющимся только ошибки собирать можно.

Пользователь решил продолжить мысль [time]Fri Mar  5 08:00:04 2010[/time]:
А, ну вот конфиг самбы:
[global]
workgroup = DOMAIN
realm = DOMAIN.RU
server string = %h server
security = ADS
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
panic action = /usr/share/samba/panic-action %d
hosts allow = 192.168., 127.0.0.

Решение см. тут:

https://forum.ubuntu.ru/index.php?topic=86287.msg649988#msg649988
« Последнее редактирование: 05 Март 2010, 16:59:40 от Malamut »
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #1 : 05 Март 2010, 13:04:29 »
По поводу ненайденного DC - есть такой документ: диагностика самбы http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/diagnosis.html
Пошаговое выполнение всех инструкций мне лично всегда помогало найти проблему.

Оффлайн Malamut

  • Автор темы
  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3311
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
Re: Ввод машинки в AD домен
« Ответ #2 : 05 Март 2010, 13:22:15 »
Проблема вот в чём: у меня есть виндовый домен, который зовётся domain.ru. DC для него - dc.domain.ru. В конфигах самбы нигде не указывается имя доменконтроллера для домена. И вот вопрос: откуда самба берёт имя доменконтроллера? Через NetBios из сети? И как тогда проверить вручную, что для домена domain.ru можно получить адрес доменконтроллера через сеть? Есть такая командочка:

nmblookup -M domain.ru
Но она мне упорно возвращает failed. Если убрать .ru, то возвращает IP моего же сервака. Собственно вопрос: как заставить самбу нормально определять доменконтроллер для указанного домена? И почему .ru не нужно указывать?
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #3 : 05 Март 2010, 13:29:40 »
Видимо, потому что
workgroup = DOMAIN

Насколько я понимаю, адрес DC выдается на броадкаст. Т.е. типа идет запрос "А хто тут у нас контроллер домена?", на что контроллер должен бодро ответить "Я!".

Оффлайн Malamut

  • Автор темы
  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3311
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
Re: Ввод машинки в AD домен
« Ответ #4 : 05 Март 2010, 13:31:19 »
А что делать, если контроллер не отвечает? :-\
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #5 : 05 Март 2010, 13:40:13 »
Хороший вопрос :) Применить третью форму устрашения.

Давайте смотреть.

nmblookup -B <IP DC> __SAMBA__

Что выдает?

Пользователь решил продолжить мысль 05 Март 2010, 11:42:55:
Потом гляньте, что выдаст

nmblookup -A <IP DC>

Пользователь решил продолжить мысль 05 Март 2010, 13:50:34:
Вот, кстати, один из вариантов, почему самба может не работать... Попробуйте вставить в smb.conf строку

smb ports = 139

« Последнее редактирование: 05 Март 2010, 13:50:34 от Karl500 »

Оффлайн Malamut

  • Автор темы
  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3311
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
Re: Ввод машинки в AD домен
« Ответ #6 : 05 Март 2010, 14:03:06 »
Хм, самбу он конечно на 2008 r2 не находит))) -А выдаёт следующее:

Looking up status of 192.168.6.22
        DC            <20> -         M <ACTIVE>
        DC            <00> -         M <ACTIVE>
        DOMAIN     <00> - <GROUP> M <ACTIVE>
        DOMAIN     <1c> - <GROUP> M <ACTIVE>
        DOMAIN     <1b> -         M <ACTIVE>

Судя по тому, что в работающем домене в треугольных скобочках стоит 1d, то тут его явно не хватает))) Кстати, а что означают эти коды в скобочках?)))


Пользователь решил продолжить мысль [time]Fri Mar  5 12:19:13 2010[/time]:
Ладно, что означают я понял. DC - это 1c, а 1d - это local subnetwork's master browser. Вопрос только какого лешего самба не находит тогда DC?? Или она под DC понимает DMB??
« Последнее редактирование: 05 Март 2010, 14:20:17 от Malamut »
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #7 : 05 Март 2010, 14:26:10 »
1c - это контроллер, 1b - master browser, 1d - (если не ошибаюсь) член домена. Странно, что именно 1d нету...

У меня на PDC выдает вот что:

   SERVER    <00> -         H <ACTIVE>
   SERVER    <03> -         H <ACTIVE>
   SERVER    <20> -         H <ACTIVE>
   ..__MSBROWSE__. <01> - <GROUP> H <ACTIVE>
   DOMAIN             <1d> -         H <ACTIVE>
        DOMAIN             <1b> -         H <ACTIVE>
   DOMAIN             <1c> - <GROUP> H <ACTIVE>
   DOMAIN             <1e> - <GROUP> H <ACTIVE>
   DOMAIN             <00> - <GROUP> H <ACTIVE>

Но у меня PDC на samba...

Пользователь решил продолжить мысль 05 Март 2010, 14:31:39:
Порт 139 пробовали указать в smb.conf (я выше писал)? И еще: не может ли вдруг Ваш сервер возомнить себя DC - может, ему прямо запретить это (ну, и заодно, и мастером стать тоже запретить. И вообще дать ему os level поменьше, чтоб не пытался выиграть выборы)?
« Последнее редактирование: 05 Март 2010, 14:31:39 от Karl500 »

Оффлайн easy2002

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2786
  • Мурманск
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #8 : 05 Март 2010, 14:42:35 »
1d - (если не ошибаюсь) член домена.
а не глобальный каталог?
Tempora mutantur et nos mutantur in illis

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #9 : 05 Март 2010, 14:52:38 »
Возможно, я ж написал "если не ошибаюсь" :)

Оффлайн easy2002

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2786
  • Мурманск
    • Просмотр профиля
Re: Ввод машинки в AD домен
« Ответ #10 : 05 Март 2010, 14:56:41 »
Возможно, я ж написал "если не ошибаюсь" :)
да может и я ошибаюсь..  :)

2Malamut DC является глобальным каталогом?
« Последнее редактирование: 05 Март 2010, 14:58:34 от easy2002 »
Tempora mutantur et nos mutantur in illis

Оффлайн Malamut

  • Автор темы
  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3311
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
Re: Ввод машинки в AD домен
« Ответ #11 : 05 Март 2010, 16:20:09 »
Я вообще без понятия, что там на доменконтроллере настроено))) Я его не трогал пока. Знаю лишь что он на чистеньком Server 2008 r2 и всё. Так что если кто пнёт в нужном направлении - буду благодарен. А самбе я запретил все выборные штуки и ос левел поставил на 0. Только DC всё равно не видит она)))

Пользователь решил продолжить мысль 05 Март 2010, 16:59:12:
Ответ на вопрос номер раз:
А фиг знает эту самбу. Берёт она инфу конечно по броадкасту, но как-то кривоватенько. Проьлема с DC заключается в том, что у меня нет DDNS сервера на DC, и самбе это не нравится. Нужно просто указывать DC при подключении вручную, как я и сделал.
Ответ на вопрос номер два:
Ну можно списки пользователей посмотреть, шары там и прочую ерундистику.
Ответ на вопрос номер три:
Почаще перезапускайте винбинд и самбу;)
« Последнее редактирование: 05 Март 2010, 16:59:12 от Malamut »
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

 

Страница сгенерирована за 0.058 секунд. Запросов: 23.