- Samba не авторизует при отключении PDC,
 ПавелС, 15:48 , 21-Июн-17 (1)>[оверквотинг удален]
> Всё работает, доменные пользователи нормально заходят на шары, в Cамбе настроено:
> security = ads
> realm=MYDOMAIN.RU
> Поднял второй контроллер AD2, тоже на 2003-м.
> При отключении AD1 от сети, самбовский сервер перестаёт пускать пользователей.
> Остальные ресурсы сети нормально авторизуются.
> Пробовал на самбовском сервере ткнуться через
> ntlm_auth --username myadminname
> - действительно не авторизует...
> Куда смотреть?Лучше смотреть wbinfo -t > В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
> одна и та же зона DNS) Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
Причем должны быть записи для dc2. Скорее всего samba не находит контроллер домена по DNS.
>[оверквотинг удален]
> в нём:
> [libdefaulys]
> default_realm=MYDOMAIN.RU
> //дальше идут три строчки с ключами
> [realms]
> MYDOMAIN.RU={
> kdc=192.168.1.2 (это AD1)
> kdc=192.168.1.3 (это AD2)
> kdc=192.168.1.3 (это AD2)
> }
- Samba не авторизует при отключении PDC, kuksha12, 17:02 , 21-Июн-17 (2) –1
При отключённом AD1:>> В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
>> одна и та же зона DNS)
> Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
> Причем должны быть записи для dc2. Скорее всего samba не находит контроллер
> домена по DNS. dig нормально отдаёт зону, причём отвечает именно AD2 (я его первым поставил в resolv.conf) > Лучше смотреть wbinfo -t Сделал - в ответ молчание :(
Эм... и что может быть?
- Samba не авторизует при отключении PDC, ПавелС, 20:40 , 21-Июн-17 (4) –1
> При отключённом AD1:
>>> В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
>>> одна и та же зона DNS)
>> Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
>> Причем должны быть записи для dc2. Скорее всего samba не находит контроллер
>> домена по DNS.
> dig нормально отдаёт зону, причём отвечает именно AD2 (я его первым поставил
> в resolv.conf) Я бы хотел посмотреть что он отдает, а именно записи касающиеся сервисов AD2. >> Лучше смотреть wbinfo -t
> Сделал - в ответ молчание :(
> Эм... и что может быть? - Samba не авторизует при отключении PDC, ПавелС, 20:46 , 21-Июн-17 (5)
>[оверквотинг удален]
>>> В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
>>> одна и та же зона DNS)
>> Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
>> Причем должны быть записи для dc2. Скорее всего samba не находит контроллер
>> домена по DNS.
> dig нормально отдаёт зону, причём отвечает именно AD2 (я его первым поставил
> в resolv.conf)
>> Лучше смотреть wbinfo -t
> Сделал - в ответ молчание :(
> Эм... и что может быть?Я думаю через какой контроллер ты вводил в домен, к тому самба и привязана. Введёшь через вторичный, будет всё наоборот - с ним будет работать а с первичным нет.
- Samba не авторизует при отключении PDC, kuksha12, 10:52 , 22-Июн-17 (6)
>Я бы хотел посмотреть что он отдает, а именно записи касающиеся сервисов AD2.Вывод dig: ; <<>> DiG 9.10.1 <<>> mydomain.ru any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34954
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 5 ;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;mydomain.ru. IN ANY ;; ANSWER SECTION:
mydomain.ru. 600 IN A 192.168.1.3
mydomain.ru. 600 IN A 192.168.1.2
mydomain.ru. 3600 IN NS ad4.mydomain.ru.
mydomain.ru. 3600 IN NS ad1.mydomain.ru.
mydomain.ru. 3600 IN NS ad2.mydomain.ru.
mydomain.ru. 3600 IN SOA ad2.mydomain.ru. . 45531 900 600 86400 3600
mydomain.ru. 3600 IN MX 10 mail.mydomain.ru.
mydomain.ru. 0 IN TYPE65281 \# 20 00000000000000020000038400000001C0A86407 ;; ADDITIONAL SECTION:
ad4.mydomain.ru. 3600 IN A 192.168.1.9
ad1.mydomain.ru. 3600 IN A 192.168.1.2
ad2.mydomain.ru. 3600 IN A 192.168.1.3
mail.mydomain.ru. 3600 IN A 192.168.1.22 ;; Query time: 0 msec
;; SERVER: 192.168.1.3#53(192.168.1.3)
;; WHEN: чт июн 22 10:34:46 MSK 2017
;; MSG SIZE rcvd: 273 PS:
ad4 - это новый контроллер домена, 2012-й, на который я буду переползать. Там только DNS, в AD пока не вводил.
Если ещё что-то вывести - скажи что именно. > Я думаю через какой контроллер ты вводил в домен, к тому самба
> и привязана. Введёшь через вторичный, будет всё наоборот - с ним
> будет работать а с первичным нет. Класс... и на кой тогда вообще резервные контроллеры домена и AD... Только для Винды?
Вообще, я обычно ввожу не через контроллер, а из строки самого сервера с самбой, что-то вроде этого:
net ads join -U administrator -D DOMAIN_NAME
А вот как это делал автор этого сервера - не знаю...
Не, я не против, просто знать бы - где эта привязка?
- Samba не авторизует при отключении PDC, ПавелС, 11:59 , 22-Июн-17 (8)
>[оверквотинг удален]
> ad2.mydomain.ru. 3600 IN A 192.168.1.3
> mail.mydomain.ru. 3600 IN A 192.168.1.22
> ;; Query time: 0 msec
> ;; SERVER: 192.168.1.3#53(192.168.1.3)
> ;; WHEN: чт июн 22 10:34:46 MSK 2017
> ;; MSG SIZE rcvd: 273
> PS:
> ad4 - это новый контроллер домена, 2012-й, на который я буду переползать.
> Там только DNS, в AD пока не вводил.
> Если ещё что-то вывести - скажи что именно.Должны быть DNS записи как в пункте "Пример регистрации имен" вот этой статьи http://itband.ru/2010/03/active-directory-works-with-dns/. По ним и происходит поиск служб Active Directory. >[оверквотинг удален]
>> Я думаю через какой контроллер ты вводил в домен, к тому самба
>> и привязана. Введёшь через вторичный, будет всё наоборот - с ним
>> будет работать а с первичным нет.
> Класс... и на кой тогда вообще резервные контроллеры домена и AD... Только
> для Винды?
> Вообще, я обычно ввожу не через контроллер, а из строки самого сервера
> с самбой, что-то вроде этого:
> net ads join -U administrator -D DOMAIN_NAME
> А вот как это делал автор этого сервера - не знаю...
> Не, я не против, просто знать бы - где эта привязка?
- Samba не авторизует при отключении PDC, kuksha12, 13:30 , 22-Июн-17 (9)
> Должны быть DNS записи как в пункте "Пример регистрации имен" вот этой
> статьи http://itband.ru/2010/03/active-directory-works-with-dns/. По ним и происходит
> поиск служб Active Directory.Насколько смог, разобрался в дереве DNS Manager на виндовом сервере - эти четыре записи из статьи у меня есть. Запросил dig:
#dig -t srv _ldap._tcp.mydomain.ru _kerberos._tcp.mydomain.ru _ldap._tcp.dc._msdcs.mydomain.ru _kerberos._tcp.dc._msdcs.mydomain.ru Вот его вывод, только мусор вырезал: ;; QUESTION SECTION:
;_ldap._tcp.mydomain.ru. IN SRV
;; ANSWER SECTION:
_ldap._tcp.mydomain.ru. 600 IN SRV 0 100 389 ad2.mydomain.ru.
_ldap._tcp.mydomain.ru. 600 IN SRV 0 100 389 ad1.mydomain.ru. ;; QUESTION SECTION:
;_kerberos._tcp.mydomain.ru. IN SRV
;; ANSWER SECTION:
_kerberos._tcp.mydomain.ru. 600 IN SRV 0 100 88 ad2.mydomain.ru.
_kerberos._tcp.mydomain.ru. 600 IN SRV 0 100 88 ad1.mydomain.ru. ;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.mydomain.ru. IN SRV
;; ANSWER SECTION:
_ldap._tcp.dc._msdcs.mydomain.ru. 600 IN SRV 0 100 389 ad1.mydomain.ru.
_ldap._tcp.dc._msdcs.mydomain.ru. 600 IN SRV 0 100 389 ad2.mydomain.ru. ;; QUESTION SECTION:
;_kerberos._tcp.dc._msdcs.mydomain.ru. IN SRV
;; ANSWER SECTION:
_kerberos._tcp.dc._msdcs.mydomain.ru. 600 IN SRV 0 100 88 ad1.mydomain.ru.
_kerberos._tcp.dc._msdcs.mydomain.ru. 600 IN SRV 0 100 88 ad2.mydomain.ru. ;; ADDITIONAL SECTION:
ad1.mydomain.ru. 3600 IN A 192.168.1.2
ad2.mydomain.ru. 3600 IN A 192.168.1.3 Где ещё покопаться?
- Samba не авторизует при отключении PDC, kuksha12, 14:00 , 22-Июн-17 (10)
ЗАРАБОТАЛО!!!
Правда, я не понимаю в чём дело... :(запросил
#klist
и очередной раз увидел, что билет просрочен. В общем, он в последнее время постоянно просрочен и почему-то не обновляется, но при этом всё работает.
Выключил AD1, и сделал
#kinit -p admin@MYDOMAIN.RU
Успешно получил билет. После чего сразу же успешно зашёл на самбовский сервер при по-прежнему отключенном AD1 и работающем AD2 !!! :) Перерегистрировать в домене я понятное дело не стал. То есть, билет для авторизации не нужен, но должен работать сервер, который его выдавал...
Тогда получается, что в порядке вещей, что при выключении контроллера домена, который выдал билет, самба перестаёт пускать клиентов пока билет не обновится на каком-то из рабочих контроллеров AD? Тогда выходит, что резервирование контроллеров AD при наличии самбы в Сети - чисто условное, без пинка не взлетит... В общем у меня в голове каша... кто поможет привести серое вещество в порядок? PS:
И почему билет не продляется автоматически я пока тоже не пойму...
- Samba не авторизует при отключении PDC, ПавелС, 14:36 , 28-Июн-17 (11)
> В общем у меня в голове каша... кто поможет привести серое вещество
> в порядок?Да всё просто: без билета samba аутентифицирует по ntlm не по kerberos, а в этом случае она не ищет в DNS SRV записи. Вобщем в той статье что я давал написано, что для клиентов не понимающих SRV записи имеет смысл иметь A записи для домена, указывающие на сервера. Например
MYDOMAIN.LOCAL IN A 192.168.0.1
MYDOMAIN.LOCAL IN A 192.168.0.3
Или может для ntlm режима происходит поиск по WINS.
- Samba не авторизует при отключении PDC, Exploit, 20:23 , 21-Июн-17 (3)
Не силён в АД, но может в этом случае имеет значение, является ли AD2 глобальным каталогом?
- Samba не авторизует при отключении PDC, kuksha12, 11:05 , 22-Июн-17 (7)
Да, роли глобального каталога не было. Добавил. Не помогло:# wbinfo -t
checking the trust secret for domain GM via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
Может репликация какая-то не прошла, не знаю как проверить...
|
Версия для распечатки
Samba не авторизует при отключении PDC, 
