[Решено] Проблема с доступом к samba по IP

[Malamut]

У меня возникла неожиданная проблема. Есть виндовый домен, который держит контроллер на 2008 r2. В него введена самба, с которой расшарены папочки. Так вот, по имени самба сервака на него попасть можно (т.е. если я введу \\smbsrv в проводник, то увижу шары), а вот по IP - нет (т.е. \\192.168.1.11 не работает).

При этом самба сервак отлично пингуется как по имени, так и по IP. DNS у меня правда нету и я не знаю, как контроллер домена определяет IP самба сервака по имени (это мне кстати тоже очень интересно). Вот вывод testparm -s:

Код: [Выделить]

Load smb config files from /etc/samba/smb.conf
Processing section "[Users]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
[global]
workgroup = DOMAIN
realm = DOMAIN.RU
server string = %h server
security = ADS
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
os level = 0
local master = No
domain master = No
dns proxy = No
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000 - 20000
idmap gid = 10000 - 20000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
hosts allow = 192.168., 127.

[Users]
comment = Users shared folders
path = /var/data/Users/
admin users = "@DOMAIN\Администраторы домена"
read only = No
create mask = 0660
directory mask = 0700
inherit permissions = Yes
inherit acls = Yes
inherit owner = Yes
map acl inherit = Yes
locking = No

И кроме того очень бы хотелось, чтобы самба была видна в сетевом окружении, т.е. чтоб не нужно было вручную вводить имя сервака, а просто было бы достаточно зайти в Сеть и увидеть мой сервак. Сейчас её не видно.

UPD: Проблема решена - см. ниже на этой же странице

[Karl500]

Я понимаю, что вопрос идиотский, но все-таки задам. А есть ли 120%-ная уверенность, что 192.168.1.11 - это IP-адрес именно smbsrv? И что smbsrv отдается именно по этому же интерфейсу? Просто я лично не могу придумать, как именно (даже если захотеть) можно сделать, чтобы был доступ по имени, и не было по IP...

[vadim-nsk]

нормально внести машинку в домен, я как понял обратной записи нет.

[Malamut]

Обратной записи нет потому что нет настроенного DNS и зоны обратного просмотра для домена. Нет и не будет в ближайшем будущем за ненадобностью. Но как это связано с доступом по IP к самбе я немного не просекаю. IP он на то и IP чтобы не обращаться ни к каким DNS.
Пользователь решил продолжить мысль 16 Марта 2010, 22:36:35:А, да, IP точно тот, даже более того, именно тот, который ресолвится по имени. Так что я в недоумении.

[Karl500]

Тогда могу только сказать, как бы это пытался вылечить я... Попробовал бы понять, на каком этапе идет "отказ": доходят ли вообще пакеты на нужны порт при обращении по IP. Если доходят - на каком этапе "отлуп": на последнем (т.е. самой самбой) или где-то раньше? (на каждом этапе проб - логи по максимуму и внимательно читать логи).
А вообще - нужна какая-то идея. Пока ее у меня нету... 

[Malamut]

Ладно, завтра пофильтрую вопрос)) А то прям мистика какая-то))

[yuristep]

настройки

Обратной записи нет потому что нет настроенного DNS и зоны обратного просмотра для домена. Нет и не будет в ближайшем будущем за ненадобностью. Но как это связано с доступом по IP к самбе я немного не просекаю. IP он на то и IP чтобы не обращаться ни к каким DNS.
Пользователь решил продолжить мысль 16 Марта 2010, 22:36:35:А, да, IP точно тот, даже более того, именно тот, который ресолвится по имени. Так что я в недоумении.

Извините, Уважаемый, но! Вы глубоко не правы - НОРМАЛЬНАЯ работа домена (или АД) на Win SRV 2008 гарантируется только! при условии подъема (и настройки) DNS на АД. В противном случае MS ничего не гарантирует ... Т.е. по итогу - имеем некорректно работающий АД, и соответсвенно все остальные вопросы уже "не интересны" ...

[Malamut]

Мне глубоко пофиг на MS, вот ей-богу! Протокол SMB если мне не изменяет память ну никаким боком к DNS не привязан, кроме начального ресолва имени сервера в IP. И DNS не то чтобы очень нужен для AD, теоретически если домен используется только для общей авторизации, то на DNS можно забить болт. Вы что, хотите сказать, что если я подключусь  к сетке и не войду в домен, то я не смогу получить доступ на шару по IP? (при правильных настройках шары, конечно) Или security = ADS теперь требует зону обратного просмотра для нормальной работы? Вроде бы как оно должно только проверять доменную авторизацию и всё, для этого DNS нафиг не нужен. Короче - я завтра настрою обратный просмотр, хрен уж с ним, если после этого заработает, то клятвенно обещаю послать MS в ещё большую задницу, чем посылаю сейчас. Вот ей-богу задолбался я уже плясать с бубном вокруг винды(((( Хотя конечно тоже склонен списывать сей бред на проблемы на DC, а не на самбе...

[vadim-nsk]

я в очень сильной тревоге! берегите нервы! если АД не используется по прямому назначению (чтоб там горели красным пламенем грешники за использование на рабочих машинах и серверах винды, ведь не даром его так назвали), зачем он вообще нужен? я правда в шоке, зачем 2008 сервер то нужен?

[Malamut]

Для удобного управления доменом. Групповые политики там всякие и прочие плюшки.

[yuristep]

Для удобного управления доменом. Групповые политики там всякие и прочие плюшки.

Тогда либо настраивайте его согласно правил MS, либо не задавайте вопросов "почему"
И нескромный вопрос (из практики) - если у Вас АД на MS, клиенты исходя из Вашего поста - на MS, зачем Вам в подобной сети Linux ... ?
Пы.Сы. ... а хоть в два слова - как вводили машинку в домен ?

[Malamut]

Ну как зачем: почта, шлюз, шары, DHCP - не покупать же под это вин серваки. Да и как-то доверия к надёжности вин не вызывает)) Собственно клиенты-то на Windows и домен соответственно на Windows, а всё остальное - на Linux. Вводил понятно как: настроил керберос и сделал net ads join. Кроме невозможности обновить DNS никаких ошибок не было.
Пользователь решил продолжить мысль 17 Марта 2010, 12:09:43:Хм, забавы ради, создал зону обратного просмотра, ввёл в домен нормально, всё равно по IP нет доступа)))

[brutaler]

У меня та же проблема, один в один. Только дистрибутив не Ubuntu, а Centos 5.4. Кто нибуть нашел решение? Зону обратного просмотра я то же создавал, не помогло.

[Malamut]

Я нашёл конечно. Во-первых, я обновил самбу через бекпорты дебиана. Не помню толком зачем мне это понадобилось, но тоже из-за проблем с работой вместе с 2008 r2. Вообще самба такая вещь, которую нужно иметь всегда самую последнюю стабильную версию. Или хотя бы к этому стремиться.

Так вот, а проблема в IPv6. Нужно либо настроить 2008r2 для корректной работы с IPv6 (DNS в основном), либо, как сделал я, чтобы в очередной раз не разбирать глюки винды, просто отключить поддержку IPv6 на самба серваке.

[brutaler]

Тоже решил эту проблему. Но отключение IPv6 не помогло. А помогло обновление Samba до версии 3.5.2.