Samba-3-zu-4-Migration: Ein Albtraum mit DNS

[Flipflip]

Hallo zusammen,

Ich habe Schwierigkeiten mit meinen Migrationstests meines Samba 3-Domänencontrollers im NT4-Modus auf Samba 4.19. Ich besitze eine Domäne, die ich für meine Website und E-Mails nutze; sie wird derzeit von OVH verwaltet, und ich habe nicht die Absicht, die Kontrolle darüber zurückzuerlangen.

Externer Domainname: masociete.fr
Lokaler NT4-Domänenname: marue205
Lokale DNS-Zone: marue205

Auf dem zukünftigen AD-Server ist der Kerberos-Teil wie folgt konfiguriert:

Code: Alle auswählen

[libdefaults]
        default_realm = marue205.masociete.fr
        dns_lookup_kdc = true
        dns_lookup_realm = false

In der globalen smb.conf-Datei, die ich mit dem Befehl samba-tool domain classic update verwende... habe ich

Code: Alle auswählen

        netbios name = svad01
        server string = Gestionnaire de domaine
        workgroup = marue205

Wenn ich die Migration starte, verwende ich folgenden Befehl:

Code: Alle auswählen

samba-tool domain classicupgrade --dbdir=/root/backup/samba/var --realm=MARUE205.MASOCIETE.FR /root/backup/samba/etc/smb.conf

Alles funktioniert einwandfrei und ich erhalte keine Fehlermeldungen. Die neue smb.conf sieht folgendermaßen aus:

Code: Alle auswählen

[global]
        netbios name = SVAD01
        realm = MARUE205.MASOCIETE.FR
        server role = active directory domain controller
        workgroup = MARUE205
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/marue205.masociete.fr/scripts
        read only = No

Ich füge die Freigabeprofile hinzu

Code: Alle auswählen

[profiles]
        path = /media/ds_cifs_profiles
        read only = No
        csc policy = disable
        vfs objects = acl_xattr
        force create mode = 0600
        force directory mode = 0700
        store dos attributes = yes

Der Ordner existiert auf dem neuen Server, ebenso wie der Benutzerprofilordner für meine Tests mit den Rechten userDeTest:domain users.

Ich habe alles neu gestartet und eine VM gestartet, die sich problemlos mit dem alten NT4-Domänencontroller verbunden hat (ich habe die smbd- und nmbd-Prozesse auf dem alten Server beendet). Die Sitzung wurde zwar geöffnet, aber ich erhielt eine Benachrichtigung, dass ein temporäres Profil verwendet wurde. Selbst mit dem Protokollierungsgrad 3 zeigte das Samba-Protokoll keine Meldungen an … ich erhielt nicht einmal eine Benachrichtigung über eine Benutzeranmeldung. Es scheint, als ob die VM den Active Directory-Server nicht finden kann, obwohl beide die einzigen Geräte im Netzwerk sind.

Nachdem die temporäre Windows-Sitzung geöffnet war, versuchte ich, direkt über die Adressleiste des Datei-Explorers mit \\svad01 auf mein Active Directory zuzugreifen, und siehe da, ich konnte alle Freigaben sehen. Ich konnte auf die Freigabe „Profile“ zugreifen und darin ein Verzeichnis erstellen. Damit war das Berechtigungsproblem behoben.

In der Windows-Ereigniskonsole der VM (es ist Windows 7, ich weiß, es ist alt, aber ich migriere zu Samba 4, um auf Windows 10 upgraden zu können) erhalte ich folgende Meldung:

Code: Alle auswählen

Windows ne peut pas trouver de copie serveur de votre profil itinérant et tente de vous ouvrir une session avec votre profil local. Les modifications apportées au profil ne seront pas copiées sur le serveur lorsque vous fermerez votre session. Ce problème peut être causé par des problèmes réseau ou des droits de sécurité insuffisants. 

 DÉTAIL - Nom de réseau introuvable.
 
 Id : 1521
 Utilisateur : MARUE205\userDeTest
 Ordinateur : pc01.marue205.masociete.fr

Ich habe den DNS-Teil gemäß dieser Dokumentation integriert: https://samba.tranquil.it/doc/fr/samba_ ... ebian.html

Netzwerkseitig übernimmt DHCP die Konfiguration, und auf dem Testrechner sieht das folgendermaßen aus:

Code: Alle auswählen

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : pc01
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205.masociete.fr
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : lundi 22 avril 2024 16:29:56
   Bail expirant. . . . . . . . . . . . . : lundi 22 avril 2024 17:29:55
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.168.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Code: Alle auswählen

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Ich bin völlig ratlos, und je mehr ich teste, desto weniger funktioniert es Haben Sie irgendwelche Ideen?

Dank im Voraus.
Philippe.

[dcardon]

Hallo Philippe,

* Roaming-Profile sind keine gute Idee. Sie sollten möglichst vermieden werden.
* Das Problem liegt nicht unbedingt an den DNS-Einstellungen, sondern eher an den Berechtigungen für die Profilfreigabe (Windows ist hier sehr streng; Schreibzugriff allein reicht nicht aus).
* Es wird dringend davon abgeraten, den Domänencontroller als Datei-/Profilserver zu verwenden
. * Im Netzwerkadapter sind zwei DNS-Einträge vorhanden, obwohl anscheinend nur ein Active Directory-Server existiert. Die DNS-Server eines Rechners müssen exakt dieselben Zonen/Einträge auflösen können, andernfalls sind Probleme vorprogrammiert.

Viele Grüße,

Denis

[Flipflip]

Hallo Denis,

Vielen Dank für Ihre Antwort.

* Roaming-Profile sind eine schlechte Sache. Sie sollten so weit wie möglich vermieden werden

Ich weiß, und das werde ich auch wieder loswerden, wenn ich auf Samba 4 umsteige, aber im Moment setze ich auf Perimeter-Isolation.

Das Problem ist nicht unbedingt ein DNS-Problem, sondern eher ein Problem mit den Berechtigungen für die Profilfreigabe (Windows ist diesbezüglich sehr streng; Schreibrechte reichen nicht aus)

Mit dem Befehl samba-tool dns zonelist erhalte ich die folgenden Zonen:

Code: Alle auswählen

2 zone(s) found

  pszZoneName                 : marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : DomainDnsZones.marue205.masociete.fr

  pszZoneName                 : _msdcs.marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : ForestDnsZones.marue205.masociete.fr

Dies entspricht also gut der vom DHCP bereitgestellten DNS-Konfiguration

Es wird dringend davon abgeraten, den Domänencontroller als Datei-/Profilserver zu verwenden

Wir sind eine kleine Organisation mit 30 Benutzern, und da Roaming-Profile bald wegfallen, werde ich alles wieder auf denselben Server verlagern

* Auf der Netzwerkkarte sind zwei DNS-Einträge vorhanden, aber es scheint nur einen AD-Server zu geben... Die DNS-Server auf einem Rechner müssen in der Lage sein, genau dieselben Zonen/Einträge aufzulösen, andernfalls ist ein Problem garantiert.

Jetzt hast du mich verloren

[Flipflip]

Also, eine kleine Änderung auf der DHCP-Seite; ich habe meinen Adressbereich neu konfiguriert

Code: Alle auswählen

subnet 192.168.XXX.0 netmask 255.255.255.0 {
    server-name "svad01";
    option domain-name-servers 192.168.XXX.41, 192.168.XXX.38;
    option domain-name "marue205";
    option domain-search "marue205", "marue205.masociete.fr";
    option netbios-name-servers 192.68.XXX.41;
    option netbios-dd-server 192.68.XXX.41;
    option netbios-node-type 8;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.XXX.255;
    option routers 192.168.XXX.254;
    option ntp-servers 192.168.XXX.41;
    
    ...

Dies ergibt unter Windows Folgendes:

Code: Alle auswählen

C:\Users\Administrateur>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : PCINF03VA
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr
                                       marue205

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : mardi 23 avril 2024 09:40:04
   Bail expirant. . . . . . . . . . . . . : mardi 23 avril 2024 10:48:48
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.68.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Mit dieser Konfiguration ergibt sich allein schon eine Verbesserung beim Ping

Code: Alle auswählen

C:\Users\Administrateur>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.5.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.5.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Code: Alle auswählen

C:\Users\Administrateur>ping svad01.marue205
La requête Ping n'a pas pu trouver l'hôte svad01.marue205. Vérifiez le nom et essayez à nouveau.

Code: Alle auswählen

C:\Users\Administrateur>ping svad01.marue205.masociete.fr

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Von den 3 Ping-Tests wurden nur 2 bestanden:
- ping svad01
- ping svad01.marue205.masociete.fr

Während Ping svad01.marue205 nicht funktioniert, ist das schade, denn ich werde unweigerlich Fälle von Rechnern haben, die aus einem völlig unbekannten und wahrscheinlich absurden Grund versuchen werden, diese Art von Anfrage zu stellen.

Doch die wirklich überraschende Seite zeigt sich bei nslookup

Code: Alle auswählen

C:\Users\Administrateur>nslookup svad01
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205.masociete.fr
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Der letzte Befehl liefert keine Ergebnisse, da die Testplattform aktuell keinen Internetzugang hat. In den Logs ist jedoch zu sehen, dass die DNS-Anfrage an den Forwarder gesendet wird. Daher verstehe ich nicht, warum ein Ping an svad01.marue205 fehlschlägt, obwohl nslookup ein Ergebnis liefert.