Samba4 DNS bugs

0

1

Добрый вечер.

Перодически раз где-то в три дня приходится рестартить самбу, поскольку доменные ПК не могут получить имена других ПК.

[root@dc ~]# systemctl status samba4 -l
● samba4.service - Samba 4 Active Directory
   Loaded: loaded (/etc/systemd/system/samba4.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 2016-03-24 17:33:48 MSK; 23min ago
  Process: 21874 ExecStart=/usr/local/samba/sbin/samba (code=exited, status=0/SUCCESS)
 Main PID: 21875 (samba)
   CGroup: /system.slice/samba4.service
           ├─21875 /usr/local/samba/sbin/samba
           ├─21876 /usr/local/samba/sbin/samba
           ├─21877 /usr/local/samba/sbin/samba
           ├─21878 /usr/local/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─21879 /usr/local/samba/sbin/samba
           ├─21880 /usr/local/samba/sbin/samba
           ├─21881 /usr/local/samba/sbin/samba
           ├─21882 /usr/local/samba/sbin/samba
           ├─21883 /usr/local/samba/sbin/samba
           ├─21884 /usr/local/samba/sbin/samba
           ├─21885 /usr/local/samba/sbin/samba
           ├─21886 /usr/local/samba/sbin/samba
           ├─21887 /usr/local/samba/sbin/samba
           ├─21888 /usr/local/samba/sbin/samba
           ├─21889 /usr/local/samba/sbin/samba
           ├─21890 /usr/local/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           ├─21893 /usr/local/samba/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           ├─21894 /usr/local/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─21895 /usr/local/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           └─21897 /usr/local/samba/sbin/smbd -D --option=server role check:inhibit=yes --foreground

Mar 24 17:33:53 dc samba[21888]: [2016/03/24 17:33:53.812707,  0] ../source4/dsdb/dns/dns_update.c:295(dnsupdate_nameupdate_done)
Mar 24 17:33:53 dc samba[21888]:   ../source4/dsdb/dns/dns_update.c:295: Failed DNS update - NT_STATUS_ACCESS_DENIED
Mar 24 17:43:54 dc samba[21888]: [2016/03/24 17:43:54.802859,  0] ../lib/util/util_runcmd.c:328(samba_runcmd_io_handler)
Mar 24 17:43:54 dc samba[21888]:   /usr/local/samba/sbin/samba_dnsupdate: tkey query failed: GSSAPI error: Major = Unspecified GSS failure.  Minor code may provide more information, Minor = Server not found in Kerberos database.
Mar 24 17:43:54 dc samba[21888]: [2016/03/24 17:43:54.907260,  0] ../source4/dsdb/dns/dns_update.c:295(dnsupdate_nameupdate_done)
Mar 24 17:43:54 dc samba[21888]:   ../source4/dsdb/dns/dns_update.c:295: Failed DNS update - NT_STATUS_ACCESS_DENIED
Mar 24 17:54:09 dc samba[21888]: [2016/03/24 17:54:09.819831,  0] ../lib/util/util_runcmd.c:328(samba_runcmd_io_handler)
Mar 24 17:54:09 dc samba[21888]:   /usr/local/samba/sbin/samba_dnsupdate: tkey query failed: GSSAPI error: Major = Unspecified GSS failure.  Minor code may provide more information, Minor = Server not found in Kerberos database.
Mar 24 17:54:10 dc samba[21888]: [2016/03/24 17:54:10.184202,  0] ../source4/dsdb/dns/dns_update.c:295(dnsupdate_nameupdate_done)
Mar 24 17:54:10 dc samba[21888]:   ../source4/dsdb/dns/dns_update.c:295: Failed DNS update - NT_STATUS_ACCESS_DENIED

Больше всего пугает «Failed DNS update - NT_STATUS_ACCESS_DENIED».

DNS_backend=SAMBA_INTERNAL, на всех ПК static ip.

Как лечить?

Ссылка

←	Freebsd+Squid3.5+sams2

Не могу разобраться с rsync

→

Значение allow dns updates какое стоит? На днях была похожая проблема, правда без потери Kerberos, временно решилось выставлением данного параметра значения nonsecure

allow dns updates = nonsecure

Так же проверьте одинаковое ли время на всех хостах и сервере

operatornk
(24.03.16 21:09:31 MSK)

Ответ на: комментарий от operatornk 24.03.16 21:09:31 MSK

Спасибо, попробуем. У меня стояло:

allow dns updates = signed

Далее вот что еще смущает. Пробую:

# /usr/local/samba/bin/ldbsearch -H /usr/local/samba/private/sam.ldb '(invocationid=*)' --cross-ncs objectguid
# record 1
dn: CN=NTDS Settings,CN=LostAndFoundConfig,CN=Configuration,DC=domain,DC=local
objectGUID: dd1a9239–02a0–4299–964d-75f3b9c54aa1

# record 2
dn: CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
objectGUID: bf035a91–72f6–4322-bdbf-bae54e342b36

# returned 2 records
# 2 entries
# 0 referrals

Но ответ при запросе с обоими objectGUID такой:

# host -t CNAME dd1a9239–02a0–4299–964d-75f3b9c54aa1._msdcs.domain.local

Host dd1a9239–02a0–4299–964d-75f3b9c54aa1._msdcs.domain.local not found: 3(NXDOMAIN)

zuxla
(25.03.16 22:19:47 MSK) автор топика

Ответ на: комментарий от zuxla 25.03.16 22:19:47 MSK

Сосбтвенно, я к тому что данный DC перенесенный с Win2008. И при вывовде samba-tool drs showrepl у меня был некоторый геморой ))

Вот здесь написано, что нужно создать:

# samba-tool dns add IP-of-your-DNS _msdcs.domain.lan dd1a9239–02a0–4299–964d-75f3b9c54aa1 CNAME SMBSRV01.domain.lan -Uadministrator

Но как узнать какой GUID под каким ip? )) У меня два сетевых адаптера на DC

zuxla
(25.03.16 22:39:30 MSK) автор топика

Ссылка

Ответ на: комментарий от operatornk 24.03.16 21:09:31 MSK

Все, разобрался с GUID. По вашему совету выставил nonsecure и пока что-то вроде все ок. Погоняю несколько дней - посмотрю.

Теперь вот такой ВОПРОС: при использовании DNS-бэкенда SAMBA_INTERNAL приходится все компы добавлять в остнастке DNS вручную. Как сделать чтобы сами регистрировались?

zuxla
(26.03.16 02:42:08 MSK) автор топика

Ответ на: комментарий от zuxla 26.03.16 02:42:08 MSK

Насчет добавления вручную не подскажу, при добавление в домен автоматически добавляются, а без домена, присутствие хоста в записях днс в моем случае не обязательно, поэтому не вникал почему так...
А вообще пришел к выводу что лучше использовать bind...
еще переодически встречал в поисковиках что какая то проблема с зоной local, но о чем конкретно речь там не смотрел...

operatornk
(26.03.16 19:18:29 MSK)