Debian 12 + samba4 AD - MS kliens nem tud belépni AD-be

Linux-haladó

Üdv mindenkinek.

 

Segítséget szeretnék kérni tőlem jártasabb szakiktól. Feltelepítettem a tárgybelit, üzemelt is szépen (pár nap, frissítés nem volt!),

beléptettem az admin gépet, beállítottam a felhasználókat/csoprtokat (samba-tool), RSAT-al ellenőriztem, minden oké.

Kliensek (win10pro, klónozott image, fix ip és egyedi név minden gépnek, DNS /elvileg/ jól beállítva) tartományi beléptetésénél kb 18-ból 5-nél

elszáll, hogy nem látja a DC-t és a tartományt (a többi belépett pár mp alatt és nincs hálózati hiba a gépeknél).

Ha bármelyik gépnél az intézőbe beírom a szerver nevét (\\srv vagy \\srv.domain.lan) szinte rögtön kéri a user/pass párost.

 

Logok alapján eddig az jött le, hogy a reverse DNS-el van vmi nyűgje és a winbind cache-t v2-es verzióban próbálja újragenerálni sikertelenül.

Vagy kimaradt valami a konfigból vagy elmászott vmi jogosultság vagy samba hiba lehet?

 

Ezek a parancsok lefutottak/lekérdezhetőek hibamentesen:

samba-tool dns zonecreate 192.168.0.200 0.168.192.in-addr.arpa -U administrator
samba-tool dns add 192.168.0.200 0.168.192.in-addr.arpa 200 PTR srv.domain.lan -U administrator

host -t A srv.domain.lan
host -t SRV _kerberos._udp.domain.lan
host -t PTR 192.168.0.200
smbclient -L localhost -U%
smbclient //localhost/netlogon -U%Administrator -c 'ls'
smbclient //localhost/netlogon -UAdministrator -c 'ls'
samba-tool domain level show

 

Mielőtt elkezdeném ideszórni a konfig fájlokat: futott bele valaki már ebbe a jelenségbe?

Régebbi fórumokon azt javasolják, hogy a samba internal DNS helyett legyen pl bind. Ha ez a megoldás, akkor megoldom,

csak érdekelne, hogy mit bénáztam el, ha én voltam (tanulási jelleggel).

 

Köszönöm az érdemi hozzászólásokat.

( djtacee | 2024. 10. 08., k – 11:06 )

klónozott image, fix ip és egyedi név minden gépnek

Szerintem ha nem volt sysprep, akkor még ütközhetnek egyedi azonosítók.

Régebbi fórumokon azt javasolják, hogy a samba internal DNS helyett legyen pl bind.

Én csak így használom.

Hello,

 

a klónozási vonalat elengedhetjük hibaforrásként, több helyen is tökéletesen megy, nincsenek ütközések, plusz egyedi telepítés esetén is

ugyanez a helyezet: tallózható, elérhető a szerver, de domainbe be nem lép semmi pénzért. Itt a samba oldalon lesz a bibi.

A külön DNS szerver részt ha lesz időm, holnap lepróbálom egy virtuális gépen. Köszi.

( hnsz2002 v | 2024. 10. 08., k – 11:43 )

"klónozott image"

Felejtsétek már el légyszi ezt a "klónozást". Rendes sysprep-es előkészítés, és utána azt lehet felhúzni. (gyk. ugyanúgy egy install, csak nem a default image-et húzod fel, hanem amit te előkészítettél).

"Sose a gép a hülye."