Samba4 AD + RSAT = instabil

Nem úszom meg, kénytelen vagyok beleásni magam a Samba4 és az Active Directory rejtelmeibe és - hosszabb távon - átállítani egy sokfelhasználós, több telephelyes hálózatot.
A legtöbb dokumentáció (szinte) teljes Windows Szerver kompatibilitást, RSAT-al managelést ígér, ehhez képest odáig jutottam, hogy:

PDC + BDC: Ubuntu 14.04, Samba 4.1.6 + Bind9_DLZ repo-ból.
Domain létrehozva, szinkronizálva.
Első körben kialakítanám a site struktúrát, hogy a jövőre nézve minden szépen a helyén legyen, de akár átnevezném a "Default-first-site"-ot, akár bármelyik DC-t szeretném átpakolni egy létrehozott új site-ra, az egész domain megáll. Mindkét DC látszólag megy, hibát alapból nem log-ol, de az egész domain elérhetetlen (managelésre és használatra is)

Bármilyen következő művelet próbálkozásra kapok pár sor logot:

[2015/04/07 15:26:42.358903, 0] ../lib/ldb-samba/ldb_wrap.c:71(ldb_wrap_debug)
ldb: ldb error (ldb_wait: Operations error (1)) occurred searching for modules, bailing out
[2015/04/07 15:26:42.359286, 0] ../lib/ldb-samba/ldb_wrap.c:71(ldb_wrap_debug)
ldb: Unable to load modules for /var/lib/samba/private/sam.ldb: ldb_wait: Operations error (1)

Ezután a DC-k csak teljes újraindítás után használhatók újra.

Tapasztaltabbaktól kérdezném, hogy mit lehet ezzel kezdeni? (google sajnos nem igazán a barátom) Elvben működik, csak én cseszek el valamit? Újabb Samba verzió kellene? (biztos előnyök nélkül nem kevernék saját fordítást a distro-ba)

Attól alapvetően nem keseredek, ha pl. a Sites struktúra (még) nem működik tisztán Samba DC-kkel, de hogy egy kattintástól össze tud omlani a teljes domain, az azért aggaszt.

Hozzászólások

Ilyenkor a Samba vagy a Bind hal le (a site-ok megjelennek a DNS-ben is, ha jól emlékszem)? Ha a Samba, egy log level pl. 7 beállítással ki tudod próbálni, hogy mit naplóz?

---
Ha frissebb Sambát akarsz, de nem akarod fordítgatni (urambocsá, később akár még supportot is akarnál hozzá venni), akkor használhatod az Enterprise Samba csomagjait, regisztrációköteles, de ingyenes.

Szerk.: Egyébként ha jól rémlik - és azóta nem változott - a Samba egyelőre replikációra egyelőre nem használ súlyozást (ugye itt játszana egyszer a sites), amit egyelőre nyersz vele, az a kliens oldali dolgok [ha vannak egyáltalán, nem esküszöm meg rá] ill. persze a plusz infó az AD-ban.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Köszi hogy reagáltál!

Egyértelműen a Samba hal le, de sajnos semmilyen log level-en nem tudok relevánsnak tűnő információt kihámozni belőle, hogy miért.
Bind(ek) mennek, a másik DC is megy, csak a kliensek egyszerűen nem állnak át rá, inkább a "halottal" próbálkoznak tovább, mivel részben az is működőképes, samba-tool bizonyos dolgokra válaszol (pl. user list), másokra ldap csatlakozási hibával kiakad (pl. drs showrepl), de a rendszer egészében újraindítás nélkül nem használható (vagy valami irdatlan timeout-ot kellene kivárni a klienseken)

---

Enterprise Samba-t néztem, de Ubuntura konkrétan nincs, Debian-ét meg szintén nem szívesen hackelném fel alá.

---

A Sites-t egyelőre a directory látszólagos struktúrálásán kívül nem is nagyon használnám semmire, csak - mint fent is írtam - most már egyre jobban idegesít, hogy instabilitást okoz.

-------------------------------^v-----------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Szia!

Bár ez zentyal.os topic, de nem lehet, hogy te is valami hasonlót csináltál az RSAT-tal?

https://forum.zentyal.org/index.php?topic=18368.0

Egyébként én is beletoltam egy-két hetet kísérletezgettem, és gyakran lezúztam, ezért először virtualbox volt a barátom, és minden működési pontnál volt egy snaposhotom. Van pár dolog ami nincs lekezelve az RSAT által és én is úgy éreztem, hogy inkább a kliens beléptetés kiléptetés, policyk, stb.-re jó használni (ha nem turkáltam nagyon szerver oldalon, csak hagytam, hogy tegye a dolgát, akkor nem esett össze :)

Én úgy olvastam (de nem találtam meg sajnos neked), hogy olyan, hogy PDC-BDC nincs itt már. Active Directory Domain Controller, azaz DC member-öket tudsz így létrehozni, akik a replikációt automatikusan (és persze manuálisan is) elvégzik.

Nekem a kliensek (gondolom nem túl elegánsan - eddig csak kísérletezgettem velük) a DC1 és DC2-t kapták dns szervereknek, így amikor az egyik kiesett és nem válaszolt, mentek a másikhoz nagyon ügyesen, és minimális volt a kiesési idő. Szóval kérdésedre válasz, igen van működő példa :) Amit ajánlanék, direktbe kérdezd meg Czakó Krisztiánt mondjuk emilben, aki szerintem tuti elmondja, hogyan is kellene ezt normálisan megcsinálni (meg találod e-mail-ben tuti, sok oktató felületen megjelenik a neten)

Illetve én a samba wikiket olvastam, amik elég ellentmondásosak voltak több helyen (verzió különbségek), de azért a koncepció lejön belőle.

Egyébként én is beletoltam egy-két hetet kísérletezgettem, és gyakran lezúztam, ezért először virtualbox volt a barátom,

+1 a gyakorló domainre, szerintem minden Samba4 usernek van 1-2 war storyja, hogy hogyan tudod magad leghatékonyabban lábon lőni :)

(per pill csak egy netbook van a közelemben, az éles S4 domain-en, amit elérek pedig nem szívesen kísérletezgetek tapasztalatok szerint gyilkoló dolgokkal, ezért nem írtam egy "nálam működik"/"nálam se megy"-et.)

Ami közben eszembe jutott: Samba-tool a lehalás/restart után milyen site-okat lát?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Persze, nálam is KVM VM-ek a DC-k, és természetesen már nem először állítom vissza a snapshot-ot...

Samba-tool is csak a Default-First-Site-ot látja (illetve, az éppen lehalt DC-n - amin az RSAT változtatni akart - nem is válaszol)

-------------------------------^v-----------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Igen, én is kb. csak ezt a Zentyal-os topic-ot találtam releváns infónak, amiből kb. az derül ki, hogy ez a funkció még nem működik, meg egyébként is használjam a Zentyal admin-ját az RSAT helyett :/
Miközben itt: https://wiki.samba.org/index.php/Active_Directory_Sites kerek-perec le van dokumentálva, hogy fogom a DC-t és áthúzom a másik site-ra (ez ugyan nem a site átnevezése, de próbáltam, ugyanaz az eredmény)

Annyiból van PDC, hogy az az, amit először létrehozol, meg amin a domain-t magát is, illetve megkap bizonyos FSMO szerepköröket, de valóban, már minden további DC is egyenrangúan írható és oda-vissza szinkronizál (kivéve, persze a RODC-ket)

Czakó Krisztián tippet köszönöm! Igen, kelleni fog ehhez egy ember, aki kicsit elindít a megfelelő irányba, mert ehhez már kevés a Linux + Samba tapasztalat, meg kell tanulni magát az AD-t is MS oldalról :/

-------------------------------^v-----------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"