Сбой репликации

[reiss]

Есть у меня 2 контроллера домена. Оба на Samba-DC
Раньше репликация меж ними проходила на ура. А теперь вылезло такое:

Код: [Выделить]

ERROR(<class 'samba.drs_utils.drsException'>): DsReplicaSync failed - drsException: DsReplicaSync failed (3221356597, 'The operation cannot be performed.')
  File "/usr/lib64/samba-dc/python3.7/samba/netcmd/drs.py", line 577, in run
    drs_utils.sendDsReplicaSync(server_bind, server_bind_handle, source_dsa_guid, NC, req_options)
  File "/usr/lib64/samba-dc/python3.7/samba/drs_utils.py", line 92, in sendDsReplicaSync
    raise drsException("DsReplicaSync failed %s" % estr)
Что ей надо и как лечить?

[Skull]

Смотрите логи.

[reiss]

Лог чего? Ошибка эта что значит?
Питон поломался? Или что?
И совсем хорошо - оснасткой к нему не подключиться - недоступны сведения по настройке, описывающие предприятие
Да, может поможет. У меня перед этим произошел сбой из-за света. Самба отказалась запускаться. Что-то ей не нравилось в файле socks .
Помогло решить проблему вот это:
chcon -R -t bin_t /usr/local/samba/sbin/
Метания, которые НЕ помогли (будучи вычитаны на просторах):
restorecon -v samba.pid
ausearch -c 'systemd' --raw | audit2allow -M my-systemd
semodule -X 300 -i my-samba.pp
systemctl samba.service enabled
Все это было сделано в стрессовый момент и плохо поддается логике. Если чего не так ввел, скажите, как исправить
Еще момент. Оснасткой к резервному контроллеру подрубиться могу. К основному нет - неверный пароль.
Он что, пассы потерял? реплицировать в его сторону боюсь - вдруг полетят ИД станций и все компы придется перевводить?

Упдейт:
Будучи создана на резервном контроллере, учетка на рабочей станции сработала - зашло прекрасно.
Какой-то бред. Сам не понимаю. что происходит. Комп я в домен ввести могу. А вот репликацию сделать ровно с тем же логином/паролем нет. Это как?
И, если второй контроллер как-то цепляется, почему я не мог ввести в домен, когда первый упал?

[N0rbert]

сбой из-за света

А fsck всех дисков сделали?

[reiss]

сбой из-за света

А fsck всех дисков сделали?

Руками нет. МОжет и запускалось после включения
А чего бы она пароли теряла?
pdbedit -L
показывает, что все пассы на месте, в том числе админский.
Меня беспокоит другое. Почему, когда я лезу с МС  оснастки в домен, мне пишет, что
"Недоступны сведения по настройке, описывающие предприятие."
Что оно и где потеряло? Сами сервера видит

Код: [Выделить]

nltest /dnsgetdc:<домен>
Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весов SRV:
Не специфический для сайта:
   sambadc.<тут домен>  10.174.36.34
   smbres.<тут домен>  10.174.36.35
Команда выполнена успешно.

Вот еще что нашел. при просмотре статуса самбы:

Код: [Выделить]

ноя 11 13:30:17 sambadc.gkb34.nsk samba[1748]: [2022/11/11 13:30:17.365116,  0] ../../source4/librpc/rpc/dcerpc_util.c:682(dcerpc_pipe_auth_recv)
ноя 11 13:30:17 sambadc.gkb34.nsk samba[1748]:   Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for ncacn_ip_tcp:10.174.36.35[49153,seal,krb5,target_hostname=98add304-c687-4412-b98d-cbbeb5e1cc>
ноя 11 13:30:17 sambadc.gkb34.nsk samba[1748]: [2022/11/11 13:30:17.767966,  0] ../../source4/librpc/rpc/dcerpc_util.c:682(dcerpc_pipe_auth_recv)
ноя 11 13:30:17 sambadc.gkb34.nsk samba[1748]:   Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for ncacn_ip_tcp:10.174.36.35[49153,seal,krb5,target_hostname=98add304-c687-4412-b98d-cbbeb5e1cc>
ноя 11 13:30:18 sambadc.gkb34.nsk samba[1748]: [2022/11/11 13:30:18.169415,  0] ../../source4/librpc/rpc/dcerpc_util.c:682(dcerpc_pipe_auth_recv)
ноя 11 13:30:18 sambadc.gkb34.nsk samba[1748]:   Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for ncacn_ip_tcp:10.174.36.35[49153,seal,krb5,target_hostname=98add304-c687-4412-b98d-cbbeb5e1cc>
ноя 11 13:30:18 sambadc.gkb34.nsk samba[1748]: [2022/11/11 13:30:18.569891,  0] ../../source4/librpc/rpc/dcerpc_util.c:682(dcerpc_pipe_auth_recv)
ноя 11 13:30:18 sambadc.gkb34.nsk samba[1748]:   Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for ncacn_ip_tcp:10.174.36.35[49153,seal,krb5,target_hostname=98add304-c687-4412-b98d-cbbeb5e1cc>
ноя 11 13:30:21 sambadc.gkb34.nsk samba[1748]: [2022/11/11 13:30:21.967890,  0] ../../source4/librpc/rpc/dcerpc_util.c:682(dcerpc_pipe_auth_recv)
ноя 11 13:30:21 sambadc.gkb34.nsk samba[1748]:   Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for ncacn_ip_tcp:10.174.36.35[49153,seal,krb5,target_hostname=98add304-c687-4412-b98d-cbbeb5e1cc>

>А fsck всех дисков сделали?
Кстати, как я сделаю это для корня? размонтировать корень не дает

Дополнение. На основном контроллере у меня /var/lib/samba/private/ пустая.
Как лечить?

[reiss]

Опять вернулся косяк
[root@smbres private]# samba-tool drs replicate sambadc.gkb34.nsk smbres.gkb34.nsk dc=gkb34,dc=nsk -Uadministrator
Password for [GKB34\administrator]:
Replicate from smbres.gkb34.nsk to sambadc.gkb34.nsk was successful.
[root@smbres private]# samba-tool drs replicate smbres.gkb34.nsk sambadc.gkb34.nsk dc=gkb34,dc=nsk -Uadministrator
Password for [GKB34\administrator]:
ERROR(<class 'samba.drs_utils.drsException'>): DsReplicaSync failed - drsException: DsReplicaSync failed (3221356597, 'The operation cannot be performed.')
  File "/usr/lib64/samba-dc/python3.7/samba/netcmd/drs.py", line 577, in run
    drs_utils.sendDsReplicaSync(server_bind, server_bind_handle, source_dsa_guid, NC, req_options)
  File "/usr/lib64/samba-dc/python3.7/samba/drs_utils.py", line 92, in sendDsReplicaSync
    raise drsException("DsReplicaSync failed %s" % estr)

В одну сторону - норм, в другую нет. Народ, помогите!

[GoodSoul]

На основном контроллере у меня /var/lib/samba/private/ пустая.
Как лечить?

Я бы захватил роли fsmo другим контроллером, над другом контроллере вывел бы этот. И снова его ввел. Так делал много раз.

https://wiki.samba.org/index.php/Transferring_and_Seizing_FSMO_Roles
https://wiki.samba.org/index.php/Demoting_a_Samba_AD_DC
И на всякий случай
https://wiki.samba.org/index.php/Samba_AD_DC_Troubleshooting
https://wiki.samba.org/index.php/Manually_Replicating_Directory_Partitions

[reiss]

Я бы захватил роли fsmo другим контроллером, над другом контроллере вывел бы этот. И

Ну это сильно кардинальное решение, оставим его на конец.
Кстати, дай пожалуйста по шагам, как ты это делал? Я верно понимаю, что надо делать так:
на резервном сделать:
# samba-tool fsmo seize --role=rid
и все по списку:
— rid
— pdc
— infrastructure
— schema
— naming
затем отрубить основной
поменять на резервном ип.
Все верно?

А что ему не нравится-то? Может как-то починить можно?
Cкулл, а Скулл, где ты есть? ну помоги разобраться. НГ и все дела, а тут такое :(((

[Skull]

Я бы захватил роли fsmo другим контроллером, над другом контроллере вывел бы этот. И

Ну это сильно кардинальное решение, оставим его на конец.
Кстати, дай пожалуйста по шагам, как ты это делал? Я верно понимаю, что надо делать так:
на резервном сделать:
# samba-tool fsmo seize --role=rid
и все по списку:
— rid
— pdc
— infrastructure
— schema
— naming
затем отрубить основной
поменять на резервном ип.
Все верно?

А что ему не нравится-то? Может как-то починить можно?
Cкулл, а Скулл, где ты есть? ну помоги разобраться. НГ и все дела, а тут такое :(((

Я такое не делал.

[reiss]

Я такое не делал.

Но ты способен же разобраться. По сообщениям, по логам

[GoodSoul]

А что ему не нравится-то? Может как-то починить можно?

Можно попробовать сделать репликацию с параметрами --full и --local.
Почти так, как написали.
1. samba-tool fsmo seize --role=all
2. Нужно разобраться с папкой sysvol, реплицируется ли она, где находится. Я, дурак, удалил ее со сломанного PDC и через 5 минут прошла репликация и она очистилась на других ДК, это было страшненько )
3. На ДК, на который захватил роли
samba-tool domain demote --remove-other-dead-server=DC2, где вместо DC2 имя PDC старого
4. На старом PDC удалить smb.conf, я обычно переименовываю, удалить папку private из /VAR/lib/samba
5. Сменить nameserver на адрес нового PDC
6. Попытаться
 samba-tool domain join domain.alt DC -Uadministrator --realm=domain.alt, но у меня почти никогда не работает это, я делаю по пункту 4.2.1 с https://wiki.samba.org/index.php/Samba_AD_DC_Troubleshooting#DNS_rcode_name_error
7. Возвращаю старый smb.conf
8. Настраиваю права на расшаренные папки.

PS сначала боялся это делать, но сейчас уже нет )

[reiss]

Можно попробовать сделать

Ты щас ухохочешься, но помогло простенькое
apt-get install task-samba-dc
И поставилось при этом та-даааам! 78(!!!) пакетов
Вопрос на миллион - куда оно все пропало?

[Skull]

Очевидно, снеслось при обновлении. journalctl расскажет.

[reiss]

Очевидно, снеслось при обновлении

Вопрос на 2 миллиона - кому что оторвать за подобное поведение системы?
Почему удаляется, чего не просили?!!! ты понимаешь, что обновление фактически запороло мне сервер??
А будь он один? Полетел бы домен и 220+ компов круглосуточной больницы скорой помощи не смогли бы войти в учетку.
Отрубились бы приемные покои... мы не смогли бы принимать людей в критическом состоянии. Прэлээээсно, прэлээээсно (с)
расстреливать надо

[Skull]

Админ мог установить левые пакеты, они и снесли. Чудес не бывает, у меня на КД ни разу samba не выносилась. Так что к админу вопрос.