Migration samba 3 > 4 galère avec le DNS

[flipflip]

Bonjour à tous,

Je bataille avec mes tests de migrations de mon contrôleur de domaine samba 3 en mode NT4 vers samba 4.19. Je possède un nom de domaine que j'utilise pour mon site et les emails, il est actuellement géré par OVH et je n'ai pas de volonté d'en récupérer la gestion.

Nom domaine externe : masociete.fr
Nom de domaine NT4 local : marue205
Zone DNS local : marue205

Sur le futur serveur AD la partie kerberos est configuré de cette manière :

Code : Tout sélectionner

[libdefaults]
        default_realm = marue205.masociete.fr
        dns_lookup_kdc = true
        dns_lookup_realm = false

Dans le global du smb.conf que j'utilise avec la commande samba-tool domain classic update... J'ai

Code : Tout sélectionner

        netbios name = svad01
        server string = Gestionnaire de domaine
        workgroup = marue205

Lorsque je lance la migration j'utilise la commande :

Code : Tout sélectionner

samba-tool domain classicupgrade --dbdir=/root/backup/samba/var --realm=MARUE205.MASOCIETE.FR /root/backup/samba/etc/smb.conf

Tout ce pas bien et je n'ai pas d'erreur. Le nouveau smb.conf ressemble à ça

Code : Tout sélectionner

[global]
        netbios name = SVAD01
        realm = MARUE205.MASOCIETE.FR
        server role = active directory domain controller
        workgroup = MARUE205
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/marue205.masociete.fr/scripts
        read only = No

J'ajoute le share profiles

Code : Tout sélectionner

[profiles]
        path = /media/ds_cifs_profiles
        read only = No
        csc policy = disable
        vfs objects = acl_xattr
        force create mode = 0600
        force directory mode = 0700
        store dos attributes = yes

Le dossier existe sur le nouveau serveur ainsi que celui du profile utilisateur pour mes tests avec les droits userDeTest:domain users.

Je reboot tout ce petit monde et je lance une VM qui ce connecte sans problème sur l'ancien contrôleur de domaine NT4 (j'ai coupé les process smbd et nmbd sur l'ancien serveur). La session s'ouvre mais j'ai une notification comme quoi c'est sur un profil temporaire. Du côté log samba même en mettant le log level à 3 je n'ai pas de message... d'ailleurs je n'ai même pas d'info qu'un utilisateur ouvre une session. C'est comme si la VM ne trouvais pas l'AD alors que tout les deux sont seul sur le réseau.

Une fois la session windows temporaire ouverte dans la barre d'adresse de l'explorateur de fichier de tente d'accéder directement à mon AD par \\svad01 et magie j'ai vois tout les partages, je peux accéder au partage profiles et créer un répertoire dedans. Cela élimine le problème de droit.

Dans la console d'évènement du Windows de la VM (c'est un seven, je sais c'est vieux mais justement je migre en samba 4 pour pouvoir passer en windows 10). J'ai le message suivant :

Code : Tout sélectionner

Windows ne peut pas trouver de copie serveur de votre profil itinérant et tente de vous ouvrir une session avec votre profil local. Les modifications apportées au profil ne seront pas copiées sur le serveur lorsque vous fermerez votre session. Ce problème peut être causé par des problèmes réseau ou des droits de sécurité insuffisants. 

 DÉTAIL - Nom de réseau introuvable.
 
 Id : 1521
 Utilisateur : MARUE205\userDeTest
 Ordinateur : pc01.marue205.masociete.fr

J'ai intégré la partie DNS en suivant cette doc : https://samba.tranquil.it/doc/fr/samba_ ... ebian.html

Du côté du réseau c'est dhcp qui gère la config et sur la machine de test cela donne

Code : Tout sélectionner

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : pc01
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205.masociete.fr
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : lundi 22 avril 2024 16:29:56
   Bail expirant. . . . . . . . . . . . . : lundi 22 avril 2024 17:29:55
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.168.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Code : Tout sélectionner

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ipconfig /flushdns

Configuration IP de Windows

Cache de résolution DNS vidé.

C:\Users\TEMP>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Je suis complètement largué et plus je fais de test moins ça marche Est-ce que vous auriez des idées ?

Merci d'avance.
Philippe.

[dcardon]

Bonjour Philippe,

* les profiles itinérants c'est le mal. Il faut les éviter autant que possible
* le pb n'est pas forcément un pb de DNS, mais un pb de droits sur le partage des profiles (Windows est très tatillons là dessus, il ne suffit pas de pouvoir écrire)
* il est fortement recommandé de ne pas utiliser le DC comme serveur de fichier / de profile
* il y a deux entrées DNS dans la carte réseau alors qu'il ne semble y avoir qu'un seul serveur AD... Les serveurs DNS sur une machine doivent pouvoir résoudre exactement les mêmes zones / enregistrements, sinon problème assuré.

Cordialement,

Denis

[flipflip]

Bonjour Denis,

Merci de ta réponse.

* les profiles itinérants c'est le mal. Il faut les éviter autant que possible

Je sais et c'est quelque chose que je vais virer au passage à samba 4 mais pour le moment je fais de l'iso périmètre.

le pb n'est pas forcément un pb de DNS, mais un pb de droits sur le partage des profiles (Windows est très tatillons là dessus, il ne suffit pas de pouvoir écrire)

Avec la commande samba-tool dns zonelist, j'obtiens les zones suivantes

Code : Tout sélectionner

2 zone(s) found

  pszZoneName                 : marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : DomainDnsZones.marue205.masociete.fr

  pszZoneName                 : _msdcs.marue205.masociete.fr
  Flags                       : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
  ZoneType                    : DNS_ZONE_TYPE_PRIMARY
  Version                     : 50
  dwDpFlags                   : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED
  pszDpFqdn                   : ForestDnsZones.marue205.masociete.fr

donc cela corresponds bien à la config dns fournie par dhcp

* il est fortement recommandé de ne pas utiliser le DC comme serveur de fichier / de profile

On est une petite structure de 30 users et comme les profiles itinérant vont disparaitre je remets tout sur le même serveur

* il y a deux entrées DNS dans la carte réseau alors qu'il ne semble y avoir qu'un seul serveur AD... Les serveurs DNS sur une machine doivent pouvoir résoudre exactement les mêmes zones / enregistrements, sinon problème assuré.

Alors là tu m'as perdu

[flipflip]

Alors petite évolution côté dhcp, j'ai repris la config de ma plage

Code : Tout sélectionner

subnet 192.168.XXX.0 netmask 255.255.255.0 {
    server-name "svad01";
    option domain-name-servers 192.168.XXX.41, 192.168.XXX.38;
    option domain-name "marue205";
    option domain-search "marue205", "marue205.masociete.fr";
    option netbios-name-servers 192.68.XXX.41;
    option netbios-dd-server 192.68.XXX.41;
    option netbios-node-type 8;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.XXX.255;
    option routers 192.168.XXX.254;
    option ntp-servers 192.168.XXX.41;
    
    ...

Ce qui donne côté Windows

Code : Tout sélectionner

C:\Users\Administrateur>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : PCINF03VA
   Suffixe DNS principal . . . . . . : marue205.masociete.fr
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: marue205.masociete.fr
                                       marue205

Carte Ethernet Connexion au réseau local 4 :

   Suffixe DNS propre à la connexion. . . : marue205
   Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
   Adresse physique . . . . . . . . . . . : 08-00-27-8A-4A-F7
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.XXX.125(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : mardi 23 avril 2024 09:40:04
   Bail expirant. . . . . . . . . . . . . : mardi 23 avril 2024 10:48:48
   Passerelle par défaut. . . . . . . . . : 192.168.XXX.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.XXX.41
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.XXX.41
                                       192.168.XXX.38
   Serveur WINS principal . . . . . . . . : 192.68.XXX.41
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Avec cette config il y a un mieux juste pour le ping

Code : Tout sélectionner

C:\Users\Administrateur>ping svad01

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.5.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.5.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Code : Tout sélectionner

C:\Users\Administrateur>ping svad01.marue205
La requête Ping n'a pas pu trouver l'hôte svad01.marue205. Vérifiez le nom et essayez à nouveau.

Code : Tout sélectionner

C:\Users\Administrateur>ping svad01.marue205.masociete.fr

Envoi d'une requête 'ping' sur svad01.marue205.masociete.fr [192.168.XXX.41] avec
 32 octets de données :
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64
Réponse de 192.168.XXX.41 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.XXX.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Sur les 3 test de ping seul 2 passent :
- ping svad01
- ping svad01.marue205.masociete.fr

Alors que ping svad01.marue205 lui ne marche pas, ce qui est dommage car je vais forcément avoir le cas de machines qui vont tenter, pour une raison totalement inconnu et probablement absurde, de faire ce genre de requête.

Mais là où cela devient étonnant c'est avec nslookup

Code : Tout sélectionner

C:\Users\Administrateur>nslookup svad01
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41


C:\Users\Administrateur>nslookup svad01.marue205.masociete.fr
Serveur :   svad01.marue205.masociete.fr
Address:  192.168.XXX.41

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
Nom :    svad01.marue205.masociete.fr
Address:  192.168.XXX.41

Le dernier ne renvoi pas de résultat car pour le moment la plateforme de test n'a pas accès à internet mais dans les log je vois bien passer la demande dns au forwarder. Du coups je comprend pas pourquoi ping échoue sur svad01.marue205 avec que nslookup lui renvoi bien un résultat.