LINUX.ORG.RU
ФорумAdmin

Arch desktop в AD Windows 2008 борзеет.

 , , , ,


0

3

1. Ушёл на работе с винды (наконец-то)
2. Установил archlinux, иксы, офисное ПО и т.п.
3. Ввёл арча в домен и начались проблемы.

Стали жаловаться что сеть «падает», сотрудники в принципе нормальные, в юзаньях торрентов замечен никто не был, да и некогда им. Грешил на провайдера, а потом обратил внимание что как только я свой десктоп выключаю, так сеть восстанавливается. Как возможно это исправить...?



Последнее исправление: cetjs2 (всего исправлений: 2)

тук-тук тук-тук

Как возможно это исправить...?

Ушёл на работе винды

mos ★★☆☆☆
()

Позови системного администратора.

Black_Shadow ★★★★★
()

Здравствуйте. Для помощи вам маловато данных, что за сеть (схема организации, на чем построена) какие сервисы задействованы и что значит сеть падает? При падениях проходят ли пинги до шлюза/DNS/внешних ресурсов?

IMP
()

если запущена самба - ковырять smb.conf на предмет local master, preferred master, domain master... и всюду ставить «no»

ну и dhcp-сервер, как уже сказали отключить если запущен

Belen ★★
()
Последнее исправление: Belen (всего исправлений: 1)
Ответ на: комментарий от IMP

А главное название конторы! Обязательно, со всеми реквизитами.

Deleted
()

что как только я свой десктоп выключаю, так сеть восстанавливается.

Очень похоже на конфликт IP-адресов. Как Вы сеть (не samba, а базовые настройки сетевого интерфейса) в Arch настраивали?

Serge10 ★★★★★
()
Ответ на: комментарий от IMP

С улицы заходит оптика, через конвертер попадает в Zyxel ZyWALL USG 50 где вся эта тряхомудия настроена. 3 сети:
1. 192.168.9.*/24 - основной интернет
2. 192.168.56.*/24 - видеонаблюдение
3. 172.16.98.*/24 - в аренде у арендаторов
Три DNS-сервера, 1 на DC1, 2 на DC2, 3 на основном интернете (он же шлюз). Вот когда я включаю арч, то сеть «падает» (имеется ввиду скорость). Ни одна страница не грузится, хотя пинги до того же google.com идут

Shprot
() автор топика
Ответ на: комментарий от Reineke

DHCP на WIn2008. На компах автоматом стоит IP. Видимо включён...

Shprot
() автор топика
Ответ на: комментарий от Serge10

Очень похоже на конфликт IP-адресов.

Тоже думал об этом. Advanced IP Scanner'ом посмотрел, ничего ни с кем не конфликтует. На всякий случай взял адрес, который точно не задействован, и прописал его в NetworkManager[\b]'е...не помогло

Shprot
() автор топика
Ответ на: комментарий от Serge10

Уверен что да, т.к. если новый комп, на котором стоит IP адрес автоматически, получает сам адрес.

Shprot
() автор топика
Ответ на: комментарий от Shprot

Ничего страшного, так часто бывает, когда самый простой и очевидный ответ не приходит на ум.

Deleted
()
Ответ на: комментарий от Shprot

Самба на арче? В смысле на десктопе.
DCHP-сервер тоже на десктопе должен быть отключен...?

конечно. это и подразумевалось

Belen ★★
()
Ответ на: комментарий от Shprot

Уверен, что да

На всякий случай взял адрес, который точно не задействован, и прописал его в NetworkManager

Вы же понимаете, что так делать нельзя?

Если в сети есть dhcp-сервер, который не Вы конфигурируете (и, соответственно, Вы не знаете точных диапазонов IP, которые он выдает), то ни в коем случае не стоит играться с ручной установкой адреса. Просто получайте адрес по dhcp, и никаких сетевых конфликтов не будет.

Ну а если по каким-то причинам нужен фиксированный адрес, то без разговора с человеком, обслуживающим dhcp-сервер, обойтись не удастся...

Serge10 ★★★★★
()
Ответ на: комментарий от Belen

Да! Самбу ставил на арч (десктоп), так как нужно было его ввести в домен. smb.conf пока показать не могу, дома уже.
А как может быть включён DHCP на арче, если я его не ставил? При установке арча пакетов типа isc-dhcp-server или dnsmasq я не ставил.

Shprot
() автор топика

ТС, надо звать администратора.

Народ, я один вымораживаюсь с фразы «ввёл арча в домен»? Я что-то пропустил на фронте интероперабилити линукса с виндой?

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от Serge10

Вы же понимаете, что так делать нельзя?

Админ с этого предприятия просто взял и уволился, а меня, как рядового эникея, немного разбирающегося в серверах, поставили на его место, гордо вручив мне keepass со всеми паролями и сказав давай сынок! Ты должен справится...

Shprot
() автор топика
Ответ на: комментарий от t184256

Народ, я один вымораживаюсь с фразы «ввёл арча в домен»? Я что-то пропустил на фронте интероперабилити линукса с виндой?

Что-то мне подсказывает, что на на эникейских форумах и видосах Семаева будет больше толку, чем от таких «умных» изречений и желаний вышлепнуться перед другими...

Shprot
() автор топика
Ответ на: комментарий от t184256

Надо читать как «поставил рачем домен».

Deleted
()
Ответ на: комментарий от t184256

Заметь, тебя я даже и не спрашивал, ты точно не знаешь, о чем ты.

Да уж куда мне до тебя, до гуру командной строки. Прости хозяин, я забыл что моё место у коробок с картриджами...

Shprot
() автор топика
Ответ на: комментарий от Shprot

Админ с этого предприятия просто взял и уволился, а меня, как рядового эникея, немного разбирающегося в серверах, поставили на его место, гордо вручив мне keepass со всеми паролями и сказав давай сынок! Ты должен справится...

В таком случае, вообще непонятно, почему Вы взялись настраивать себе компьютер. Вам начинать нужно не с собственной рабочей станции - ее, как раз, можно напоследок отложить, а с разбора ситуации с серверами - какая машина за что отвечает, как маршрутизация в сети работает и т. д. В том числе стоит познакомиться и с конфигами dhcp-сервера...

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Насчет того, какие многочисленные механизмы просыпаются в винде от «введения в домен» у меня есть какие-то смутные детские воспоминания от прослушанного в средних классах курса винадминства для образовательных учереждений.

А вот для линукса я

  1. расписываюсь в том, что не представляю ни самого действия, ни даже подсистемы, которая бы за это отвечала.

  2. также смутно помню, что кроме аутентификации никакой готовой интеграции и не было. автомонтирование сетевых дисков нужно было прикручивать синей изолентой самостоятельно. локальные политики вообще сопоставить было не только нечему, но еще и нечем.

  3. и только какое-то подмножество функциональность домен-контроллера было доступно «под ключ».

Что-то поменялось в этом тысячелетии? Теперь можно взять десктоп, одним телодвижением «ввести в домен» и получить с этого что-то большее, чем аутентификацию? Какими средствами? Когда? Как я это пропустил?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Весь функционал AD опирается на удалённый реестр. Когда будет в линуксе реестр как в винде тогда рабочие станции можно заводить туда будет. Ничего кроме кербероса от интеграции в AD на линуксе получить нельзя. ТС настроил самбу с авторизацией в AD, но видимо криво, и конфиг при этом показывать не стал, и логи посмотреть не догадался. Нужны телепаты.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Весь функционал AD опирается на удалённый реестр.

А ты знаток!

dexpl ★★★★★
()
Ответ на: комментарий от Serge10

Из практики я настраивал в своё время шлюз на убунте, ставил isc-dhcp-server в связке с bind9. Дело в том, что мне в консоли гораздо проще работать, чем в веб-интерфейсе. Из этого я только понимаю что IP привязаны к макам.

Shprot
() автор топика
Ответ на: комментарий от dexpl

IP привязаны к макам

Вообще-то нет.

Как нет, если элементарно например из этого же скрина выделить объект, отредактировать его (сменить IP), затем на клиенте «передёрнуть» сетевой интерфейс, то IP сменится на тот, который сменили в настройках зухеля...

Shprot
() автор топика
Ответ на: комментарий от t184256

Теперь можно взять десктоп, одним телодвижением «ввести в домен» и получить с этого что-то большее, чем аутентификацию?

Автомонтирование дисков прикручивать изолентой не нужно, все работает из коробки еще со времен третьей Samba :). С локальными политиками в смысле установки софта по-прежнему никак. Зато аутентификация полностью интегрируется в группы AD - Вы можете использовать политики AD для организации доступа к прокси, туннелям, точкам доступа WiFi и т. п.

и только какое-то подмножество функциональность домен-контроллера было доступно «под ключ».

4 версия Samba является полноценной реализацией AD, в том числе функций контроллера домена. Есть некое отставание от Microsoft (на сегодняшний день поддерживается схема AD от W2k12, схема W2k16 пока недоступна), но оно незначительно, учитывая, что большинство организаций не стремятся мгновенно апгрейдить свои инфраструктуры.

Какими средствами?

В основном Winbindd.

Когда?

Если мы говорим о полноценном членстве в домене, то очень давно, начиная с 3-й версии Samba (начало 2000-х годов).

Если о поддержке функций контроллера домена, то с 4-й версии (лет 6-7 назад).

Serge10 ★★★★★
()
Ответ на: комментарий от Mike_RM

тогда рабочие станции можно заводить туда будет.

Уже лет 6 можно заводить :). И не очень понятно, причем тут реестр, если даже у Microsoft это через LDAP делается.

Serge10 ★★★★★
()
Ответ на: комментарий от Shprot

Из этого я только понимаю что IP привязаны к макам.

Т. е. dhcp-сервер у Вас на роутере. Это уже важная информация, теперь неплохо бы с диапазонами адресов разобраться.

Из практики я настраивал в своё время шлюз на убунте, ставил isc-dhcp-server в связке с bind9.

Если Вы теперь админ, то кто мешает перенастроить сеть так, как Вам привычнее и удобнее? Только вот прежде чем что-то менять, неплохо бы детально разобраться, как именно это все в данный момент работает...

Serge10 ★★★★★
()
Последнее исправление: Serge10 (всего исправлений: 1)

Шутки шутками, а у меня стабильно на работе - подключаю комп с моим арчем (ну ладно, манджарой), пропадает у людей доступ на сервер, надо перезагрузить маршрутизатор. От маршрутизатора пароля нету, потеряли, а сбрасывать не хотят, боятся, не могу залезть логи посмотреть, в чём дело.

Deleted
()
Ответ на: комментарий от Serge10

Да про LDAP забыл - имеет практический смысл например при получении адресной книги для почтовых клиентов не умеющих MAPI. Все групповые политики (именно они считаются венцом архитекторской мысли MS) это по сути централизованное изменение реестра рабочих станций с контроллера домена, если запретить изменение реестра чуда не произойдёт.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Все групповые политики (именно они считаются венцом архитекторской мысли MS) это по сути централизованное изменение реестра рабочих станций с контроллера домена

Вы можете совершенно спокойно это проделывать, имея в качестве контроллера домена машину с Samba 4 ;).

Serge10 ★★★★★
()

мы так и будем играть в угадайку или ты покажешь уже
networkctl status
и
systemctl --no-page -t service -a --state running --no-legend

bass ★★★★★
()
Ответ на: комментарий от Serge10

Зато аутентификация полностью интегрируется в группы AD - Вы можете использовать политики AD для организации доступа к прокси, туннелям, точкам доступа WiFi и т. п.

Этот функционал предоставляет керберос, заслуги самбы тут минимальны. Про автомонтирование ничего не скажу - свечку не держал. Возможна самба и неплоха в качестве бюджетного DC, но как клиент AD это был фэйл и будет фэйл.

Mike_RM
()
Ответ на: комментарий от Serge10

Я говорю про клиента на линуксе. Вы мне про контроллер на самбе. Выше написал уже своё мнение.

Mike_RM
()
Ответ на: комментарий от Shprot

Как нет

"Enable IP/MAC Binding" включено? Вот то-то и оно.

dexpl ★★★★★
()
Ответ на: комментарий от Serge10

Если Вы теперь админ, то кто мешает перенастроить сеть так, как Вам привычнее и удобнее?

Страх, что что-то пойдёт не так. На сегодняшний день подключено по VPN ещё 3 филиала, которые естественно в домене.
Про зухель я только положительные отзывы слышал, но настройки там тёмный лес для меня.
Шеф мне в принципе так и сказал, делай как тебе будет удобнее админить, может и действительно параллельно «поднять» что-то более для меня знакомое, а на выходных переключить, потестить...

Shprot
() автор топика
Ответ на: комментарий от King_Carlo

Ты говоришь

Что хорошего в из zywall-ах? Уж лучше mikrotik.

Согласен! Но:

  1. Предыдущий системный администратор почему-то предпочёл Zyxel ZyWALL USG 50, хочу понять почему
  2. Если я хардкорщик и есть желание всё сделать с нуля самому? Взять чистый серверный дистр и поэтапно всё настроить ручками, без всяких веб-морд и т.п., только консоль...
Shprot
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.