LINUX.ORG.RU
ФорумAdmin

Samba4 AD DC + Win 2003/2008 DC = read only dns in Win?

 , , ,


1

1

Всем привет.

Пытаюсь добавить Windows 2003 SP2 R2 или Windows 2008 R2, как запасной контроллер домена в AD работающий на CentOS7+samba4, потом сделать его основным и избавиться от samba4 совсем. Делал всё по их официальным докам:для Windows 2008

Несколько раз получалось одно и тоже: от винды приходилось избавляться и откатываться на backup samba4.

Самая основная причина, которая беспокоит: dns, который поднимаю на винде получается какой-то read only, т.е. записи редактировать невозможно и добавить тоже. Не помню точно ошибку, но что-то вроде 'A new record cannot be created. Refused'. При этом обгуглил уже всё и попробовал различные решения, права там всякие назначал, пользователь в группе и Enterprise Admins и Domain Admins и Schema Admins и т.д. и т.п., но не помогает :(

Репликация AD, которую запускаю вручную с samba4 машины проходит успешно.

При передаче ролей от samba4 на винду, гладко не переходят 2 роли: ForestDNSZones и DomainDNSZones, но я их потом переношу вручную редактируя AD в ADSI Edit (и пробовал ещё как-то, не помню точно).

Буду опять пытаться делать на следующей неделе, так что приведу более конкретные ошибки и т.д., но хотел спросить совета, т.к. может это какие-то известные грабли?

Порой ололо сильно странные.

  • А кто у вас DNS?
  • А в нём прописано, что хост с именем таким может вносить изменения в DNS?

Если что, то DNS на винде будет по умолчанию slave. К чему это ведёт можете прочитать в умных книгах O'Reilly и не только.

leonidko ★★★ ()
Ответ на: комментарий от leonidko

На самом samba4 сервере включён стандартный встроенный dns [link=https://wiki.samba.org/index.php/Samba_Internal_DNS_Back_End]вот такой

Когда я с управляющей машины на зоне domain.com делаю properties-> allow zone transfers в dns mmc (которым достаточно удобно управлять dns записями), то получаю 'this function is not supported on this system', но разве когда я передаю роли ForestDNSZones и DomainDNSZones на Windows DC, то он не становится master?

Ещё: smb.conf на samba4 сервере выглядит так:

[global]
	workgroup = DOMAIN
	realm = DOMAIN.COM
	netbios name = SAMBA
	server role = active directory domain controller
	dns forwarder = 192.168.199.8
	allow dns updates = nonsecure
	idmap_ldb:use rfc2307 = yes
	nsupdate command = /usr/bin/nsupdate -g

[netlogon]
	path = /usr/local/samba/var/locks/sysvol/domain.com/scripts
	read only = No
	write ok = Yes

[sysvol]
	path = /usr/local/samba/var/locks/sysvol
	read only = No
	write ok = Yes

vainkop1 ()
Ответ на: комментарий от vainkop1

Эмм, с каких пор MMC стал управлять самбой на линухе? Честно, мб прогресс дошёл, а я нет?

Я говорил про почитать книги? В DNS мастером или не мастером вы можете быть для зоны. Ну каким то чудом вам удалось передать часть зон на DNS Windows Server'a, а часть всё равно надо разрешать для обновления вторым КД.

В вашем случае:

  • Я бы поднял КД на винде. Например 2008/2008R2, DNS слейв. DHCP выключен. Указываем что мы GC.
  • Отсинхронизировал все зоны DNS.
  • Отсинхронизировал GC.
  • Выключил на CentOS Samba.
  • Произвёл бы захват всех ролей ADDC.
  • ...
  • Profit!

P.S. Наверняка кучу нужного и полезного пропустил. Т.к. переводом на винду не занимался, а стоит задача в обратном, то и подсказать могу мало.

leonidko ★★★ ()
Ответ на: комментарий от leonidko

Да, вы действительно не совсем в курсе.

Официальная дока samba4 говорит следующее:

Administering DNS on Windows

To administer DNS from a Windows client, you have to install the DNS MMC Snap-In. See Installing RSAT on Windows for AD Management for more details.

Я проводил действия в схожей последовательности, опять же по доке samba, только роли я не захватывал насильственно (seize) после выключения DC на samba (как будето он неожиданно сдох), а передавал (transfer) обычным способом и видел, как DC на samba эти роли успешно передала виндовому DC. Seize приходилось делать только для ролей ForestDNSZones и DomainDNSZones.

Вот официальная дока samba, как это делается и в чём разница.

vainkop1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.