Добрый день, форумчане!
Пару недель назад сделал контроллер домена на Samba, делал по рекомендациям
отсюда для сценария "Заведение вторичного DC" с BIND9_DLZ. Хочу сделать пару DC на Samba, затем понизить теперешний DC на Windows Server 2008R2 до обычного domain member. Столкнулся с большим количеством мелких проблем, не затронутых в руководстве, например режим репликации основной зоны должен быть установлен в "To all DNS servers in the Active Directory forest domain.local" (Для всех DNS-серверов в этом лесу). Пока из видных невооружённым глазом проблем осталась одна (тьфу-тьфу), каждые 10 мин в сислоге вижу:
дек 27 18:15:55 samba[322555]: [2023/12/27 18:15:55.287046, 0] ../../lib/util/util_runcmd.c:355(samba_runcmd_io_handler)
дек 27 18:15:55 samba[322555]: /usr/sbin/samba_dnsupdate: ; TSIG error with server: tsig verify failure
дек 27 18:15:55 samba[322555]: [2023/12/27 18:15:55.287962, 0] ../../lib/util/util_runcmd.c:355(samba_runcmd_io_handler)
дек 27 18:15:55 samba[322555]: /usr/sbin/samba_dnsupdate: update failed: REFUSED
дек 27 18:15:55 samba[322555]: [2023/12/27 18:15:55.330924, 0] ../../source4/dsdb/dns/dns_update.c:85(dnsupdate_nameupdate_done)
дек 27 18:15:55 samba[322555]: dnsupdate_nameupdate_done: Failed DNS update with exit code 1
Т.е. самба говорит, что у неё какие-то проблемы с обновлением DNS, хотя записи (по крайней мере типа А) реплицируются с виндового контроллера на самбу и обратно. Насколько это страшно и можно ли этим пренебречь? Вот мои конфиги (после анонимайзинга, 192.168.241.0/24 - рабочая сеточка):
/etc/krb5.conf
includedir /etc/krb5.conf.d/
[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_kdc = true
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = DOMAIN.LOCAL
#default_ccache_name = KEYRING:persistent:%{uid} # DISABLED_BY_KRB5_CONF_CCACHE_POLICY
[realms]
# EXAMPLE.COM = {
# default_domain = example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.
/etc/bind/options.conf
options {
version "unknown";
directory "/etc/bind/zone";
pid-file "";
dump-file "/var/run/named_dump.db";
statistics-file "/var/run/named.stats";
recursing-file "/var/run/recursing";
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;
//может понадобиться отключить dnssec
//dnssec-enable no;
dnssec-validation no;
allow-query { localnets; 192.168.241.0/24; };
allow-recursion { localnets; 192.168.241.0/24; };
include "/etc/bind/resolvconf-options.conf";
max-cache-ttl 86400;
};
logging {
category lame-servers {null;};
};
/etc/bind/resolvconf-options.conf
forwarders {
ip.addr.of.dns-provider1
ip.addr.of.dns-provider2
ip.addr.of.win-dc
};
/etc/samba/smb.conf
[global]
netbios name = DOM-DC-01
realm = DOMAIN.LOCAL
server role = active directory domain controller
server services = -dns
workgroup = DOMAIN
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[netlogon]
path = /var/lib/samba/sysvol/zbi.local/scripts
read only = No
Sysvol пока не реплицирую, планирую это делать в дальнейшем
по этим указаниям.
