Samba 4 в роли контроллера домена. Не обновляется dns с клиента windows
Доброе время суток!
Samba в роли dc
[ebuild R #] net-fs/samba-4.1.12 USE=«acl addns ads aio dmapi ldap quota syslog winbind -avahi -client -cluster -cups -fam -gnutls -iprint (-selinux) {-test}» PYTHON_TARGETS=«python2_7» 0 kB
dns BIND9_DLZ
# host -l fb.local
fb.local name server newmail.fb.local.
fb.local has address 10.60.1.1
_msdcs.fb.local name server newmail.fb.local.
newmail.fb.local has address 10.60.1.1
ForestDnsZones.fb.local has address 10.60.1.1
DomainDnsZones.fb.local has address 10.60.1.1
клиент windows7 нормально присоединяется к домену, но не регистрируется в DNS. В чём может быть проблема?
23-Sep-2014 14:13:27.422 database: info: samba_dlz: starting transaction on zone fb.local
23-Sep-2014 14:13:27.423 update-security: error: client 10.60.45.100#61336: update 'fb.local/IN' denied
23-Sep-2014 14:13:27.423 database: info: samba_dlz: cancelling transaction on zone fb.local
- Для комментирования войдите или зарегистрируйтесь
.
dhcp настроен на динамическое обновление зон в bind?
например: "Связка DHCP с DNS"
а другие клиенты норм адрес обновляют(linux, unix, windows итд)?
Система на стадии
Система на стадии тестирования.
dhcp нет. IP на Вин-клиенте прописан руками. (хотя пробовал и с помощью dhcp результат тот-же)
Контроллер настраивал по этому мануалу:
http://wiki.gentoo.org/wiki/Samba4_Migrating/HOWTO#Bind_DNS_DLZ_module_Setup
Задачи увязать dhcp с dns нет. Нужно чтобы при регистрации машины в домене, в зону автоматом прописывался IP.
В принципе, не обязательно автоматом обновлять зону. Но дело в том, что когда клиент пытается это сделать, bind минуты на две отваливается и перестаёт обрабатывать запросы.
Клиенты win7 и WinXP. *nix клиентов не тестировал.
.
что то типо этого делали:
1. Change of /etc/bind/named.conf
2. Configuring Bind as Samba Active Directory backend
3. DNS dynamic updates via Kerberos (optional, but recommended)
это что бы самба могла делать записи в зоне днс
Цитата: что то типо этого
Да, конечно. Может что-то упустил.. не проходит тест:
#samba_dnsupdate --verbose --all-names
IPs: ['10.60.1.1']
Calling nsupdate for A newmail.fb.local 10.60.1.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
newmail.fb.local. 900 IN A 10.60.1.1
; Communication with 127.0.0.1#53 failed: timed out
could not talk to any default name server
Failed nsupdate: 1
Calling nsupdate for A fb.local 10.60.1.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
fb.local. 900 IN A 10.60.1.1
....
....
При этом bind перестает отвечать на запросы, пока не отвалится по таймауту
Самба и bind собраны со следующими флагами:
# emerge -pv samba bind
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild R #] net-fs/samba-4.1.12 USE="acl addns ads aio dmapi ldap quota syslog winbind -avahi -client -cluster -cups -fam -gnutls -iprint (-selinux) {-test}" PYTHON_TARGETS="python2_7" 0 kB
[ebuild R ] net-dns/bind-9.9.5-r3 USE="berkdb dlz doc gssapi ldap ssl -caps -filter-aaaa -fixed-rrset -geoip -gost -idn -ipv6 -mysql -odbc -postgres -python -rpz -rrl -sdb-ldap (-selinux) -static-libs -threads -urandom -xml" 0 kB
Конфиги:
# cat /etc/bind/named.conf
acl "xfer" {
none;
};
acl "trusted" {
127.0.0.0/8;
10.60.0.0/16;
// ::1/128;
};
options {
directory "/var/bind";
pid-file "/run/named/named.pid";
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
/* https://www.isc.org/solutions/dlv >=bind-9.7.x only */
//bindkeys-file "/etc/bind/bind.keys";
listen-on { 127.0.0.1; 10.60.1.1; };
allow-query {
trusted;
};
allow-query-cache {
trusted;
};
allow-recursion {
trusted;
};
allow-transfer {
none;
};
allow-update {
trusted;
};
forward first;
forwarders {
// 123.123.123.123; // Your ISP NS
// 124.124.124.124; // Your ISP NS
// 4.2.2.1; // Level3 Public DNS
// 4.2.2.2; // Level3 Public DNS
8.8.8.8; // Google Open DNS
8.8.4.4; // Google Open DNS
};
//dnssec-enable yes;
//dnssec-validation yes;
/*
* As of bind 9.8.0:
* "If the root key provided has expired,
* named will log the expiration and validation will not work."
*/
dnssec-validation auto;
/* if you have problems and are behind a firewall: */
//query-source address * port 53;
};
logging {
channel default_log {
file "/var/log/named/named.log" versions 5 size 50M;
severity debug 1;
print-time yes;
print-severity yes;
print-category yes;
};
category default { default_log; };
category general { default_log; };
};
include "/etc/bind/rndc.key";
include "/var/lib/samba/private/named.conf";
controls {
inet 127.0.0.1 port 953 allow { 127.0.0.1/32; } keys { "rndc-key"; };
};
zone "." in {
type hint;
file "/var/bind/named.cache";
};
zone "localhost" IN {
type master;
file "pri/localhost.zone";
notify no;
};
zone "127.in-addr.arpa" IN {
type master;
file "pri/127.zone";
notify no;
};
# cat /var/lib/samba/private/named.conf
dlz "AD DNS Zone" {
# For BIND 9.8.0
# database "dlopen /usr/lib64/samba/bind9/dlz_bind9.so";
# For BIND 9.9.0
database "dlopen /usr/lib64/samba/bind9/dlz_bind9_9.so";
};
# cat /etc/samba/smb.conf
# Global parameters
[global]
workgroup = FB
realm = FB.LOCAL
netbios name = NEWMAIL
server role = active directory domain controller
allow dns updates = nonsecure and secure
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
interfaces = 10.60.0.0/16
bind interfaces only = yes
printcap = /dev/null
winbind use default domain = Yes
template homedir = /home/%ACCOUNTNAME%
template shell = /bin/bash
[netlogon]
path = /var/lib/samba/sysvol/fb.local/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
права доступа:
ls -al /var/lib/samba/private/
------- сделан линк в /etc/krb5.conf с правами на чтение для всехитого 11256
drwxr-xr-x+ 7 root root 4096 сен 25 09:20 .
drwxr-xr-x 6 root root 4096 сен 22 14:53 ..
drwxrwx--- 3 root named 4096 сен 24 17:03 dns
-rw-r-x---+ 1 root named 712 сен 22 14:37 dns.keytab
-rw-r-x---+ 1 root root 1626 сен 22 15:25 dns_update_cache
-rw-r-xr--+ 1 root root 3183 сен 22 14:37 dns_update_list
-rw------- 1 root root 1286144 сен 22 14:36 hklm.ldb
-rw------- 1 root root 1609728 сен 24 13:13 idmap.ldb
-rw-r--r-- 1 root root 89 сен 22 14:37 krb5.conf
srwxrwxrwx 1 root root 0 сен 24 17:06 ldapi
drwxr-x--- 2 root root 4096 сен 24 17:06 ldap_priv
-rw-r--r-- 1 root root 545 сен 24 17:03 named.conf
-r--r-xr--+ 1 root root 214 сен 22 14:53 named.conf.update
-rw-r--r-- 1 root root 2204 сен 24 17:03 named.txt
-rw------- 1 root root 1286144 сен 22 14:36 privilege.ldb
-rw------- 1 root root 696 сен 22 14:53 randseed.tdb
-rw------- 1 root root 4247552 сен 22 14:37 sam.ldb
drwxr-x--- 2 root named 4096 сен 24 17:03 sam.ldb.d
-rw------- 1 root root 24576 сен 24 17:06 schannel_store.tdb
-rw------- 1 root root 1042 сен 22 14:37 secrets.keytab
-rw------- 1 root root 1286144 сен 22 14:37 secrets.ldb
-rw------- 1 root root 430080 сен 22 14:37 secrets.tdb
-rw------- 1 root root 1286144 сен 22 14:36 share.ldb
drwxr-xr-x 3 root root 4096 сен 22 14:53 smbd.tmp
-rw-r--r-- 1 root root 955 сен 22 14:37 spn_update_list
drwx------ 2 root root 4096 сен 22 14:36 tls