Автор Тема: Проблемы после ввода Samba 4 в роли DC  (Прочитано 653 раз)

Оффлайн kl0p

  • Начинающий
  • *
  • Сообщений: 45
Добрый день, форумчане!

Пару недель назад сделал контроллер домена на Samba, делал по рекомендациям отсюда для сценария "Заведение вторичного DC" с BIND9_DLZ. Хочу сделать пару DC на Samba, затем понизить теперешний DC на Windows Server 2008R2 до обычного domain member. Столкнулся с большим количеством мелких проблем, не затронутых в руководстве, например режим репликации основной зоны должен быть установлен в "To all DNS servers in the Active Directory forest domain.local" (Для всех DNS-серверов в этом лесу). Пока из видных невооружённым глазом проблем осталась одна (тьфу-тьфу), каждые 10 мин в сислоге вижу:
дек 27 18:15:55 samba[322555]: [2023/12/27 18:15:55.287046,  0] ../../lib/util/util_runcmd.c:355(samba_runcmd_io_handler)
дек 27 18:15:55 samba[322555]:   /usr/sbin/samba_dnsupdate: ; TSIG error with server: tsig verify failure
дек 27 18:15:55 samba[322555]: [2023/12/27 18:15:55.287962,  0] ../../lib/util/util_runcmd.c:355(samba_runcmd_io_handler)
дек 27 18:15:55 samba[322555]:   /usr/sbin/samba_dnsupdate: update failed: REFUSED
дек 27 18:15:55 samba[322555]: [2023/12/27 18:15:55.330924,  0] ../../source4/dsdb/dns/dns_update.c:85(dnsupdate_nameupdate_done)
дек 27 18:15:55 samba[322555]:   dnsupdate_nameupdate_done: Failed DNS update with exit code 1
Т.е. самба говорит, что у неё какие-то проблемы с обновлением DNS, хотя записи (по крайней мере типа А) реплицируются с виндового контроллера на самбу и обратно. Насколько это страшно и можно ли этим пренебречь? Вот мои конфиги (после анонимайзинга, 192.168.241.0/24 - рабочая сеточка):
/etc/krb5.conf
includedir /etc/krb5.conf.d/

[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_kdc = true
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = DOMAIN.LOCAL
#default_ccache_name = KEYRING:persistent:%{uid} # DISABLED_BY_KRB5_CONF_CCACHE_POLICY

[realms]
# EXAMPLE.COM = {
#  default_domain = example.com
# }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.
/etc/bind/options.conf
options {
   version "unknown";
   directory "/etc/bind/zone";
   pid-file "";
   dump-file "/var/run/named_dump.db";
   statistics-file "/var/run/named.stats";
   recursing-file "/var/run/recursing";
   tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
   minimal-responses yes;
   //может понадобиться отключить dnssec
   //dnssec-enable no;
   dnssec-validation no;
   
   allow-query { localnets; 192.168.241.0/24; };
   allow-recursion { localnets; 192.168.241.0/24; };
   
   include "/etc/bind/resolvconf-options.conf";
   max-cache-ttl 86400;
};
logging {
        category lame-servers {null;};
};
/etc/bind/resolvconf-options.conf
forwarders {
   ip.addr.of.dns-provider1
   ip.addr.of.dns-provider2
   ip.addr.of.win-dc
};
/etc/samba/smb.conf
[global]
   netbios name = DOM-DC-01
   realm = DOMAIN.LOCAL
   server role = active directory domain controller
   server services = -dns
   workgroup = DOMAIN

[sysvol]
   path = /var/lib/samba/sysvol
   read only = No

[netlogon]
   path = /var/lib/samba/sysvol/zbi.local/scripts
   read only = No
Sysvol пока не реплицирую, планирую это делать в дальнейшем по этим указаниям.
« Последнее редактирование: 27.12.2023 19:02:13 от kl0p »