LINUX.ORG.RU
ФорумAdmin

незапускаеться Samba как AD

 , ,


0

1

День добрый, ставил самбу в роли AD по данному мануалу: http://www.thejonas.net/?page_id=573

после установки перезагружаю,и вижу что самба не хочет стартовать

вот sudo tail -n 100 /var/log/syslog

 Apr  7 11:27:03 dcsrv dhcpd: For info, please visit https://www.isc.org/software/dhcp/
Apr  7 11:27:03 dcsrv smbd[840]: [2016/04/07 11:27:03.853618,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:03 dcsrv smbd[840]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:03 dcsrv smbd[840]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:03 dcsrv kernel: [ 5199.520078] init: smbd main process (840) terminated with status 1
Apr  7 11:27:03 dcsrv kernel: [ 5199.520086] init: smbd main process ended, respawning
Apr  7 11:27:03 dcsrv dhcpd: Wrote 4 leases to leases file.
Apr  7 11:27:03 dcsrv smbd[868]: [2016/04/07 11:27:03.918092,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:03 dcsrv ntpdate[893]: Can't find host ntp.ubuntu.com: Name or service not known (-2)
Apr  7 11:27:03 dcsrv ntpdate[893]: no servers can be used, exiting
Apr  7 11:27:03 dcsrv smbd[868]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:03 dcsrv smbd[868]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:03 dcsrv kernel: [ 5199.581707] init: smbd main process (868) terminated with status 1
Apr  7 11:27:03 dcsrv kernel: [ 5199.581714] init: smbd main process ended, respawning
Apr  7 11:27:03 dcsrv smbd[901]: [2016/04/07 11:27:03.952172,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:03 dcsrv smbd[901]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:03 dcsrv smbd[901]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:03 dcsrv kernel: [ 5199.608346] init: smbd main process (901) terminated with status 1
Apr  7 11:27:03 dcsrv kernel: [ 5199.608354] init: smbd main process ended, respawning
Apr  7 11:27:03 dcsrv smbd[905]: [2016/04/07 11:27:03.973047,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:03 dcsrv smbd[905]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:03 dcsrv smbd[905]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:03 dcsrv kernel: [ 5199.629243] init: smbd main process (905) terminated with status 1
Apr  7 11:27:03 dcsrv kernel: [ 5199.629251] init: smbd main process ended, respawning
Apr  7 11:27:03 dcsrv smbd[909]: [2016/04/07 11:27:03.999545,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:03 dcsrv smbd[909]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:03 dcsrv smbd[909]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:04 dcsrv kernel: [ 5199.656093] init: smbd main process (909) terminated with status 1
Apr  7 11:27:04 dcsrv kernel: [ 5199.656101] init: smbd main process ended, respawning
Apr  7 11:27:04 dcsrv smbd[913]: [2016/04/07 11:27:04.022199,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:04 dcsrv smbd[913]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:04 dcsrv smbd[913]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:04 dcsrv kernel: [ 5199.678496] init: smbd main process (913) terminated with status 1
Apr  7 11:27:04 dcsrv kernel: [ 5199.678503] init: smbd main process ended, respawning
Apr  7 11:27:04 dcsrv smbd[917]: [2016/04/07 11:27:04.044066,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:04 dcsrv smbd[917]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:04 dcsrv smbd[917]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:04 dcsrv kernel: [ 5199.700244] init: smbd main process (917) terminated with status 1
Apr  7 11:27:04 dcsrv kernel: [ 5199.700251] init: smbd main process ended, respawning
Apr  7 11:27:04 dcsrv smbd[921]: [2016/04/07 11:27:04.065797,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:04 dcsrv smbd[921]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:04 dcsrv smbd[921]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:04 dcsrv kernel: [ 5199.722579] init: smbd main process (921) terminated with status 1
Apr  7 11:27:04 dcsrv kernel: [ 5199.722587] init: smbd main process ended, respawning
Apr  7 11:27:04 dcsrv smbd[925]: [2016/04/07 11:27:04.088266,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:04 dcsrv smbd[925]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:04 dcsrv smbd[925]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:04 dcsrv kernel: [ 5199.744409] init: smbd main process (925) terminated with status 1
Apr  7 11:27:04 dcsrv kernel: [ 5199.744416] init: smbd main process ended, respawning
Apr  7 11:27:04 dcsrv smbd[929]: [2016/04/07 11:27:04.108673,  0] ../source3/smbd/server.c:1250(main)
Apr  7 11:27:04 dcsrv smbd[929]:   server role = 'active directory domain controller' not compatible with running smbd standalone.
Apr  7 11:27:04 dcsrv smbd[929]:   You should start 'samba' instead, and it will control starting smbd if required
Apr  7 11:27:04 dcsrv kernel: [ 5199.765116] init: smbd main process (929) terminated with status 1
Apr  7 11:27:04 dcsrv kernel: [ 5199.765124] init: smbd respawning too fast, stopped
Apr  7 11:27:04 dcsrv /usr/sbin/irqbalance: Balancing is ineffective on systems with a single cache domain.  Shutting down
Apr  7 11:27:04 dcsrv acpid: 1 rule loaded
Apr  7 11:27:04 dcsrv acpid: waiting for events: event logging is off
Apr  7 11:27:04 dcsrv named[954]: starting BIND 9.9.5-3ubuntu0.8-Ubuntu -u bind
Apr  7 11:27:04 dcsrv named[954]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
Apr  7 11:27:04 dcsrv named[954]: ----------------------------------------------------
Apr  7 11:27:04 dcsrv named[954]: BIND 9 is maintained by Internet Systems Consortium,
Apr  7 11:27:04 dcsrv named[954]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Apr  7 11:27:04 dcsrv named[954]: corporation.  Support and training for BIND 9 are
Apr  7 11:27:04 dcsrv named[954]: available at https://www.isc.org/support
Apr  7 11:27:04 dcsrv named[954]: ----------------------------------------------------
Apr  7 11:27:04 dcsrv named[954]: adjusted limit on open files from 4096 to 1048576
Apr  7 11:27:04 dcsrv named[954]: found 1 CPU, using 1 worker thread
Apr  7 11:27:04 dcsrv named[954]: using 1 UDP listener per interface
Apr  7 11:27:04 dcsrv named[954]: using up to 4096 sockets
Apr  7 11:27:04 dcsrv named[954]: loading configuration from '/etc/bind/named.conf'
Apr  7 11:27:04 dcsrv named[954]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Apr  7 11:27:04 dcsrv named[954]: using default UDP/IPv4 port range: [1024, 65535]
Apr  7 11:27:04 dcsrv named[954]: using default UDP/IPv6 port range: [1024, 65535]
Apr  7 11:27:04 dcsrv named[954]: listening on IPv6 interfaces, port 53
Apr  7 11:27:04 dcsrv named[954]: listening on IPv4 interface lo, 127.0.0.1#53
Apr  7 11:27:04 dcsrv named[954]: listening on IPv4 interface eth0, 192.0.10.10#53
Apr  7 11:27:04 dcsrv named[954]: generating session key for dynamic DNS
Apr  7 11:27:04 dcsrv named[954]: sizing zone task pool based on 7 zones
Apr  7 11:27:04 dcsrv named[954]: Loading 'AD DNS Zone' using driver dlopen
Apr  7 11:27:04 dcsrv kernel: [ 5200.190208] floppy0: no floppy controllers found
Apr  7 11:27:04 dcsrv kernel: [ 5200.190232] work still pending
Apr  7 11:27:04 dcsrv named[954]: samba_dlz: started for DN DC=mydc,DC=abc,DC=lan
Apr  7 11:27:04 dcsrv named[954]: samba_dlz: starting configure
Apr  7 11:27:04 dcsrv samba[734]: [2016/04/07 11:27:04.854405,  0] ../source4/smbd/server.c:492(binary_smbd_main)
Apr  7 11:27:04 dcsrv samba[734]:   samba: using 'standard' process model
Apr  7 11:27:04 dcsrv named[954]: samba_dlz: configured writeable zone 'mydc.abc.lan'
Apr  7 11:27:04 dcsrv named[954]: samba_dlz: configured writeable zone '_msdcs.mydc.abc.lan'
Apr  7 11:27:04 dcsrv named[954]: set up managed keys zone for view _default, file 'managed-keys.bind'
Apr  7 11:27:04 dcsrv named[954]: command channel listening on 127.0.0.1#953
Apr  7 11:27:04 dcsrv named[954]: command channel listening on ::1#953
Apr  7 11:27:04 dcsrv named[954]: managed-keys-zone: loaded serial 3
Apr  7 11:27:04 dcsrv named[954]: zone 0.in-addr.arpa/IN: loaded serial 1
Apr  7 11:27:04 dcsrv named[954]: zone 127.in-addr.arpa/IN: loaded serial 1
Apr  7 11:27:04 dcsrv named[954]: zone 10.0.192.in-addr.arpa/IN: loaded serial 2014071410
Apr  7 11:27:04 dcsrv named[954]: zone 255.in-addr.arpa/IN: loaded serial 1
Apr  7 11:27:04 dcsrv named[954]: zone abc.lan/IN: loaded serial 2014071416
Apr  7 11:27:04 dcsrv named[954]: zone localhost/IN: loaded serial 2
Apr  7 11:27:04 dcsrv named[954]: all zones loaded
Apr  7 11:27:04 dcsrv named[954]: running 

т.е. ругаеться : server role = 'active directory domain controller' not compatible with running smbd standalone. You should start 'samba' instead, and it will control starting smbd if required

но вот что конкретно нужно сделат я не понимаю :-[...буду рад любой помощи и моральной поддержке

Ответ на: комментарий от Difrex

smbd вообще был в состоянии wait...включил, но всё равно не хочет заходить в AD через windows(под Administratorom) ,всё так же пишет: вход в систему не произведён :имя пользователя или пароль не опознаны (хотя я уже 3 раза переустанавливал самбу с разными паролями)...видать что то делаю не так(

Lainmatrix ()
Ответ на: комментарий от leonidko

Как запускаешь? Да никак,она ж в сервисах висит включённая(ну smbd окозалось что нет):

adminasu@dcsrv:~$ sudo service samba status *
 samba is running
 adminasu@dcsrv:~$ sudo service samba-ad-dc status 
samba-ad-dc start/running, 
process 802 
adminasu@dcsrv:~$ sudo service smbd status
 smbd stop/waiting

Lainmatrix ()
Ответ на: комментарий от Lainmatrix

Не трогай сервис samba, он для обратной совместимости.

И я ж надеюсь ты тест прогнал samba-tool testparm

Для перезапуска samba

sudo service samba-ad-dc stop && sudo service samba-ad-dc start && sudo service samba-ad-dc status

leonidko ★★★ ()

А разве оно может запуститься и нормально работать у тех, кто пишет «незапускаеться» и «ругаеться»??

Банить за такое надо

anonymous ()
Ответ на: комментарий от Lainmatrix

В их языке они не следуют правилу благозвучности, как это устроено в нашем русинском языке (украинской и беларуской мове), что касается тся/ться, то я выучил это правило буквально за 10 минут и больше никогда не допускал ошибок, выработался автоматизм.

Правило простое и жесткое:

  • если целевое слово отвечает на вопрос «что делает/что сделает» в котором нет мягкого знака — то всегда без исключения целевое слово пишем без мягкого знака, например: что не делает? Не запускается.
  • если целевое слово отвечает на вопрос «что делать/что сделать» в котором соотв. мягкий знак есть — то всегда без исключения целевое слово пишем с мягким знаком, например: что делать? Запускаться.

Невозможно допустить ошибку или засомневаться как писать то или иное слово.

kep ()
Ответ на: комментарий от leonidko

Добрый день. Спасибо за скорый ответ.

adminasu@dcsrv:~$ samba-tool testparm
Press enter to see a dump of your service definitions

# Global parameters
[global]
        workgroup = MYDC
        realm = MYDC.ABC.LAN
        netbios name = DCSRV
        server role = active directory domain controller
        printcap name = /dev/null
        allow dns updates = nonsecure and secure
        dns forwarder = 127.0.0.1
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
        idmap_ldb:use rfc2307 = yes
        printing = cups

[netlogon]
        path = /var/lib/samba/sysvol/mydc.abc.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

samba-ad-dc перезапускал,всё равно не заходит в AD через Windows

Вот что ещё сделал:

kinit administrator@MYDC.ABC.LAN
Password for administrator@MYDC.ABC.LAN:
Warning: Your password will expire in 40 days on Ср. 18 мая 2016 16:29:00


adminasu@dcsrv:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@MYDC.ABC.LAN

Valid starting       Expires              Service principal
08.04.2016 10:29:15  08.04.2016 20:29:15  krbtgt/MYDC.ABC.LAN@MYDC.ABC.LAN
        renew until 09.04.2016 10:29:10

Lainmatrix ()
Ответ на: комментарий от leonidko

вот кстати на счёт ввода windows ,поковырялся и могу ввести но только с полным именем домена:

логин:administrator@MYDC.ABC.LAN

в домен входит ,но вот после перезагрузки ,такой же фокус уже не прокатывает ,и как войти в домен я пока не понял...(((

по поводу листинга:


[libdefaults]
        default_realm = MYDC.ABC.LAN

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

#       default_tgs_enctypes = des3-hmac-sha1
#       default_tkt_enctypes = des3-hmac-sha1
#       permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        MYDC.ABC.LAN = {
                kdc = dcsrv.abc.lan
                admin_server = dcsrv.abc.lan
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu:88
                kdc = kerberos-1.mit.edu:88
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        MEDIA-LAB.MIT.EDU = {
                kdc = kerberos.media.mit.edu
                admin_server = kerberos.media.mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
    ANDREW.CMU.EDU = {
                kdc = kerberos.andrew.cmu.edu
                kdc = kerberos2.andrew.cmu.edu
                kdc = kerberos3.andrew.cmu.edu
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }

[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

[login]
        krb4_convert = true
        krb4_get_tickets = false

Lainmatrix ()
Ответ на: комментарий от leonidko

изменил ,но ничего не изменилось)))

зоны делал так же как в монуале:


$ORIGIN .
$TTL 907200     ; 1 week 3 days 12 hours
abc.lan                 IN SOA  ns.abc.lan. adminasu.abc.lan. (
                                2014071448 ; serial
                                28800      ; refresh (8 hours)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                38400      ; minimum (10 hours 40 minutes)
                                )
                        NS      ns.abc.lan.
$ORIGIN abc.lan.
$TTL 3600       ; 1 hour
adminasu-PC             A       192.0.10.11
                        TXT     "31cf4b98ed893b7a34f783321ea2c479c1"
android-b2f8428c93fbef2 A       192.0.10.29
                        TXT     "006fc46301f7b50c2f43735c1d1fdc9f11"
android-eab257ebcb9268db A      192.0.10.20
                        TXT     "31e74d02c1023a1e8857139ed3ebe3a469"
$TTL 907200     ; 1 week 3 days 12 hours
dcsrv                   CNAME   ns
$TTL 3600       ; 1 hour
iPhone-ADmax            A       192.0.10.32
                        TXT     "3171c61415bc36970ae2c90f2896e53849"
iPhone-Lena             A       192.0.10.15
                        TXT     "312933fc5a12d4832aeaf7c0d62a655132"
iPhone-Viktoria         A       192.0.10.22
                        TXT     "31c5bad061b450adbd2712c3acc46c19c2"
$TTL 907200     ; 1 week 3 days 12 hours
mydc                    CNAME   ns
ns                      A       192.0.10.10
router01                A       192.0.1.199


обратная

$ORIGIN .
$TTL 907200     ; 1 week 3 days 12 hours
10.0.192.in-addr.arpa   IN SOA  ns.abc.lan. adminasu.abc.lan. (
                                2014071423 ; serial
                                28800      ; refresh (8 hours)
                                604800     ; retry (1 week)
                                604800     ; expire (1 week)
                                86400      ; minimum (1 day)
                                )
                        NS      ns.abc.lan.
$ORIGIN 10.0.192.in-addr.arpa.
$TTL 3600       ; 1 hour
10                      PTR     ns.abc.lan.
                        PTR     dcsrv.adc.lan.
11                      PTR     adminasu-PC.abc.lan.
15                      PTR     iPhone-Lena.abc.lan.
16                      PTR     aaaaaaaa.abc.lan.
10.10.0.199             PTR     mydc.adc.lan.
20                      PTR     android-eab257ebcb9268db.abc.lan.
22                      PTR     iPhone-Viktoria.abc.lan.
23                      PTR     android-2b28b51c1490203d.abc.lan.
24                      PTR     URIST.abc.lan.
25                      PTR     android-e8712b6d070ea57d.abc.lan.
29                      PTR     android-b2f8428c93fbef2.abc.lan.
30                      PTR     runtu.abc.lan.
31                      PTR     MI4LTE-MiPhone.abc.lan.
32                      PTR     iPhone-ADmax.abc.lan.
34                      PTR     android-52cc34361ff101fa.abc.lan.
35                      PTR     iPad-Alex.abc.lan.
36                      PTR     android-94f578e488d0ed3b.abc.lan.
Lainmatrix ()
Ответ на: комментарий от Lainmatrix

1. Так, не пойму: вы джойните ее к винде или отдельным AD DC? При чем тут standalone? )) 2. Попробуйте следюущие команды поочередно и скопируйте сюда результат:

# smbclient -L localhost -U%
# kinit administrator@YOURDOMAIN.LOCAL
# host -t SRV _ldap._tcp.yourdomain.local
# host -t SRV _kerberos._udp.yourdomain.local
# host -t A netbios.yourdomain.local
3. Скопируйте сюда /usr/local/samba/etc/smb.conf

zuxla ()
Ответ на: комментарий от zuxla

Привет. 1.Делал отдельный AD DC ,который админится из AD User Management Tool 2.


adminasu@dcsrv:~$ smbclient -L localhost -U%
Domain=[MYDC] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.1.6-Ubuntu)
Domain=[MYDC] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        WORKGROUP            DCSRV

adminasu@dcsrv:~$ kinit administrator@MYDC.ABC.LAN
Password for administrator@MYDC.ABC.LAN:
Warning: Your password will expire in 39 days on Ср. 18 мая 2016 16:29:00
adminasu@dcsrv:~$ host -t SRV _ldap._tcp.MYDC.ABC.LAN
_ldap._tcp.MYDC.ABC.LAN has SRV record 0 100 389 dcsrv.mydc.abc.lan.
adminasu@dcsrv:~$ host -t SRV _kerberos._udp.yourdomain.local^C
adminasu@dcsrv:~$ host -t SRV _kerberos._udp.MYDC.ABC.LAN
_kerberos._udp.MYDC.ABC.LAN has SRV record 0 100 88 dcsrv.mydc.abc.lan.
adminasu@dcsrv:~$ host -t A netbios.MYDC.ABC.LAN
Host netbios.MYDC.ABC.LAN not found: 3(NXDOMAIN)


как я понял netbios это имя сервера? тогда:

adminasu@dcsrv:~$ host -t A DCSRV.MYDC.ABC.LAN
DCSRV.MYDC.ABC.LAN has address 192.0.10.10




3.


# Global parameters
[global]
        workgroup = MYDC
        realm = MYDC.ABC.LAN
        netbios name = DCSRV
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbi$
        idmap_ldb:use rfc2307 = yes
        allow dns updates = nonsecure and secure
       dns forwarder = 127.0.0.1
       printing = CUPS
       printcap name = /dev/null
[netlogon]
        path = /var/lib/samba/sysvol/mydc.abc.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

Lainmatrix ()
Ответ на: комментарий от Lainmatrix

1. Когда залогинитесь на введенном в домен ПК:

klist
2. Поидее тут надо бы так же протестировать DNS, но уже со стороны винды.

3. И у меня была несколько похожая ситуация, когда ПК при логине долго думали. Решилось только выставлением

allow dns updates = nonsecure
в конфигах самбы.

Но я поднимал с DNS-бэкендом SAMBA_INTERNAL. В моем случае было достаточно. Кстати, можно попробовать переключиться на него:

# /usr/local/samba/sbin/samba_upgradedns --dns-backend=SAMBA_INTERNAL
https://wiki.samba.org/index.php/Changing_the_DNS_backend

Если заработает, то 90% - это тупит связка с Bind9.

zuxla ()
Ответ на: комментарий от zuxla

Только если уж BIND в качестве бэкенда не используем, то и запускать его не надо. А то будут за 53 порт с самбой драться.

leonidko ★★★ ()
Ответ на: комментарий от Lainmatrix

Чего путаться. Active Directory это связка LDAP+KERBEROS+DNS+DHCP, причём последнее необязательно.

У тебя за первый и третий пункт отвечает SAMBA, за второй, частично. За четвёртый, как настроишь.

Если BIND у тебя не настроен как бэкенд для SAMBA, то они будут блокировать друг другу доступ к 53 порту.

Без правильной настройки DNS у тебя не будут находиться контроллеры домена (КД), и соответственно невозможно будет аутентифицироваться и авторизоваться. Для AD необходимы специфические зоны:

  • _msdcs.yourdomainname.tld.
  • _sites.yourdomainname.tld.
  • _tcp.yourdomainname.tld.
  • _udp.yourdomainname.tld.
  • DomainDnsZones.yourdomainname.tld.
  • ForestDnsZones.yourdomainname.tld.

Тут пока для меня мутный вопрос. Эти зоны вроде SAMBA сама создаёт.

leonidko ★★★ ()
Ответ на: комментарий от leonidko

Если еще проще: с аутентификацией через Kerberos, если результаты kinit на стороне винды будут аналогичными у вас все в порядке.

Дальше вы используете в качестве DNS-сервера либо встроенный в самбу, либо Bind и настраиваете с ним связку. Здесь надо смотреть теперь что на стороне введеной в домен винды.

Так вот сейчас нужно протестировать зоны DNS на стороне винды: либо глянуть через RSAT, либо через командную строку (google: «test ad dns zones windows comandline» или как-то так).

zuxla ()
5 апреля 2017 г.
Ответ на: комментарий от Lainmatrix

если в контейнере то не работает запуск части компонентов, например kdc Не может нормально стартануть в контейнере, т.к. не может правильно определиться момент запуска сети. Требуется модификация скриптов запуска службы samba

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.