Строю Домен в интрасети. Есть вопросы.

[AndreyNag]

Здравствуйте.
Подскажите пожалуйста тезисно как лучше организовать лес в интрасети исходя из возможностей и особенностей смешанного AD на Альте с использованием групповых политик?

Есть территориально распределённая сеть. В узлах от 5 до 50 Win-АРМов и Альт-сервер на каждый куст.
1. Сделать один домен в корне и на местах разместить дополнительные сервера в одной зоне?
2. Выстроить двухуровневый домен и связать доверительными отношениями с корнем в головном офисе?

Сеть смешанная. Аль серверы, альт рабочие станции, Windows АРМы и файловые серверы. Связи в основном локальные и от куста к корню к общим ресурсам головного подразделения.

И намекните где есть рабочий сценарий по настройке AD на базе AltServer10?
По https://docs.altlinux.org/ru-RU/domain/10.4/html/alt-domain/ch01.html - не получается ни на Internal ни на BIND9.

Спасибо за внимание.

[Skull]

Невнимательно читаете, всё должно работать. Альт Домен не поддерживает лес, используйте плоский домен с OU.

[suny]

https://docs.altlinux.org/ru-RU/domain/10.4/html/samba/index.html

[AndreyNag]

Невнимательно читаете, всё должно работать. Альт Домен не поддерживает лес, используйте плоский домен с OU.

Не исключено. Пробовал несколько раз. Вполне возможно, что непонимание некоторых моментов это эффект от опыта развёртывания леса на Windows.
В случае с "плоским доменом" в каждом узле надо будет ставить реплицирующийся резервный сервер? Правильно?
Цель иметь на каждом сервере отдельный набор ресурсов и политик, но с сохранением доступа из головного подразделения.
Получится, что список пользователей и ресурсов будет в отдельных "организационных подразделениях"?

Кстати есть вариативность между сценариями
https://www.altlinux.org/ActiveDirectory
и
https://docs.altlinux.org/ru-RU/domain/10.4/html/samba/index.html

Но всё это нюансы.
Разрешите вопрос номер раз:
С какого набора опций начинать установку сервера под развёртывание домена? Выбрать вариант "Офисный сервер" и "Домен Samba/AD" или минимальный?
Спасибо.

[Skull]

Выбирайте Домен Active Directory.

[AndreyNag]

Выбирайте Домен Active Directory.

Выбрал поставил. Снова столкнулся, что не все проверки проходят. Но в процессе поисков информации набрёл на блог в Дзене, где была указана "волшебная" информация о том, что обратную зону надо создавать, о чём в официальной документации не написано в нужном месте.
Сейчас поднимаю такой же домен, чтобы добавить его в качестве резервного.
Таким образом в узлах интрасети будут DC с взаимной репликацией.

[AndreyNag]

Медленно продвигаюсь в решении задачи.
Столкнулся с проблемой, что служба bind после перезагрузки не может привязаться к 53-му порту. Соответственно не работают сервисы AD. Что-то ей мешает.

Спойлер

Код: [Выделить]

фев 21 09:18:10 ooo-dc.domain.region.ru named[3014]: running
фев 21 09:18:10 ooo-dc.domain.region.ru systemd[1]: Started Berkeley Internet Name Domain (DNS).
фев 21 09:18:12 ooo-dc.domain.region.ru named[3014]: listening on IPv4 interface enp4s0, 192.168.45.222#53
фев 21 09:18:12 ooo-dc.domain.region.ru named[3014]: creating IPv4 interface enp4s0 failed; interface ignored
фев 21 09:18:14 ooo-dc.domain.region.ru named[3014]: listening on IPv4 interface enp4s0, 192.168.45.222#53
фев 21 09:18:14 ooo-dc.domain.region.ru named[3014]: creating IPv4 interface enp4s0 failed; interface ignored
фев 21 09:19:10 ooo-dc.domain.region.ru named[3014]: listening on IPv4 interface enp4s0, 192.168.45.222#53
фев 21 09:19:10 ooo-dc.domain.region.ru named[3014]: creating IPv4 interface enp4s0 failed; interface ignored
фев 21 09:20:10 ooo-dc.domain.region.ru named[3014]: listening on IPv4 interface enp4s0, 192.168.45.222#53
фев 21 09:20:10 ooo-dc.domain.region.ru named[3014]: creating IPv4 interface enp4s0 failed; interface ignored
[root@ooo-dc ~]# systemctl restart bind.service 
[root@ooo-dc ~]# systemctl status bind.service 
● bind.service - Berkeley Internet Name Domain (DNS)
    Loaded: loaded (/lib/systemd/system/bind.service; enabled; vendor preset: disabled)
    Active: active (running) since Fri 2025-02-21 09:21:17 MSK; 1s ago
   Process: 3812 ExecStartPre=/etc/init.d/bind rndc_keygen (code=exited, status=0/SUCCESS)
   Process: 3816 ExecStartPre=/usr/sbin/named-checkconf $CHROOT -z /etc/named.conf (code=exited, status=0/SUCCESS)
   Process: 3817 ExecStart=/usr/sbin/named -u named $CHROOT $RETAIN_CAPS $EXTRAOPTIONS (code=exited, status=0/SUCCESS)
     Tasks: 62 (limit: 38207)
    Memory: 204.4M
       CPU: 212ms
    CGroup: /system.slice/bind.service
            └─ 3818 /usr/sbin/named -u named -t /

фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: command channel listening on 127.0.0.1#953
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: managed-keys-zone: loaded serial 16
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: zone 0.in-addr.arpa/IN: loaded serial 2025020600
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: zone 255.in-addr.arpa/IN: loaded serial 2025020600
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: zone 127.in-addr.arpa/IN: loaded serial 2025020600
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: zone localdomain/IN: loaded serial 2025020600
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: zone localhost/IN: loaded serial 2025020600
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: all zones loaded
фев 21 09:21:17 ooo-dc.domain.region.ru named[3818]: running
фев 21 09:21:17 ooo-dc.domain.region.ru systemd[1]: Started Berkeley Internet Name Domain (DNS).
[root@ooo-dc ~]#



"Решает" проблему банальный перезапуск bind.service. Можно конечно костыль поставить в cron'e, но не люблю такие "решения".
В какую сторону копать?
Спасибо за внимание.

[Александр Ерещенко]

"Решает" проблему банальный перезапуск bind.service

Как версия, на момент старта bind ещё не успел подняться интерфейс enp4s0

[AndreyNag]

Как версия, на момент старта bind ещё не успел подняться интерфейс enp4s0

Версия понятная, но @S10network, @S13rpcbind и @S20bind в /etc/rc3.d/ говорят, что в плане последовательности всё должно быть хорошо.
Перенёс загрузку @S73rpcbind и @S90bind в конец списка, но ситуация не поменялась. При автозапуске служба bind не может привязаться к 53-му порту, а при ручном перезапуске всё отрабатывает нормально.

[Александр Ерещенко]

Как версия, на момент старта bind ещё не успел подняться интерфейс enp4s0

Версия понятная, но @S10network, @S13rpcbind и @S20bind в /etc/rc3.d/ говорят, что в плане последовательности всё должно быть хорошо.
Перенёс загрузку @S73rpcbind и @S90bind в конец списка, но ситуация не поменялась. При автозапуске служба bind не может привязаться к 53-му порту, а при ручном перезапуске всё отрабатывает нормально.

А у вас SysV или Systemd ?
И может в логах загрузки есть больше подробностей, что наведёт на мысль?

[AndreyNag]

А у вас SysV или Systemd ?

Здравствуйте.

Код: [Выделить]

# ps -p 1 -o comm=
systemd


[Александр Ерещенко]

А у вас SysV или Systemd ?

Здравствуйте.

Код: [Выделить]

# ps -p 1 -o comm=
systemd


Тогда управлять порядком запуска через /etc/rc3.d/ бесполезно.
Надо подправлять юниты systemd.
Сейчас под рукой машинки с bind нет, поэтому если что пути и имена файлов поправить по месту. :)
По идее должен существовать сервис bind.service

Код: [Выделить]

systemctl status bind.serviceТогда в каталоге /etc/systemd/system/  создаём каталог типа bind.service.wants  и в нём создаём файл bind.service со следующим содержимым (это изменения и дополнения к файлу /lib/systemd/system/bind.service)

Код: [Выделить]

[Unit]
Wants=network-online.target
After=network.target network-online.target
Т.е. чтобы bind стартовал уже после того как сеть полностью поднимется.
На всякий случай глянуть в /lib/systemd/system/bind.service , что там по умолчанию у него прописано.

ЗЫ. За bind ещё на старых системах с sysv было замечено, что в случае пропадания и восстановления обратно интерфейса, напр. при рестарте всей сети или отдельного интерфейса (ifdown-ifup), то bind этот интерфейс теряет совсем и автоматом не восстанавливает, только через рестарт самого bind

[AndreyNag]

Содержимое /lib/systemd/system/bind.service:

Спойлер

Код: [Выделить]

[Unit]
Description=Berkeley Internet Name Domain (DNS)
Wants=nss-lookup.target
Before=nss-lookup.target
After=network.target

[Service]
Type=forking
GuessMainPID=no
EnvironmentFile=-/etc/sysconfig/bind
#Environment=KRB5_KTNAME=/etc/named.keytab

ExecStartPre=/etc/init.d/bind rndc_keygen
ExecStartPre=/usr/sbin/named-checkconf $CHROOT -z /etc/named.conf
ExecStart=/usr/sbin/named -u named $CHROOT $RETAIN_CAPS $EXTRAOPTIONS

ExecReload=/bin/sh -c '/usr/sbin/rndc reload > /dev/null 2>&1 || /bin/kill -HUP $MAINPID'

ExecStop=/bin/sh -c '/usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID'

#PrivateTmp=true
#TimeoutSec=25

[Install]
WantedBy=multi-user.target


Сделал всё, как вы писали.
Ситуация не изменилась. Всё так же bind не загружается нормально при загрузке системы. После ручного перезапуска 53-й порт открывается для доступа извне.
P.S. Сделал обновление системе. В т.ч. и ядро до 129-го.

[Александр Ерещенко]

1) На всякий случай уточняю. IP-адрес на этом компе настроен именно статикой, не dhcp ?
2) А там случайно samba-dc не пытается параллельно поднять dns ? Если для эксперимента потушить её, чтобы при старте не загружалась, то bind с первого раза поднимится?

[AndreyNag]

1) На всякий случай уточняю. IP-адрес на этом компе настроен именно статикой, не dhcp ?

Адрес статический.

2) А там случайно samba-dc не пытается параллельно поднять dns ? Если для эксперимента потушить её, чтобы при старте не загружалась, то bind с первого раза поднимится?

Как притушить? Настраивал по сценарию из https://docs.altlinux.org/ru-RU/domain/10.4/html/samba/index.html. Там вроде бы возможный конфликт учтён.