Migrazione da Samba 3 a 4: un incubo con DNS

[capovolgimento]

Ciao a tutti,

Sto riscontrando difficoltà con i test di migrazione del mio controller di dominio Samba 3 in modalità NT4 a Samba 4.19. Possiedo un nome di dominio che utilizzo per il mio sito web e le mie email; attualmente è gestito da OVH e non ho intenzione di riprenderne il controllo.

Nome di dominio esterno: masociete.fr
Nome di dominio NT4 locale: marue205
Zona DNS locale: marue205

Sul futuro server AD, la parte Kerberos è configurata come segue:

Codice: Seleziona tutto

[libdefaults]
        default_realm = marue205.masociete.fr
        dns_lookup_kdc = true
        dns_lookup_realm = false

Nel file globale smb.conf che utilizzo con il comando `samba-tool domain classic update`... ho

Codice: Seleziona tutto

        netbios name = svad01
        server string = Gestionnaire de domaine
        workgroup = marue205

Quando avvio la migrazione, utilizzo il seguente comando:

Codice: Seleziona tutto

samba-tool domain classicupgrade --dbdir=/root/backup/samba/var --realm=MARUE205.MASOCIETE.FR /root/backup/samba/etc/smb.conf

Tutto funziona correttamente e non ricevo errori. Il nuovo file smb.conf si presenta così

Codice: Seleziona tutto

[global]
        netbios name = SVAD01
        realm = MARUE205.MASOCIETE.FR
        server role = active directory domain controller
        workgroup = MARUE205
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/marue205.masociete.fr/scripts
        read only = No

Aggiungo i profili condivisi

Codice: Seleziona tutto

[profiles]
        path = /media/ds_cifs_profiles
        read only = No
        csc policy = disable
        vfs objects = acl_xattr
        force create mode = 0600
        force directory mode = 0700
        store dos attributes = yes

La cartella esiste sul nuovo server così come la cartella del profilo utente per i miei test con i diritti userDeTest:domain users.

Ho riavviato tutto e ho avviato una VM che si è connessa senza problemi al vecchio controller di dominio NT4 (ho interrotto i processi smbd e nmbd sul vecchio server). La sessione si è aperta, ma ho ricevuto una notifica che indicava che si trovava su un profilo temporaneo. Anche con il livello di log impostato su 3, il log di Samba non mostrava alcun messaggio... in effetti, non ho nemmeno ricevuto alcuna notifica che un utente avesse effettuato l'accesso. È come se la VM non riuscisse a trovare il server Active Directory, nonostante entrambi siano gli unici dispositivi in ​​rete.

Una volta aperta la sessione temporanea di Windows, ho provato ad accedere ad Active Directory direttamente dalla barra degli indirizzi di Esplora risorse tramite \\svad01 e, magicamente, ho potuto visualizzare tutte le condivisioni. Ho potuto accedere alla condivisione dei profili e creare una directory al suo interno. Questo ha eliminato il problema dei permessi.

Nella console degli eventi di Windows della VM (è Windows 7, so che è vecchio, ma sto migrando a Samba 4 per poter eseguire l'aggiornamento a Windows 10), ricevo il seguente messaggio:

Codice: Seleziona tutto

Windows ne peut pas trouver de copie serveur de votre profil itinérant et tente de vous ouvrir une session avec votre profil local. Les modifications apportées au profil ne seront pas copiées sur le serveur lorsque vous fermerez votre session. Ce problème peut être causé par des problèmes réseau ou des droits de sécurité insuffisants. 

 DÉTAIL - Nom de réseau introuvable.
 
 Id : 1521
 Utilisateur : MARUE205\userDeTest
 Ordinateur : pc01.marue205.masociete.fr

Ho integrato la parte DNS seguendo questa documentazione: https://samba.tranquil.it/doc/fr/samba_...ebian.html

Sul lato rete, DHCP gestisce la configurazione e sulla macchina di prova appare così:

Codice: Seleziona tutto

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : pc01
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205.masociete.fr
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : lundi 22 avril 2024 16:29:56
   Bail expirant. . . . . . . . . . . . . : lundi 22 avril 2024 17:29:55
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.168.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Codice: Seleziona tutto

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Sono completamente perso e più test faccio, meno funziona Hai qualche idea?

Grazie in anticipo.
Filippo.

[dcardon]

Ciao Philippe,

* I profili mobili sono una cattiva idea. Dovrebbero essere evitati il ​​più possibile.
* Il problema non è necessariamente un problema DNS, ma piuttosto un problema di autorizzazioni relativo alla condivisione dei profili (Windows è molto rigido su questo; il semplice accesso in scrittura non è sufficiente).
* Si sconsiglia vivamente di utilizzare il controller di dominio come server di file/profili
. * Ci sono due voci DNS nella scheda di rete, mentre sembra esserci un solo server AD... I server DNS su una macchina devono essere in grado di risolvere esattamente le stesse zone/record, altrimenti i problemi sono garantiti.

Cordiali saluti,

Denis

[capovolgimento]

Ciao Denis,

Grazie per la risposta.

* I profili mobili sono una cosa negativa. Dovrebbero essere evitati il ​​più possibile

Lo so ed è una cosa di cui mi libererò quando passerò a Samba 4, ma per ora sto utilizzando l'isolamento perimetrale.

Il problema non è necessariamente un problema di DNS, ma un problema di permessi sulla condivisione del profilo (Windows è molto severo su questo punto; la semplice possibilità di scrivere non è sufficiente)

Utilizzando il comando samba-tool dns zonelist, ottengo le seguenti zone:

Codice: Seleziona tutto

2 zone(s) found

  pszZoneName                 : marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : DomainDnsZones.marue205.masociete.fr

  pszZoneName                 : _msdcs.marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : ForestDnsZones.marue205.masociete.fr

Ciò corrisponde quindi bene alla configurazione DNS fornita da DHCP

* Si consiglia vivamente di non utilizzare il DC come server di file/profili

Siamo una piccola organizzazione con 30 utenti e, poiché i profili mobili scompariranno, rimetterò tutto sullo stesso server

* Ci sono due voci DNS nella scheda di rete, ma sembra esserci un solo server AD... I server DNS su una macchina devono essere in grado di risolvere esattamente le stesse zone/record, altrimenti è garantito un problema.

Adesso mi hai perso

[capovolgimento]

Quindi, una piccola modifica sul lato DHCP: ho riconfigurato il mio intervallo

Codice: Seleziona tutto

subnet 192.168.XXX.0 netmask 255.255.255.0 {
    server-name "svad01";
    option domain-name-servers 192.168.XXX.41, 192.168.XXX.38;
    option domain-name "marue205";
    option domain-search "marue205", "marue205.masociete.fr";
    option netbios-name-servers 192.68.XXX.41;
    option netbios-dd-server 192.68.XXX.41;
    option netbios-node-type 8;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.XXX.255;
    option routers 192.168.XXX.254;
    option ntp-servers 192.168.XXX.41;
    
    ...

Questo ci dà quanto segue su Windows

Codice: Seleziona tutto

C:\Users\Administrateur>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : PCINF03VA
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr
                                       marue205

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : mardi 23 avril 2024 09:40:04
   Bail expirant. . . . . . . . . . . . . : mardi 23 avril 2024 10:48:48
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.68.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Con questa configurazione si ottiene un miglioramento solo per quanto riguarda il ping

Codice: Seleziona tutto

C:\Users\Administrateur>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.5.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.5.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Codice: Seleziona tutto

C:\Users\Administrateur>ping svad01.marue205
La requête Ping n'a pas pu trouver l'hôte svad01.marue205. Vérifiez le nom et essayez à nouveau.

Codice: Seleziona tutto

C:\Users\Administrateur>ping svad01.marue205.masociete.fr

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Dei 3 test ping, solo 2 sono stati superati:
- ping svad01
- ping svad01.marue205.masociete.fr

Sebbene ping svad01.marue205 non funzioni, è un peccato perché inevitabilmente mi capiterà di trovare macchine che proveranno, per un motivo totalmente sconosciuto e probabilmente assurdo, a fare questo tipo di richiesta.

Ma dove la cosa diventa davvero sorprendente è con nslookup

Codice: Seleziona tutto

C:\Users\Administrateur>nslookup svad01
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205.masociete.fr
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41

L'ultimo non restituisce alcun risultato perché la piattaforma di test non ha attualmente accesso a Internet, ma vedo la richiesta DNS indirizzata al forwarder nei log. Quindi non capisco perché il ping di svad01.marue205 fallisca quando nslookup restituisce un risultato.