Foro de TI Tranquil • Migración de Samba 3 a 4: una pesadilla con DNS

Página 1 de 1

Migración de Samba 3 a 4: una pesadilla con DNS

Publicado: 22 de abril de 2024 - 17:05

por flipflip

Hola a todos,

Estoy teniendo dificultades con las pruebas de migración de mi controlador de dominio Samba 3 en modo NT4 a Samba 4.19. Tengo un nombre de dominio que uso para mi sitio web y correo electrónico; actualmente lo gestiona OVH y no tengo intención de recuperarlo.

Nombre de dominio externo: masociete.fr
Nombre de dominio NT4 local: marue205
Zona DNS local: marue205

En el futuro servidor AD, la parte Kerberos se configura de la siguiente manera:

Código: Seleccionar todo

[libdefaults]
        default_realm = marue205.masociete.fr
        dns_lookup_kdc = true
        dns_lookup_realm = false

En el archivo smb.conf global que uso con el comando de actualización clásica del dominio samba-tool... tengo

Código: Seleccionar todo

        netbios name = svad01
        server string = Gestionnaire de domaine
        workgroup = marue205

Cuando inicio la migración, uso el siguiente comando:

Código: Seleccionar todo

samba-tool domain classicupgrade --dbdir=/root/backup/samba/var --realm=MARUE205.MASOCIETE.FR /root/backup/samba/etc/smb.conf

Todo está bien y no recibo ningún error. El nuevo smb.conf se ve así

Código: Seleccionar todo

[global]
        netbios name = SVAD01
        realm = MARUE205.MASOCIETE.FR
        server role = active directory domain controller
        workgroup = MARUE205
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/marue205.masociete.fr/scripts
        read only = No

Estoy agregando los perfiles para compartir

Código: Seleccionar todo

[profiles]
        path = /media/ds_cifs_profiles
        read only = No
        csc policy = disable
        vfs objects = acl_xattr
        force create mode = 0600
        force directory mode = 0700
        store dos attributes = yes

La carpeta existe en el nuevo servidor, así como la carpeta de perfil de usuario para mis pruebas con los derechos userDeTest:domain users.

Reinicié todo e inicié una máquina virtual que se conectó sin problemas al antiguo controlador de dominio NT4 (detuve los procesos smbd y nmbd en el servidor anterior). La sesión se abrió, pero recibí una notificación indicando que estaba en un perfil temporal. Incluso con el nivel de registro establecido en 3, el registro de Samba no mostró ningún mensaje; de hecho, ni siquiera recibí ninguna notificación de que un usuario hubiera iniciado sesión. Es como si la máquina virtual no pudiera encontrar el servidor de Active Directory, aunque ambos son los únicos dispositivos en la red.

Una vez abierta la sesión temporal de Windows, intenté acceder a mi Active Directory directamente desde la barra de direcciones del explorador de archivos mediante \\svad01 y, como por arte de magia, pude ver todos los recursos compartidos. Pude acceder al recurso compartido de perfiles y crear un directorio dentro de él. Esto solucionó el problema de los permisos.

En la consola de eventos de Windows de la VM (es Windows 7, sé que es antiguo, pero estoy migrando a Samba 4 para poder actualizar a Windows 10), aparece el siguiente mensaje:

Código: Seleccionar todo

Windows ne peut pas trouver de copie serveur de votre profil itinérant et tente de vous ouvrir une session avec votre profil local. Les modifications apportées au profil ne seront pas copiées sur le serveur lorsque vous fermerez votre session. Ce problème peut être causé par des problèmes réseau ou des droits de sécurité insuffisants. 

 DÉTAIL - Nom de réseau introuvable.
 
 Id : 1521
 Utilisateur : MARUE205\userDeTest
 Ordinateur : pc01.marue205.masociete.fr

Integré la parte DNS siguiendo esta documentación: https://samba.tranquil.it/doc/fr/samba_...ebian.html

En el lado de la red, DHCP administra la configuración y en la máquina de prueba se ve así:

Código: Seleccionar todo

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : pc01
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205.masociete.fr
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : lundi 22 avril 2024 16:29:56
   Bail expirant. . . . . . . . . . . . . : lundi 22 avril 2024 17:29:55
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.168.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Código: Seleccionar todo

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Estoy completamente perdido, y cuanto más pruebas hago, menos funciona

¿Tienes alguna idea?

Gracias de antemano.
Felipe.

Re: Migración de Samba 3 a 4, una pesadilla con DNS

Publicado: 23 de abril de 2024 - 09:12

por dcardon

Hola Philippe,

* Los perfiles móviles son una mala idea. Deben evitarse en la medida de lo posible.
* El problema no es necesariamente un problema de DNS, sino más bien un problema de permisos con respecto al uso compartido de perfiles (Windows es muy estricto al respecto; simplemente tener acceso de escritura no es suficiente).
* Se recomienda encarecidamente no usar el controlador de dominio como servidor de archivos/perfiles
. * Hay dos entradas DNS en el adaptador de red, mientras que parece haber solo un servidor de Active Directory... Los servidores DNS en una máquina deben poder resolver exactamente las mismas zonas/registros; de lo contrario, los problemas están garantizados.

Saludos,

Denis

Re: Migración de Samba 3 a 4, una pesadilla con DNS

Publicado: 23 de abril de 2024 - 09:31

por flipflip

Hola Denis,

Gracias por tu respuesta.

* Los perfiles móviles son perjudiciales. Deben evitarse en la medida de lo posible

Lo sé y es algo de lo que me desharé cuando cambie a Samba 4, pero por ahora estoy haciendo aislamiento perimetral.

El problema no es necesariamente un problema de DNS, sino un problema con los permisos para compartir perfiles (Windows es muy estricto al respecto; simplemente poder escribir no es suficiente)

Usando el comando samba-tool dns zonelist, obtengo las siguientes zonas:

Código: Seleccionar todo

2 zone(s) found

  pszZoneName                 : marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : DomainDnsZones.marue205.masociete.fr

  pszZoneName                 : _msdcs.marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : ForestDnsZones.marue205.masociete.fr

Esto corresponde bien a la configuración DNS proporcionada por DHCP

* Se recomienda encarecidamente no utilizar el DC como servidor de archivos/perfiles

Somos una organización pequeña con 30 usuarios y, como los perfiles móviles van a desaparecer, voy a volver a poner todo en el mismo servidor

* Hay dos entradas DNS en la tarjeta de red, pero parece haber solo un servidor AD... Los servidores DNS en una máquina deben poder resolver exactamente las mismas zonas/registros; de lo contrario, se garantiza que habrá un problema.

Ahora me has perdido

Re: Migración de Samba 3 a 4, una pesadilla con DNS

Publicado: 23 de abril de 2024 - 10:06 a. m.

por flipflip

Entonces, un pequeño cambio en el lado DHCP: he reconfigurado mi rango

Código: Seleccionar todo

subnet 192.168.XXX.0 netmask 255.255.255.0 {
    server-name "svad01";
    option domain-name-servers 192.168.XXX.41, 192.168.XXX.38;
    option domain-name "marue205";
    option domain-search "marue205", "marue205.masociete.fr";
    option netbios-name-servers 192.68.XXX.41;
    option netbios-dd-server 192.68.XXX.41;
    option netbios-node-type 8;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.XXX.255;
    option routers 192.168.XXX.254;
    option ntp-servers 192.168.XXX.41;
    
    ...

Esto nos da lo siguiente en Windows

Código: Seleccionar todo

C:\Users\Administrateur>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : PCINF03VA
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr
                                       marue205

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : mardi 23 avril 2024 09:40:04
   Bail expirant. . . . . . . . . . . . . : mardi 23 avril 2024 10:48:48
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.68.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Con esta configuración, hay una mejora sólo en el ping

Código: Seleccionar todo

C:\Users\Administrateur>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.5.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.5.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Código: Seleccionar todo

C:\Users\Administrateur>ping svad01.marue205
La requête Ping n'a pas pu trouver l'hôte svad01.marue205. Vérifiez le nom et essayez à nouveau.

Código: Seleccionar todo

C:\Users\Administrateur>ping svad01.marue205.masociete.fr

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

De las 3 pruebas de ping, solo 2 pasaron:
- ping svad01
- ping svad01.marue205.masociete.fr

Si bien el ping svad01.marue205 no funciona, lo cual es una pena porque inevitablemente tendré casos de máquinas que intentarán, por una razón totalmente desconocida y probablemente absurda, realizar este tipo de solicitudes.

Pero donde realmente se vuelve sorprendente es con nslookup

Código: Seleccionar todo

C:\Users\Administrateur>nslookup svad01
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205.masociete.fr
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41

El último no devuelve ningún resultado porque la plataforma de prueba no tiene acceso a internet, pero puedo ver la solicitud DNS dirigida al reenvío en los registros. Por lo tanto, no entiendo por qué falla el ping a svad01.marue205 cuando nslookup devuelve un resultado.