LINUX.ORG.RU
ФорумAdmin

Не реплицируются данные Active Directory

 , ,


0

1

Собрал тестовый стенд с MS Windows server 2008 r2 + Debian 8 + Samba 4.1. Использовались инструкции официального разработчика.

Замечу, что у меня «необычная» схема размещения сервисов.

  • gw.zonename.ru (ip 192.168.7.3) - DDNS+DHCP+шлюз в интернеты
  • dc-0.zonename.ru (ip 192.168.7.2) - контроллер домена AD на винде. Поднято без DNS & DHCP.
  • dc-1.zonename.ru (ip 192.168.7.6) - контроллер домена AD на Samba. Поднято без DNS & DHCP.

В настройках DNS прописано разрешение на запись в зоны от этих ip. Все, кроме gw, получают ip по привязке к MAC.

В /etc/resolv.conf на dc-1 

domain zonename.ru
search zonename.ru
nameserver 192.168.7.3

В /etc/hosts на dc-1 

127.0.0.1 localhost
127.0.1.1 dc-1.zonename.ru dc-1
192.168.7.6  dc-1.zonename.ru dc-1

Автоматически сформированый /etc/samba/smb.conf 

[global]
workgroup = ZONENAME
realm =vlgd61.ru
netbios name = DC-1
sarever role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate

[netlogon]
path = /var/lib/samba/sysvol/zonename.ru/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

Ошибок при вводе в домен не наблюдалось. Ошибка при просмотре статуса репликации samba-tool drs showrepl: 

Failed to connect host 127.0.1.1 on port 135 - NT_STATUS_CONNECTION_REFUSED
Failed to connect host 127.0.1.1 (dc-1.zonename.ru) on port 135 - NT_STATUS_CONNECTION_REFUSED
Failed to connect host 192.168.7.6 on port 135 - NT_STATUS_CONNECTION_REFUSED
Failed to connect host 192.168.7.6 (dc-1.zonename.ru) on port 135 - NT_STATUS_CONNECTION_REFUSED
ERROR(<class 'samba.drs_utils.drsException'>): DRS connection to dc-1.zonename.ru failed - drsException: DRS connection to dc-1.zonename.ru failed: (-1073741258, 'The connection was refused')

★★★★
nginx показывает отключенный сайт
LXC

Кешка на какой, физически? И, ещё такой моментик, там случаем не по новейшей моде «полуАйпи-полуМак» защищалка проставлена. Она может просто в один адрес эти два сваливать!?

anonymous
()
Ответ на: комментарий от anonymous

Можно более подробно и без сленга?

leonidko ★★★★
() автор топика
Ответ на: комментарий от leonidko

Если Kerberos, то 

klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin1@ZONENAME.RU

Valid starting   Expires   Service principal
10.08.2015 11:50:55   10.08.2015 21:50:55   krbtgt/ZONENAME.RU@ZONENAME.RU
   renew until 11.08.2015 11:50:48

leonidko ★★★★
() автор топика

При попытке обновить записи в DNS

samba_dnsupdate

tkey query failed: GSSAPI error: Major = Unspecified GSS failure. Minor code may provide more information, Minor = Server not found in Kerberos database.

А в винде пишет что сервер RPC недоступен.

leonidko ★★★★
() автор топика
Последнее исправление: leonidko (всего исправлений: 1)

Предварительный итог

Минимально рабочий smb.conf в среде с AD DC на MS Windows Server 2008 R2: 

[global]
	debug level = 1
	syslog = 1
	workgroup = MYDOMAIN
	realm = mydomain.ru
	netbios name = 
	server role = active directory domain controller
	server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
	allow dns updates = nonsecure
	dns forwarder = DNS_Server
	idmap_ldb:user rfc2307 = Yes
	
[netlogon]
	path = /var/lib/samba/sysvol/mydomain.ru/scripts
	read only = No
	
[sysvol]
	path = /var/lib/samba/sysvol
	read only = No

Samba вводилась с --dns-backend=NONE.

Для решения проблемы стартового надо поколдовать с учёткой DNS в AD, Kerberos и SPN.

leonidko ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
nginx показывает отключенный сайт
Admin
LXC