Автор Тема: Присоединение контроллера домена Windows Server 2008 R2 к Samba AD [решено]  (Прочитано 15418 раз)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Всем привет!

Следую инструкции https://wiki.samba.org/index.php/Joining_a_Windows_Server_2008_/_2008_R2_DC_to_a_Samba_AD

Но в процессе репликации получаю ошибку https://support.microsoft.com/ru-ru/help/3207962/access-is-denied-error-when-you-try-to-create-ntds-settings-object:
Цитировать
Ошибка «Доступ запрещен» при попытке создать объект параметров NTDS

Кто подскажет, как решить ?
« Последнее редактирование: 04.03.2019 10:58:27 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Логи смотреть, баги вешать, код править.
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Так, отбой, проморгал я сам, время у меня убежало, в этом и была проблема.

[решено]
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Только почему-то репликация всё равно не работает...
В журнале на Windows такие ошибки есть:
Цитировать
DNS-серверу не удалось инициализировать интерфейсы безопасности Active Directory. Убедитесь, что Active Directory функционирует нормально и перезапустите DNS-сервер. Данные о событии содержат сведения об ошибке.
Цитировать
DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.
Цитировать
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование,  Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые  выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом.  Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера.
 
В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации.  Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный  сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок  произошло.  Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки.  Как только соответствующие события перестанут регистрироваться  в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок.
 
Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.
 
Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том,  на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.

И вот такой статус репликации:
C:\Users\Administrator>repadmin /showrepl

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-Name\WIN-REL6DOIQ12A
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: f5dbd125-a1d7-4598-b020-7627c8651a8b
DSA - код вызова: 71cefeca-926a-4184-879c-c85452f45738

==== ВХОДЯЩИЕ СОСЕДИ   ======================================

DC=base,DC=ru
    Default-First-Site-Name\CENTAURUS через  RPC
        DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59
        Последняя попытка @ 2019-03-04 15:21:48 успешна.

CN=Configuration,DC=base,DC=ru
    Default-First-Site-Name\CENTAURUS через  RPC
        DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59
        Последняя попытка @ 2019-03-04 15:21:48 успешна.

CN=Schema,CN=Configuration,DC=base,DC=ru
    Default-First-Site-Name\CENTAURUS через  RPC
        DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59
        Последняя попытка @ 2019-03-04 15:21:48 успешна.

DC=DomainDnsZones,DC=base,DC=ru
    Default-First-Site-Name\CENTAURUS через  RPC
        DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59
        Последняя попытка @ 2019-03-04 15:21:48 успешна.

DC=ForestDnsZones,DC=base,DC=ru
    Default-First-Site-Name\CENTAURUS через  RPC
        DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59
        Последняя попытка @ 2019-03-04 15:21:48 успешна.

На SambaDC при этом:
# samba-tool drs showrepl
Default-First-Site-Name\CENTAURUS
DSA Options: 0x00000001
DSA object GUID: 88903454-b4d9-4e0d-8eef-e01891d3db59
DSA invocationId: f4227fc5-01c3-41b1-82ea-245a85b02255

==== INBOUND NEIGHBORS ====

DC=base,DC=ru
Default-First-Site-Name\WIN-REL6DOIQ12A via RPC
DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b
Last attempt @ Mon Mar  4 15:24:41 2019 +05 was successful
0 consecutive failure(s).
Last success @ Mon Mar  4 15:24:41 2019 +05

CN=Schema,CN=Configuration,DC=base,DC=ru
Default-First-Site-Name\WIN-REL6DOIQ12A via RPC
DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b
Last attempt @ Mon Mar  4 15:24:41 2019 +05 was successful
0 consecutive failure(s).
Last success @ Mon Mar  4 15:24:41 2019 +05

DC=DomainDnsZones,DC=base,DC=ru
Default-First-Site-Name\WIN-REL6DOIQ12A via RPC
DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b
Last attempt @ Mon Mar  4 15:24:41 2019 +05 was successful
0 consecutive failure(s).
Last success @ Mon Mar  4 15:24:41 2019 +05

CN=Configuration,DC=base,DC=ru
Default-First-Site-Name\WIN-REL6DOIQ12A via RPC
DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b
Last attempt @ Mon Mar  4 15:24:41 2019 +05 was successful
0 consecutive failure(s).
Last success @ Mon Mar  4 15:24:41 2019 +05

DC=ForestDnsZones,DC=base,DC=ru
Default-First-Site-Name\WIN-REL6DOIQ12A via RPC
DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b
Last attempt @ Mon Mar  4 15:24:41 2019 +05 was successful
0 consecutive failure(s).
Last success @ Mon Mar  4 15:24:41 2019 +05

==== OUTBOUND NEIGHBORS ====

==== KCC CONNECTION OBJECTS ====

Connection --
Connection name: 310d4b84-6ab4-4322-87f9-f1fa66c872cb
Enabled        : TRUE
Server DNS name : WIN-REL6DOIQ12A.base.ru
Server DN name  : CN=NTDS Settings,CN=WIN-REL6DOIQ12A,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=base,DC=ru
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!

Никто не сталкивался с такими проблема ?
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Только почему-то репликация всё равно не работает...
Точнее даже не "не работает", а в "Диспетчере сервера" роли DNS и ActiveDirectory показываются с ошибками или восклицательными знаками.
Сами пользователи вроде реплицируются.
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Оставлю здесь вывод dcdiag на Windows Server 2008 R2, вдруг кто заметит что-то и подскажет что поправить:
C:\Users\administrator>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = DC2
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC2
      Запуск проверки: Connectivity
         ......................... DC2 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC2
      Запуск проверки: Advertising
         Внимание: DsGetDcName вернул сведения для \\dc1.base.ru при попытке
         получения доступа к DC2.
         СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
         ......................... DC2 - не пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... DC2 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DC2 - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DC2 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DC2 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DC2 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DC2 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DC2 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         Не удается подключиться к общему ресурсу NETLOGON. (\\DC2\netlogon)
         [DC2] Сбой операции net use или LsaPolicy с ошибкой 67,
         Не найдено сетевое имя..
         ......................... DC2 - не пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DC2 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DC2 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DC2 - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... DC2 - пройдена проверка Services
      Запуск проверки: SystemLog
         Возникло предупреждение. Код события (EventID): 0x000003F6
            Время создания: 03/05/2019   12:09:48
            Строка события:
            Разрешение имен для имени base.ru истекло после отсутствия ответа от
 настроенных серверов DNS.
         ......................... DC2 - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         Проблемы у некоторых объектов, относящихся к DC DC2:
            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект:
            CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=base,DC=ru
             Описание базового объекта: "Объект DSA"
             Имя атрибута объекта значения: serverReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект: CN=DC2,OU=Domain Controllers,DC=base,DC=ru
             Описание базового объекта: "Объект учетной записи DC"
             Имя атрибута объекта значения: frsComputerReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

         ......................... DC2 - не пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
            В разделе каталога приложений DC=ForestDnsZones,DC=base,DC=ru
            отсутствует домен ссылок дескрипторов безопасности.  Администратор
            должен задать для атрибута msDS-SD-Reference-Domain объекта
            перекрестной ссылки
            CN=493c74fe-c326-40e7-8a7e-107b2fbe71b7,CN=Partitions,CN=Configurati
on,DC=base,DC=ru
            значение DN домена.
         ......................... ForestDnsZones - не пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
            В разделе каталога приложений DC=DomainDnsZones,DC=base,DC=ru
            отсутствует домен ссылок дескрипторов безопасности.  Администратор
            должен задать для атрибута msDS-SD-Reference-Domain объекта
            перекрестной ссылки
            CN=a018ba96-2db0-432c-9543-a903297091a6,CN=Partitions,CN=Configurati
on,DC=base,DC=ru
            значение DN домена.
         ......................... DomainDnsZones - не пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: base
      Запуск проверки: CheckSDRefDom
         ......................... base - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... base - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: base.ru
      Запуск проверки: LocatorCheck
         ......................... base.ru - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... base.ru - пройдена проверка Intersite

dc1 - samba
dc2 - windows

Также оставлю пару ссылок по теме:
http://www.bubnov.su/stati/ustanovka-samba4-ad-kontrollera-domena-cast-1
https://social.technet.microsoft.com/Forums/ru-RU/fcfc4c28-bb1c-4539-8d0d-f9a425d1e6cf/10551088108610731083107710841099-1089-dcforestdnszones?forum=ws2008r2ru
https://lists.samba.org/archive/samba/2015-September/194326.html
« Последнее редактирование: 05.03.2019 16:31:20 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
http://www.bubnov.su/stati/ustanovka-samba4-ad-kontrollera-domena-cast-1
https://social.technet.microsoft.com/Forums/ru-RU/fcfc4c28-bb1c-4539-8d0d-f9a425d1e6cf/10551088108610731083107710841099-1089-dcforestdnszones?forum=ws2008r2ru
https://lists.samba.org/archive/samba/2015-September/194326.html
Как красиво пишут, только ничего из этого не помогает.
Так как в sam.ldb вообще нет разделов DC=ForestDnsZones,DC=base,DC=ru и DC=DomainDnsZones,DC=base,DC=ru.

Кто-нибудь в курсе, где это поправить можно ? Хотя на самом деле, полагаю, что это на работу не влияет, но всё-таки.
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Ну а в Windows, согласно этой рекомендации https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc783032(v=ws.10), получаю ошибку:
partition management: set nc reference domain DC=DomainDNSZones,DC=base,DC=ru DC=base,DC=ru
ldap_modify_ext_sW ошибка 0xa(10 (Ссылки).
Расширенное сообщение об ошибке LDAP 0000202B: RefErr: DSID-030A0B09, data 0, 1 access points
        ref 1: 'bb71adc7-db53-42d7-a7f4-ff986d795828._msdcs.base.ru'

Возвращенная ошибка Win32 0x202b(Сервер возвратил ссылку.)
)
Сноси Винду, переходи на Линукс ! :)

Оффлайн LordNicky

  • Начинающий
  • *
  • Сообщений: 4
    • Email
Доброго времени суток!
Получаю ту же ошибку, цепляя Win 2008 R2 к Samba 4.8. У вас получилось решить проблему? Я, вот, уже засомневался в необходимости Win контроллера после всех этих танцев.

Онлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
https://habr.com/ru/post/450572/ - вот тут вроде толково всё описано.

Оффлайн LordNicky

  • Начинающий
  • *
  • Сообщений: 4
    • Email
https://habr.com/ru/post/450572/ - вот тут вроде толково всё описано.

Спасибо, конечно, но я во первых win-контроллер к самбе добавляю и с win-контроллером же проблемы имею всякого характера, в том числе описанные в треде. Cинхронизации drs итак вроде нормально работают; а win-контроллер сыпет ошибки и не хочет стартовать dns.

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
ту же ошибку
Какую именно ? Изначальную решил.
Сноси Винду, переходи на Линукс ! :)

Оффлайн LordNicky

  • Начинающий
  • *
  • Сообщений: 4
    • Email
Только почему-то репликация всё равно не работает...
В журнале на Windows такие ошибки есть:
Цитировать (выделенное)

    DNS-серверу не удалось инициализировать интерфейсы безопасности Active Directory. Убедитесь, что Active Directory функционирует нормально и перезапустите DNS-сервер. Данные о событии содержат сведения об ошибке.

Цитировать (выделенное)

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

Цитировать (выделенное)

    Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование,  Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые  выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом.  Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера.
     
    В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации.  Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный  сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок  произошло.  Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки.  Как только соответствующие события перестанут регистрироваться  в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок.
     
    Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.
     
    Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том,  на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.

Вот эти ошибки. Вы оставляли некоторые ссылки, но с оговорками, что всё равно ничего не помогло...

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 144
    • Email
Вот эти ошибки. Вы оставляли некоторые ссылки, но с оговорками, что всё равно ничего не помогло...
Решить эти проблемы не удалось, пока забросил. На работу вроде не влияет, я же пишу потом ниже. Насколько помню Windows Server не мог стартовать без PDC, на инициализации сети застревал, может просто долго думал, а так проблем явных не заметил. Могу ещё раз проверить у себя, но несколько позже, где-то после 20 числа.
Сноси Винду, переходи на Линукс ! :)

Оффлайн LordNicky

  • Начинающий
  • *
  • Сообщений: 4
    • Email
Хмм... а управлять dns сервером с Windows DC у вас получается? у меня он видел, что DNS сервер то вроде есть, но зоны не показывал.